Claude Code CLI 超时，但 claude.ai 网页正常，一定不是 Clash 的问题吗？

终端进程常常不继承系统代理；先为当前 shell 配置 HTTPS_PROXY 或 TUN，再在连接日志确认 api.anthropic.com 等是否命中预期代理组。仅网页可用不能推出 CLI 已走同一出口。

我已经照抄了 Anthropic 后缀规则，为什么命令行还是握手慢？

核对失败请求的真实主机名是否落在规则集没收子域、或是否被更靠前的 DIRECT 规则截胡；同时检查 DNS 双轨与 fake-ip 是否与 IP 类规则打架。仍以日志底部第一跳为准增量修补。

和站内 Claude 网页／API 专文有什么关系？

网页／API 专文覆盖控制台与浏览器向主机清单；本文聚焦终端／编码代理场景下的环境变量、长连接与 OAuth 回环，方法论一致但排障顺序不同。

在 WSL2 或远端 SSH 里跑 Anthropic CLI 要注意什么？

子系统或远端 shell 有独立网络命名空间，宿主机 Clash 端口需用可达地址引用；在子系统内显式导出代理或通过远端侧转发，避免默认直连导致超时。

📖 教程 2026 年 5 月 6 日 ⏱ 约 22 分钟阅读

Claude Code CLI 总超时？2026 Clash 域名分流与 DNS 分步实测

Claude Code CLI（以及更广义的 Anthropic CLI）把编码代理、补全与多步工具调用放进终端——很多读者已经用 Clash 把 claude.ai 或浏览器控制台跑通，却仍遇到：握手慢、请求挂起、看似「全局已翻」但 命令行卡住。这与「再走一遍 Claude 网页规则」并不等价：终端经常没吃进系统代理，而 api.anthropic.com 等主机在日志里也会与网页壳分时出现。本文与站内Claude 网页与 API 向专文错位互补，并借鉴Gemini CLI 终端分流的方法论——按可照抄的骨架给出规则占位、Clash DNS／fake-ip核对顺序，以及 OAuth 与本地回环常被忽略的一角。

先把「超时」拆类：别急着换节点

在终端里，用户口中的Claude Code CLI 超时常常混成同一种情绪，但技术排障应分成互不相同的断层，处理优先级也不同：

TCP／TLS 首包长时间无应答：可能是线路或节点质量，但先要排除进程根本没进 Clash——这类「假超时」在编码工具里极其常见。
DNS 解析卡住、间歇 NXDOMAIN：与 Clash DNS 上游、劫持、或 fake-ip 与 IP 规则竞争有关；往往比第一次真正的出站 SYN 更早露头。
登录／凭证浏览器能开、CLI 不涨进度：多数是 Anthropic 账号链路里某一跳被直连或走错组，叠加 127.0.0.1 回调被误送进代理。
流式输出「偶发卡顿但能恢复」：更像规则抢占或长连接子域与你写的后缀块不一致；此时日志里最有价值的是失败瞬间的主机名，而不是反复切换地区。

如果你已读过2026 用 Clash 访问 Claude 网页与 API，可把它当作主机名地图；本文补齐的是shell 进程的出口故事与编码代理特有的长连接节奏，避免把「网页已通」误推为「Anthropic CLI必然也通」。

为什么 Clash 开着，Claude Code CLI 仍像掉线

桌面端最常见误判，是把「系统代理＝所有进程都翻了」。Clash／Clash Meta 常见组合是：系统代理让遵守系统设置的 GUI 浏览器走监听口；但大量终端程序默认不读系统代理表，除非你在该 shell里导出 HTTPS_PROXY、HTTP_PROXY，或上用TUN把 IP 栈交给内核路由。

因此会出现：Chromium 系打开文档正常，而同机 Claude Code CLI仍在公司出口或半残路由上直连握手——体感就是命令行里无限转圈。另一类高频场景是 WSL2、ssh 远端、容器内 shell拥有独立于 GUI 的网络命名空间：宿主机 127.0.0.1 的 mixed-port 在子系统里要换成宿主局域网地址才拨得通；做法与Windows 宿主与 WSL2 共用 Clash 代理一文同构，只是把服务对象换成 Anthropic 系命令行。

当你已确认终端带着代理变量却仍间歇失败，再把注意力转回Clash 使用教程强调的域名分流与 DNS协同——那才是第二层的「进了 Clash，但命中顺序／解析仍分裂」。

