Clash 開啟區網代理後手機仍上不了網？Allow LAN 與防火牆逐步排查

為什麼「電腦能上、手機卻連不上」最常發生在區網代理？

許多使用者在筆電或桌機上安裝 Clash 系列用戶端（例如 Clash Verge Rev）後，會希望手機或平板連到同一組 Wi-Fi，再在系統或瀏覽器裡設定區網代理，讓流量經由電腦上的 Clash 出口。這條路徑聽起來單純，實務上卻常卡在三類地方：程式只聽本機位址、沒開 Allow LAN；HTTP 埠、混合埠（mixed-port）與 SOCKS 埠填錯或混用；以及作業系統防火牆或路由器訪客網路把區網入站擋掉。本文用固定順序幫您縮小範圍，避免同時改訂閱、規則與 DNS，反而找不到真正原因。

請先建立正確預期：區網代理只解決「手機如何把封包送到電腦上的 Clash」，不會自動讓電腦變成 VPN 伺服器，也不處理手機 App 是否支援手動代理。若您需要的是「手機本身安裝 Clash 系 App 並匯入訂閱」，請改參考本站 訂閱匯入完整教學、Android 連線排查 或 iPhone Stash 設定；與本文「多裝置共用電腦代理」互補而不重疊。

第零步：確認手機與電腦真的在同一個「可互連」的區網

在改任何 Clash 選項前，先用同一條 Wi-Fi 名稱（SSID）把兩台裝置連上，並關掉手機的行動數據以免系統挑路徑。接著在電腦上查區網 IPv4（Windows 可用 ipconfig，macOS 在「系統設定 → 網路」查看），記下形如 192.168.x.y 或 10.x.y.z 的位址。手機上若安裝了網路工具 App，可嘗試 ping 該 IP；若 ping 不通，問題多半在路由器訪客網路、無線基地台隔離（AP / client isolation）或 VLAN，而不是 Clash。部分公共場域或公司網路會禁止無線用戶互連，這種環境下區網代理本來就無法成立。

第一步：Allow LAN 與「綁定位址」——只聽 127.0.0.1 時，區網永遠打不進來

Clash 核心對外提供代理服務時，必須綁在可被區網存取的介面。若設定檔或圖形介面把 bind-address 設成 127.0.0.1（或等價的「僅本機」），則只有電腦自己連得到，手機從區網打過來會全部被拒絕。常見正確做法是綁 0.0.0.0（代表所有介面）或明確寫電腦的區網 IP；實際可用選項依您使用的 GUI 與核心版本為準。接著務必開啟 Allow LAN（或同等語意的「允許區域網路連線」開關）：有些介面把兩者分開，只改埠號卻沒開 Allow LAN，外觀仍像「代理沒開」。

若您剛從預設設定改過「外部控制」或 Dashboard 相關埠，請注意不要與 HTTP／SOCKS 埠衝突。變更後建議重啟 Clash 服務或整個用戶端，再回手機測一次；部分環境下熱重載不會立刻重綁 listen socket。桌面端完整安裝與選單位置可對照 Clash Verge Rev 完整使用教學，先把本機代理跑穩，再來做區網分享。

第二步：HTTP、混合埠與 SOCKS——手機上要填「哪一個數字」？

手機「Wi-Fi 代理」或系統代理設定，多數只支援HTTP／HTTPS 代理。Clash 常見埠位安排是：mixed-port 同時接受 HTTP 與 SOCKS 連入；或分開的 port（HTTP）與 socks-port。若您在手機上填了 SOCKS 專用埠，但該埠並未以 HTTP 語意接聽，可能出現「設定看起來正確卻無法上網」。最保險的做法是：在電腦 Clash 介面或設定檔中確認目前啟用的 HTTP／混合埠數字，手機代理主機填電腦區網 IP、埠填同一數字。

若您同時在電腦使用系統代理與TUN 模式，請釐清兩者差異：TUN 主要影響電腦本機應用程式如何把流量導進核心，與「手機連不連得上電腦的 listen 埠」是不同層次。TUN 觀念與除錯可延伸閱讀 Clash TUN 模式完全指南；區網代理卡頓時，建議先在電腦關閉多餘實驗選項，只保留最小可重現組合（單一埠 + Allow LAN）。

第三步：用手機瀏覽器做「最小連線」驗證

完成 IP 與埠設定後，不要急著開 YouTube 或社群 App。先用內建瀏覽器開一個純文字小網站，或只測試搜尋引擎首頁，以排除 App 自帶憑證釘選、私有 DNS 等變因。若只有瀏覽器可走代理、其他 App 仍直連，屬於應用程式是否支援系統代理的範疇，並非 Clash 沒有接聽。若瀏覽器也失敗，回到電腦確認 Clash 日誌是否有來自手機 IP 的連線紀錄：完全沒有，代表封包沒到核心；有連線但立刻斷，可能是規則或節點問題，應與「區網連線」分開排查。

