---
title: 节点连不上？系统排查流程
date: 2026-05-10
updated: 2026-05-10
categories:
  - 排障手册
tags:
  - 排障
  - 连接
  - 节点
  - 诊断
  - 教程
index_img: /images/posts/connectivity-checklist.jpg
excerpt: 代理节点连不上的系统排查流程——从确认问题范围到高级抓包分析，逐步定位问题。
---

> **摘要**: 代理节点突然连不上是最常遇到的问题。原因可能是节点被封、本地网络问题、配置错误或客户端故障。本文提供一套系统化的排查流程，帮助你快速定位问题并解决。

---

## 第一步：确认问题范围

排查之前，先花一分钟判断问题的范围，避免盲目操作浪费时间。

### 是所有节点还是部分节点？

- **所有节点都连不上** → 大概率是本地网络问题或客户端问题
- **只有部分节点连不上** → 这些节点可能已经被封或宕机
- **只有某个地区的节点不行**（如香港全挂但日本正常）→ 该地区线路可能被针对性封锁

### 之前能用吗？发生了什么变化？

- **之前正常，突然不行** → 节点可能被封，或者本地网络环境变了（换了 WiFi、连了公司网络等）
- **从来没成功过** → 大概率是配置问题，从头检查配置
- **更新客户端后不行了** → 新版本可能有兼容性问题，尝试回退版本

### 其他用户是否受影响？

- 查看机场的 Telegram 群组或状态页面
- 如果大家都反映有问题 → 服务端问题，等待机场修复
- 如果只有你一个人有问题 → 本地问题，继续排查

---

## 第二步：检查本地网络

### 基础连通性测试

首先确认你的基础网络是通的（不经过代理）：

```bash
# 测试国内网站连通性
ping baidu.com

# 测试 DNS 解析是否正常
nslookup baidu.com
```

如果 `ping baidu.com` 都不通，说明你的基础网络就有问题，先解决本地上网问题再说。

### 防火墙和安全软件

防火墙和杀毒软件是导致代理客户端无法正常工作的常见原因：

- **Windows Defender / 第三方杀毒软件**：可能把代理客户端识别为可疑程序并拦截
- **Windows 防火墙**：可能阻止代理客户端监听的端口

**排查方法**：

1. 临时关闭防火墙和杀毒软件
2. 重新测试代理是否正常
3. 如果关闭后正常 → 将代理客户端添加到防火墙和杀毒软件的白名单/例外列表中
4. 重新开启防火墙和杀毒软件，确认白名单生效

### 网络环境限制

某些网络环境会主动限制代理流量：

- **公司/学校网络**：通常有防火墙策略，会封锁非标准端口和协议
- **公共 WiFi**：酒店、咖啡厅的 WiFi 往往限制较多
- **运营商限制**：部分地区的运营商会对特定协议做 QoS 限速

**排查方法**：

1. 切换到手机移动数据（4G/5G）热点测试
2. 如果移动数据下正常 → 确认是当前网络环境的限制
3. 尝试切换到 443 端口的节点（443 是 HTTPS 端口，通常不会被封）
4. 尝试使用支持 UDP 的协议（如 Hysteria2），有些网络只封 TCP 不封 UDP

---

## 第三步：检查客户端

### 客户端是否正常运行

最基本的检查，但很多人会忽略：

- **客户端进程是否在运行？** 检查系统托盘（Windows 右下角）是否有客户端图标
- **代理模式是否开启？** 确认已开启系统代理或 TUN 模式
- **尝试重启客户端**：关闭后等待几秒再重新启动

### 订阅是否过期或需要更新

订阅问题是最常见的原因之一：

- **订阅到期**：套餐到期后节点自然无法连接，检查机场账户的到期时间
- **流量用完**：月流量耗尽同样无法使用，查看剩余流量
- **订阅未更新**：机场更换或新增了节点，但你的本地订阅还是旧的

**操作方法**：

1. 在客户端中找到订阅管理
2. 手动更新订阅（Clash Verge：右键订阅 → 更新；[v2rayN](https://github.com/2dust/v2rayN)：订阅 → 更新全部）
3. 如果更新失败 → 尝试在浏览器中直接打开订阅链接，看是否能访问
4. 如果订阅链接打不开 → 登录机场面板检查是否更换了订阅地址

### 端口冲突

代理客户端需要监听本地端口（常见的有 7890、7891、1080 等），如果端口被其他程序占用就会启动失败。

**检查方法**：

```bash
# Windows - 检查端口占用
netstat -ano | findstr 7890

# macOS / Linux - 检查端口占用
lsof -i :7890
```

如果发现端口被占用：

- 关闭占用端口的程序
- 或者在代理客户端的设置中更改本地监听端口

### TUN 模式问题

TUN 模式创建虚拟网卡来接管系统全部流量，功能更强但也更容易出问题：

- **需要管理员权限**：客户端必须以管理员身份运行（Windows：右键 → 以管理员身份运行）
- **与其他 VPN 冲突**：如果同时安装了其他 VPN 软件或者有残留的虚拟网卡，可能产生冲突
- **驱动问题**：TUN 驱动安装不正确或版本不匹配

