Clash 开启局域网代理后手机仍上不了网？Allow LAN 与防火墙逐步排查

你在做的是哪一种「代理」？

很多用户会在电脑上装好 Clash 系图形客户端，勾选系统代理后本机浏览器立刻变快，于是自然想到：让手机连同一个 Wi‑Fi，在 Wi‑Fi 设置里填上电脑的 IP 和端口，是不是就能共享这份代理？思路没错，但桌面端默认往往只把入站监听绑在 127.0.0.1 上，并且没有打开 Allow LAN（允许局域网），这时手机发来的连接在操作系统层面根本进不了 Clash，表现就是「手机显示已配置代理，但任何页面都超时或立即失败」。

另一类常见混淆是端口类型：HTTP 代理与 SOCKS5端口不同，部分客户端还会单独暴露 混合端口（mixed-port，同一端口同时协商 HTTP 与 SOCKS）。手机系统里「代理主机名 + 端口」必须与你在 Clash 里实际开放的端口一致；填错成仅给 Dashboard 用的端口、或填了 TUN 相关概念端口，都会表现为完全无网。本文聚焦「多设备共享同一台电脑的 Clash 入站」，按监听地址 → Allow LAN → 端口与 mixed-port → Windows / macOS 防火墙 → 路由器与网段给出可照做的顺序；若你主要在手机本机安装客户端，可对照 Clash Android 排障指南 与 iPhone Stash 配置文，场景不同，不要混用排查表。

第零步：确认真的在同一二层网络

在开始改 Clash 之前，先用 30 秒排除「看似同一个 Wi‑Fi、实际不在同一网段」的问题。手机与电脑应拿到同一网段的私网地址，例如都在 192.168.1.0/24 或都在 10.0.0.0/24；若电脑插网线、手机连的是访客 Wi‑Fi 或「智能家居」SSID，有些路由器会做客户端隔离（AP isolation），设备之间互 ping 不通，这种环境下无论 Clash 怎么开，手机都无法访问电脑的入站端口。

快速自检：在手机浏览器访问 http://电脑IP:你打算用的代理端口 往往不会得到漂亮页面，但若完全「连接被拒绝」与一直「转圈超时」含义不同——前者多为主机未监听或防火墙丢弃，后者可能是路由隔离或 IP 填错。记下电脑的局域网 IPv4 地址（Windows 可用 ipconfig，macOS 在「系统设置 → 网络」中查看），后面每一步都要用这个地址，而不是公网出口 IP。

第一步：绑定地址必须是 0.0.0.0（或明确网卡 IP）

Clash 核心配置里与入站相关的字段常见为 bind-address 或图形界面中的「监听地址」。若值为 127.0.0.1，含义是仅本机回环可连，局域网其他设备发来的 SYN 包不会被接受。要让手机连上，需要改为 0.0.0.0（监听所有接口）或在多网卡机器上指定为当前 Wi‑Fi / 有线网卡的真实 IPv4 地址。许多一键配置模板为安全默认会写 127.0.0.1，这是本机可用、手机不可用的头号原因。

图形客户端里若分成「外部控制」「API 监听」与「代理端口监听」，请确认你改的是代理入站那一项，而不是仅把 Dashboard 或 RESTful API 暴露到局域网——后者与手机系统代理里填的 HTTP/SOCKS 端口不是一回事。改完后重启一次内核或整应用，避免旧进程仍持有旧监听套接字。

第二步：打开 Allow LAN（允许局域网）

即便绑定在 0.0.0.0，部分 Clash 发行版仍有一层应用内开关叫 Allow LAN、允许来自局域网的连接或类似文案。关闭时，核心会拒绝非本机来源的入站连接，症状与绑定 127.0.0.1 非常像。请在客户端设置中显式开启，并保存配置后观察日志：当有手机尝试连接时，是否出现 accept 或相应的连接记录。

若你使用远程配置文件，注意服务商下发的 YAML 里也可能带有 allow-lan: false，会在每次更新订阅时被写回。此时需要在客户端的「覆写 / Mixin / 合并配置」里强制改为 true，或在更新后检查该字段是否被覆盖，否则会出现「昨天手机能用、今天订阅一更新又挂了」的间歇现象。

第三步：HTTP、SOCKS 与混合端口（mixed-port）对齐

Android 与 iOS 的「手动代理」界面通常要求填 HTTP 代理主机与端口。Clash 传统上会分别开放 port（HTTP）与 socks-port（SOCKS5）。若你只开了 SOCKS 端口却在手机里填 HTTP，或反之，会导致握手阶段失败。为减少混乱，现代配置普遍推荐使用 mixed-port：单一端口上同时支持类 HTTP 代理与 SOCKS5 客户端接入，手机填这一个端口即可。

