你在解的是哪一種「連不上」
許多使用者會在電腦上先確認 Clash/Mihomo 節點與規則都正常,接著希望手機、平板或電視盒子改走同一台電腦上的 HTTP 或 SOCKS 代理,省去在每台裝置重複匯入訂閱。實務上最常見的落差有兩類:
- 完全連不上代理:手機一設定代理就顯示無法連線、瀏覽器立刻逾時,或連「只測試區網」都失敗。這多半落在監聽位址、allow-lan、連接埠、防火牆、路由器隔離其中一環。
- 代理「有通」但只有部分網站怪:例如搜尋引擎能開、特定影音或社群站卻空白轉圈。這時除了區網,還要懷疑 DNS 模式、規則分流、fake-ip/嗅探與節點本身,思路會和純區網問題不同。
下文以「讓區網裝置連到電腦上的 Clash 代理服務」為主軸,並以 Windows 11 防火牆為例(macOS 觀念類似,介面不同)。請在合法合規前提下使用,本文不提供規避法規或濫用網路資源的指引。
第零步:先確認真的在同一個區網裡
在改任何設定檔之前,請先確認手機與電腦連到同一台路由器/同一個子網。若手機用行動網路、電腦用 Wi-Fi,兩者本來就不會互通;若手機在訪客網路(Guest Wi-Fi)、電腦在主網路,許多路由器會預設禁止訪客存取區網裝置,結果就是你怎麼填代理都連不到。
接著在電腦上查區域網路 IPv4(例如 192.168.1.23 或 10.0.0.5),手機代理伺服器請填這個位址,而不是 127.0.0.1。127.0.0.1 永遠代表「這台裝置自己」,在手機上填它,等於要手機去連自己身上的代理服務,當然不會指到電腦。
若你不確定 IP 是否會被路由器重新指派,可在路由器後台為電腦做DHCP 保留/固定 IP,之後教家人改代理時也比較不會三天兩頭失效。
第一步:allow-lan 與對外監聽
Clash 系核心預設常把代理服務只開給本機使用,避免你在咖啡廳誤開成「全區網可連」。要讓手機從區網連進來,必須開啟 allow-lan(或圖形介面中對應的「允許區域網路連線/LAN」之類選項)。在 YAML 中通常長得像:
# allow inbound from LAN devices (not only localhost)
allow-lan: true若這裡是 false,即使防火牆放行,核心仍可能拒絕來自區網 IP 的連線,症狀就是手機端「連線被拒」或立刻失敗。改完後請重載設定或重啟用戶端,避免舊行程仍載入舊值。
第二步:bind-address 是否只聽在 localhost
另一個高頻陷阱是綁定位址。若 bind-address 設成 127.0.0.1,代表服務只監聽在回環介面,區網裝置無論怎麼填電腦 IP 都連不進來。要給區網使用,一般會設為 監聽所有介面,例如:
# listen on all interfaces; some cores accept 0.0.0.0 instead of '*'
bind-address: '*'實際可用值依核心版本與用戶端封裝略有差異;重點是不要讓服務只綁在 127.0.0.1。若你同時手動指定了 interface-name 或多網路環境(例如同時有乙太網路與 Wi-Fi),也要確認綁定的是手機連得到的那張網卡所對應的區段。
第三步:連接埠一致——mixed-port、port 與 socks-port
手機上設定代理時,通訊協定與連接埠必須和電腦上實際開啟的服務一致。常見情況是:電腦使用 mixed-port 同時提供 HTTP 與 SOCKS 於同一埠,或分開設定 port(HTTP)與 socks-port(SOCKS5)。若你在手機填了 HTTP 代理,卻對到電腦上只開 SOCKS 的埠,或反過來,就會出現「連得到 TCP、但協定不對」的各種怪現象。
建議在圖形介面或設定檔中記下實際數字,並在手機用同一組測試。若你曾改過連接埠卻忘了同步,優先回到用戶端的「連接埠/Inbound」總覽頁核對一次。
