节点连不上?系统排查流程

排障手册
4.7k 词

摘要: 代理节点突然连不上是最常遇到的问题。原因可能是节点被封、本地网络问题、配置错误或客户端故障。本文提供一套系统化的排查流程,帮助你快速定位问题并解决。

第一步:确认问题范围

排查之前,先花一分钟判断问题的范围,避免盲目操作浪费时间。

是所有节点还是部分节点?

  • 所有节点都连不上 → 大概率是本地网络问题或客户端问题
  • 只有部分节点连不上 → 这些节点可能已经被封或宕机
  • 只有某个地区的节点不行(如香港全挂但日本正常)→ 该地区线路可能被针对性封锁

之前能用吗?发生了什么变化?

  • 之前正常,突然不行 → 节点可能被封,或者本地网络环境变了(换了 WiFi、连了公司网络等)
  • 从来没成功过 → 大概率是配置问题,从头检查配置
  • 更新客户端后不行了 → 新版本可能有兼容性问题,尝试回退版本

其他用户是否受影响?

  • 查看机场的 Telegram 群组或状态页面
  • 如果大家都反映有问题 → 服务端问题,等待机场修复
  • 如果只有你一个人有问题 → 本地问题,继续排查

第二步:检查本地网络

基础连通性测试

首先确认你的基础网络是通的(不经过代理):

1
2
3
4
5
# 测试国内网站连通性
ping baidu.com

# 测试 DNS 解析是否正常
nslookup baidu.com

如果 ping baidu.com 都不通,说明你的基础网络就有问题,先解决本地上网问题再说。

防火墙和安全软件

防火墙和杀毒软件是导致代理客户端无法正常工作的常见原因:

  • Windows Defender / 第三方杀毒软件:可能把代理客户端识别为可疑程序并拦截
  • Windows 防火墙:可能阻止代理客户端监听的端口

排查方法

  1. 临时关闭防火墙和杀毒软件
  2. 重新测试代理是否正常
  3. 如果关闭后正常 → 将代理客户端添加到防火墙和杀毒软件的白名单/例外列表中
  4. 重新开启防火墙和杀毒软件,确认白名单生效

网络环境限制

某些网络环境会主动限制代理流量:

  • 公司/学校网络:通常有防火墙策略,会封锁非标准端口和协议
  • 公共 WiFi:酒店、咖啡厅的 WiFi 往往限制较多
  • 运营商限制:部分地区的运营商会对特定协议做 QoS 限速

排查方法

  1. 切换到手机移动数据(4G/5G)热点测试
  2. 如果移动数据下正常 → 确认是当前网络环境的限制
  3. 尝试切换到 443 端口的节点(443 是 HTTPS 端口,通常不会被封)
  4. 尝试使用支持 UDP 的协议(如 Hysteria2),有些网络只封 TCP 不封 UDP

第三步:检查客户端

客户端是否正常运行

最基本的检查,但很多人会忽略:

  • 客户端进程是否在运行? 检查系统托盘(Windows 右下角)是否有客户端图标
  • 代理模式是否开启? 确认已开启系统代理或 TUN 模式
  • 尝试重启客户端:关闭后等待几秒再重新启动

订阅是否过期或需要更新

订阅问题是最常见的原因之一:

  • 订阅到期:套餐到期后节点自然无法连接,检查机场账户的到期时间
  • 流量用完:月流量耗尽同样无法使用,查看剩余流量
  • 订阅未更新:机场更换或新增了节点,但你的本地订阅还是旧的

操作方法

  1. 在客户端中找到订阅管理
  2. 手动更新订阅(Clash Verge:右键订阅 → 更新;v2rayN:订阅 → 更新全部)
  3. 如果更新失败 → 尝试在浏览器中直接打开订阅链接,看是否能访问
  4. 如果订阅链接打不开 → 登录机场面板检查是否更换了订阅地址

端口冲突

代理客户端需要监听本地端口(常见的有 7890、7891、1080 等),如果端口被其他程序占用就会启动失败。

检查方法

1
2
3
4
5
# Windows - 检查端口占用
netstat -ano | findstr 7890

# macOS / Linux - 检查端口占用
lsof -i :7890

如果发现端口被占用:

  • 关闭占用端口的程序
  • 或者在代理客户端的设置中更改本地监听端口

TUN 模式问题

TUN 模式创建虚拟网卡来接管系统全部流量,功能更强但也更容易出问题:

