Clash 局域网共享代理:mixed-port 与 allow-lan 多设备接入教程
你已经在电脑上把 Clash 跑通,却不想在每一台手机、平板或备用电脑上重复导入订阅。更常见的需求是:同一套 Wi‑Fi 下,让这些设备通过本机的 Clash 出口访问外网。实现路径并不复杂:在配置里打开允许局域网连接(allow-lan),确认监听地址与端口(常用 mixed-port),再在其它设备上填写电脑的局域网 IP与对应端口。本文按「开关含义 → 本机设置 → 对端填写 → 排错」顺序说明,并单独提醒防火墙与暴露面风险。
适用场景:什么时候该用局域网共享
局域网共享适合「只有一台机器长期开着 Clash、其它设备偶尔需要同一套规则与节点」的情况:例如笔记本做网关,手机临时查资料;或台式机常开,平板走同一策略组。它与「每台设备各自装 Clash 并导入订阅」相比,维护点集中在一台电脑上,但那台电脑必须在线,且局域网内其它设备不会自动获得 TUN 级全局接管——多数场景下你是在系统或应用层填写HTTP 或 SOCKS 代理,具体能力与 App 是否尊重代理有关(部分游戏、语音仍可能直连)。若你希望手机全局分流体验接近 PC,更常见做法是手机本机安装客户端并导入订阅;局域网共享则是轻量、少装软件的折中方案。
开始前请确认:电脑与手机连接的是同一二层网段(典型即同一无线路由器的 Wi‑Fi,或手机开热点给电脑——此时「网关机器」角色会互换,下文以「跑 Clash 的那台电脑」为准)。若电脑插网线、手机连 Wi‑Fi,只要仍在同一子网(例如都是 192.168.1.x),一般可以互通;访客网络、AP 隔离或「无线与有线隔离」会导致 ping 不通,需要先在网络侧关闭隔离。
mixed-port 是什么,和 port、socks-port 的关系
在 Clash 系配置中,port 通常指 HTTP 代理端口,socks-port 指 SOCKS5 端口。mixed-port 表示在同一个 TCP 端口上同时提供 HTTP 与 SOCKS5 协议识别(具体行为依内核版本而定,但对用户而言就是「填一个端口号即可尝试两种类型」)。很多图形客户端默认展示或覆写的是 mixed-port,常见默认值为 7890,也可能与你的订阅或本地覆写不一致,因此以当前生效配置与实际监听为准,不要死记数字。
若你的配置里没有 mixed-port,而是分别写了 port 与 socks-port,则其它设备填代理时:浏览器、系统「HTTP 代理」填 port;需要 SOCKS5 的应用填 socks-port。混合端口的好处是减少记两个数字的负担,尤其在手机上只开一个字段时更方便。
# Minimal excerpt — ports only; match your real config
mixed-port: 7890
# or separate:
# port: 7890
# socks-port: 7891
allow-lan 与 bind-address:谁能连上你的 Clash
默认情况下,Clash 可能只监听 127.0.0.1,即仅本机回环,其它设备即便知道你的 IP 和端口也无法连接。allow-lan: true 的作用是让监听范围扩展到局域网网卡地址(或按 bind-address 指定)。常见写法如下:
allow-lan: true:允许来自局域网的入站连接(仍需操作系统防火墙放行)。bind-address: '*'或0.0.0.0:在所有 IPv4 接口上监听(具体键名以你使用的 Meta / Mihomo 文档为准,有的版本用*表示全部)。- 若只希望在某一网卡上监听,可设为该网卡的固定 IPv4,以减少误暴露(进阶)。
allow-lan: true
bind-address: '*'
修改后通常需要重载配置或重启内核;在 Clash Verge、CFW 等界面里,「允许局域网连接」开关与上述 YAML 往往是对应的。若你在覆写里关闭了某端口,请确认没有与订阅远程配置冲突——最终以合并后的生效配置为准。
mixed-port 与 allow-lan 解决的是代理入站;若你还把 Web 面板 / REST 管理口(external-controller)绑到局域网或映射到宿主机,暴露面与防火墙规则应单独收紧,不要与共享代理端口混为一谈。逐步配置见 《Meta external-controller 与 secret 加固》。
在图形客户端里怎么开(思路通用)
不同皮肤名称略有差异,但逻辑一致:找到内核或通用设置中的「允许来自局域网的连接」「Allow LAN」或等价选项并打开;在端口或覆写里确认 mixed-port(或 port / socks-port)数值。若你使用 《Clash for Windows 安装与配置》 中的环境,可在对应面板核对监听地址是否为 0.0.0.0 或已勾选 LAN。macOS 上若配合 《Clash Verge Rev 首次配置》,注意系统防火墙弹窗时允许入站,否则局域网仍会被挡在系统层。
建议顺序
先在本机浏览器用 127.0.0.1:端口 验证代理可用,再开 allow-lan,用手机访问同一端口,避免同时改太多变量。
如何查「电脑在局域网里的 IP」