第四步：Windows 防火牆——最常見的「本機一切正常、區網全擋」

在 Windows 上，即使 Clash 已綁 0.0.0.0，Windows Defender 防火牆仍可能對「公用網路設定檔」擋下所有入站連線。請到「允許的應用程式通過防火牆」中，確認您的 Clash／Verge 程式在私人與公用網路勾選是否符合您目前 Wi-Fi 的設定檔；若 Wi-Fi 被標成公用，建議改為私人網路或手動新增入站規則，針對 Clash 執行檔或特定 TCP 埠允許區網來源。企業電腦若有群組原則，可能覆寫本機規則，需由管理員放行。

另一常見誤會是安裝了第三方安全軟體，其網路層仍會攔截；除錯時可暫時關閉測試（僅限可信區網環境），確認根因後再改回最小權限規則。任何放行都應盡量限縮來源 IP 範圍（例如只允許 192.168.0.0/24），避免在公共熱點長期開放。

第五步：macOS 防火牆與「阻擋所有連入連線」

macOS 使用者在「系統設定 → 網路 → 防火牆」中，若啟用阻擋所有連入連線，區網裝置同樣無法連到 Clash 的 listen 埠。可改為標準防火牆模式，並在提示出現時允許 Clash／Verge 接受連入，或手動在選項中加入允許清單。若您使用 Little Snitch、Lulu 等第三方防火牆，也要檢查其規則是否拒絕了來自區網 IP 對 Clash 埠的 TCP 連線。

Apple Silicon 與系統延伸權限有時會影響 TUN／系統代理行為，但與「區網 TCP 能否打到本機埠」仍可分開看：先用同一台電腦上的瀏覽器以 http://127.0.0.1:埠 測核心是否活著，再用區網 IP 從手機測，若前者成功、後者失敗，優先懷疑綁定位址或防火牆。

第六步：路由器訪客網路、AP 隔離與網段不一致

家用路由器若把手機放在訪客 Wi-Fi，而電腦在主網段，兩者之間常被刻意隔離，ping 與 TCP 一律不通。請改連同一非訪客 SSID，或查路由器說明是否提供「訪客可存取區網」選項（多數預設關閉）。Mesh 或多 AP 環境下，也要確認沒有開啟無線用戶隔離。若您使用 VPN Router 或「全機 VPN」類韌體，可能額外改寫 NAT，導致區網路徑與預期不同，需對照該韌體文件。

間歇斷線時：優先檢查省電、睡眠與 IP 變更

若只有「一陣子可用、一陣子又掛」，常見原因是筆電睡眠關閉網路、Wi-Fi 省電模式造成延遲，或 DHCP 重新發包後電腦 IP 變了，手機仍填舊 IP。建議在路由器為電腦設定DHCP 保留位址，並在電腦接上電源除錯。若 Clash 規則或節點本身不穩，症狀會是「網頁偶發逾時」，但與「代理主機連線被拒」不同；可從錯誤訊息是否為立即失敗來區分。

可複製的檢查清單（建議由上往下勾）

• 區網：手機與電腦同一 SSID；關閉手機行動數據；非訪客網路；無 AP 隔離。
• 位址：手機代理主機＝電腦目前區網 IPv4；電腦 IP 若變更需同步更新。
• Clash：已開 Allow LAN；綁定位址非僅 127.0.0.1；變更後已重啟服務。
• 埠：手機使用 HTTP／混合埠 對應的數字；未誤填 Dashboard 或 SOCKS 專用埠。
• 防火牆：Windows 公用／私人設定與入站規則；macOS 阻擋連入；第三方安全軟體。
• 驗證：手機瀏覽器先測簡單網頁；電腦日誌是否出現手機 IP 連線。

結語

把電腦上的 Clash 當成區網代理給手機用，核心條件只有幾項：兩端真的在同一可互連的區網、Allow LAN 與綁定位址正確、手機填對 HTTP／混合埠、作業系統防火牆放行入站。多數「以為是規則或訂閱壞了」的案例，其實停在網路層就結束了。相較於在論壇片段拼湊過期截圖，使用持續更新的用戶端與可信來源，通常能減少埠號與介面行為與說明文件不一致的困擾。

若您還需要在 Windows、macOS 或 Android 上取得一致的安裝入口與版本說明，建議從本站 下載頁面 選擇對應平台，再依各篇教學完成設定。