  • 需要管理员权限:客户端必须以管理员身份运行(Windows:右键 → 以管理员身份运行)
  • 与其他 VPN 冲突:如果同时安装了其他 VPN 软件或者有残留的虚拟网卡,可能产生冲突
  • 驱动问题:TUN 驱动安装不正确或版本不匹配

排查方法

  1. 先切换到系统代理模式测试,排除 TUN 特有的问题
  2. 如果系统代理模式正常 → 问题出在 TUN 模式
  3. 检查是否有其他 VPN 软件在运行,关闭它们
  4. 尝试重新安装 TUN 驱动(Clash Verge:设置 → Service Mode → Install)

第四步:测试节点连通性

TCPing 测试

TCPing 测试可以判断你的网络到节点服务器的 TCP 连通性:

1
2
3
4
5
6
7
# 方法一:使用客户端内置的测试功能
# Clash Verge → 代理页面 → 点击测速按钮(闪电图标)
# v2rayN → 服务器列表 → 测试真连接延迟

# 方法二:命令行测试
# 需要先安装 tcping 工具
tcping your-server-ip 443

结果判断

  • 超时(timeout) → 节点不可达,IP 可能被封或服务器宕机
  • 有延迟数值返回 → 节点可达,问题可能出在其他环节
  • 延迟极高(> 500ms) → 线路质量差,可能影响使用体验

切换节点测试

不要在一个节点上死磕,多试几个:

  • 尝试不同地区的节点(香港、日本、新加坡、美国等)
  • 如果某个地区全部不行但其他地区正常 → 该地区线路被封
  • 如果所有节点全部不行 → 不太可能所有节点同时被封,重点检查本地问题

切换协议测试

如果你的机场提供多种协议的节点,切换协议是非常有效的排查手段:

  • VLESS (TCP) 不行 → 尝试 Hysteria2 (UDP)
  • Shadowsocks 不行 → 尝试 VLESS + WebSocket
  • 某个协议不行但另一个正常 → 说明是协议层面的封锁,使用可用的协议即可

第五步:检查具体错误信息

客户端日志中的错误信息是最直接的线索。以下是常见错误及其含义:

connection refused(连接被拒绝)

  • 含义:TCP 连接到达了服务器,但服务器拒绝了连接
  • 可能原因:服务器未运行、端口配置错误、服务器防火墙拦截
  • 处理:联系机场客服确认服务器状态;更新订阅获取最新配置

connection timeout(连接超时)

  • 含义:TCP 连接请求发出后没有收到任何响应
  • 可能原因:IP 被 GFW 封锁、网络路由问题、服务器下线
  • 处理:切换到其他节点;切换网络环境(WiFi ↔ 移动数据);等待机场更换 IP

TLS handshake failed(TLS 握手失败)

  • 含义:TCP 连接成功但 TLS 加密握手失败
  • 可能原因:系统时间不准确、TLS 证书过期、服务端 TLS 配置变更、SNI 被阻断
  • 处理
    1. 检查系统时间是否准确(TLS 握手对时间敏感,误差超过几分钟就可能失败)
    2. 更新订阅获取最新配置
    3. 如果使用了自定义 SNI,确认 SNI 域名未被封锁

authentication failed(认证失败)

  • 含义:连接到服务器了,但 UUID/密码验证不通过
  • 可能原因:订阅配置过期,服务端已更换密钥但你本地还是旧的
  • 处理:更新订阅;如果更新后仍然失败,删除旧配置重新导入

DNS resolution failed(DNS 解析失败)

  • 含义:无法解析代理服务器的域名
  • 可能原因:DNS 服务器故障、DNS 被污染、域名过期
  • 处理
    1. 尝试更换 DNS 服务器(推荐 223.5.5.5119.29.29.29
    2. 如果知道服务器 IP,尝试直接用 IP 连接
    3. 清除本地 DNS 缓存:ipconfig /flushdns(Windows)

EOF 或 connection reset(连接重置)

  • 含义:连接建立后被立即中断
  • 可能原因:GFW 发送 RST 包主动中断连接、协议特征被识别、服务端防火墙规则
  • 处理
    1. 切换协议(从 VMess 换到 VLESS,或使用 Hysteria2 等基于 UDP 的协议)
    2. 更换端口(尝试 443、8443、2053 等)
    3. 如果可用,启用 WebSocket 或 gRPC 传输层

第六步:高级排查

如果前五步都没有解决问题,可以用以下方法做更深入的分析。

抓包分析

使用 Wireshark 抓包可以精确判断连接在哪个环节出了问题:

