Как направить весь системный трафик по UDP через ClashX

Через ClashX пользователь может задать правила, по которым системный трафик будет маршрутизироваться при выходе с устройства. Неважно, идет ли речь о передаче данных по TCP или UDP – клиент позволяет настроить оба варианта. В этом материале разобрано все, что нужно знать для грамотной работы с ClashX на Mac. Перейдем к делу.

Основные выводы в статье

• По умолчанию стандартные прокси-настройки macOS перехватывают только HTTP/HTTPS-трафик. Приложения, завязанные на UDP, полностью обходят такую схему.
• Enhanced Mode (TUN) перехватывает трафик на сетевом уровне, поэтому системная маршрутизация UDP становится возможной.
• У выбранного прокси-узла в конфигурации должен быть указан параметр udp: true. Одного включения TUN недостаточно.
• DNS нужно настраивать с параметром enhanced-mode: fake-ip, иначе часть трафика может уходить в обход прокси.
• Запросы macOS на сетевые разрешения нужно подтверждать. Если их отклонить, Enhanced Mode внешне может выглядеть активным, но весь трафик продолжит идти напрямую через стандартные маршруты провайдера.
• Режим Global отправляет через прокси весь трафик. В режиме Rule нужно внимательно проверять правила, иначе возможны утечки.
• Проверять результат следует на ip-чекере, а не полагаться на предположения, что конфигурация сработала.
• Сборки ClashX отличаются названиями пунктов в меню, но базовая логика настройки у них одна.

Что означает «системная маршрутизация UDP» в ClashX

У ClashX есть два принципиально разных способа обработки трафика. Разобраться в различиях важно заранее, еще до изменения настроек.

Почему обычных прокси-настроек macOS недостаточно

Стандартные прокси-настройки macOS по своей природе работают только с веб-трафиком. Когда ClashX включается как системный прокси, macOS направляет через него трафик, передавая приложениям с поддержкой HTTP/HTTPS адрес прокси. В результате браузер и другие программы, работающие с веб-запросами, начинают отправлять данные через заданный прокси.

Для браузеров и приложений, которые уважают системные прокси-настройки, схема вполне рабочая. Но у многих программ – игр, VoIP-клиентов, DNS-резолверов – обмен идет по UDP. Формально система не заставляет их использовать прокси даже при включенных настройках. Они подключаются к интернету напрямую и полностью обходят ClashX.

Почему для UDP нужен TUN / Enhanced Mode

Режим TUN работает на сетевом уровне, а не на уровне отдельных приложений. После включения на Mac создается виртуальный сетевой интерфейс, который перехватывает весь исходящий трафик – вне зависимости от протокола и программы. Поскольку режим срабатывает ниже того уровня, на котором приложения сами решают, как устанавливать соединение, он захватывает и UDP-пакеты, которые в обычной схеме проходят мимо.

Именно поэтому TUN, он же Enhanced Mode, считается правильным вариантом, когда нужна полная системная маршрутизация. Если задача состоит в том, чтобы направлять трафик приложений, работающих по UDP, включение TUN в ClashX становится самым действенным решением.

Перед началом: требования и совместимость

Перед настройкой ClashX на Mac стоит учесть несколько базовых условий – они заметно упростят процесс.

ClashX, ClashX Pro и более новые форки

Экосистема Clash включает несколько сборок – ClashX, ClashX Pro, ClashX Meta и другие. В зависимости от используемой версии TUN или Enhanced Mode может называться в меню по-разному. Суть при этом не меняется. Во всех сборках логика работы одна, и TUN mode, если он доступен, действует одинаково.

Какие разрешения macOS могут понадобиться

Для включения TUN нужны права администратора. При попытке активировать режим ClashX покажет запрос на разрешение сетевого расширения, а также может попросить пароль администратора или подтверждение через Touch ID. Если отклонить запрос, TUN не запустится.

Конфигурационный файл с прокси, поддерживающими UDP

Одного TUN мало. Помимо самого режима, нужен корректный конфигурационный файл, в котором указаны прокси-узлы с явной поддержкой UDP relay. Если у прокси такой поддержки нет, трафик либо перестанет проходить, либо уйдет в прямое соединение. Уточнять такой момент лучше у провайдера прокси.

