fake-ip와 IPv6(AAAA)가 같이 쓰이면 왜 특정 사이트만 깨질 수 있나요?

애플리케이션이 AAAA로 IPv6를 우선 시도하는데, 규칙 매칭·실제 출구·NAT64 환경이 어긋나면 브라우저만 타임아웃처럼 보일 수 있습니다. DNS enhanced-mode와 nameserver 응답을 확인하고, 의심될 때 redir-host 전환이나 fake-ip-filter·DIRECT 예외로 이름 해석 경로를 분리해 보세요.

TUN 모드에서만 IPv6 관련 문제가 날 때 무엇부터 보나요?

시스템 프록시만 쓸 때와 TUN만 쓸 때를 나눠 재현하세요. TUN 스택(gVisor/system 등)과 strict-route, IPv6 스위치 조합에 따라 라우팅 테이블이 달라질 수 있습니다. ClashNote 기술 칼럼의 TUN·시스템 프록시 점검 글(clash-tun-windows11-macos-system-proxy-troubleshooting-2026.html) 순서와 함께 보는 것이 빠릅니다.

규칙은 맞는데도 일부 CDN 도메인이 직행·우회를 잘못 탄다면?

도메인 규칙보다 앞선 GEOIP·IP-CIDR·IP-CIDR6 항목이 IPv6 주소를 먼저 잡아 다른 정책 그룹으로 보낼 수 있습니다. 로그에서 실제 매칭 규칙 이름을 확인하고, IPv6 대역을 명시적으로 DIRECT 또는 의도한 정책 그룹으로 옮긴 뒤 MATCH 순서를 다시 점검하세요.

Clash IPv6 듀얼스택·분기 6단계 점검 2026

Q: Clash에서 IPv6를 켜야 하나요, 끄는 편이 안전한가요?

회선·공유기·OS가 IPv6를 제대로 주지 않거나, 프록시 노드가 IPv6 egress를 지원하지 않으면 이중 경로가 갈라져 일부 도메인만 실패할 수 있습니다. 먼저 증상이 IPv6와 동시에 나타나는지 OS에서 IPv6를 잠시 끄고 재현 여부를 확인한 뒤, 필요할 때만 코어의 ipv6: true와 규칙을 맞추는 순서가 안전합니다.

이 증상에 해당하나요?

Clash·미호모 계열을 켠 뒤에만 다음이 보일 때 이 글의 순서가 잘 맞습니다. 해외 사이트·앱은 비교적 안정적인데 국내 포털·은행·특정 CDN만 간헐적으로 열리지 않거나, 같은 페이지가 브라우저마다 다르게 보이는 경우입니다. 터미널의 curl은 되는데 Safari·Chrome만 실패한다면 DNS·IPv6 우선순위·브라우저의 Secure DNS가 한 축으로 겹친 경우도 흔합니다.

반대로 전 노드 타임아웃처럼 전역이 무너진 패턴은 구독 만료·방화벽·분 앱 권한 쪽을 먼저 보는 편이 낫습니다. 안드로이드 전용 흐름은 Android 구독·DNS 점검 글과 역할을 나눕니다.

왜 IPv6를 켜면 «일부만» 깨지기 쉬운가요?

듀얼 스택 환경에서는 이름 해석 결과에 A(IPv4)와 AAAA(IPv6)가 함께 올 수 있고, OS·앱은 Happy Eyeballs 등 알고리즘으로 더 빠른 쪽을 고릅니다. Clash는 도메인 기반 규칙과 IP 기반 규칙을 동시에 쓰기 때문에, 같은 호스트라도 v4로 보내야 할 트래픽이 v6 목적지로 잡히거나 그 반대가 되면 «규칙은 맞는데 실제 패킷 경로만 어긋난다»는 느낌이 납니다.

fake-ip 모드는 연결 초기 지연을 줄이는 대신 이름과 실제 주소의 대응이 Clash 내부에 더 많이 의존합니다. 여기에 AAAA가 섞이면 일부 앱만 비정상적으로 보일 수 있어, 증상이 도메인 일부에만 집중될 때는 fake-ip와 redir-host 비교 글과 함께 읽는 것이 좋습니다.

