先厘清:为什么会出现「只对部分域名」坏掉的双栈假象
在Clash IPv6或系统双栈就绪后,应用解析常见域名会得到A 记录与 AAAA 记录并存。主流浏览器和资源加载器常会抢先尝试某一种地址族;若这一条路径与你的分流规则、出口连通性或运营商侧的 IPv6 隧道质量不一致,就会表现为:主域能开、子资源卡死,或移动端 Wi‑Fi 正常而蜂窝另一条族异常。这与「全盘代理失效」在技术栈上是两类问题——后者往往出在订阅、端口或网关;前者更像选路 + 地址族 + DNS 回填三件事叠在一起。
因此本篇刻意不从「再讲一遍 YAML 总则」起手,而是以可观测症状为锚:同一次页面加载里,谁在解析、谁在建连、谁走了直连。当你能在日志里对上这三类问题的大致分界线,就不会再被「我是不是该关 Fake-IP」这一句带偏整场排查。
第 1 步:在关/开 Clash 时对比「链路层」是否真的双栈就绪
先别动 YAML。用同一条网线或同一蜂窝基站,分别在退出 Clash 系统代理与 TUN与仅内核接管 DNS两档下访问同一测试站点,记下:是否仍可复现半截加载。若关了 Clash 仍偶发超时,优先怀疑 WAN 侧的运营商 IPv6 路由黑洞、半截隧道或未备案的 ICMPv6 策略,而不是内核参数本身。
若仅在 Clash 开启后才出现 cherry-picking 异常,才把焦点收束到:tun/stack 是否把整个双栈带进隧道、浏览器是否仍能绕过你看到的那条策略路径。移动端用户若同时使用开发者选项里的「仅在 Wi‑Fi 下保持数据连接」一类省电策略,也会让「看起来像代理」实际是蜂窝切换触发的半截会话,需要先与分流解耦观测。
第 2 步:核对操作系统与网卡侧的 IPv6 开关与度量(metric)
在 Windows / macOS / Linux桌面或路由器下游,核对网卡是否真的拿到全局单播 IPv6 地址(而不是只有链路本地fe80::却误以为「已开IPv6」)。若系统同时为多张网卡或 VPN 虚拟适配器下发了不同优先级的默认路由,也会让特定应用抢到一条本应走隧道却走了物理出口的路径。
若你使用OpenWrt 或网关级 Clash并存场景,局域网内终端的 DHCPv6 / RA 是否与 Clash下发的 DNS一致,也会让「台式机正常、NAS 打不开同一站点」成为可能。可先对照站内《OpenWrt 与计算机端并行》里网关与 DNS的边界意识,再在本文第三部分之后回到 YAML 收口。
第 3 步:核对内核侧的 IPv6 与 tun.stack:inet6-route 与 Prefer-H3(按版本适配)
在 Clash.Meta / mihomo 语境下,常会看到与 tun、stack、auto-route、inet4-route、inet6-route、strict-route、endpoint-independent-nat 等字段相关的讨论。对你来说可操作的判断标准并不复杂:当站点需要走 IPv6 出网时,内核是否真的为那条流量下发了对应地址族的可路由前缀;若你只开了 ipv6: true 却同时把 inet6-route 关了,或使用与客户端版本不匹配的 stack 名称,都会导致TUN 里只见得到一边。
此外,Prefer H3 / HTTP/3的开关会改写「优先走 QUIC/UDP」与「优先族」的互动:在半截 IPv6 + UDP丢包偏高的环境里,看起来像「HTTPS 能上、视频 CDN 打不开」并不少见。本节建议只做逐项对比实验(一次只翻一个开关),并把差异写回你的私有变更记录——这对长期维护多套配置非常关键。
tun 块却不核对与你的客户端构建版本匹配的字段命名,等于给内核塞「半截配置」:YAML 能通过合并,但实际行为与注释完全两回事。
第 4 步:DNS:AAAA、解析顺序、Fake-IP 与fake-ip-filter的交界处
当内核 DNS接管解析时,请务必观察目标域名是否下发了 AAAA以及最终你选择的是哪一种地址去做规则匹配。在高版本 Meta 内核里,enhanced-mode: fake-ip 对「何时返回虚拟前缀、何时回落真实解析」的行为会随 prefer-h3、sniffer、override-destination 的组合变动;若你为国内业务域名配置了 nameserver-policy,也要确认国内 DNS在双栈场景下不会把 CDN 抖动放大成「间歇性打不开」。
实践上建议:对明确只需要 IPv4 的本地与内网站点,继续善用 fake-ip-filter 后缀(思路与站内Fake-IP 专篇一致),并避免与TUN Full Stack下系统 DoH争抢解析链。若你希望把规则结构一次写扎实,可把《YAML 规则分流指南》中的RULE-SET 优先级与兜底 MATCH翻出来对照本节第 5 步一起改——否则 DNS 对齐了仍会落在错误的策略组。
