왜 LAN 프록시 설정이 필요한가요?
Clash는 기본적으로 같은 PC 안에서만 HTTP/SOCKS 포트에 접속하도록 묶여 있습니다. 즉 루프백(127.0.0.1)이나 로컬 인터페이스에만 리스닝하면, 스마트폰이 같은 공유기에 연결되어 있어도 PC의 프록시 포트에 닿지 못합니다. 집·사무실처럼 신뢰할 수 있는 LAN에서만 휴대용 기기에 동일한 노드·규칙을 적용하고 싶다면, 코어가 외부에서 들어오는 연결을 받도록 바꾸고, OS 방화벽이 그 포트를 막지 않게 조정해야 합니다.
이미 Clash Verge Rev로 구독을 넣고 켜 두었다면초기 설치·프로필 흐름은 갖춰진 상태입니다. 구독 URL부터 아직이라면구독 가져오기를 먼저 마친 뒤 이 글의 LAN 단계로 넘어오면 설정이 훨씬 수월합니다.
allow-lan, bind-address, mixed-port 한 번에 이해하기
allow-lan을 true로 두면 Clash(Mihomo) 코어가 LAN에서 오는 TCP 연결을 프록시 포트로 받아들일 수 있습니다. 반대로 false(기본에 가깝게 동작하는 경우가 많음)이면 외부 기기의 연결 시도는 거절되거나 아예 리스닝 범위가 로컬에 한정됩니다.
bind-address는 어떤 주소에 소켓을 여는지를 지정합니다. 모든 인터페이스에서 접속을 받으려면 * 또는 0.0.0.0(IPv4 기준) 같은 값이 쓰이며, 클라이언트 UI에 따라 설정 화면에서 “LAN 허용”과 함께 자동으로 맞춰지기도 합니다. 특정 사설 대역만 허용하고 싶다면 네트워크 설계에 맞게 고정 IP에 바인딩하는 방법도 있으나, 가정용으로는 UI에서 LAN 허용 + 방화벽으로 보완하는 패턴이 흔합니다.
mixed-port는 HTTP와 SOCKS5를 한 포트에서 함께 처리하는 혼합(Mixed) 포트입니다. 예를 들어 7890을 mixed-port로 쓰면, 휴대폰 Wi-Fi 프록시 설정에 서버 주소로 PC의 LAN IP, 포트로 7890을 넣는 방식으로 대부분의 앱을 통과시킬 수 있습니다. port와 socks-port를 따로 쓰는 구성도 가능하지만, 기기마다 HTTP와 SOCKS를 구분해 넣기 번거로우므로 mixed-port를 쓰는 편이 다중 기기 공유에 잘 맞습니다.
참고로 시스템 전체 트래픽을 가로채는 TUN 모드는 “이 PC 안의 앱”을 대상으로 하는 경우가 많고, LAN의 다른 기기를 자동으로 TUN 뒤로 넣어 주지는 않습니다. 휴대폰이 프록시를 쓰려면 해당 기기에서 프록시 주소를 직접 지정하거나, 공유기 수준의 다른 방식이 필요합니다.
사전 준비: 같은 네트워크와 PC의 LAN 주소 확인
스마트폰과 PC가 같은 서브넷에 있어야 합니다. 흔히 같은 Wi-Fi SSID를 쓰면 됩니다. PC가 유선이고 휴대폰이 5GHz Wi-Fi인 경우에도, 공유기에서 AP 격리(클라이언트 간 차단)가 꺼져 있어야 서로 IP로 핑이나 프록시 연결이 됩니다. 게스트 Wi-Fi는 종종 클라이언트 격리가 켜져 있어 실패하기 쉽습니다.
Windows에서는 ipconfig로, macOS에서는 시스템 설정 → 네트워크에서 해당 인터페이스의 IPv4 주소(예: 192.168.0.23)를 확인합니다. 이 주소가 휴대폰 프록시 설정의 “서버”에 들어갑니다. DHCP로 주소가 자주 바뀐다면 공유기에서 PC에 고정 IP를 주거나, 주소가 바뀔 때마다 기기 측 설정을 고쳐야 합니다.
설정 파일에서 켜는 예시 (YAML)
GUI 없이 코어 설정만 편집한다면 루트에 다음과 같은 키가 들어가는지 확인합니다. 포트 번호는 환경에 맞게 조정하세요.
allow-lan: true
bind-address: '*'
mixed-port: 7890
# optional: separate ports
# port: 7890
# socks-port: 7891external-controller는 대시보드·API용입니다. LAN에 노출하면 누구나 규칙을 바꿀 수 있는 위험이 있으므로, 반드시 127.0.0.1에만 두거나 비밀번호·토큰을 강하게 걸고 방화벽으로 제한하세요. LAN 프록시 공유의 목적은 mixed-port(및 필요 시 별도 HTTP/SOCKS 포트)이지, 컨트롤러를 온 집안에 여는 것이 아닙니다.
Windows: Clash Verge Rev와 Windows Defender 방화벽
Clash Verge Rev를 쓰는 경우, 설정 화면에서 Allow LAN(또는 동일한 의미의 스위치)을 켜면 내부적으로 allow-lan이 활성화됩니다. 적용 후 코어를 재시작하거나 프로필을 다시 불러오면 PC의 LAN IP와 mixed-port로 접속을 시험할 수 있습니다.
그다음 걸림돌은 대개 Windows Defender 방화벽입니다. 처음 Clash 또는 Mihomo가 해당 포트에서 수신할 때 “공용 네트워크”로 분류된 Wi-Fi에서는 인바운드가 막히는 일이 많습니다. 해결 방법은 다음 중 하나입니다.
