分应用代理解决什么问题

打开「全局代理」或依赖规则把绝大多数流量送进节点时,一些风控敏感场景会出现登录频繁验证、活体识别失败或支付直接被拦——并不是 Clash 「坏了」,而是同一设备出口 IP、路由路径与常驻地区不一致触发了服务端策略。分应用代理(per-app / 应用分流)在 Android 上以进程级粒度决定:某一个 App 的流量是否要进入 VPN 隧道并被后续的内核规则处理。

典型诉求有两类:白名单绕过,让银行与主流支付工具永远直连;以及仅代理名单(allow-list),只让浏览器或少数海外应用走代理,其余全部留在本地链路。两种方式互斥语义上相反,但一旦选错模式,很容易出现「你以为在代理,其实只是某个 WebView 在直连」的错觉。bypass在英文语境里一般指「从隧道绕行」,与国内客户端里翻译成的「绕过名单」对应;允许名单 / only proxy selected一类选项则等价于只允许勾选应用进入隧道。

记一条总原则 「绕过名单生效」的前提是绝大部分应用本应走代理;「仅代理名单生效」的前提是只有勾选的在走代理。开始前先想清楚你要保护的是「敏感 App 直连」,还是「仅少数 App 出境」。

动手前:VPN 连通与配置就绪

分应用不是替代 VPN 授权的魔法,它只能在你已经创建了系统 VPN / TUN隧道的前提下拆分进程。请先完成基础检查:配置文件已载入、内核无报错主开关亮起、系统在 VPN 面板里能看到 Clash 的连接会话。如果你在省电策略中被冻结,可参考我们关于后台保活的说明先把隧道跑稳。

另一点易被忽略:分应用只决定是否把流量递给 Clash 内核,不会改变你在 YAML 里写的 RULE 优先级。换言之,被列入绕过的应用在系统侧直接走蜂窝或 Wi‑Fi 的默认路由,不再经过GEOIPDOMAIN-SUFFIX等策略匹配;仍会进入内核的应用则继续在后续规则中选择节点或直连。若你希望「同一浏览器国内站直连、国外站走路由策略」,应优先通过规则与嗅探完成,而不要指望单靠分应用解决全部域名级需求;规则层面的思路可延伸阅读YAML 分流指南

两种名单的本质区别(对照表)

不同分支的菜单文案略有差异:有的写成「Bypass China Mainland apps」一类的快捷条目,本质上仍是下列两种逻辑之一。不要同时带着两套矛盾的 mental model:在「绕过模式」下列表里的应用等价于不参与 VPN;在「仅代理选定应用」模式下,列表里反而是必须走 VPN的对象。

模式 列表内应用的网络路径 列表外应用的典型行为 常见适用场景
绕过名单 / bypass list 绕过隧道,直连 进入隧道,再走内核规则选路 银行、社保卡、政企 App;国内高清视频不希望绕路
仅代理名单 / allow list 进入隧道 不进入隧道(直连) 只要少数工具出境,省电省流量亦降低封号风险
易混点 「仅代理」听起来像只允许代理端口访问,本质是应用维度;若你希望设备上除了勾选项外仍能访问国际站的全局浏览器体验,那就不该选这一种模式。

场景 A:用绕过名单保住银行支付直连(分步操作)

这是你搜索「不想让支付宝走 VPN」最常需要的路线。核心是勾选所有可能发起支付的进程,而不只是主图标对应的那个包名。

  1. 打开 Clash for Android,确认隧道已连通,在主界面进入设置中找到「应用」「分应用」或路由管理下的同类入口。
  2. 切换到绕开 / 绕过代理 / Bypass一类模式(有的版本会先让你选「绕过以下应用」与「仅以下应用代理」的二选一卡片)。
  3. 列表搜索里依次勾选:手机银行本体、网银安全键盘组件(若单列)、微信与支付宝的数字证书相关进程、第三方支付 SDK 外壳;若你还在用手机厂商钱包或交通卡插件,也请一并勾选。
  4. 若银行 App 内置浏览器打开H5,实际网络请求往往在宿主 App内完成——通常无需单独勾选 Chrome,但需要确认没有把浏览器误加到绕过后又指望它用来测代理 IP
  5. 完成后点击应用或返回保存,断开再重连 VPN 让策略刷新;随后在系统中打开银行 App,完成一次低风险操作(余额查询或小金额转账前先阅读银行提示)。

