为什么 Android 上要先分清「模式」再谈分流
与桌面端相比,手机上的网络路径更绕:系统会调度蜂窝与 Wi‑Fi、厂商 ROM 会叠加省电策略,部分应用还会无视系统代理而直接走套接字。Clash 在 Android 上通常以「VPN 服务」形式接管流量(业内常称 TUN / VPN 模式),再配合规则与按应用分流(Per-App Proxy)决定哪些包进入内核。先把这条主线理清,后面配置才不会互相打架。
若你的订阅里已经出现 Hysteria2、TUIC、VLESS+Reality 等新字段,建议先阅读《Clash Meta(Mihomo)升级完整指南》,确认客户端内置内核版本能识别对应节点类型,否则会在导入阶段就报语法或握手错误。
安装:来源、架构与「未知来源」
Android 侧分发以 APK 为主。请优先从本站下载页获取与你设备 CPU 架构匹配的包(常见为 arm64-v8a;较老设备可能是 armeabi-v7a)。安装前在系统设置中允许浏览器或文件管理器的安装未知应用权限,完成安装后可将该权限收回,减少面风险。
同一台手机上不建议堆叠多个同类 VPN 类客户端同时抢「始终开启的 VPN」权限。若曾装过其它代理或公司 MDM 套件,升级或迁移前先关闭它们的 VPN 会话,避免路由表残留导致「看似已连接却上不了网」的假阳性。
首次启动:VPN 权限、通知与后台
开启代理前,系统会弹出VPN 连接请求对话框,这是 Android 的标准安全机制。点允许后,状态栏会出现钥匙图标或常驻通知,表示虚拟网卡已建立。部分厂商在「省电模式」下会冻结后台服务,表现为通知消失、规则失效;此时需要在电池设置里为客户端开启无限制后台或关闭对该应用的自动休眠。
若你使用分屏、小窗或多用户,注意 VPN 会话通常以「当前用户」为边界;工作资料(Work Profile)里的应用列表与主空间不共享,后文会单独说明。
导入配置:订阅链接、剪贴板与本地文件
最常见的路径是向服务商索取订阅 URL,在客户端中选择「从 URL 导入」并粘贴。导入成功后先执行一次更新订阅,确认节点列表已刷新。若订阅返回的是完整配置而非单一代理列表,客户端可能会整包替换本地配置,这时要留意是否覆盖了你手工写的规则段。
从剪贴板导入适合临时调试;从文件导入则适合自备 YAML。无论哪种方式,都建议在改动前用客户端自带的导出备份或手动复制一份配置,以便回滚。配置里若包含 rule-providers 远程规则,首次启动会拉取外链资源,弱网环境下可能拉长「可用」时间,这是正常现象而非必然故障。
系统代理与 VPN(TUN)模式怎么选
简言之:只有浏览器类、尊重系统代理的应用才能在「纯系统代理」方案下稳定分流;而游戏、语音、不少国产 App 往往会绕过代理。要在手机上做到接近「全机一致」的体验,通常需要打开 VPN / TUN 类总开关,让流量先进入 Clash 虚拟网卡,再由规则决定直连或转发。
打开 TUN 后若出现网页能开但某 App 异常,先不要急着改节点,优先检查该 App 是否被 Per-App 列表排除、是否走了意外的 DNS 模式,以及策略组是否指向了失效节点。关于 DNS 与 fake-ip 的取舍,可与《Clash 提速实用技巧》中的 DNS 章节对照阅读。
策略组与规则:和手机分流的关系
规则层决定的是「这条连接匹配哪条规则、最终走哪个策略组或节点」。例如域名命中 GEOIP,CN 直连、命中流媒体分组走指定出口。Per-App 分流则是在更外层决定「哪些应用的流量会进入内核参与规则匹配」。两者是乘法关系:被排除的应用根本不会走到你在 YAML 里写的规则。