1단계: OS·공유기에서 IPv6와 기본 경로 확인

Clash 설정에 들어가기 전에, 회선 자체가 IPv6를 제공하는지와 OS에 유효한 글로벌 v6 주소가 있는지 확인합니다. Windows는 네트워크 어댑터 속성, macOS는 네트워크 고급 설정, Linux는 ip -6 route 등으로 기본 경로가 잡혀 있는지 봅니다. 공유기가 IPv6를 광고하지만 방화벽이나 패스스루 옵션이 꺼져 있으면 «반쪽」 듀얼 스택이 되어 브라우저만 이상하게 동작하기도 합니다.

이 단계의 목표는 단순합니다. IPv6를 OS에서 잠시 끄거나 비활성화했을 때 증상이 사라지는지를 보는 것입니다. 사라진다면 이후 단계는 «IPv6를 살리되 Clash와 어떻게 맞출지»로 좁혀지고, 사라지지 않으면 IPv4 단독 이슈(규칙·DNS·TLS) 쪽 비중이 커집니다.

실무 팁 테스트는 가능한 한 동일한 Wi-Fi·동일한 브라우저 프로필로 반복하고, VPN·다른 필터 앱을 잠시 끈 상태에서 비교하면 변수가 줄어듭니다.

2단계: 프로필에서 IPv6 스위치·인터페이스 허용 범위

미호모·Clash Meta 계열 YAML에는 보통 ipv6: true/false 또는 클라이언트 GUI의 동등 옵션이 있습니다. OS는 IPv6를 쓰는데 코어가 v6를 다루지 않도록 막혀 있으면, 앱이 만든 v6 소켓과 Clash가 가정한 경로가 어긋날 수 있습니다. 반대로 코어는 v6를 켰는데 노드·프로토콜이 v6 egress를 지원하지 않으면 일부 대상만 실패할 수 있습니다.

구독으로 받은 프로필이 기본으로 ipv6: false인 경우가 많으니, 증상 재현 시에만 true로 바꿔 보고 로그의 에러 메시지를 비교하세요. 변경은 로컬 오버라이드나 클라이언트의 «편집» 기능으로 두면 구독 갱신 때 덮어쓰기를 줄일 수 있습니다. 어떤 빌드는 TUN 인터페이스에 IPv6를 붙이는 옵션이 별도이므로, 사용 중인 앱 문서의 «IPv6/TUN» 절을 함께 확인하는 것이 안전합니다.

3단계: 분기 규칙 순서·GEOIP·IP-CIDR6

도메인 규칙이 올바르게 보여도, 그보다 위에 있는 GEOIP·IP-CIDR·IP-CIDR6가 먼저 매칭되면 의도와 다른 정책 그룹으로 나갑니다. 특히 IPv6 주소 대역이 DIRECT로 빠져야 할 회선인데 프록시 그룹으로 잡히거나, 그 반대면 «해당 사이트만» 이상해 보일 수 있습니다.

Clash 로그에서 실제로 어떤 규칙 이름에 걸렸는지를 확인하고, 필요하면 사설·캐리어 대역을 명시적으로 정리합니다. 대규모 Rule Provider를 쓰는 프로필일수록 순서가 길어지므로, YAML 규칙 분기 가이드에서 다루는 것처럼 로컬 예외를 상단에 두는 패턴이 IPv6 이슈에도 동일하게 적용됩니다. MATCH 직전에 놓인 GEOIP 줄 한 줄이 체감을 바꾸는 경우가 많습니다.

4단계: DNS·AAAA 응답·fake-ip-filter

리졸버가 AAAA를 돌려주면 애플리케이션은 IPv6로 연결을 시도합니다. 이때 Clash DNS의 enhanced-mode·nameserver·fallback 구성이 꼬이면 «해석은 됐는데 붙는 경로가 없다»는 상태가 됩니다. 오염된 응답이나 지연 큰 업스트림은 v6 쪽에서만 두드러질 수도 있습니다.

증상이 이름 해석과 연관되어 보이면 redir-host로 잠시 전환해 재현이 달라지는지 확인하고, 로컬·사내망 이름은 fake-ip-filter 등으로 예외 처리하는 흐름이 fake-ip 점검 글과 같습니다. 스트리밍·지역 판별이 얽힌 경우 Disney+ DNS·IPv6 점검 글에서 다루는 순서도 같은 축입니다.

5단계: TUN 모드·strict-route·스택 옵션

TUN을 켜면 OS 라우팅 테이블에 가상 인터페이스가 올라가고, IPv4/IPv6 라우트가 함께 바뀌는 빌드도 있습니다. 시스템 프록시만 사용할 때는 없던 증상이 TUN에서만 난다면, 스택 종류(gVisor/system 등)와 strict-route·exclude 패키지 목록을 의심합니다.

