為什麼要開區域網路代理
許多使用者已經在電腦上跑 Clash 或內建 Mihomo 的客戶端(例如 Clash Verge Rev),但手機瀏覽器、App 商店或系統更新仍走直連,體驗分裂。把代理服務開放給同一區域網路內的其他裝置,就能讓平板追劇、手機查資料時也走同一組訂閱與分流規則,不必在每臺裝置重複匯入訂閱。前提是:你信任目前連線的區域網路環境,並願意承擔「鄰近裝置可能連上你的代理埠」所帶來的責任與風險——下文會單獨說明。
技術上,Clash 預設往往只監聽 127.0.0.1,僅本機程式可連線;要給手機用,需要允許區域網路(常見設定鍵為 allow-lan: true)並讓監聽位址包含區域網路介面可用的 IP,或綁在 0.0.0.0 讓所有介面可連(仍受防火牆與路由器限制)。若你尚未熟悉客戶端介面與訂閱匯入,可先閱讀《Clash Verge Rev 設定教學》,再回到本文開放區域網路。
核心概念:allow-lan、混合埠與繫結位址
allow-lan:在 YAML 設定檔中設為 true 時,核心才會接受來自非本機位址的連線(仍須監聽在可從區域網路抵達的介面上)。圖形客戶端常有「允許區域網路」開關,本質對應同一項設定。
混合埠(mixed-port):單一埠同時提供 HTTP 與 SOCKS 相容行為,手機 Wi‑Fi 代理常填 HTTP 代理主機與埠;若你只開了 port(HTTP)與 socks-port(SOCKS)而沒有 mixed-port,請在手機上選對應類型與埠號,或改為使用 mixed-port 簡化設定。
bind-address:常見寫法為 0.0.0.0 表示在所有網路介面監聽;若寫成特定區網 IP,則只有該介面會接連線。若開了 allow-lan 卻仍無法從手機連上,多半是監聽仍綁在 127.0.0.1,或防火牆擋住了該埠。
以下為設定檔中與區域網路共享最相關的片段示例(實際埠號請與你本機未佔用埠一致):
allow-lan: true
bind-address: '*'
# or bind-address: 0.0.0.0
mixed-port: 7890若你使用 TUN 模式讓本機程式透明走代理,與「手動在其它裝置填 HTTP/SOCKS 代理」是不同層級;手機要連的是電腦上 Clash 監聽的代理埠,不是 TUN 介面本身。TUN 細節可另參《Clash TUN 模式開啟與說明》。
Windows:開啟允許區域網路與防火牆
在 Windows 上若使用圖形客戶端,於設定中開啟「允許區域網路」後,請確認設定檔或介面顯示的混合埠或 HTTP 埠數字。接著以系統管理員身分開啟「具有進階安全性的 Windows Defender 防火牆」→「輸入規則」→「新增規則」→ 選「連接埠」→ TCP → 指定該埠(例如 7890)→ 允許連線 → 套用至「私人」網路設定檔(不建議在公用網路環境勾選過寬)。若你只在家用 Wi‑Fi,將該網路標記為「私人」較符合預期。
查電腦在區域網路中的 IPv4:可在「設定 → 網路和網際網路 → 乙太網路/Wi‑Fi → 內容」檢視,或於 PowerShell 執行 ipconfig,在無線或乙太網路介面下找到「IPv4 位址」,通常形如 192.168.x.x 或 10.x.x.x。手機與電腦須連上同一臺路由器/同一子網路,guest Wi‑Fi 若與主網隔離,可能無法互通。
若已放行防火牆仍連不上,可暫時關閉第三方安全軟體測試是否攔截;確認 Clash 程序確實正在執行且未因埠衝突改用了其它埠號。更多埠與訂閱異常可對照《Clash 常見報錯與排除》。
macOS:防火牆、本機位址與權限