请打开当前生效配置，核对三行：port、socks-port、mixed-port。若设置了 mixed-port，优先以 mixed-port 为准给手机使用；若没有 mixed-port，则手机端 HTTP 代理应对准 port 数值。另一个细节是：某些浏览器插件或系统代理会区分「代理」与「仅对当前 Wi‑Fi 使用代理」，确认没有填成 PAC 脚本地址却指向了错误端口。若你希望深入理解透明接管与本机所有应用走代理，可延伸阅读 Clash TUN 模式指南；TUN 与「手机填 HTTP 代理连电脑」是两条不同技术路径，不要混为一谈。

第四步：Windows Defender 防火墙入站规则

在 Windows 上，即使 Clash 已监听 0.0.0.0，系统防火墙仍可能默认阻止来自局域网的入站连接。第一次启动时若用户没有勾选「允许访问专用网络」，或后续被安全软件改回，手机侧会表现为连接超时。处理思路是：为对应的 Clash 可执行文件或该次监听端口添加一条「允许入站」的专用网络规则，范围限定在专用配置文件，避免把端口暴露到不可信公共网络接口。

操作建议路径（名称因系统语言略异）：打开「Windows 安全中心 → 防火墙和网络保护 → 高级设置 → 入站规则」，新建规则，选择端口，协议 TCP，特定本地端口填你的 mixed-port 或 HTTP 端口，作用域选择「本地子网」或明确你的 LAN 网段，操作允许连接，配置文件至少勾选「专用」。若你使用第三方安全套件，它可能覆盖 Defender 规则，需要在套件里同样放行。修改后可用同一 Wi‑Fi 下的另一台电脑先 curl 测试，再换手机，便于区分是防火墙还是手机配置问题。

第五步：macOS 入站连接与「已阻止的传入连接」

macOS 在首次有进程监听对外端口时，常会弹出是否允许传入连接的对话框。若当时点了拒绝，之后手机会一直连不上，需要在「系统设置 → 网络 → 防火墙 → 选项」里找到对应 App 改为允许，或暂时关闭防火墙做对比测试（测试完请恢复）。部分签名或路径变更的客户端会被系统视为新应用，需要重新授权一次。

若你启用了「隐藏模式」或第三方 Little Snitch、Lulu 等过滤工具，也要检查入站规则是否放行来自局域网 IP 的流量。与 Windows 类似，建议把规则写细：允许来源为 RFC1918 私网地址段、目标端口为 Clash 的 mixed-port，而不是粗暴全局关闭防火墙。

第六步：图形客户端里的「对外暴露」总开关

Clash Verge、Clash for Windows 系衍生版等往往在设置页提供「允许局域网连接」与「绑定地址」的图形化封装，其实际写入仍对应核心的 bind-address 与 allow-lan。若你只改了 YAML 却在 UI 里关闭了等价开关，可能以 UI 为准再次覆盖。养成习惯：改完后在客户端的「当前配置 / 日志 / 连接」页看一眼监听是否已出现在 0.0.0.0:端口 形式上，而不是 127.0.0.1:端口。

若你日常主要用桌面端并希望熟悉安装与订阅流程，可先通读 Clash Verge Rev 使用教程，再回到本文做局域网专项微调，避免在基础模式（Rule / Global）未弄清时叠加局域网变量。

容易误判为 Allow LAN 问题的：DNS 与「伪无网」

有时手机已通过 HTTP 代理连上 Clash，但网页仍打不开，原因是DNS 仍走系统默认，而本地 DNS 在当前网络不可用；或 Clash 规则把 DNS 查询导向了异常上游。此时在手机上把「代理」与「通过代理进行 DNS」类选项一并打开（若系统提供），或在 Clash 侧确保 fake-ip 与规则不会把局域网测试域名错误分流。此类问题与 Allow LAN 无直接关系，但若不做区分，会误以为「局域网仍被拒绝」。

推荐排查顺序（可收藏）

1. 手机与电脑是否同一网段、路由器是否关闭 AP 隔离 / 访客隔离。
2. 代理绑定是否为 0.0.0.0（或本机 LAN IP），而非 127.0.0.1。
3. Allow LAN 或等价开关是否为开；远程配置更新后是否被覆盖。
4. 手机填的端口是否为 mixed-port 或正确的 HTTP / SOCKS 端口。
5. Windows / macOS 防火墙与第三方安全软件是否放行该端口入站。
6. 核对 DNS、规则分流与日志，排除「已连上代理但解析失败」。

小结

Clash Allow LAN 与 绑定地址、混合端口、系统防火墙四者是一套组合拳：缺了任意一环，手机都会出现「配置看起来对，就是上不了网」。按本文顺序从网段与绑定查起，再对齐端口类型与防火墙，大多数局域网代理场景可以在十分钟内定位。相比反复重装客户端，先确认监听与入站规则是否真正对局域网开放，往往一次就见效。

若你尚未安装或准备换用更省心的桌面客户端，建议优先通过本站 下载页面 获取对应系统版本，再按上文步骤开启局域网共享。成熟 Clash 系工具在规则与多协议入站方面通常更清晰可预期；把订阅与局域网开关一次配置到位，多设备协同会稳定很多。→ 立即免费下载 Clash，开启流畅上网新体验