1. 典型場景:為什麼本機能上、手機卻連不上
在 Windows 上,瀏覽器或系統代理若指向 127.0.0.1 與某個埠,封包只會送到本機回環介面,作業系統不會把這條路徑暴露給同一個路由器下的其他裝置。換句話說,你的 Clash 即使規則完美、節點延遲漂亮,只要監聽範圍僅限本機,手機在 Wi‑Fi 裡填同一個 IP 與埠也會得到連線逾時或直接被拒。這不是「手機不支援 Clash」,而是網路堆疊根本沒有把該埠掛在對外可見的位址上。
第二個常見誤會是:以為開了圖形客戶端的「系統代理」就等於「全屋子裝置都會跟著走」。實際上,系統代理多半只影響那一台 Windows 上的應用程式,不會自動幫 iPhone 或 Android 改路由。若你希望其他裝置共用,必須讓它們主動把 HTTP 或 SOCKS 代理指到你電腦的區域網路 IP,並確保該 IP 上的代理埠真的在聽、且未被防火牆擋下。
第三個隱藏因素與 Wi‑Fi 隔離 有關:部分公共熱點或訪客網路會禁止無線用戶互連,即使你把 Clash 與防火牆都設對了,手機仍無法對筆電的區網位址建立 TCP。遇到這種情況,只能改接允許區網互連的路由器設定,或改用其他出口方案;技術上並非單靠 Clash 能解。
2. 監聽位址與 allow-lan:先讓 Clash「聽得到」區網
allow-lan(或圖形介面裡意義相同的「允許區域網路連線」「Allow LAN」類開關)的作用是:告訴核心可以接受來自非本機位址的連入。若關閉,即使你把埠綁在 0.0.0.0,有些版本仍會在邏輯上拒絕區網請求;若開啟卻仍只綁 127.0.0.1,區網同樣進不來。兩者要一起檢查,而不是只改其中一項就關視窗。
bind-address(或等價欄位)決定哪一張網卡、哪個位址會掛上代理埠。常見寫法包含僅限回環、全部介面(以 * 或 0.0.0.0 表示,實際可用值請以你手上的範本為準),或指定某一個區網 IP。對多數家庭使用者而言,目標很單純:讓同一子網路上的手機能連到那個埠,同時盡量避免在不可信網路把服務攤得過大。
建議在改動前,先用 系統內建的介面清單確認你目前的 Wi‑Fi IPv4 位址(例如 192.168.x.x 或 10.x.x.x),手機端之後要填的「代理伺服器」就是這個位址,而不是路由器對外 IP。若電腦同時有乙太網路與無線網路,請確認 Clash 綁在手機實際連得到的那一張,否則會出現「偶爾能連、換網路就掛」的現象。
把代理監聽在「所有介面」時,等同於對能路由到你電腦該埠的任何人提供轉發能力。請搭配防火牆範圍、僅限家用 SSID,並避免在咖啡廳或會議場地長期開啟。
3. mixed-port、port、socks-port:手機上要填哪一個
mixed-port 是 mihomo 系列常見的「單一埠同時接受 HTTP 與 SOCKS」設計,對要在 Wi‑Fi 設定裡填 HTTP 代理的手機而言,通常最直覺:你只要記一組數字,不必在 HTTP 與 SOCKS 之間來回切換。若你的設定檔把 HTTP 的 port 與 SOCKS 的 socks-port 分開定義,就必須在客戶端選對應協定的那個埠,混用會出現連得上卻無法完成 TLS 握手、或應用程式直接報「不支援的代理類型」。
實務上建議打開 Clash 儀表板或日誌頁,確認目前生效的入站埠列表。不同圖形殼會把數字顯示在「連接埠」「Inbound」「一般設定」等區塊,名稱不一但意義相同:手機要連的就是那個 TCP 埠。若你同時啟用了外部控制器或 API 埠,請勿把它誤當成代理埠填進系統代理欄位,兩者協定不同,填錯只會得到奇怪錯誤或毫無反應。
另一個細節是 IPv6:若你的區網同時發放 v6 位址,而 Clash 只監聽 IPv4,手機若優先走 v6 也可能連不到。遇到疑難時,可在手機上暫時指定 IPv4 代理位址,或在路由器層面觀察實際連線族別,再決定是否要在設定裡補上 :: 相關監聽(視核心與版本支援而定)。
4. mihomo/YAML 設定節錄與圖形介面對照
若你直接編輯設定檔,核心概念會長得像下面節錄:開啟區網、指定 mixed-port、並用 bind-address 控制綁定位址。實際鍵名與預設值可能隨版本微調,請以官方文件與你正在跑的執行檔為準;此處僅協助對齊關鍵欄位與語意。