其它设备填写的「服务器」或「主机名」应是运行 Clash 的那台机器在局域网内的 IPv4 地址,不是公网 IP,也不是 127.0.0.1。Windows 可在命令提示符执行 ipconfig,查看当前 Wi‑Fi 或以太网适配器的「IPv4 地址」;macOS 在「系统设置 → 网络」中查看;Linux 使用 ip addr 或 hostname -I。多网卡环境下,请选择与手机同一网段的那张网卡地址(例如都是 192.168.0.x)。若 IP 经常变,可在路由器上为该电脑做 DHCP 静态分配,避免每次重连 Wi‑Fi 都要改手机上的代理地址。
填写的典型形式
- 主机:
192.168.1.23(示例,以你电脑为准) - 端口:
7890(与mixed-port或当前 HTTP 端口一致) - 类型:优先尝试 HTTP 或 SOCKS5,与系统设置或 App 选项一致
手机、平板与其它电脑如何设置代理
iOS / iPadOS:在「无线局域网」中点当前 Wi‑Fi 右侧信息图标,划到最下「HTTP 代理」→「手动」,服务器填电脑局域网 IP,端口填 mixed-port 或 HTTP 端口。若某 App 需要 SOCKS,需 App 自身支持;系统级 SOCKS 覆盖不如 Android 灵活。
Android:不同厂商菜单位置略有差异,一般在 Wi‑Fi 详情 → 高级选项 → 代理 → 手动,主机名与端口同上。部分机型对「仅限浏览器」与「全应用」行为不一,若发现只有浏览器走代理,可尝试支持 SOCKS 的客户端或在应用内单独配置。
另一台 Windows / macOS / Linux:在系统网络设置里配置 HTTP/HTTPS 代理,或在浏览器、终端里设置 http_proxy / HTTPS_PROXY 环境变量指向 http://电脑IP:端口。与 《Linux 无图形环境部署》 中的命令行场景相比,局域网共享侧重点是把已有本机代理端口暴露给同网段设备,而不是在第二台机器上再起一个 mihomo 实例。
| 端类型 | 常见用途 | 备注 |
|---|---|---|
| HTTP / HTTPS | 系统代理、多数浏览器 | 端口与 port 或 mixed 一致 |
| SOCKS5 | 部分 App、命令行工具 | 无 mixed 时用 socks-port |
连不上时按什么顺序排查
下列顺序能覆盖大多数「手机填了 IP 和端口仍无法上网」的情况,建议从上到下逐项验证。
- Clash 是否在运行、规则是否已连通:先在电脑上确认本机代理可用;若电脑本身都打不开网页,应先解决订阅与节点问题,可参考 《已连接却无法上网》 中的 DNS 与规则思路。
- allow-lan 与监听地址:确认已开启且监听在非回环地址;在电脑上用
netstat或系统资源监视器查看端口是否处于LISTEN并对0.0.0.0或本网卡开放。 - IP 与端口是否抄错:尤其注意局域网 IP 变化、以及 mixed 与单独 HTTP 端口混淆。
- 防火墙:Windows 防火墙、第三方安全软件、macOS 入站规则可能拦截 TCP 入站;可为 Clash 或对应端口添加入站允许规则(仅局域网场景下尽量限制来源网段)。
- 路由器 AP 隔离 / 访客网络:部分公共 Wi‑Fi 禁止设备互访;换到家用路由或关闭隔离后再试。
- 双频路由器:少数环境下 2.4G 与 5G 客户端被隔离,可尝试同频段或查路由器说明。
若仅有浏览器可用、其它 App 仍直连,属于应用是否走系统代理的问题,不是 Clash 局域网开关失效。此时要么换支持代理的 App,要么在目标设备上安装 Clash 类客户端做 TUN 级接管。
安全与隐私:局域网共享不是「仅限自己」
一旦开启 allow-lan 并监听在 0.0.0.0,同一局域网内任何能连到你 IP 与端口的设备都可能尝试使用你的代理出口(若未做额外认证)。在宿舍、办公网、公共热点等不可信网络中,这相当于把流量入口暴露给邻近主机。建议:仅在信任的家中网络使用;离开可信环境后关闭 allow-lan;路由器管理密码与 Wi‑Fi 密码保持强度;必要时用防火墙限制仅子网内特定 IP 访问该端口。不要在文章评论区或社交平台公开自己的局域网拓扑与端口截图,以免与真实环境对应。
合规提醒
请遵守当地法律法规与服务条款;本文仅讨论家庭或自有设备网络工程配置,不鼓励在未授权网络中为他人提供代理服务。
常见问题
手机 ping 不通电脑是否一定不能代理
部分路由器默认禁止 ICMP,ping 不通不代表 TCP 代理端口不通。可用手机浏览器访问 http://电脑IP:端口(若返回异常页面也可能说明端口可达)或在电脑上抓包;更直接是在系统代理填好后直接试网页。
需要配置 IPv6 吗
大多数家庭局域网共享场景只填 IPv4 即可。若纯 IPv6 环境,需保证两端 IPv6 互通且 Clash 监听范围包含对应接口,门槛明显高于 IPv4,新手建议优先用 IPv4 地址。
手机开热点给电脑,谁填谁的 IP
若 Clash 跑在电脑上,手机开热点:电脑连接到该热点后,电脑会获得手机分配的一个局域网 IP,其它设备若要经电脑代理,需连接到同一热点并填写电脑在该热点网段下的 IP。角色不要搞反。
实操检查清单
- 电脑本机确认 Clash 规则与节点可用。
- 开启
allow-lan,确认mixed-port(或 port)与监听地址。 - 查准电脑局域网 IPv4,手机与电脑同网段、无 AP 隔离。
- 系统防火墙放行入站(按系统与端口)。
- 手机填入 IP + 端口,先测浏览器再测其它 App。
从合适的客户端开始
无论你是在 PC 上长期驻留 Clash,还是希望在更多设备上一致体验,选择更新活跃、内核清晰的项目都更省心。局域网共享只是众多网络拓扑中的一种,与 TUN、分流规则、DNS 等能力可以叠加使用。