  1. 打开 Wireshark,选择你的网络接口
  2. 设置过滤器:ip.addr == 你的服务器IP
  3. 尝试连接代理,观察抓包结果

判断方法

  • 只有 SYN 包,没有 SYN-ACK → IP 被完全封锁,数据包被丢弃
  • SYN-ACK 正常但之后收到 RST → 存在主动探测或 DPI(深度包检测)识别
  • TLS 握手阶段失败 → 可能是 SNI 被阻断或 TLS 指纹被识别
  • 握手完成但数据传输中断 → 协议层面被识别,流量被中断

路由追踪

路由追踪可以帮助你了解数据包到服务器的路径,以及在哪一跳出了问题:

1
2
3
4
5
6
7
8
9
# Windows
tracert your-server-ip

# macOS / Linux
traceroute your-server-ip

# 更好的工具:BestTrace(Windows)或 nexttrace(跨平台)
# 可以显示每一跳的地理位置和 ISP 信息
nexttrace your-server-ip

结果分析

  • 如果路由在某一跳之后全部超时 → 该位置存在封锁(通常是国际出口)
  • 如果路由能到达服务器但代理仍然不通 → 服务端问题
  • 如果路由在本地就超时 → 本地网络或 ISP 问题

日志分析

客户端日志是最重要的排查信息来源:

Clash Verge Rev 日志界面
图片来源:clash.info

  • Clash Verge Rev:设置 → 日志等级调为 Debug → 查看实时日志
  • v2rayN:主界面底部有日志窗口,或点击菜单 → 查看日志
  • sing-box:检查日志文件或终端输出

Clash Verge 连接日志界面
图片来源:ZGC VPN

重点关注

  • 重复出现的错误信息
  • 连接超时的目标地址和端口
  • DNS 解析相关的错误
  • TLS 和认证相关的错误

快速排查清单

按顺序逐项检查,快速定位问题:

  • 本地网络正常?(能打开 baidu.com)
  • 客户端正在运行?代理模式已开启?
  • 订阅已更新?未过期?流量未用完?
  • 防火墙/杀毒软件没有拦截客户端?
  • 没有其他 VPN/代理软件冲突?
  • 系统时间准确?(TLS 握手需要准确的系统时间)
  • 尝试了不同节点?不同地区?
  • 尝试了不同协议?(VLESS ↔ Hysteria2)
  • 尝试了不同网络?(WiFi ↔ 移动数据)
  • 检查了客户端日志的错误信息?
  • 确认了不是服务商那边的问题?(查 Telegram 群)

常见问题

Q:所有节点突然全挂了怎么办?

先看机场 Telegram 群是否有通知。如果是敏感时期(两会、国庆、重大会议等),可能是临时加强封锁。这种情况通常持续数小时到数天会逐步恢复。如果只有你一个人出问题,重点检查本地网络和客户端配置。特别留意是否刚切换了网络环境(比如从家里到了公司)。

Q:节点有时能连有时不能?

间歇性问题通常与网络质量有关:

  • 丢包:网络不稳定导致连接时断时续
  • 路由波动:国际线路拥堵或路由变更
  • 晚高峰拥堵:晚间 8-11 点是上网高峰期,线路质量下降

尝试以下方法:

  1. 切换到有中转(IPLC/IEPL)的线路,稳定性更好
  2. 不同 ISP 测试(电信、联通、移动表现可能不同)
  3. 避开晚高峰时段测试,确认是否为高峰期拥堵

Q:重装客户端能解决问题吗?

有时可以,特别是在配置文件损坏、缓存异常的情况下。但操作前请注意:

  1. 备份订阅链接:重装后需要重新导入
  2. 备份自定义配置:自定义规则、分流配置等
  3. 大多数问题不需要重装:重启客户端 + 更新订阅通常就能解决

Q:怎么判断是 GFW 封的还是服务器挂了?

可以通过以下方法判断:

现象 可能原因
TCPing 超时,但 ping 能通(ICMP 正常) 特定端口被封
ping 也不通,IP 完全不可达 IP 被封 或 服务器下线
其他用户正常,只有你不行 你的本地网络问题
所有用户都不行 服务端问题 或 大规模封锁
换端口后能连 旧端口被封,IP 暂时安全
换 IP 也不行,换协议才行 协议特征被识别

Q:敏感时期如何保持连接?

  • 优先使用基于 UDP 的协议(Hysteria2),TCP 封锁更常见
  • 使用中转线路(IPLC/IEPL),不经过 GFW 审查
  • 多备几个不同机场,鸡蛋不要放在一个篮子里
  • 提前下载好备用客户端和配置文件
  • 保存机场面板地址和备用域名