區網共享在解決什麼:不是「開了 Clash 手機就會自動跟上」

許多使用者在筆電或桌機上把 Clash(或基於 Mihomo/Clash Meta 核心的圖形用戶端)跑起來後,會自然產生一個期待:既然電腦已經能透過訂閱節點上網,那同一個 Wi‑Fi 下的手機,是不是也應該「自動」享受到同一條線路?實務上,手機並不會 magically 讀到你電腦裡的代理設定;除非你另外做區網代理分享,否則手機仍會照自己的行動網路或 Wi‑Fi 直連出去。

區網共享的典型做法是:讓 Clash 在電腦上不只監聽本機回環位址(例如 127.0.0.1),而是對區域網路介面開放一個埠,讓同一子網內的其他裝置,把 HTTP 或 SOCKS 代理指向「你電腦的區網 IP + 該埠」。這樣一來,手機上的瀏覽器與支援手動代理的 App,就能把流量交給電腦上的 Clash,再由 Clash 依規則與策略組送到節點。

若你希望先把名詞與整體架構對齊,可先瀏覽站內的說明文件總覽,再回到本文依序完成「核心開關 → 埠號 → 防火牆 → 手機端設定」四件事。接下來我們會把 Clash 區網代理最常卡關的 allow-lan混合埠(常見為 7890)與系統防火牆一次講清楚。

ℹ️
範圍提醒:本文聚焦「同一區網、手動設定代理」這條路。若你希望裝置不需逐台填代理,而要更接近「閘道級」接管,通常會涉及路由器或透明代理等進階架構,已超出本篇的預設讀者情境。

allow-lan 與 bind-address:為什麼預設只聽 127.0.0.1?

多數 Clash 系用戶端預設只在本機回環上開 listener,原因很單純:把代理埠暴露到區網,等同讓同一個 Wi‑Fi 下的其他裝置也能把你的電腦當作代理跳板,在安全上必須是使用者有意識地開啟。因此你會在設定檔或圖形介面看到 allow-lan: true(或「允許區網連線」之類的開關),它的語意就是:允許非本機來源的連線,打到 Clash 監聽的埠。

僅開 allow-lan 有時仍不足,還需要確認 bind-address(或等價的「監聽位址」)是否綁在能對外提供服務的位址上。常見寫法是 0.0.0.0,代表在所有 IPv4 介面上監聽;若綁在 127.0.0.1,則即使開了區網權限,區網裝置也無法從外部連進來。不同用戶端可能把這兩項放在進階設定、YAML 或「外部控制器」相關區塊,請以你使用的版本為準,但判斷原則不變:listener 必須落在區網可路由到的介面位址上

另一個容易混淆的點是「系統代理」與「區網代理」的差異:Windows 或 macOS 的系統代理多半只影響本機應用程式讀取的系統設定;手機並不會因為你電腦開了系統代理,就自動改走你電腦。手機需要的是:在 Wi‑Fi 詳細資訊裡填手動 HTTP 代理(或支援 SOCKS 的介面),伺服器欄位填你電腦的區網 IP,埠號填 Clash 對外開放的埠。這也是為什麼接下來我們會特別談混合埠7890這個數字在多數教學裡反覆出現。

混合埠(mixed-port)與 7890:手機上要填哪個埠?

在 Mihomo/Clash Meta 系設定中,常見會同時看到 port(HTTP)、socks-port(SOCKS),以及混合埠 mixed-port混合埠的設計目標是在同一個 TCP 埠上同時承載 HTTP 與 SOCKS 類型的連線(實際細節依核心版本與用戶端實作而定),對使用者而言的好處是:手機若只讓你填「一個埠」,通常只要對準 mixed-port 對應的數字即可,而不必在 HTTP 與 SOCKS 之間猜來猜去。