- Windows 보안 → 방화벽 및 네트워크 보호 → 고급 설정에서 인바운드 규칙을 추가하고, Clash/Mihomo 실행 파일 또는 사용 중인 포트(TCP)를 허용합니다.
- 현재 Wi-Fi 프로필을 개인 네트워크로 표시해 신뢰 범위를 맞춥니다(공용 프로필은 더 엄격합니다).
- 보안 솔루션이 별도로 있다면 동일하게 예외를 추가합니다.
방화벽 규칙은 “필요한 포트만” 여는 것이 원칙입니다. mixed-port 하나만 열어도 LAN 기기는 대부분 충분합니다.
macOS: 방화벽·로컬 네트워크 권한
macOS에서도 Verge 계열 클라이언트로 LAN 허용을 켠 뒤, 시스템 설정 → 네트워크·방화벽에서 해당 앱의 수신이 허용되는지 확인합니다. 방화벽을 켜 두었다면 Clash Verge Rev(또는 사용 중인 클라이언트)에 대한 수신 연결 허용이 필요합니다.
최근 macOS는 앱별 로컬 네트워크 권한을 묻는 경우가 있습니다. 프롬프트가 뜨면 허용해야 같은 Wi-Fi의 기기와 통신할 수 있습니다. 여전히 연결이 안 되면 방화벽 로그와 앱 버전, 그리고 혼합 포트가 다른 프로세스와 충돌하지 않는지문제 해결 가이드의 포트 점유 절차를 참고하세요.
휴대폰·태블릿·다른 PC에서 연결하기
Android: Wi-Fi 네트워크 상세 → 프록시를 “수동”으로 바꾸고, 호스트명에 PC의 LAN IP, 포트에 mixed-port(예: 7890)를 입력합니다. 일부 제조사 UI에서는 “호스트명” 대신 “프록시 서버”로 표시됩니다.
iOS/iPadOS: Wi-Fi 정보에서 “HTTP 프록시 구성”을 수동으로 설정합니다. SOCKS만 필요한 앱은 시스템 설정만으로는 부족할 수 있어, 해당 앱이 자체 프록시 설정을 지원하는지 확인해야 합니다.
다른 PC: 시스템 프록시 또는 브라우저만 프록시를 쓰도록 설정할 수 있습니다. 테스트는 브라우저에서 IP 확인 사이트를 열어, PC에서 보이는 노드와 동일한 경로로 나가는지 비교하면 됩니다.
LAN 공유 시 보안 리스크와 최소화 방법
allow-lan: true는 곧 같은 L2 세그먼트에 붙은 누구나(또는 라우팅만 되면 더 넓게) 프록시 포트에 접속할 수 있다는 뜻에 가깝습니다. 악의적인 이웃 Wi-Fi, 카페 공용망, 호텔 LAN에서는 절대 켜지 말아야 합니다. 반드시 신뢰할 수 있는 가정·사무실 네트워크로 한정하고, 불필요할 때는 끄는 습관이 필요합니다.
추가로 권장되는 습관은 다음과 같습니다.
- 외부 컨트롤러 비노출:
external-controller를0.0.0.0에 열어 두면 LAN 누구나 API로 노드·규칙을 바꿀 수 있습니다. 로컬호스트 제한·시크릿을 기본으로 삼으세요. - 게스트 SSID 분리: 방문자용 Wi-Fi에 PC가 붙어 있지 않도록 하고, 메인 LAN과 격리된 게스트망에서는 프록시를 공유하지 않습니다.
- 방화벽 최소 개방: mixed-port 등 꼭 필요한 TCP만 허용합니다.
- 업데이트 유지: 클라이언트·코어의 보안 패치는 일반적인 서버와 동일하게 중요합니다.
프록시는 트래픽을 중계하므로, LAN에 열어 둔 포트는 “작은 공개 서비스”와 비슷한 위험 프로필을 가집니다. 짧게 쓰고 끄는 용도라면 사용 후 allow-lan을 다시 끄는 것이 가장 안전합니다.
자주 겪는 증상
연결 거부(Connection refused)
아직 allow-lan이 꺼져 있거나, 바인딩 주소가 로컬에만 있는 경우입니다. YAML과 UI를 다시 확인합니다.
시간 초과
방화벽이 인바운드를 막거나, 휴대폰이 다른 서브넷·게스트 네트워크에 있습니다. PC IP를 다시 확인합니다.
브라우저만 되고 앱은 안 됨
일부 앱은 시스템 프록시를 따르지 않습니다. 해당 앱의 프록시 설정 또는 PC 측 TUN 등 다른 접근이 필요할 수 있습니다.
정리: 한 대의 Clash로 집안 기기를 맞추려면
LAN 프록시 공유는 “같은 노드·같은 규칙”을 여러 기기에 동시에 적용할 수 있어 편리하지만, 열어 둔 포트만큼 공격 면이 넓어진다는 점을 잊지 말아야 합니다. 신뢰 가능한 네트워크에서만 allow-lan과 mixed-port를 사용하고, 방화벽과 컨트롤러 노출을 점검한 뒤, 쓰지 않을 때는 꺼 두는 것이 장기적으로 가장 안전합니다.
GUI로 포트·LAN 옵션을 다루기 쉬운 Clash Verge Rev는 Mihomo 코어와 함께 이런 실무 설정에 잘 맞습니다. 설치 경로를 정리해 두고 직접 비교해 보세요.→ Clash를 무료로 다운로드하고 LAN 공유까지 한 번에 맞춰 보세요