設定節錄(埠號請替換為你的環境)
# Mihomo-style excerpt — verify keys against your running version mixed-port: 7890 allow-lan: true bind-address: '*' # If you split inbounds instead of mixed-port, align client protocol: # port: 7890 # HTTP # socks-port: 7891 # SOCKS
圖形客戶端通常會把上述選項翻成開關與輸入框,並在儲存後覆寫底層 YAML。若你發現「介面上已打開允許區網,手機卻仍連不上」,下一步不是重複勾選,而是回頭確認實際載入的設定檔是否為你以為的那一份——多配置檔、多設定檔或「以管理員身分執行」造成的工作目錄不一致,都會讓你在 UI 看到的與核心讀到的不是同一套。
訂閱與規則若尚未就緒,可先到本站 訂閱匯入教學把基底補齊;區網共用只是把「別台裝置的 TCP 連線」導向已經在跑的入站埠,無法取代節點品質與分流邏輯。
5. Windows 防火牆:新增入站規則放行代理埠
即使 Clash 已在 0.0.0.0 監聽,Windows Defender 防火牆仍可能預設擋下從區網進來的入站連線。症狀通常是手機顯示代理錯誤、瀏覽器一直轉圈,而同一台電腦本機測試卻正常。此時需要在「具有進階安全性的 Windows Defender 防火牆」裡,為你的代理 TCP 埠新增一條允許連線的入站規則。
建議流程如下:開啟wf.msc(或從控制台進入進階設定)→ 選擇入站規則 → 新增規則 → 規則類型選連接埠 → 通訊協定選 TCP,並指定特定本機連接埠(與 mixed-port 或 HTTP 埠一致)→ 動作選允許連線 → 設定檔勾選你實際使用的網路類型(私人網路較常見;公用網路請謹慎)→ 命名一個你三個月後還看得懂的名稱,例如「Clash mixed 7890 LAN」。
若你安裝了第三方安全軟體,可能還有另一層防火牆介面會覆寫 Windows 規則;此時要以該套件的工作記錄為準。部分企業筆電由 IT 統一鎖定規則,使用者介面看得到卻無法儲存,這屬於政策限制,需要與管理單位確認,而不是反覆重裝 Clash。
完成後,建議先關掉手機代理,在路由器管理頁或電腦上用另一台裝置 ping 你的區網 IP,確認二層連通無虞,再打開代理做一次瀏覽測試。若 ping 不通但 Wi‑Fi 明明已連上,回到上一節的隔離或子網路不一致繼續查。
6. 手機與其他電腦:代理主機名與通訊協定怎麼填
在 iOS 或 Android 的 Wi‑Fi 詳細資訊裡,通常可設定手動 HTTP 代理:伺服器欄位填你電腦的區網 IPv4,連接埠填 mixed-port 或 HTTP 埠。若應用程式要求 SOCKS,則改在支援 SOCKS 的客戶端裡填寫,埠號改對應 socks-port。記得代理不含「http://」前綴在系統 Wi‑Fi 欄位裡,那是瀏覽器 PAC 或腳本才會出現的寫法。
另一台 Windows 或 macOS 若要借用,可在系統代理或瀏覽器設定裡填 http://192.168.x.x:7890(請替換實際 IP 與埠)。部分軟體還需要略過本機與內網的清單,避免把區網印表機或 NAS 管理頁也硬塞進代理隧道,造成無法開啟設定頁的困擾。
若你希望只有瀏覽器走代理、其餘 App 維持直連,優先使用瀏覽器外掛或分應用設定,而不是強制全系統代理。這能減少銀行 App、區網監控攝影機這類對代理不友善的程式突然異常。
7. 驗證順序與常見錯誤訊息
建議依序檢查:① 電腦本機以 127.0.0.1:埠 能通;② 同一台電腦改用區網 IP:埠仍能通(此步驟若失敗,幾乎可斷定是綁定位址或 allow-lan 仍不對);③ 手機關閉代理時能正常上網,開啟代理後觀察 Clash 連線日誌是否出現來自手機 IP 的條目;④ 若日誌完全沒有新連線,回到防火牆與 Wi‑Fi 隔離。