社群文件與截圖很常出現 7890,是因為許多範本與預設值習慣把混合埠設在 7890;但請以你畫面上實際顯示的數字為準。若你曾修改過埠號,或同時啟動了其他會佔用埠的服務,就必須回到用戶端首頁或日誌確認「目前正在 listen 的埠」為何。錯一個數字,典型症狀就是手機顯示已連上 Wi‑Fi,但網頁完全打不開、或只有部分 App 異常。

此外,若你把手機代理設好了,但仍覺得「只有瀏覽器生效、某些 App 仍直連」,這通常不是埠號填錯那麼單純,而是該 App 是否支援系統代理、或是否使用自有網路堆疊。此時可與站內TUN 模式詳解對照理解:TUN 是在更底層接管,而區網 HTTP 代理則偏向「應用願意配合」的模式。電腦端若改走 TUN,並不會自動讓手機也跟著 TUN;手機仍要嘛手動代理、要嘛使用自己的 VPN/代理 App。

先查電腦的區網 IP:手機代理伺服器欄位要填這個

手機 Wi‑Fi 代理設定裡的「伺服器」或「主機名稱」,必須填電腦在區網內的 IP,而不是 127.0.0.1127.0.0.1 永遠指向「裝置自己」;在手機上填本機位址,等同要手機連到它自己,當然連不到你電腦上的 Clash。若你填了公網 IP,也可能因為 NAT、電信業者 CGNAT 或路由器設定而完全無法從內網直連,這也不是本篇預設要處理的情境。

在 Windows 上,可用「設定 → 網路和網際網路 → 區域網路」或 ipconfig 檢視目前 Wi‑Fi 介面的 IPv4 位址;在 macOS 則可在「系統設定 → 網路」選取 Wi‑Fi 後查看 IP。請確認手機與電腦顯示的網段前綴一致(例如同為 192.168.1.x10.0.0.x)。若電腦同時連了有線與無線,請以「實際提供給手機同一個 Wi‑Fi 的那張網卡」為準,避免填到另一張介面的位址。

實務上建議你在開始排查前,先在手機瀏覽器用「區網管理介面」測試能否開啟路由器後台:若連路由器都打不開,問題可能在 Wi‑Fi 本身或 DNS,而不是 Clash。若路由器能開、但代理後反而全掛,再把焦點放回 Clash 監聽、埠號與防火牆。

Windows 與 macOS 防火牆:為什麼「程式有跑,外面卻連不進來」?

當 Clash 已顯示運作中,但手機連線逾時,第二常見的原因就是作業系統防火牆攔截了對外埠的入站連線。預設情況下,許多桌面系統會允許本機程式連出網際網路,但對「從區網其他裝置進入本機某個埠」採較保守策略;因此你需要為 Clash 程序(或對應的埠)建立允許規則

在 Windows 上,可從「Windows 安全性 → 防火牆與網路保護 → 進階設定」檢視「輸入規則」,為你的 Clash/Mihomo 用戶端執行檔建立允許連線,或針對特定 TCP 埠建立規則。若你使用第三方安全軟體,還可能被第二道防火牆攔截,需要一併檢查。在 macOS 上,「系統設定 → 網路 → 防火牆」與應用程式防火牆規則也可能阻止入站連線;若跳出提示,請確認是否允許「接受連入連線」。

這裡有一個實用的判斷技巧:在手機還沒開代理的正常狀態下,先從另一台裝置用區網工具(例如在同一 Wi‑Fi 的電腦上對該 IP 做埠掃描,或使用簡單的連線測試)確認該埠是否真的對外開放。若本機 127.0.0.1:埠 可連、但區網 IP 同埠不可連,幾乎可以直接懷疑是 bind-address 或防火牆問題,而不是訂閱或節點問題。

⚠️
安全風險:開放區網代理意味著「能連上這個 Wi‑Fi 的人」原則上也能嘗試使用你的代理入口(除非你另外做 ACL、密碼或隔離)。請只在信任的區網環境操作,並在不用時關閉 allow-lan 或改回僅本機監聽。

手機與平板:Wi‑Fi 代理畫面要怎麼填?

