你在解决什么问题:本机代理与「局域网里的第二台设备」
很多人先在 Windows 或 macOS 上把 Clash(Mihomo 内核)跑起来,本机浏览器立刻能按规则分流;接下来自然希望同一屋檐下、连同一路由器 Wi‑Fi 的手机、平板甚至电视盒子也能走同一套节点,而无需在每台设备上单独导入订阅。这类需求本质上不是「再装一个客户端」,而是让运行 Clash 的那台电脑把代理服务暴露给局域网,其它设备把 HTTP 或 SOCKS 代理指向电脑的局域网 IP 与端口。
实现路径通常只有几步:在配置里打开 allow-lan,确认监听地址不是仅限回环;记下混合端口(社区模板里常见 7890,表示 HTTP 与 SOCKS 在该端口上的组合行为依内核与客户端而定,以你界面显示为准);再在系统防火墙里为对应端口添加入站放行。任一步不对,就会表现为「手机 Wi‑Fi 已连上,但代理死活不通」。下面按「先理解、再操作、后排错」展开。
开始前:确认所有设备真的在同一二层网段
Clash 局域网代理只适用于能直接访问到你电脑局域网 IP 的设备。若手机连着访客 Wi‑Fi、电脑连着主网络,或路由器开启了「AP 隔离 / 无线隔离」,手机可能无法访问电脑上的 192.168.x.x,这与 Clash 配置无关。请先保证:手机与电脑在同一 SSID(或同一 VLAN)、且未被隔离。
在电脑上查 IPv4 地址:Windows 可用「设置 → 网络 → 属性」或 ipconfig;macOS 在「系统设置 → 网络」中查看。请记录形如 192.168.1.23 的地址——手机端手动代理里填的就是它,而不是 127.0.0.1。127.0.0.1 只代表「本机自己」,在手机上填它等于让手机代理指向手机自己,必然失败。若你尚未完成基础安装,可先对照官方文档中的安装与配置流程,再回来看局域网共享。
allow-lan 与监听地址:为什么要开、默认为何连不上
默认情况下,许多发行版为安全起见只监听 127.0.0.1,即仅本机进程可连接代理端口。要让局域网内其它设备访问,需要同时满足两件事:第一,配置中 allow-lan: true(或在图形界面中勾选「允许局域网连接 / Allow LAN」之类选项,本质写入同一含义);第二,绑定地址需为 0.0.0.0 或明确为电脑在局域网中的 IP,而不是仅限回环。
不同客户端对「绑定地址」的暴露方式不同:有的在「设置 → 通用 → 局域网」里一键开关,有的需在配置 YAML 中设置 bind-address: '*' 或等价字段。修改后建议重载配置或重启内核,并在电脑本机用浏览器访问 http://局域网IP:端口 做一次快速验证(部分环境仅返回空响应,以连接是否建立为准),再在手机上配置 Wi‑Fi 代理。
allow-lan 解决「允不允许来自局域网 IP 的连接」;监听地址解决「内核究竟绑在哪个网卡地址上」。两者缺一,都会出现「只有本机能用」的现象。
混合端口与 7890:HTTP、SOCKS 与客户端显示
在 Mihomo / Clash Meta 系配置中,常见写法是使用 mixed-port(混合端口),在一个端口上同时处理多种代理协议,具体以你所用版本文档为准。社区订阅模板里经常出现 7890 作为默认本地端口,因此搜索「Clash 7890」的用户极多——但实际端口以你客户端「端口 / Ports」页面为准,若被占用或手动改过,必须填当前值。
手机系统「手动代理」通常只支持 HTTP 代理:服务器填电脑局域网 IP,端口填混合端口或 HTTP 端口。若某 App 需要 SOCKS5,往往要在 App 内单独配置或使用支持 SOCKS 的客户端。不要在不清楚协议的情况下混填端口,否则现象会是「系统设置里显示已代理,但个别应用仍直连」。若你希望整台设备所有流量无差别走 Clash(含不遵循系统代理的应用),那是另一套思路,通常要借助 TUN 或 VPN 类方案,可参阅《Clash TUN 模式详解》,与本文「HTTP/SOCKS 局域网共享」是互补关系而非重复。