第四步:Windows 11 防火牆入站規則
即使核心已對外監聽,Windows Defender 防火牆仍可能擋下來自區網的入站連線。典型作法是為 Clash/Mihomo 用戶端允許通過防火牆,或為你使用的那個 TCP 連接埠建立入站規則(允許區網或視需求限縮來源 IP 範圍)。若你只按過「允許私人網路」卻實際連在「公用網路」設定檔,也可能被擋。
實務排查時可以先用最短對照實驗:暫時關閉防火牆測試(僅限受信任區網、測完即開回),若一關就能連,幾乎可確定是規則問題,再把精準的程式或連接埠規則加回去,而不是長期關閉防護。
若你同時安裝第三方防毒或 EDR,它們可能額外攔截「非瀏覽器程式接受外部連線」;此時也要在用戶端目錄或連接埠上設定排除,否則怎麼改 YAML 都無效。
第五步:路由器 AP 隔離、Mesh 與雙頻分離
有些家用路由器提供AP 隔離(不同 Wi-Fi 用戶不能互連)、或 Mesh 子節點之間的用戶隔離。若手機與電腦剛好落在會被隔離的組合(例如一台在訪客 SSID、一台在主 SSID),就會出現「兩邊都能上網,但彼此 ping 不到」的現象。
另外,2.4GHz 與 5GHz 分開 SSID時通常仍在同一 L3 子網,但若廠商實作了訪客隔離或 VLAN,仍可能踩雷。排查方式很直接:在手機上用區網掃描工具或簡單 ping 電腦 IP,若連 ICMP 都過不了,就先別談代理,先處理路由器層級的隔離設定。
若「區網已通」卻只有部分網站異常
當手機已能透過電腦代理開啟一般網頁,但少數網站永遠逾時,請改往DNS 與規則追查。例如 fake-ip 與規則集不一致、嗅探(sniffer)與 TLS 情境不符、或 DNS 上游被污染,都會表現成「只有某幾個網域怪」。可搭配本站DNS 防洩漏與解析設定指南與Fake-IP/Redir-Host 排查文對照。
若你主要在 iPhone 上使用,也可參考iPhone 訂閱用戶端與首次連線排查,其中對 VPN、區域網路權限與 DNS 的順序與本文互相補充。電腦端若你啟用 TUN 並遇到整機路由問題,可另讀Windows TUN 與 Wintun 排查;但單純「手機連電腦代理」多數仍屬於監聽與防火牆層級,不必一開始就動到 TUN。
建議的固定排查順序(可列印備忘)
為避免同時改太多變因而無法歸因,建議照這個順序做:
- 確認手機與電腦同一區網,且非訪客/隔離 SSID;記下電腦區網 IPv4。
- 在核心或 GUI 開啟
allow-lan,並確認bind-address不是只綁127.0.0.1。 - 核對
mixed-port/port/socks-port,與手機代理類型一致。 - 檢查 Windows 防火牆與網路設定檔(私人/公用)是否擋住入站。
- 檢查路由器是否開啟 訪客隔離、AP 隔離、用戶隔離。
- 若以上皆正常仍部分網站異常,再進入 DNS、規則與 fake-ip 路線。
開源核心與用戶端版本
Mihomo/Clash Meta 系列持續演進,欄位名稱與預設值可能隨版本微調。若你想核對某選項在當前版本的精確定義,可至 GitHub 上的 Mihomo 倉庫查閱文件。安裝包與圖形用戶端仍建議優先從本站取得,以降低「核心已更新、GUI 仍舊」造成的顯示與行為落差。
小結
Clash 區域網路共享的本質,是讓核心在正確的介面上監聽、並用 allow-lan 明確允許區網進線,再搭配作業系統防火牆放行與路由器不做隔離。多數「手機連不上電腦代理」並不是訂閱壞了,而是綁定位址、連接埠或防火牆其中一環卡住。
相較於在每台裝置各自維護訂閱,用桌機集中跑 Mihomo、區網裝置只填代理,在管理上往往更單純;前提是桌面用戶端穩定、且你願意處理本文提到的網路與安全邊界。建議前往本站下載頁依平台取得安裝包後,再依序核對上述項目。