게이트웨이·공유기 앞에서 데스크톱만 Clash를 쓰는 구성이라면 OpenWrt 게이트웨이·DNS 글의 관점처럼 어느 장비가 DNS와 기본 경로를 소유하는지도 함께 봐야 합니다. 한 대의 PC 안에서만 해결하려 할 때와, 가정 전체 트래픽을 올릴 때의 IPv6 처리는 문제의 레이어가 다릅니다.

Windows·macOS에서 TUN과 시스템 프록시를 번갈아 켜며 비교하는 구체 순서는 TUN·시스템 프록시 트러블슈팅을 참고하세요.

6단계: 재현 분리·한 번에 한 변수만

마지막으로 한 번에 한 가지만 바꿉니다. 예: (A) OS IPv6 off → (B) Clash IPv6 off → (C) TUN off → (D) redir-host 전환. 각 단계에서 증상이 사라지는 지점이 «원인 후보의 경계»가 됩니다. 여기서 여러 옵션을 동시에 바꾸면 나중에 YAML을 정리할 때 근거가 사라집니다.

가능하면 동일 사이트에 대해 IPv4만 강제해 보거나, 다른 네트워크(테더링 등)에서 같은 프로필로 재현되는지 비교하세요. 회사망·캡티브 포털 환경은 캠퍼스 Wi-Fi 규칙 순서 글과 겹칠 수 있어, «IPv6만의 문제»로 단정하기 전에 포털 통과·분할 경로를 먼저 확인하는 편이 안전합니다.

증상·원인 후보 빠른 표

패턴	우선 확인
OS에서 IPv6 끄면 정상	코어 ipv6 스위치, IP-CIDR6·GEOIP, 노드 v6 지원
TUN 켤 때만 발생	TUN 스택·strict-route·IPv4-only 노드와의 조합
브라우저만 실패	Secure DNS, AAAA 우선, fake-ip·redir-host 비교
특정 국가·ISP에서만	회선 IPv6 품질, 공유기 방화벽, 캡티브 포털

자주 묻는 질문

Clash에서 IPv6를 켜야 하나요, 끄는 편이 안전한가요?

회선·노드·앱 조합에 따라 다릅니다. 증상이 IPv6와 동행한다면 OS에서 잠시 끄고 재현부터 끊으세요. 필요할 때 코어와 규칙을 맞춰 다시 켜는 편이 디버깅 비용이 적습니다.

fake-ip와 AAAA가 겹치면 왜 특정 사이트만 깨지나요?

앱이 v6로 먼저 붙으려 하는데 출구·규칙이 v4 전제로 짜여 있으면 부분 실패로 나타날 수 있습니다. DNS 모드 전환과 필터·DIRECT 예외로 경로를 분리해 검증하세요.

규칙 파일은 건드리지 않았는데 갑자기 일부만 안 됩니다

구독 Rule Provider 갱신, OS 업데이트로 IPv6가 켜짐, 브라우저 DoH 변경 등 외부 변수가 흔한 원인입니다. 변경 시점과 로그를 맞춰 보세요.

정리

Clash IPv6 이슈는 단일 스위치가 아니라 OS 듀얼 스택·코어 옵션·분기 규칙·DNS AAAA·TUN 라우팅이 겹친 결과로 나타나는 경우가 많습니다. 위 여섯 단계는 «노드를 바꿔도 같은 자리만 깨질 때» 경로를 빠르게 좁히기 위한 것이며, 반복 적용하면 구독 프로필을 자신의 회선에 맞게 다듬는 데도 직접적인 근거가 됩니다.

같은 Clash 계열이라도 GUI와 기본값이 다릅니다. 설정 실수를 줄이려면 한 화면에서 프로필·코어·DNS를 정리해 주는 빌드를 고르는 것도 장기적으로 유리합니다. ClashNote 다운로드 페이지에서 플랫폼별 클라이언트를 비교해 보실 수 있습니다.

→ Clash 무료로 다운로드하고, IPv6·DNS·분기를 자신의 네트워크에 맞게 다시 맞춰 보세요.

시나리오별 분기가 더 필요하면 기술 칼럼 목록에서 스트리밍·AI·게임 주제 글을 이어서 보시면 설정 흐름이 자연스럽게 연결됩니다.