以常見的 Android/iOS 為例,路徑大致是「Wi‑Fi → 已連線網路 → 進階/設定」中找到代理,改為手動。主機名稱填前一段查到的電腦區網 IP,埠號填你的混合埠(常見為 7890,但仍以用戶端為準)。若畫面分別詢問 HTTP 與 HTTPS,多數情境可填同一組;若某些系統只對瀏覽器生效,請以該系統行為為準。

設定完成後,建議先用瀏覽器開啟可查出口 IP 的頁面做驗證;若 IP 與電腦端選用的節點一致,代表區網代理鏈路已通。若你發現只有少數網站走代理、其他仍像直連,可能要回到 Clash 的規則與策略組,而不是再改防火牆。可延伸閱讀站內的規則分流教學,避免把「規則判成直連」誤認為「區網根本沒通」。

電視盒或媒體裝置若同樣只提供手動代理欄位,可依相同邏輯填寫;若裝置完全不支援代理設定,就只能改以路由器層級或其他網路拓撲處理,這已屬另一條實作路線。

明明同一個 Wi‑Fi:訪客網路、AP 隔離與不同子網路

若設定看似都對,但手機永遠連不到電腦的埠,請不要先急著重裝 Clash。先確認路由器是否開啟了無線基地台隔離(AP isolation/client isolation)或訪客網路:這類功能會刻意禁止 Wi‑Fi 裝置彼此互連,只允許各自上網。典型現象是:手機可以上網、但無法 ping 到或連線到同 Wi‑Fi 的其他裝置。解法通常是把手機與電腦改連到同一個主要區網 SSID,或在路由器後台關閉隔離(若你有權限且了解風險)。

另一種情況是雙頻路由器上,電腦連在 5GHz、手機連在 2.4GHz,但兩者其實仍應在同一 L3 子網;若你的環境使用了 VLAN、Mesh 子節點或「智慧連線」導致裝置被切到不同區段,也可能出現看似同宅、實際不可路由。此時可在電腦上開啟命令列,對手機的區網 IP 做基本連通測試,或暫時只保留最單純的「一台路由器、兩個裝置都連同一 SSID」縮小變因。

最後,若你的電腦同時安裝多個會修改系統路由或防火牆的軟體(其他 VPN、加速器、企業安全用戶端),也可能出現「本機正常、區網入站卻被另一層規則擋下」的情況。建議以最小化環境先驗證:只保留 Clash 與必要網路服務,再逐一加回其他軟體。

安裝來源與版本:先把用戶端準備好,再談分享

區網共享失敗有時與防火牆無關,而是用戶端過舊或設定檔語法與核心不相容,導致 listener 根本沒有照預期啟動。建議固定從可信的下載入口取得安裝包,並留意 Mihomo/Clash Meta 核心與圖形介面的版本對應。你可以先從本站用戶端下載頁取得目前平台可用的版本,再回到本文核對 allow-lan、埠號與防火牆。

相較於在論壇逐篇拼湊截圖,把「監聽位址 → 混合埠 → 區網 IP → 防火牆 → 手機代理」這條鏈路一次寫對,通常能省下大量試誤時間。當你能穩定重現「電腦可連、手機可連、規則可分流」三個條件時,Clash 作為區網內的代理入口才算真正可用。

結語:Clash 區網代理是高頻需求,也值得嚴謹對待

讓手機與電腦在同一個 Wi‑Fi 下走同一個 Clash 節點,本質上是把電腦當成區網內的代理閘道allow-lan混合埠7890 只是你最常遇到的關鍵字,真正的重點是:listener 是否對區網開放、防火牆是否放行,以及手機端是否指向正確的區網 IP 與埠。把這幾層拆開檢查,大多數「連不上」都會有明確答案。

相較於盲目複製別人的 YAML,更重要的是理解每一項設定在安全與連線上的意義,並在不需要分享時把區網開放關回去。當你習慣用可重現的步驟驗證連線,長期使用代理工具的成本會明顯下降。→ 立即免費下載 Clash,開啟流暢上網新體驗