若仍遇到风控页面的「环境与常用不一致」,多半是仍存在另一路流量未绕过:检查是否在用分身、第二空间的重复安装包,或是在Google Play Instant打开的半安装形态,这些在 Android 上以不同 UID 计数,需在对应空间再次勾选。NFC可穿戴支付 companion 有时也会拉起独立权限进程,可依厂商文档补充。

场景 B:仅用代理名单,只给少数 App 开节点

适合「不想让游戏、追剧、办公软件全部绕道」又不想长期关 VPN 的场景。本质是把流量开销与账号风险集中到少数勾选应用

  1. 仍在设置里进入应用路由,本次选择Only proxy selected / 仅代理选中应用或字面义相同的开关。
  2. 先决定必须走节点的集合:例如 Chromium 系浏览器一条、RSS 客户端一条、团队协作工具一条;避免一次勾选几十个导致名单失去意义。
  3. 若你的代理出口需要配合私密 DNS或证书信任,请将与该证书安装流程相关的设置 App暂时加入名单,或在完成安装后移回直连,以降低系统更新失败概率。
  4. 勾选完成后同样重新连接 VPN。此时名单外 App 的流量直接走本地默认网关 DNS,不再进入 Clash 的 fake-ip 段;这也意味着你在 YAML 中为某些域名编写的精细策略可能对它们根本不生效
  5. 最后用名单内的浏览器访问已知会显示出口的检测页,同时用名单外的国内 App 做一次延迟对比,主观感受会与「省电模式」近似。
调试技巧 若在仅代理模式中漏勾了Downloads或文件管理器自带的下载内核,很容易出现「点在名单里的浏览器却仍然直连下载」的假阴性,排查时注意观察实际发起进程的包名

如何自检确实「直连」或「过代理」

主观感受不足以定位问题,建议你准备两个对照 App:一个明确在绕过名单中,另一个明确必须经过节点。自检步骤可以这样设计:在绕过模式中打开银行客户端,使用手机自带浏览器访问只显示本省运营商出口的检测站点,记录 IP;随后在仅代理或未绕过的浏览器中再次读取,应观察到两组地址不同。若完全一致,十有八九是VPN 未真正重启、或你以为绕过的其实只是同名快捷方式分包

若你同时开启系统私人 DNS(Private DNS),会与 Clash DNS 改写形成叠加行为:直连应用走系统 Resolver,绕过名单后更明显。排查矛盾时可以先临时设为「自动」,确认分应用链路无误后再逐项加回安全措施。对工作资料(Work Profile)用户,要记得在工作侧与个人侧分别打开一次分应用面板,两处清单相互独立。DPC策略若禁用 VPN 拆分,则可能直接灰掉菜单,需要先与 IT 对齐政策。

常见问题梳理

规则和分应用谁先谁后?

顺序是:分应用决定在 OS 边界是否放行进隧道;进入隧道后YAML 的策略组才生效。因此你无法用一条 RULE 让一个已绕过的国内银行 App 再走代理——除非取消其绕过勾选。

为什么 Chrome 绕过/不绕过都会影响测试?

很多人用Chrome 测 IP,却在仅代理模式中忘记勾选它,得出「VPN 是假的」的结论。请先统一测试工具是否在名单语义正确的一侧,再谈论节点质量问题。

省电杀后台会令名单失灵吗?

不会直接删除勾选,但若 VPN 断开,整条隧道不可用,看起来像「又没代理了」。可参考电量与锁定任务教程把 Clash 从激进休眠里豁免。

写在最后

市面上不少「一键梯子」类产品要么不提供 per-app、要么把所有开关藏进多级菜单却不解释bypassallow list的差别,用户在银行风控与流媒体解锁之间两头踩雷;还有一些工具长期不跟进 Android 的版本分区与分身 UID变化,勾选保存后悄无声息失效。Clash 系客户端因开源与模块化,往往能更清楚地呈现系统 VPN + 内核规则的分层,配合 Meta 内核还能在嗅探域名Hysteria2等方向保持更新节奏——这也是许多进阶用户坚持用 ClashNote 推荐的发行版的原因之一。

若你需要在桌面与手机间同步同一套配置文件,并希望下载页能聚齐校验过的安装包入口与版本说明,可以访问我们的下载中心获取整合后的安卓与桌面客户端资源,少走弯路。

立即免费下载 Clash,在 Android 上与桌面共享同一套路由思路

延伸阅读:YAML 规则节点超时排查两篇可与本文搭配阅读,分别在内核层系统层补全知识体系。