在 macOS 上,圖形客戶端同樣可開「允許區域網路」。若使用系統防火牆(「系統設定 → 網路 → 防火牆」),需確保 Clash 或相關可執行檔被允許接受連入連線;首次啟動時若跳出網路權限對話框,請選擇允許,否則外部裝置無法連入代理埠。
查本機區域 IP:按住 Option 鍵點選選單列 Wi‑Fi 圖示可快速查看 IP,或在「系統設定 → 網路」選取目前介面檢視詳細資訊;終端機亦可使用 ifconfig 或 ipconfig getifaddr en0(介面名稱視機型而定)。提供給手機的「伺服器位址」即為此 IPv4(除非全區網使用 IPv6,此情況較少見於家用場景)。
若你同時連線 VPN 或虛擬機橋接,可能出現多個 IP;請選取與手機同一實體區網的那一組,避免填到僅本機可見的虛擬介面位址。
手機與其它電腦如何連線
在 iOS/Android 的 Wi‑Fi 詳細設定中,通常可設定「設定代理」為「手動」,伺服器填電腦的區域 IP,埠填 Clash 的混合埠或 HTTP 埠;若支援 SOCKS,則埠與類型需與設定檔一致。另一臺電腦可在系統代理或瀏覽器中填入相同位址與埠測試。
建議先用電腦瀏覽器在區網 IP:埠 無法直接開頁測試 HTTP 代理是否正常(SOCKS 需用對應工具);更實際的方式是手機開啟瀏覽器訪問僅在代理後可開的測試頁,或對照客戶端連線日誌是否出現來自手機 IP 的連線。若手機設了代理卻無法上網,依序檢查:IP 是否填錯、埠是否對應 mixed/HTTP、電腦防火牆、是否與電腦同一 Wi‑Fi、路由器是否開啟 AP 隔離。
區域網路安全:你必須知道的事
開啟 allow-lan 等於在區域網路上提供一個可被他人使用的代理入口:同一 Wi‑Fi 下的裝置若知道你的 IP 與埠,可能將流量導經你的 Clash,消耗你的頻寬與節點配額,也可能帶來法律與帳號責任歸屬問題。請只在家庭或可信任的小型區網使用,並避免在咖啡廳、機場等公用 Wi‑Fi 開放。
external-controller(外部 REST API)若綁在 0.0.0.0 且無密鑰或密鑰過弱,區網內他人可能切換節點、讀取設定。建議將 API 僅綁 127.0.0.1,或設定 secret,且不要對外網暴露該埠。路由器埠轉發若把代理埠對映到公網,風險極高,不建議這樣做。
定期更新客戶端與核心、使用強韌的訂閱與節點來源,並在不用時關閉 allow-lan,都是簡單但有效的習慣。若與家人共用,也可在路由器層做裝置隔離,僅允許特定 MAC 連線——屬於進階網管範疇,依家庭環境取捨。
設定檢查清單(可直接逐項勾選)
- 設定檔或客戶端已開啟
allow-lan: true(或同等選項) - 監聽位址可從區網存取(例如
bind-address為*或0.0.0.0) - 已確認
mixed-port或 HTTP/SOCKS 埠號,且手機端類型一致 - 已查電腦正確區網 IPv4,手機代理主機填此位址
- Windows/macOS 防火牆已放行該 TCP 埠(僅限信任網路環境)
- API 未對區網不必要開放,或已設
secret並綁本機
小結
Clash 在電腦上跑穩之後,透過 allow-lan、正確的混合埠與區網 IP,再搭配系統防火牆放行,就能讓手機與其它裝置在同一 Wi‑Fi 下共用代理,省去多裝置重複設定的麻煩。相較於每台裝置各自裝客戶端,由一台常開的電腦集中管理訂閱與規則,在穩定性與一致性上往往更好——前提是你要把區域網路安全當成與密碼同等重要的事來看待。
若你希望圖形介面一鍵管理訂閱、核心更新與規則,並內建最新 Mihomo 能力,可優先選擇官方維護的桌面客戶端體驗。→ 立即免費下載 Clash,開啟流暢上網新體驗