场景说明:Clash 局域网代理与允许局域网连接

Clash 局域网代理的典型用法,是在电脑上运行客户端,让同一局域网内的手机、平板把 HTTP 或 SOCKS 代理指向电脑的局域网 IP 与端口,从而共享出口策略。图形界面里的「允许局域网连接」或类似开关,语义上是在告诉内核:不要把监听套接字绑死在回环地址上,并允许来自局域网网卡的入站连接。很多用户勾上之后,手机端仍然提示连接失败或长时间转圈——这往往说明流量根本没有到达 Clash 进程,或到达之前就被防火墙、路由器策略挡掉,与「节点好不好」关系不大。

本文聚焦本机到手机这一段:绑定地址是否对外监听、操作系统是否放行入站、两台设备是否处于同一网段、是否存在访客网络隔离。若电脑本机浏览器通过 Clash 正常,而手机指向同一代理地址却不行,优先按本文顺序排查;若电脑本机也不稳定,请再结合 从日志读懂 timeout 与 TLS 区分远端与本地问题。客户端差异也会影响菜单位置,可先参考 如何选择适合自己的 Clash 客户端,确认你用的版本是否把「局域网」与「端口」分开展示。

先分清层级:手机连不上电脑的代理端口,属于「二层/三层可达性」问题;网页能打开但个别站点异常,才更多涉及规则与节点。不要一上来就改订阅或重装。

第一步:确认网段、电脑 IP、端口与协议类型

在讨论防火墙绑定地址之前,先用最朴素的方式确认「手机找的是不是对的门牌号」。手机与电脑必须连接在同一逻辑二层网络里:同一 SSID 不一定足够,访客网络、企业无线、部分 mesh 子节点会把你分到不同 VLAN。用电脑查看当前无线或有线网卡的 IPv4 地址(例如 192.168.1.23),再看手机 Wi‑Fi 详情里的 IP,两者前三段通常应一致,子网掩码也应允许互访。

端口与协议必须对齐:Clash 对外暴露的可能是 HTTPSOCKS5 或混合端口,手机系统代理界面里「代理主机名」填电脑局域网 IP,「端口」填界面显示的数字;若手机只支持 HTTP 代理,却填了纯 SOCKS 端口,会表现为无法连接或认证失败。若客户端分别列出多个端口,请核对当前启用的是哪一个,并在修改后重启核心或应用后再测。也可用另一台电脑在同一网段用 curl 或浏览器快速探测,缩小是手机问题还是全网不通。

绑定地址:为何仍监听 127.0.0.1 会拦死手机

「允许局域网连接」若只改了 UI 状态,但配置里 绑定地址仍是 127.0.0.1(或等价的 loopback),则操作系统只会向本机进程开放该端口,局域网设备发来的 SYN 包在栈上无法交付给监听队列,手机端就会一直超时。部分发行版把「局域网开关」与「实际 bind 地址」分成两处:一处是通用选项,另一处在配置文件的 bind-address、mixed-port 相关段落或高级设置里。

正确方向通常是让 mixed 或 HTTP/SOCKS 监听 0.0.0.0(所有 IPv4 接口)或明确写出无线网卡的局域网地址——具体写法随客户端与内核版本略有差异,但原则不变:监听范围必须包含局域网网卡。修改后建议在电脑上使用 netstatss 或系统网络工具确认端口已出现在非回环地址上。若你只敢最小暴露,可在排障通过后改为指定内网 IP,而不是长期对公网网卡无意放大。

Binding check (examples; names vary by OS) 
# Linux: see listeners with addresses
ss -lntp | grep -E '7890|7891|9090'

# macOS: list listening ports (example port)
lsof -nP -iTCP:7890 -sTCP:LISTEN

系统防火墙、安全软件与入站规则

即使监听地址正确,防火墙仍可能默认「拒绝入站」:Windows Defender 防火墙、macOS 应用防火墙、Linux 的 ufwfirewalld 或发行版自带规则,都会针对「外部设备访问本机端口」单独决策。第一次启动 Clash 时若点了「专用网络允许、公用网络拒绝」,而当前 Wi‑Fi 被标成公用配置文件,手机就会被挡在外面。解决思路是:为 Clash 主程序或对应端口添加入站允许规则,范围限定在局域网子网,而不是把整个防火墙关掉。