第 5 步:分流规则与策略组:GEOIP、IP-CIDR6、DOMAIN 与「半截命中」
许多社区规则对大陆的 IPv6 前缀更新节奏与 IPv4不一致,于是你会看到:同一大站,IPv4 命中了「国内直连」而 IPv6 地址段仍落在「代理」或「漏网之鱼」。这类问题在日志里往往呈现为同一主机名、多次建连、出口却不同。
处理思路是层级化的:先确认策略组是否把「国内」与「漏网」拆得足够细,再为异常站点补充更贴近真实 CDN 的后缀或 IP-CIDR6,而不是把全局改成「全代理」或「全直连」二选一。对于纯 IPv6 的学术或公共基础设施站点,也要警惕GEOIP 版本与数据库是否含相应段;若你使用 Rule Providers,请确认更新周期与本地覆写未把旧规则长期钉死在内存里。
若你同时跑分应用代理或终端类工具,注意进程级策略有时无法覆盖浏览器里通过系统解析拉起的子资源——这时要回到第 4 步与第 6 步交叉验证,而不是只改一条 DOMAIN-SUFFIX 就宣布胜利。
第 6 步:TUN + Fake-IP:用连接日志把「误判」钉死
当你已经排除了 WAN,并确认 YAML字面正确,最后一步是让mihomo 的连接日志成为你的判决台:对任一异常域名,拉出命中的那条规则名称、策略组出口、远端地址版本,以及是否在嗅探后与原始 SNI/host 对齐。如果你在日志里能看见 IPv6 建连却仍走 DIRECT而实际 WAN IPv6不可用,说明问题出在GEOIP/rule 与链路一致性的组合而非单个 DNS 开关。
若你希望把观测流程固定成方法论,可把每条异常链路记成一页「工单」:症状、时间点、是否需要关闭 QUIC、是否需要临时切换到 Redir-Host 对照、以及最终被证明无效的配置项。Clash IPv6 相关问题一旦进入这种记录习惯,就不会再退化成论坛上互相抄 tun 段落却说不清算账的玄学讨论。
YAML 示意(务必按环境与内核文档改写)
下列片段仅供理解字段相对关系,不构成可直接粘贴的万能配置。tun/stack 与 Prefer H3、sniffer 的名称在不同发行版可能存在差异,请以当前内核文档为准。
# conceptual — rewrite for your client build
dns:
enable: true
enhanced-mode: fake-ip
fake-ip-filter:
- "*.lan"
- "+.stun.*"
nameserver-policy:
"geosite:cn": https://dns.alidns.com/dns-query
tun:
enable: true
stack: system
auto-route: true
inet4-route: true
inet6-route: true
strict-route: true
ipv6: trueinet6-route 与 WAN 半截 IPv6 同时存在时的行为,必须结合第 2 步的网卡实测来读;不要为了「看起来像正确」而把 inet6-route 无脑打开或关闭——那是把症状压回运营商侧或压回局域网侧的分水岭。
常见问题(与正文重复的要点便于检索)
问:是否应该默认关闭 QUIC 来救火?答:在半截 IPv6 或蜂窝侧 UDP qos场景下临时关闭往往能止血,但作为长期策略应回到链路质量与本节五步,否则你在 HTTP/3 常态化的站点上会反复踩坑。
问:能不能只靠「绕过大陆」RULE-SET 解决?答:RULE-SET 再全也难以及时跟上每个 CDN 的 IPv6 段,因此本节强调IP-CIDR6 与后缀级补偿,并与规则总则中的MATCH位置意识配套使用。
小结
启用 IPv6 或双栈后只对部分域名异常,本质是地址族选择与策略边界未对齐,而不是单独的「内核坏了」四个字能概括。Clash IPv6 相关排错应沿「WAN → 系统 → 内核 → DNS → GEOIP/rule → 观测日志」的顺序收敛,每一步只改少量变量,才能把时间花在正确层级上。双栈、Fake-IP 与 TUN 都不是「天敌」——它们需要的是可验证的一致性,而不是玄学开关排列组合。
相比其他同类工具的碎片化参数说明,开源 Clash/Meta 系在可组合性:订阅链接、RULE-SET、YAML 结构与面板观测上仍有一批成熟用户群落;若你希望在一站完成客户端安装包与各平台指引,可从本站下载页取用资源,再配合免费订阅链接与自有规则收尾。
更多专题可参考技术专栏内其它分流与安全类文章;若你已按本文逐项记录工单仍无法收敛,可把同一时间段的连接日志与 WAN 拓扑(脱敏)交给社区做二次审稿,而不要零散文案拼配置。