日常建议保留一份「最小可用配置」:先验证订阅与节点可用,再逐步启用远程规则集。规则越庞杂,冷启动与重载时的 CPU 占用越高,在低端机上可能被系统误杀。若你发现更新订阅后偶发卡顿,可尝试降低规则提供者的更新频率,或拆分不常用的规则集。
按应用分流(Per-App Proxy)详解
不同客户端菜单命名略有差异,常见为「应用分流」「绕过应用」「Per-App」等,逻辑通常分两类:仅代理所选应用(白名单)与代理全部但排除所选(黑名单 / 绕过)。白名单适合「只想让浏览器与少数工具走代理」;黑名单适合「全机代理但让银行、政务、局域网工具直连」。
配置时注意三点。第一,系统组件与厂商服务有时以 UID 共享网络栈,过度激进的排除可能导致推送或系统更新异常,建议只排除你明确需要直连的应用。第二,双开与分身应用在应用列表里可能显示为独立条目,记得分别勾选。第三,若使用「仅代理所选」却忘了勾选目标 App,会出现「客户端显示已连接但目标 App 仍走直连」的现象,这往往是规则没生效,而是流量根本没进内核。
对国内视频、支付、地图类应用,若服务器侧根据出口 IP 做风控,强制走代理可能触发验证码或功能限制;这时用黑名单把它们放回直连通常比反复换节点更有效。
工作资料、多用户与测试方法
开启工作资料后,你会得到一套隔离的应用实例。VPN 客户端若只装在主空间,对工作资料内应用不一定生效;需要在对应空间内单独安装并授权,或改用系统级策略(视 ROM 支持而定)。家庭多用户场景同理,每个用户配置文件独立。
自测分流是否生效时,不要只看通知栏图标。可用两步验证:先在目标 App 内触发一次明确需要特定出口的操作(如查询出口 IP 的页面),再对照客户端连接日志或统计页,确认该应用的流量是否按预期命中策略组。没有日志时,至少对比「开/关 Per-App 选项」下的行为差异,以缩小问题边界。
常见故障:连不上、能连但慢、部分 App 异常
完全无法建立 VPN:检查是否被其它 VPN 占用、是否在企业策略禁止下、是否缺少通知权限导致服务被系统静默停止。部分 ROM 需要关闭「超级省电」或允许「自启动」。
全局慢或解析慢:优先怀疑 DNS 与策略组测速,而不是盲目增加节点数量。可临时切换到延迟较低的分组做 A/B,再在配置里固定合理的测速 URL 与间隔。
仅个别 App 异常:回到 Per-App 列表与规则优先级;若该 App 使用硬编码 DNS 或 QUIC,可能需要更细的分流或关闭某类过滤。此类问题往往与「节点质量」无关,而是路径设计不一致。
耗电、发热与「被杀后台」
长时间保持 VPN 在线会增加基带与 CPU 占用,属正常物理结果。可通过降低日志级别、减少不必要的规则热更新、避免过高频的节点测速来减负。若夜间不需要代理,养成随手断开或关闭「开机自启」的习惯,比抱怨「耗电快」更能改善体验。
合规与边界
本文仅介绍开源代理客户端在 Android 上的一般配置思路,不构成对任何地区法律法规的规避建议。请在你所在地法律允许的范围内使用网络技术,并遵守服务提供商条款与他人合法权益。
小结
Android 上的 Clash 使用,核心是用 VPN/TUN 把流量送进内核,再用规则 + Per-App把「谁进内核、进来后怎么走」分层设计好。安装与权限、订阅健康、策略组与按应用名单,这几环任何一环含糊,都会表现为「时好时坏」的玄学问题。把每一步变成可重复验证的操作,排错会轻松很多。
相比在论坛碎片信息里反复试错,使用与 Mihomo 内核同步维护、并在下载渠道上清晰标注架构与更新说明的发行版,通常能显著降低上手与迁移成本。若你准备在手机端落地一套稳定方案,可先前往本站下载页获取对应 Android 包,小流量验证通过后再逐步加规则与分流名单。→ 立即免费下载 Clash,开启流畅上网新体验