为什么不建议用 IPv6 访问 Claude Code
很多人辛辛苦苦配好了 IPv4 代理分流,结果还是被风控——问题往往出在 IPv6 上。双栈网络里,系统可能"悄悄"优先走 IPv6,绕过你所有的 IPv4 规则,把真实地址直接交给 Claude。本文说清原因,并给出关掉它的方法。
一、最致命的问题:IPv6 绕过你的 IPv4 分流
现代系统遵循 Happy Eyeballs(RFC 8305):当一个域名同时有 IPv4 和 IPv6 地址时,系统倾向优先尝试 IPv6。如果你的代理 / 分流规则只覆盖了 IPv4,而本机和目标都支持 IPv6,那么:
- 流量会走原生 IPv6 直连,根本不经过你的代理;
- Claude 看到的是你的真实 IPv6 地址,而不是代理出口;
- 你在 IPv4 上做的所有伪装(住宅 IP、地区、时区一致)全部失效。
这正是"明明配好了代理,Claude 出口 IP 却还是本地 / 还是被拦"的常见根因。检测时如果发现 Claude 出口 IP 是一串冒号分隔的地址,就是 IPv6 在泄露。
二、IPv6 本身也更容易被风控
- 隧道 / 机房地址多:不少 IPv6 来自 HE.net 等隧道或云厂商,天然被识别为非住宅。
- 信誉数据稀疏:IPv6 地址空间极大,风险库覆盖远不如 IPv4,风控对未知 IPv6 往往采取更保守(更严)的策略。
- 前缀易变:运营商常动态下发 IPv6 前缀,出口不稳定,等于变相"频繁换 IP"。
- 泄露面更大:双栈下 DNS、WebRTC 都可能额外暴露 IPv6 通道。
三、解决思路:优先 / 强制 IPv4
两种策略,按需选择:
- 保守(推荐):对 Claude 相关域名强制走 IPv4 出口,或在代理层禁止 IPv6 解析;
- 彻底:在系统层关闭 IPv6(适合不依赖 IPv6 的环境)。
代理层(最推荐,影响面最小)
让代理优先 / 仅使用 IPv4,并避免把域名解析成 IPv6:
# Clash / mihomo:DNS 只返回 IPv4
dns:
ipv6: false
# 出站优先 IPv4
# sing-box outbound 可设 "domain_strategy": "prefer_ipv4" 或 "ipv4_only"系统层 · macOS
# 查看网络服务名(如 Wi-Fi)
networksetup -listallnetworkservices
# 关闭该服务的 IPv6
sudo networksetup -setv6off "Wi-Fi"
# 需要时恢复:sudo networksetup -setv6automatic "Wi-Fi"系统层 · Windows
「网络连接 → 适配器属性」中取消勾选「Internet 协议版本 6 (TCP/IPv6)」;或用管理员 PowerShell:
Disable-NetAdapterBinding -Name "*" -ComponentID ms_tcpip6系统层 · Linux
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1
# 持久化:写入 /etc/sysctl.conf 后 sysctl -p浏览器(仅网页端使用时)
Firefox 可在 about:config 将 network.dns.disableIPv6 设为 true。Chrome 无独立开关,建议在系统或代理层处理。
四、验证是否还在走 IPv6
处理完后,打开 Claude AI IP 风险检测:
- 顶部「Claude AI 出口IP」应显示预期的 IPv4 地址,而不是冒号分隔的 IPv6;
- 三张出口 IP 卡一致;
- WebRTC、DNS 泄露检测均为正常,无额外 IPv6 暴露。
一句话总结:在你能确保 IPv6 也走同一代理出口之前,访问 Claude / Claude Code 优先用 IPv4 最稳妥。IPv6 不是不能用,而是"配不干净时危害更大"。