终端侧三种「让 CLI 真的走进 Clash」的路径

按侵入性从低到高，多数读者会依次尝试；每一步都值得在连接日志留下证据：

仅为当前会话导出代理变量（用来快速二分）：在同一个终端写入 HTTPS_PROXY=http://127.0.0.1:<mixed-port> 与 HTTP_PROXY（端口以客户端展示为准），必要时补 ALL_PROXY=socks5://127.0.0.1:<socks-port>。若 Claude Code CLI基于常见网络栈构建，此轮往往立刻消灭「CLI 独享直连」型假超时。
启用 TUN：当子进程忽视环境变量、或你有一长串开发工具要统一出口时，把整机流量导入内核路由更可预期；代价是要更谨慎维护局域网与大陆直连段，细节见TUN 模式深度解析。
进程级策略（进阶）：在部分桌面系内核发行版可讨论按进程出站；思路仍是：每一次失败的 SYN都能在日志对上策略组名，而不是靠猜。

如果你在 IDE 集成终端里跑编码代理，场景常与用 Clash 分流加速 Cursor 与 GitHub重叠——宿主 GUI、WebView、外置 Terminal三者对代理的认知可能不同，别把其中一条链路「能 clone」推导为 Anthropic CLI无须单独验证。

Claude Code CLI 观测表：以连接日志为准扩展

下面是一份高概率出镜的主机类型说明，不构成对产品路由的永久承诺；实际增补必须基于失败当刻日志里的真实主机名，思路与Anthropic 专文一致，只是把场景换成命令行会话：

官方 HTTP API：api.anthropic.com 承载大部分 REST／流式对话；Anthropic CLI的核心流量往往从这里进出，而不是 claude.ai 首页域名。
产品与账号／控制平面：anthropic.com、console.anthropic.com、docs.anthropic.com 及可能出现的 www.anthropic.com；若控制台更新入口，仍以浏览器／日志为准增量收录。
消费者网页壳：claude.ai 及其子域，常与 OAuth 或浏览器侧跳转交织；不要假设它与 API 主机名可互相替代。
静态与第三方观测：分析脚本、遥测或状态页可能引入额外子域；遇到陌生主机时先 DOMAIN 精确收录，再考虑是否放宽到后缀。
过宽后缀的代价：整块 DOMAIN-SUFFIX,anthropic.com 见效快，但可能与你在同一文件中的大陆业务窄规则产生摩擦；长期仍建议日志驱动收紧。

若还不熟悉「把规则插到不前不后刚刚好」，请先阅读自定义规则教程：让指定 App 走指定节点与Clash 代理组完全指南：先保证 rules 中的组名与 proxy-groups 字面一致，再讨论「是不是 Anthropic 域名没写完」。

规则骨架示例：私网先直连，再接住 Anthropic 栈

下面是一段示意 YAML：ANTHROPIC_STACK 必须替换为你本地真实存在的代理组名。不要不经审视整段粘贴生产：订阅里 GEOIP、RULE-SET 的位置都会改变语义；学习的是占位顺序。

# Example skeleton — ANTHROPIC_STACK must match your proxy-groups
rules:
  - IP-CIDR,127.0.0.0/8,DIRECT,no-resolve
  - IP-CIDR,10.0.0.0/8,DIRECT,no-resolve
  - IP-CIDR,172.16.0.0/12,DIRECT,no-resolve
  - IP-CIDR,192.168.0.0/16,DIRECT,no-resolve
  - DOMAIN,api.anthropic.com,ANTHROPIC_STACK
  - DOMAIN-SUFFIX,anthropic.com,ANTHROPIC_STACK
  - DOMAIN-SUFFIX,claude.ai,ANTHROPIC_STACK
  - DOMAIN,console.anthropic.com,ANTHROPIC_STACK
  - GEOIP,CN,DIRECT
  - MATCH,ANTHROPIC_STACK

若你同时维护 OpenAI、Google Gemini 专组，请把它们写成彼此独立、互不覆盖的精确后缀块；真正的冲突通常来自「未知规则集插在你自定义域名之前」或「MATCH 过早一把梭」，而不是 Anthropic 与 OpenAI 主机名天然相撞。

Clash DNS 与 fake-ip：第二层「像超时、其实是解析分裂」

当你确认终端进了 Clash、域名也写了，却仍有间歇卡死，请平行检查 Clash DNS 是否与规则假说一致——这与Linux 上 Clash 与 systemd-resolved 共存 troubleshooting同源：选定单一边作为权威，避免应用层与内核各解析一套。