Windows:为入站连接放行「端口」而非盲目关防火墙
在 Windows 上,即使 Clash 已监听 0.0.0.0:7890,系统防火墙仍可能拦截来自手机的入站 TCP 连接。正确做法是新增一条入站规则:允许运行 Clash 的那台机器上、指定 TCP 端口(与你的混合端口或 HTTP 端口一致)。在「高级安全 Windows Defender 防火墙」中,选择「入站规则 → 新建规则 → 端口 → TCP → 特定本地端口」,填写例如 7890,操作选「允许连接」,并勾选当前使用的网络配置文件(专用/公用按你实际环境勾选)。
若你使用第三方安全软件,可能还有一层网络过滤,需要在其中同样放行该端口或 Clash 主程序。完成后,可在手机浏览器访问一个显示出口 IP 的检测页对比验证。若电脑本机代理正常而手机仍不通,优先回头检查是否放行错端口、是否选成出站规则、或是否仍在访客网络。
macOS:防火墙与「阻止所有传入连接」
macOS 用户需在「系统设置 → 网络 → 防火墙」中确认:若开启防火墙且勾选「阻止所有传入连接」,可能拦掉来自手机的入站请求。可为 Clash 相关进程设置允许,或按需调整防火墙策略。具体条目名称随客户端签名与版本略有差异,以系统界面为准。与 Windows 一样,核心是让来自局域网的 TCP 能到达 Clash 监听的端口。
手机与平板:在 Wi‑Fi 上配置手动 HTTP 代理
以常见场景为例:在 iOS「无线局域网 → 已连网络 → 配置代理 → 手动」中,服务器填电脑局域网 IP,端口填 Clash 的 HTTP/混合端口;Android 在「已保存网络 → 高级选项 → 代理」中选择手动并填写相同内容。保存后,先打开系统浏览器访问纯 HTTP 检测站或搜索引擎,观察出口是否变化。若仅浏览器生效而部分 App 仍不走代理,多半属于应用自身不走系统代理,需换支持代理的客户端或改用 TUN 类方案。
请再次核对:手机与电脑是否同一网段、IP 是否填成电脑在路由器下的地址、端口是否与客户端一致。若路由器为电脑做了静态 DHCP 绑定,建议固定电脑 IP,避免次日 DHCP 变化导致手机仍填旧地址。订阅与节点策略仍由电脑上的 Clash 统一管理,其它设备只是「借用」这条代理链路;若你尚未导入订阅,可先阅读《订阅链接导入教程》,保证电脑端策略组工作正常,再共享给其它设备。
仍连不上:按顺序排查的短清单
第一,电脑能否 ping 通手机 IP(若路由器禁 ping 则跳过);第二,手机能否访问电脑同一网段的其它设备(排除隔离);第三,电脑本机用 127.0.0.1:端口 是否可连、再用 局域网IP:端口 自测;第四,防火墙入站规则是否覆盖该端口;第五,Clash 日志是否出现来自手机 IP 的入站记录。若日志完全无连接,问题在二层网络或防火墙;若有连接但规则走错,则回到策略组与规则分流,可参考《规则分流配置详解》。
allow-lan 后,同一局域网内其它用户若知道你的 IP 与端口,也可能尝试使用你的代理出口。请勿在公共 Wi‑Fi 或不可信网络开启;家庭网络也建议配合路由器访问控制,并在不需要时关闭局域网共享。
写在最后
把 Clash 从「只服务本机」扩展到「服务同一 Wi‑Fi 下的多台设备」,核心从来不是玄学,而是监听范围、端口数字与系统防火墙是否一致三件事。把 allow-lan、混合端口(如常见的 7890)与防火墙入站放行对齐后,手机与电脑即可共享同一节点策略,省去重复配置订阅的麻烦。相比每台设备安装客户端,这种局域网共享更适合临时给平板或电视指路,但若你追求全设备一致且可审计,仍要在安全与便利之间自行取舍。
若你希望使用维护活跃、对 Mihomo 内核兼容友好的图形客户端来完成上述选项,可从我们的客户端下载页获取适合你系统的版本,再按本文逐项核对。与零散论坛帖相比,固定端口与防火墙检查清单能少踩一半坑。→ 立即免费下载 Clash,开启流畅上网新体验。