**排查方法**：

1. 先切换到**系统代理模式**测试，排除 TUN 特有的问题
2. 如果系统代理模式正常 → 问题出在 TUN 模式
3. 检查是否有其他 VPN 软件在运行，关闭它们
4. 尝试重新安装 TUN 驱动（Clash Verge：设置 → Service Mode → Install）

---

## 第四步：测试节点连通性


### TCPing 测试

TCPing 测试可以判断你的网络到节点服务器的 TCP 连通性：

```bash
# 方法一：使用客户端内置的测试功能
# Clash Verge → 代理页面 → 点击测速按钮（闪电图标）
# v2rayN → 服务器列表 → 测试真连接延迟

# 方法二：命令行测试
# 需要先安装 tcping 工具
tcping your-server-ip 443
```

**结果判断**：

- **超时（timeout）** → 节点不可达，IP 可能被封或服务器宕机
- **有延迟数值返回** → 节点可达，问题可能出在其他环节
- **延迟极高（> 500ms）** → 线路质量差，可能影响使用体验

### 切换节点测试

不要在一个节点上死磕，多试几个：

- 尝试不同地区的节点（香港、日本、新加坡、美国等）
- 如果**某个地区全部不行**但其他地区正常 → 该地区线路被封
- 如果**所有节点全部不行** → 不太可能所有节点同时被封，重点检查本地问题

### 切换协议测试

如果你的机场提供多种协议的节点，切换协议是非常有效的排查手段：

- VLESS (TCP) 不行 → 尝试 Hysteria2 (UDP)
- Shadowsocks 不行 → 尝试 VLESS + WebSocket
- 某个协议不行但另一个正常 → 说明是协议层面的封锁，使用可用的协议即可

---

## 第五步：检查具体错误信息

客户端日志中的错误信息是最直接的线索。以下是常见错误及其含义：

### connection refused（连接被拒绝）

- **含义**：TCP 连接到达了服务器，但服务器拒绝了连接
- **可能原因**：服务器未运行、端口配置错误、服务器防火墙拦截
- **处理**：联系机场客服确认服务器状态；更新订阅获取最新配置

### connection timeout（连接超时）

- **含义**：TCP 连接请求发出后没有收到任何响应
- **可能原因**：IP 被 GFW 封锁、网络路由问题、服务器下线
- **处理**：切换到其他节点；切换网络环境（WiFi ↔ 移动数据）；等待机场更换 IP

### TLS handshake failed（TLS 握手失败）

- **含义**：TCP 连接成功但 TLS 加密握手失败
- **可能原因**：系统时间不准确、TLS 证书过期、服务端 TLS 配置变更、SNI 被阻断
- **处理**：
  1. 检查系统时间是否准确（TLS 握手对时间敏感，误差超过几分钟就可能失败）
  2. 更新订阅获取最新配置
  3. 如果使用了自定义 SNI，确认 SNI 域名未被封锁

### authentication failed（认证失败）

- **含义**：连接到服务器了，但 UUID/密码验证不通过
- **可能原因**：订阅配置过期，服务端已更换密钥但你本地还是旧的
- **处理**：更新订阅；如果更新后仍然失败，删除旧配置重新导入

### DNS resolution failed（DNS 解析失败）

- **含义**：无法解析代理服务器的域名
- **可能原因**：DNS 服务器故障、DNS 被污染、域名过期
- **处理**：
  1. 尝试更换 DNS 服务器（推荐 `223.5.5.5` 或 `119.29.29.29`）
  2. 如果知道服务器 IP，尝试直接用 IP 连接
  3. 清除本地 DNS 缓存：`ipconfig /flushdns`（Windows）

### EOF 或 connection reset（连接重置）

- **含义**：连接建立后被立即中断
- **可能原因**：GFW 发送 RST 包主动中断连接、协议特征被识别、服务端防火墙规则
- **处理**：
  1. 切换协议（从 VMess 换到 VLESS，或使用 Hysteria2 等基于 UDP 的协议）
  2. 更换端口（尝试 443、8443、2053 等）
  3. 如果可用，启用 WebSocket 或 gRPC 传输层

---

## 第六步：高级排查

如果前五步都没有解决问题，可以用以下方法做更深入的分析。


### 抓包分析

使用 [Wireshark](https://www.wireshark.org/) 抓包可以精确判断连接在哪个环节出了问题：

1. 打开 Wireshark，选择你的网络接口
2. 设置过滤器：`ip.addr == 你的服务器IP`
3. 尝试连接代理，观察抓包结果

**判断方法**：

- **只有 SYN 包，没有 SYN-ACK** → IP 被完全封锁，数据包被丢弃
- **SYN-ACK 正常但之后收到 RST** → 存在主动探测或 DPI（深度包检测）识别
- **TLS 握手阶段失败** → 可能是 SNI 被阻断或 TLS 指纹被识别
- **握手完成但数据传输中断** → 协议层面被识别，流量被中断

