你在解决什么问题:局域网「借道」电脑上的 Clash
很多人先在 Windows 11 上把 Clash(或基于 Mihomo 内核的图形客户端)跑通:本机浏览器访问外站正常。接下来希望手机、平板或电视盒子不必单独装复杂客户端,只要和电脑连同一局域网,在 Wi‑Fi 的 HTTP 或 SOCKS 代理里填「电脑的局域网 IP + 端口」,就能共享这条隧道。这类需求常被称作 Clash 局域网共享或「手机走电脑代理」。
若此时手机端表现为完全连不上代理、间歇超时,或只有部分网站能开,请不要一上来就改分流规则或换订阅。先把链路拆成两层:(1)手机到电脑代理端口的 TCP 是否可达;(2)到达之后,Clash 的 DNS、规则与节点是否正常。本文聚焦第(1)层——监听地址、allow-lan、端口与防火墙放行,并顺带提示路由器侧的 AP 隔离与网段问题。第(2)层若需深入,可结合《Clash DNS 防泄漏配置指南》与《Fake-IP 与 Redir-Host 网页打不开排查》对照。
推荐排查顺序:先网络与监听,再规则
下面顺序刻意写成「能照着点」的流程,建议不要跳步:① 确认电脑本机代理可用;② 确认手机与电脑在同一 L3 网段且能互 ping;③ 核对 Clash 是否监听在 0.0.0.0 或具体局域网 IP、且 allow-lan 为 true;④ 核对 HTTP / SOCKS / mixed-port 实际数字与手机填写一致;⑤ 在 Windows 防火墙为对应端口添加入站允许规则;⑥ 仍失败时再查路由器访客网络、AP 隔离、Mesh 子网或第三方安全软件。其中 ③④⑤ 是 Windows 上最高频的三连坑。
第一步:先确认「不是手机问题」而是「局域网没到端口」
在手机上配置代理前,请在电脑上用浏览器或 curl 访问 127.0.0.1:端口(或客户端显示的本地 Mixed 端口)确认 Clash 正常。若本机都不通,先解决内核、订阅与节点,不要指望手机能奇迹连上。若本机仅开系统代理而代理端口未监听,也会出现类似误判——以客户端「连接信息 / 日志」里显示的实际监听端口为准,而不是凭记忆填 7890。
若你曾在同一台机器上折腾过 TUN 与路由,可先扫一眼《Windows 上 Clash TUN 与 Wintun 排错》,避免「电脑本身路由异常」被误当成手机问题。局域网共享通常不必开 TUN,但若你同时开了 TUN 与系统代理,注意某些 GUI 会改写监听行为,以当前生效配置为准。
第二步:同一 Wi‑Fi 不等于一定能互访——核对 IP 与网段
在电脑上用 ipconfig 查看当前联网网卡(有线或 Wi‑Fi)的 IPv4 地址,例如 192.168.1.23。手机上应在同一网段,如 192.168.1.x,且网关一致。若手机拿到的是 192.168.50.x 而电脑在 192.168.1.x,常见于二级路由、访客 VLAN、Mesh 子节点单独 DHCP,此时二者可能默认不互通,需要先调整拓扑或关闭访客 SSID。
在允许 ICMP 的环境下,可在手机网络工具或对端电脑 ping 对方 IP,作为「二层/三层是否通」的粗测。若 ping 都不通,优先解决路由与 SSID,不要继续纠结 Clash 配置。部分公共或企业热点会禁止客户端互访,现象与 AP 隔离一致,只能换网络或改用其它共享方式。
第三步:bind-address 与 allow-lan——只监听 127.0.0.1 时,局域网永远进不来
Clash 系内核默认往往倾向仅本机安全:若 bind-address 为 127.0.0.1,或等价地在 GUI 里选择了「仅本地」,则代理端口不会对局域网开放,手机填电脑局域网 IP 会连接超时。要让其它设备连入,需要让入站监听在所有接口或明确绑定到局域网 IP。
在 YAML 中常见写法是将 bind-address 设为 * 或 0.0.0.0(具体以你所用内核版本文档为准),并确保 allow-lan 为 true。图形客户端可能在「设置 → 局域网 / Allow LAN」提供开关,本质即这两项。改完后重启内核或重载配置,再在客户端日志或「端口监听」界面确认 0.0.0.0:端口 或 192.168.x.x:端口 已出现。
注意:external-controller(外部控制器,用于 Dashboard)与 mixed-port / port / socks-port(给浏览器或系统代理用的流量入口)不是一回事。手机代理应填代理端口,不要把 9090 类控制端口当成 HTTP 代理填进去。
第四步:到底填哪个端口——mixed-port、socks-port 与界面上的「端口」