常見錯誤包含:Connection refused(沒在聽或埠填錯)、長時間等待後逾時(防火牆或隔離)、以及少數應用程式在 HTTPS 環境下對私人根憑證挑剔(若你另外掛了抓包或中間人,需另行處理憑證信任)。每遇到一種症狀,先分辨是TCP 層到不了,還是TCP 已建立但應用層失敗,再決定要改 Clash 還是改客戶端。
想進一步理解 Windows 上與 TUN、UWP 相關的本機回環與處理序規則,可延伸閱讀 TUN 與 UWP 回環一文;該篇主軸在單機應用程式相容性,與本篇「區網第二台裝置入站」可並行參考。
與 Docker 主機代理的差異
若你也在本機跑容器,並希望容器內的 npm/git 走主機 Clash,請改看 Docker 容器走主機 Clash:該文強調 host.docker.internal、bridge 閘道與 HTTP_PROXY,和「手機從 Wi‑Fi 連進電腦埠」是不同網路路徑,不要混用同一套除錯假設。
8. 安全與信任邊界:不要隨便把代理開在陌生網段
開放 區域網路代理共用 等同於在內網提供一個可轉發流量的入口:任何能連上該埠的裝置,原則上都能借用你的節點與規則。對家庭使用者,風險常來自訪客裝置、被入侵的 IoT,或被蹭網的鄰居;對宿舍環境,則要假設同層 Wi‑Fi 上還有其他人會掃描埠。
實務上可採取的縮減面包含:只在需要時段開啟 allow-lan、把防火牆規則限制在私人設定檔、為路由器管理員密碼與 Wi‑Fi 加密方式定期檢查、以及避免在公共熱點開啟全介面監聽。若你同時需要遠端連回家,優先評估 VPN 回到自家區網,而不是直接把代理埠暴露到廣域網路。
最後請把法規與服務條款納入考量:某些網路環境禁止自行轉發或共用出口,違規可能帶來帳號或契約風險。本文僅整理技術設定,實際部署請遵守你所在場域的規範。
寫在最後
把 Clash 從「只服務一台電腦」擴展到「同一個 Wi‑Fi 下的其他裝置」,核心並不是再買一個訂閱,而是把入站監聽、埠與協定、作業系統防火牆三層一次對齊。相較介面停滯、日誌資訊稀少的舊方案,持續演進的 Clash/mihomo 生態在觀察連線與調整規則上通常更直覺;當你能在日誌裡清楚看到手機 IP 的條目,代表區網路徑已經打通,剩下就是策略組與節點品質的日常維護。
若你準備好把 allow-lan、mixed-port 與 Windows 入站規則檢查一遍,建議從本站 下載頁取得適合 Windows 的客戶端,先把單機場景跑穩,再開放給手機使用,整體除錯會輕鬆許多。當設定與日誌對得起來,多裝置共用的體驗會比四處複製訂閱連結更乾淨。若你願意現在就把流程走完,歡迎由此開始:→ 立即免費下載 Clash,開啟流暢上網新體驗。
相關閱讀 · 同主題集群
依主題相關度匹配的延伸閱讀,涵蓋同分類下的實戰配置文章。
Reddit 打不開或載入慢?Clash 分流 Reddit 與 CDN 網域實測(2026)
首頁轉圈、縮圖與預覽圖全灰?從 reddit.com 殼層、GQL、redditstatic 到 preview.redd.it 與 v.redd.it 拆多段 CDN,整理 mihomo 網域規則順序、DNS/Fake-IP 與 Sniffer 日誌;與 YouTube 影片、Discord 語音、Steam 專欄同…
閱讀全文Windows 上讓 npm 與 pnpm 走 Clash:環境變數與分流規則完整步驟(2026)
瀏覽器正常、終端機 npm/pnpm 卻逾時?整理 PowerShell 的 HTTP_PROXY/HTTPS_PROXY、NO_PROXY 略過 npmmirror 等境內 registry,並用 Clash 規則順序讓 registry.npmjs.org、GitHub 走穩定代理;與 Docker 宿主機代理、W…
閱讀全文YouTube 卡頓或首頁打不開?Clash 分流 Google 與影片 CDN 網域實測(2026)
一直轉圈、無限緩衝或縮圖載不全?從首頁、登入、播放器到影片 CDN 拆解 Google 系網域,整理 mihomo 規則順序、DNS/Fake-IP、QUIC/HTTP3 對照與 Sniffer 日誌;與 Netflix 地區檢測篇、Gemini 對話產品篇分工,補足站內「長影音地區」與「純 AI」主題缺口。
閱讀全文