### 路由追踪

路由追踪可以帮助你了解数据包到服务器的路径，以及在哪一跳出了问题：

```bash
# Windows
tracert your-server-ip

# macOS / Linux
traceroute your-server-ip

# 更好的工具：BestTrace（Windows）或 nexttrace（跨平台）
# 可以显示每一跳的地理位置和 ISP 信息
nexttrace your-server-ip
```

**结果分析**：

- 如果路由在某一跳之后全部超时 → 该位置存在封锁（通常是国际出口）
- 如果路由能到达服务器但代理仍然不通 → 服务端问题
- 如果路由在本地就超时 → 本地网络或 ISP 问题

### 日志分析

客户端日志是最重要的排查信息来源：

![Clash Verge Rev 日志界面](/images/inline/clash-verge-logs.jpg)
*图片来源：[clash.info](https://clash.info/)*

- **[Clash Verge Rev](https://github.com/clash-verge-rev/clash-verge-rev)**：设置 → 日志等级调为 Debug → 查看实时日志
- **v2rayN**：主界面底部有日志窗口，或点击菜单 → 查看日志
- **[sing-box](https://github.com/SagerNet/sing-box)**：检查日志文件或终端输出

![Clash Verge 连接日志界面](/images/inline/clash-connections.png)
*图片来源：[ZGC VPN](https://zgcvpn.com/)*

**重点关注**：

- 重复出现的错误信息
- 连接超时的目标地址和端口
- DNS 解析相关的错误
- TLS 和认证相关的错误

---

## 快速排查清单

按顺序逐项检查，快速定位问题：

- [ ] 本地网络正常？（能打开 baidu.com）
- [ ] 客户端正在运行？代理模式已开启？
- [ ] 订阅已更新？未过期？流量未用完？
- [ ] 防火墙/杀毒软件没有拦截客户端？
- [ ] 没有其他 VPN/代理软件冲突？
- [ ] 系统时间准确？（TLS 握手需要准确的系统时间）
- [ ] 尝试了不同节点？不同地区？
- [ ] 尝试了不同协议？（VLESS ↔ Hysteria2）
- [ ] 尝试了不同网络？（WiFi ↔ 移动数据）
- [ ] 检查了客户端日志的错误信息？
- [ ] 确认了不是服务商那边的问题？（查 Telegram 群）

---

## 常见问题

### Q：所有节点突然全挂了怎么办？

先看机场 Telegram 群是否有通知。如果是敏感时期（两会、国庆、重大会议等），可能是临时加强封锁。这种情况通常持续数小时到数天会逐步恢复。如果只有你一个人出问题，重点检查本地网络和客户端配置。特别留意是否刚切换了网络环境（比如从家里到了公司）。

### Q：节点有时能连有时不能？

间歇性问题通常与网络质量有关：

- **丢包**：网络不稳定导致连接时断时续
- **路由波动**：国际线路拥堵或路由变更
- **晚高峰拥堵**：晚间 8-11 点是上网高峰期，线路质量下降

尝试以下方法：
1. 切换到有中转（IPLC/IEPL）的线路，稳定性更好
2. 不同 ISP 测试（电信、联通、移动表现可能不同）
3. 避开晚高峰时段测试，确认是否为高峰期拥堵

### Q：重装客户端能解决问题吗？

有时可以，特别是在配置文件损坏、缓存异常的情况下。但操作前请注意：

1. **备份订阅链接**：重装后需要重新导入
2. **备份自定义配置**：自定义规则、分流配置等
3. **大多数问题不需要重装**：重启客户端 + 更新订阅通常就能解决

### Q：怎么判断是 GFW 封的还是服务器挂了？

可以通过以下方法判断：

| 现象 | 可能原因 |
| --- | --- |
| TCPing 超时，但 ping 能通（ICMP 正常） | 特定端口被封 |
| ping 也不通，IP 完全不可达 | IP 被封 或 服务器下线 |
| 其他用户正常，只有你不行 | 你的本地网络问题 |
| 所有用户都不行 | 服务端问题 或 大规模封锁 |
| 换端口后能连 | 旧端口被封，IP 暂时安全 |
| 换 IP 也不行，换协议才行 | 协议特征被识别 |

### Q：敏感时期如何保持连接？

- 优先使用基于 UDP 的协议（Hysteria2），TCP 封锁更常见
- 使用中转线路（IPLC/IEPL），不经过 GFW 审查
- 多备几个不同机场，鸡蛋不要放在一个篮子里
- 提前下载好备用客户端和配置文件
- 保存机场面板地址和备用域名