← 返回首页

Tailscale VPN 与 Clash Verge 共存指南

解决 VPN 连接后无法访问 *.sensebeing.team 内网服务的问题

常见现象:Tailscale VPN 连接成功,但开启 Clash Verge 后无法访问 gitlab.sensebeing.team 等内网域名。关闭 Clash Verge 后恢复正常。
目录

为什么会冲突?

Tailscale 和 Clash Verge 都需要在系统底层控制网络路由DNS 解析,两者同时运行会互相争夺控制权:

路由冲突

两者都创建虚拟网卡(TUN 设备),各自注入路由规则。Clash Verge 的 TUN 模式会劫持全部流量, 导致原本应该走 Tailscale 网络的内网流量被 Clash 接管。

DNS 冲突(主要原因)

Tailscale 使用 MagicDNS(100.100.100.100)解析 *.sensebeing.team 域名。 Clash Verge 开启 TUN 模式后会拦截所有 DNS 请求,将其发往公网 DNS 服务器。 公网 DNS 不认识 *.sensebeing.team,返回"域名不存在",导致解析失败。

方案 A:TUN 模式共存 推荐

如果你需要 Clash Verge 的 TUN 全局代理功能,通过添加覆写配置让 Clash 放行 Tailscale 相关的流量和 DNS。

操作步骤

  1. 打开 Clash Verge,进入 订阅(Profiles)页面
  2. 点击右上角的 "+ New",选择类型为 Merge
  3. 将配置命名为 "Tailscale 共存",点击保存
  4. 右键点击刚创建的配置,选择 "编辑"
  5. 粘贴以下配置内容,保存并确保该配置已启用(高亮状态)
# === Tailscale VPN 共存配置 ===
# 将此配置添加为 Clash Verge 的 Merge 覆写

# 1. TUN 设置:排除 Tailscale 网络
tun:
  enable: true
  stack: mixed
  auto-route: true
  auto-detect-interface: true
  # 排除 Tailscale 的 IP 段,让其路由由 Tailscale 管理
  inet4-route-exclude-address:
    - 100.64.0.0/10

# 2. DNS 设置:内部域名使用 Tailscale MagicDNS 解析
dns:
  enable: true
  enhanced-mode: fake-ip
  # 内部域名不使用 fake-ip,必须真实解析
  fake-ip-filter:
    - "*.sensebeing.team"
    - "*.ts.net"
  # 关键:指定内部域名走 Tailscale MagicDNS
  nameserver-policy:
    "+.sensebeing.team": "100.100.100.100"
    "+.ts.net": "100.100.100.100"

# 3. 路由规则:Tailscale 流量直连不走代理
prepend-rules:
  # Tailscale 进程直连
  - PROCESS-NAME,tailscaled,DIRECT
  - PROCESS-NAME,tailscale,DIRECT
  - PROCESS-NAME,tailscaled.exe,DIRECT
  - PROCESS-NAME,tailscale.exe,DIRECT
  - PROCESS-NAME,tailscale-ipn.exe,DIRECT
  # Tailscale IP 段直连
  - IP-CIDR,100.64.0.0/10,DIRECT,no-resolve
  - IP-CIDR6,fd7a:115c:a1e0::/48,DIRECT,no-resolve
  # MagicDNS 服务器
  - IP-CIDR,100.100.100.100/32,DIRECT,no-resolve
  # 公司内网 VPC 网段直连
  - IP-CIDR,10.0.0.0/8,DIRECT,no-resolve
  # 内部域名直连
  - DOMAIN-SUFFIX,sensebeing.team,DIRECT
配置说明:

方案 B:改用系统代理模式 简单

如果你只需要浏览器和常见应用走代理(不需要全局 TUN),切换到系统代理模式可以彻底避免冲突。

操作步骤

  1. 打开 Clash Verge 设置
  2. 关闭 TUN 模式
  3. 开启 系统代理(System Proxy)
  4. 进入 系统代理绕过(Bypass)设置,添加以下规则:
# 在系统代理绕过列表中添加:
*.sensebeing.team
100.64.*
10.*
<local>
系统代理 vs TUN 模式:系统代理仅影响 HTTP/HTTPS 流量(浏览器等),不创建虚拟网卡, 不修改路由表和 DNS,因此与 Tailscale 完全不冲突。
局限:命令行工具(如 git clone)、游戏等不读取系统代理的程序不会走代理。

验证配置是否生效

配置完成后,打开终端执行以下命令验证:

# 1. 检查 Tailscale 连接状态
tailscale status

# 2. 检查 DNS 解析(应返回 100.64.x.x 地址)
nslookup gitlab.sensebeing.team

# 3. 测试内网访问
curl -k https://gitlab.sensebeing.team
预期结果:

常见问题

Q: 配置了方案 A 但仍然无法访问,怎么办?

请按顺序检查:

  1. 确认 Merge 配置已启用(在 Profiles 页面应该是高亮状态)
  2. 修改配置后需要重启 Clash Verge 核心(设置 → Clash Core → 重启)
  3. 重启后再重新连接 Tailscale:sudo tailscale down && sudo tailscale up --login-server=https://vpn.sensebeing.ai --accept-routes
Q: macOS 上使用 Safari 仍然无法访问内网?

Safari 的 DNS 解析行为与 Chrome/Firefox 不同,在 TUN 模式下可能不走 nameserver-policy 配置的 DNS。 建议使用 Chrome 或 Firefox 访问内网服务,或改用方案 B(系统代理模式)。

Q: 我使用的是 Clash for Windows / Clash Meta / Mihomo Party,配置一样吗?

核心配置相同,因为底层都是 Mihomo(Clash Meta)内核。不同客户端的覆写配置入口可能不同:

Q: 我可以同时使用两个 VPN 吗?Tailscale 和其他商业 VPN?

Tailscale 设计上可以与大多数 VPN 共存,因为它只路由特定的 IP 段(100.64.0.0/10)。 但如果其他 VPN 也使用 TUN 模式并劫持全部流量,可能会出现类似 Clash 的冲突。 原则相同:确保 Tailscale 的 IP 段和 DNS 不被其他 VPN 拦截。

Q: Windows 上需要特别注意什么?

Windows 上 Tailscale 的网络接口名固定为 Tailscale,可以在 TUN 配置中添加 exclude-interface: [Tailscale] 获得更好的兼容性。其余配置与 macOS 相同。

遇到其他问题?请联系 IT 支持

返回 VPN Portal 首页