Как ClashX работает с UDP-трафиком

В ClashX можно включать разные режимы – все зависит от того, с каким трафиком идет работа и как именно его нужно направлять. Ниже – разбор каждого варианта.

Режим System Proxy

System Proxy направляет HTTP(S)-трафик от приложений, которые используют системные прокси-настройки macOS. Как уже было сказано выше, для браузеров такого режима достаточно, но UDP-трафик он не перехватывает. Если работа ограничивается только веб-задачами, его вполне хватает.

Режим TUN / Enhanced Mode

TUN перехватывает сетевой трафик на уровне системы и охватывает как TCP, так и UDP во всех приложениях. Когда нужна полная маршрутизация без исключений, включать стоит именно его. Режим закрывает куда больше, чем обычный веб-трафик. Для онлайн-игр, VoIP и других сценариев, где активно используется UDP, TUN – правильный выбор.

Rule Mode и Global Mode для UDP-трафика

Даже при включенном TUN маршрут UDP все равно зависит от выбранного режима. Rule mode направляет трафик по условиям, прописанным в конфигурации, поэтому часть UDP-потока может все равно уходить напрямую через стандартные маршруты провайдера. Global mode направляет через прокси вообще весь трафик. Когда нужно, чтобы каждый UDP-пакет шел только через прокси, именно такой вариант выглядит самым надежным.

Пошаговая настройка системной маршрутизации UDP в ClashX

Ниже – семь последовательных шагов, которые нужны для включения маршрутизации UDP в ClashX.

Шаг 1: Скачать и установить ClashX

Скачайте файл .dmg из репозитория github.com/yichengchen/clashX/releases. После завершения загрузки откройте .dmg и перетащите ClashX в папку Applications. Запустите программу – через список приложений или напрямую из Finder – и подтвердите все системные запросы macOS. В строке меню появится значок кота. Он означает, что клиент работает.

Шаг 2: Импортировать подписку Clash или конфигурацию

Чтобы импортировать конфигурационный файл, нажмите на иконку ClashX в строке меню, выберите Configs → Open Config Folder и откройте config.yaml в любом текстовом редакторе.

Ниже приведен пример конфигурации:

dns:
  enable: true
  enhanced-mode: fake-ip
  nameserver:
    -8.8.8.8
    -1.1.1.1
proxies:
  - name: "ProxyWing"
    type: socks5
    server: your-proxy-ip
    port: port
    username: login
    password: password
    udp: true
proxy-groups:
  - name: "Auto"
    type: select
    proxies:
      -ProxyWing
rules:
  -MATCH,Auto

Замените содержимое файла своей конфигурацией, сохраните изменения, затем нажмите Configs → Reload Config. До перехода к следующему шагу убедитесь, что узлы появились в меню прокси.

Шаг 3: Выбрать группу прокси или узел с поддержкой UDP

У выбранного прокси-узла в конфигурации обязательно должен быть параметр udp: true – это видно и в примере выше. Без него ClashX будет обрабатывать только TCP-трафик, какие бы дополнительные настройки ни были включены. После загрузки конфигурации выберите нужный UDP-совместимый узел в разделе Proxies в меню ClashX.

Шаг 4: Включить TUN / Enhanced Mode

Нажмите на иконку ClashX в строке меню и активируйте Enhanced Mode. После этого включится виртуальный сетевой интерфейс, который будет перехватывать сетевой трафик и даст ClashX возможность обрабатывать UDP-пакеты, проходящие мимо стандартного режима системного прокси. Важно учитывать один момент – функция Enhanced Mode доступна в версии ClashX Pro. В обычной версии ClashX ее нет.

Шаг 5: Подтвердить сетевые запросы macOS

macOS покажет запросы, связанные с сетевым расширением, и может попросить пароль администратора либо подтверждение по отпечатку пальца. Подтверждать нужно все. Если закрыть или отклонить окно, Enhanced Mode в меню может остаться включенным, но работать не будет. В результате UDP-трафик продолжит обходить прокси.