实操关注点包括：

fake-ip：应用看到的是本地虚假地址时，过早的 IP-CIDR 且无 no-resolve 可能与域名规则竞态，表现为「时而代理时而直连」的假随机。
fallback 触发：DoH／DoT 若在办公网络被抖动，整段解析可能慢到 CLI 默认超时先行触发；体感和「模型卡住」难以区分。
双栈与劫持：某些运营商对特定上游返回污染时，你会看到「浏览器偶发成功、CLI 永远失败」——这时要先对照同一主机在两套解析路径上的答案，而不是先加十条重复域名。

Linux 宿主读者若混用 stub 监听 127.0.0.53 与 Clash DNS 监听口，更要明确转发关系；否则会在 Anthropic CLI上看到 NXDOMAIN 伪装成业务超时。

OAuth、密钥与本地回环：别把两类故障搅在一起

许多 Claude Code CLI首次运行会拉起系统浏览器完成登录或授权，这时同时存在出站到 Anthropic／Claude与回环到本机临时端口两条逻辑：

出站：授权页资源依赖 anthropic.com、claude.ai 及可能的静态栈；任一被错误直连都会变成「白屏／无限 loading」。仍以日志新出现主机名修补，而不是盲加整块 .com。
回环：回调到 127.0.0.1 或 localhost 时不应走 HTTP 代理；为 NO_PROXY 写明 localhost,127.0.0.1，避免激进的 ALL_PROXY 误伤。企业安全套件若重写 loopback，会表现成「只有登录诡异、API 却已通」的割裂现场。
密钥或落盘权限：若网络日志已能稳定命中 api.anthropic.com，但工具仍报未授权，可能要转到凭证文件权限／沙盒层面——继续调规则只会徒劳。

分步实测清单（建议严格按序，一次只动一类变量）

固定复现场景：同一终端、同一 shells 配置、同一窗口只做最小子集（登录、列出模型或任务、一次最短编码调用），暂时关闭公司 VPN／浏览器扩展抢栈。
二分是否进 Clash：先挂 HTTPS_PROXY 或切 TUN，再复测；若此步已显著改善，把根因记在出口路径缺口而不是 DNS。
清空日志缓冲后重放失败：记录第一跳失败主机与命中策略；没有日志的节点轮换只是噪声。
按主机名前移规则：把新日志里的主机写成 DOMAIN 或受控后缀，插在私网段之后、会抢答的国内／巨集规则之前。
校对 DNS：改上游或 fake-ip 开关时记录基线；必要时对照 systemd／Windows 解析器与 Clash DNS 是否双线并行。
收口：链路稳定后，删除过宽 KEYWORD 试验段，给 YAML 留可 diff 历史。

常见问题（与正文 FAQ 结构化数据对齐）

我已经给 claude.ai 写了规则，为什么 Claude Code CLI 还是慢？

网页壳与 api.anthropic.com并非同义；CLI 的主体流量往往在 API 主机上超时。请先在日志确认失败主机，再决定是补 DOMAIN 还是调整顺序，而不是重复堆同一种后缀。

能否直接把 Anthropic 和 OpenAI 写进同一代理组？

可以，前提是各厂商规则彼此精确、不会误伤国内站点；若你希望单独为 Anthropic CLI试线路由或做熔断，再拆分两组并在 rules里分别引用即可。

fake-ip 模式下还需要关心系统 DoH 吗？

要。若系统应用仍绕开 Clash DNS 直接 DoH，会出现应用各自解析的分裂画面——这在多 AI 工具并行时尤难排查。选定主解析路径并坚持一段时间再下结论。

小结

把 Claude Code CLI 超时简单归咎于「换个节点」往往浪费大量时间；更经济的起点是证明终端与同机浏览器共享同一 Clash 故事，再用域名分流接住 api.anthropic.com、anthropic.com 与 claude.ai等主链路，然后把 Clash DNS／fake-ip与 OAuth 回环这类第二层错位逐项关掉。把 YAML 当作可版本化资产：Anthropic CLI会继续演进，而「日志驱动增补」这条纪律长期有效。

相比只提供整机隧道的传统方案，「规则＋订阅＋图形面板」的 Clash 系客户端更容易把每一次握手对应到可读的策略名，并在不重装的情况下迭代 YAML——面对终端里动辄数十条的编码工具链，这种可观测性往往是差别体验。若你还希望把基础分流观先补齐，可从站内教程入手，再对照本文与网页向专文互相补洞，最后到本站下载页选择仍在积极维护的发行版，减少走回头路。→ 免费下载 Clash，把浏览器与终端出口统一交到一套可控规则里。