不同发行版默认端口不同,且用户可能手动改过。请只信当前运行实例里显示的数值:HTTP 代理对应 port 或 Mixed 中的 HTTP 部分;SOCKS5 对应 socks-port 或 Mixed 中的 SOCKS 部分;若启用 mixed-port,则 HTTP 与 SOCKS 常共用同一端口,手机端任选一种协议类型即可,但类型必须与填写的端口语义一致。
若手机支持「代理 PAC」或「按域名分流」,而你是简单粗暴填全局 HTTP 代理,一般仍可工作;若遇到个别 App 只认 SOCKS,可改用 SOCKS5 指向同一 Mixed 端口(以客户端实际监听为准)。填错端口的表现通常是立即拒绝连接或长时间卡住,与防火墙丢弃有时不易区分,可临时在电脑上用局域网 IP 自测一次:同一台电脑用 Wi‑Fi IP 访问自己的代理端口,验证监听是否对非回环地址开放。
第五步:Windows 11 防火墙放行——入站规则常被忽略
即使 Clash 已监听 0.0.0.0:7890,Windows Defender 防火墙仍可能默认拦截「来自局域网的入站连接」。表现为手机侧代理开关打开后,几乎所有流量超时,而电脑本机仍正常。解决办法是为对应可执行文件或对应 TCP 端口添加入站允许规则。
实践上较稳妥的做法是:打开「Windows 安全中心 → 防火墙 → 高级设置 → 入站规则 → 新建规则」,选择「端口」→ TCP → 指定你使用的代理端口(如 Mixed 单一端口)→ 允许连接→ 配置文件建议专用、域、公用按你当前网络类型勾选;若不确定,可先全选再做最小化收敛。若同一台机器装过多个 Clash 衍生客户端,注意规则绑定的路径与进程是否仍是当前在用的那一个。
首次连接网络时若把 Wi‑Fi 标成「公用网络」,防火墙策略会更严;若你确认环境可信,可在「网络和 Internet → 以太网/Wi‑Fi → 属性」里改为专用,并观察是否仍需放行。企业环境若有组策略统管防火墙,个人规则可能被覆盖,需要管理员协助。
第六步:路由器侧——访客 Wi‑Fi、AP 隔离与 Mesh
家用路由器常见的「访客网络」会对访客 SSID 做客户端隔离:访客设备只能上网,不能访问主网里的电脑。若手机连的是访客 Wi‑Fi,请改连与电脑相同的主 SSID,或关闭隔离选项(不同品牌文案不同,如 AP Isolation、WLAN 隔离)。
Mesh 或多 AP 场景下,部分机型对无线客户端互访默认不友好,可尝试让手机与电脑同时连接到同一频段与同一节点做对照。若只有跨 VLAN 需求,需要静态路由或策略放行,已超出本文入门范围,但现象上仍表现为「外网通、内网设备互访不通」。
第七步:能连上代理却「只有部分网站打不开」
若手机已通过代理打开许多站点,仅少数域名失败,问题往往不在 allow-lan,而在DNS 模式、fake-ip、嗅探与规则。可先在电脑上用同一配置复现:若电脑也复现,按 DNS 与规则文处理;若仅手机异常,再查手机是否用了私密 DNS(DNS over TLS)绕过系统代理,或某 App 使用 QUIC / 直连 DNS。这与《iPhone 上 Clash 订阅与首连排查》里提到的「系统 DNS 与隧道关系」是同一类议题,只是此处你是 HTTP/SOCKS 手工代理而非系统 VPN。
可剪贴保存的一张清单
电脑 IP 是否取自有线/Wi‑Fi 的真实 IPv4? 手机与电脑是否同网段? allow-lan 是否开启、监听是否非 127.0.0.1? 手机填的端口是否与 mixed/port/socks 一致? 防火墙入站是否放行该端口? 是否误连访客 Wi‑Fi? 六项全绿后再去动订阅与规则,你会少花一半时间。
合规与边界
本文仅讨论在合法授权网络环境中,对开源代理客户端进行局域网共享与故障排查的一般技术思路,不构成对任何地区法律法规的规避建议。请在你所在地法律允许的范围内使用相关技术,并遵守服务提供商条款与他人权益。
小结
Clash 局域网共享的本质,是让代理监听从「仅回环」扩展到「局域网可达」,并确保操作系统防火墙放行入站。核心配置是 allow-lan 与正确的 bind-address / 监听地址,配合真实代理端口与Windows 11 入站规则;路由器访客网络与 AP 隔离则负责解释「同一房子却像不在同一网」的现象。相比在多个界面里随机试错,按本文顺序逐项打勾,能更快判断问题是在二层/三层网络、监听与防火墙,还是已进入DNS 与规则层面。
若你希望桌面端安装与权限模型更省心,可选用与 Mihomo 同步迭代、对 Windows 网络配置文件有清晰提示的发行版,并优先从本站下载页获取对应系统的稳定构建。→ 立即免费下载 Clash,开启流畅上网新体验