Шаг 6: Выбрать правильный режим маршрутизации

Выберите Global mode, чтобы весь трафик, включая UDP, без исключений шел через прокси. Режим Rule mode стоит использовать только при осознанной выборочной маршрутизации и после тщательной проверки правил – важно убедиться, что нужный трафик случайно не отправляется в DIRECT. Во всех остальных случаях безопаснее оставаться на Global mode.

Шаг 7: Проверить, действительно ли UDP идет через прокси

Откройте IP-чекер и убедитесь, что отображается IP-адрес прокси, а не адрес устройства или локальной сети. Дополнительно можно открыть ClashX Dashboard и посмотреть раздел Connections. Если настройка выполнена корректно, среди активных соединений будут видны UDP-подключения наряду с TCP.

Рекомендуемые настройки Clash для полного системного UDP-трафика

Включенный TUN

В некоторых сборках ClashX TUN нужно явно прописывать в YAML, а не ограничиваться переключателем в интерфейсе. Если Enhanced Mode ведет себя нестабильно, добавьте в конфигурацию блок tun с параметрами enable: true и stack: system.

Auto-Route и работа DNS

В DNS-блоке укажите enhanced-mode: fake-ip, чтобы разрешение доменных имен шло через Clash, а не через системный резолвер. Без этого DNS-запросы могут уходить в обход прокси, даже если TUN уже активен.

Поддержка UDP в группах и узлах прокси

Каждый узел во всей цепочке исходящего подключения должен поддерживать UDP relay. Если сервер у провайдера такую функцию не поддерживает, трафик либо перестанет работать, либо уйдет напрямую, игнорируя настройки ClashX. Подтверждать наличие UDP relay лучше заранее у провайдера.

Проверка правил для приложений на UDP

Если используется Rule mode, стоит убедиться, что ни одно правило случайно не отправляет нужные приложения или адреса в DIRECT. Одной ошибочной строки достаточно, чтобы часть UDP-трафика пошла мимо прокси, а вся схема потеряла смысл.

Типовые проблемы и способы решения

Проблема	Вероятная причина	Решение
Показан реальный IP	При настройке были отклонены сетевые запросы macOS	Снова включите Enhanced Mode и подтвердите все запросы. Если система попросит пароль устройства, введите его
UDP обходит прокси	Правило отправляет трафик в DIRECT	Пересмотрите проблемные правила и внесите исправления
Узлы не загружаются	Ошибка форматирования YAML	Проверьте отступы в config.yaml
Обнаружены DNS-утечки	DNS идет не через Clash	Задайте enhanced-mode: fake-ip
Enhanced Mode не сохраняется	TUN не указан в YAML	Добавьте явный блок tun: enable: true

Всегда ли системная маршрутизация UDP – лучший выбор?

Выбор полностью зависит от того, для чего будет использоваться прокси. Стандартный режим System Proxy проще и вполне достаточен, если работа ограничивается браузером или приложениями, которые подчиняются системным прокси-настройкам macOS. Для большинства задач внутри браузера, кроме стриминга, его хватает.

TUN становится необходим, когда используются программы, которые отправляют и получают UDP-трафик. Речь идет об играх, VoIP-клиентах и других сервисах, завязанных на UDP. Если маршрутизация нужна именно для таких программ и встроенной поддержки прокси у них нет, TUN должен быть включен. Когда уверенности нет, разумно начать с System Proxy и Global mode, а к Enhanced Mode перейти уже в том случае, если станет заметно, что UDP-трафик утекает мимо прокси.

Финальный чек-лист

• ClashX установлен, а значок кота виден в строке меню.
• Конфигурационный файл загружен, данные прокси указаны верно, параметр udp: true присутствует.
• Для DNS задан enhanced-mode: fake-ip.
• Enhanced Mode включен, все запросы macOS подтверждены.
• Режим прокси установлен в Global.
• Проверка на IP-чекере показывает IP-адрес прокси.
• В панели Dashboard Connections виден UDP-трафик.