第三方「安全卫士」「净网大师」一类软件有时会劫持网络栈或注入驱动,表现为只有本机浏览器正常、其它设备异常。可短暂退出或排除 Clash 进程做对照,确认后再恢复安全策略。公司设备上的终端管控可能禁止监听局域网端口,这类限制无法通过改配置绕过,需要合规渠道处理。更多通用说明可见 常见问题 中与网络权限相关的条目。

安全提示:0.0.0.0 暴露代理端口时,请仅在可信家庭网络使用,并避免与不可信设备共用同一网段;公共 Wi‑Fi 下不要随意开启局域网代理。

网段不一致、访客 Wi‑Fi 与 AP 隔离

路由器上的「访客网络」「客人 Wi‑Fi」常把终端放在独立网段,并禁止访客与主网互访——这是设计使然。此时手机能上网,但永远 ping 不通主网络里的电脑,Clash 再正确也无用。解决方法是让手机加入与电脑相同的主 SSID,或临时关闭访客隔离做验证。部分企业 AP 开启「无线隔离 / AP isolation」,同一 SSID 内设备也不能互访,需要管理员调整策略或使用有线网桥。

多网卡场景也容易被忽略:笔记本同时连着有线与 Wi‑Fi,或装了虚拟机虚拟网卡,可能导致你抄错了「当前生效」的局域网 IP。以手机实际能 ping 通的那个地址为准,而不是凭记忆填写。若 IPv6 环境复杂,可先统一用 IPv4 地址测试,减少双栈带来的困惑。

电脑开热点或 USB 共享时的常见坑

用电脑创建热点共享时,电脑会成为小型 DHCP 服务器,手机拿到的网关往往是电脑自身,此时绑定地址必须覆盖热点接口对应的网段;若 Clash 仍只监听物理 Wi‑Fi 侧而热点接口未监听,手机同样无法连上代理端口。USB 网络共享(RNDIS 等)同理:先确认网络适配器列表里哪一块是「给手机用的」,再对照 IP 与监听端口。

部分操作系统在热点模式下会为流量做 NAT,这与「纯局域网互访」路径不同,若你同时在 Clash 里启用 TUN 或系统级路由,可能出现「电脑能上、手机仍断」的错觉——此时先退回「仅 HTTP/SOCKS 端口共享」的最小组合,确认端口可达后,再逐步打开透明代理,以免多层路由互相打架。

手机侧:代理填写、认证与对照实验

iOS 与 Android 对「系统代理」与「应用内代理」支持不一:有的应用忽略系统代理,需要单独配置或使用支持代理的浏览器测试。填写时注意是否需要用户名密码——若 Clash 未启用认证而手机填了空认证,一般无碍;反之若你启用了认证,手机必须一致。PAC 脚本若仍指向 127.0.0.1,在手机上必然失败,应改为电脑的局域网地址或改用静态代理项。

对照实验建议顺序:先在手机浏览器访问仅 HTTP 的测试页,再访问 HTTPS;若 HTTP 通而 HTTPS 异常,再回头查证书、时间或分流规则。若同一手机连另一台已确认可用的代理正常,而连本机不行,则几乎可以断定问题在电脑侧监听或防火墙。保持一次只改一个变量,避免同时改端口、改绑定、改规则,最后无法归因。

可照做的排查清单与延伸阅读

下面清单按「先廉价、先本地」排序,适合打印或在排障时逐项打勾。

  1. 确认手机与电脑在同一网段,且非访客 / 隔离 SSID。
  2. 用 ping 或局域网工具确认手机能到达电脑 IP(若策略禁止 ICMP,可换 TCP 探测)。
  3. 核对 Clash 显示的 HTTP/SOCKS 端口与手机填写一致,协议类型匹配。
  4. 检查监听是否落在非回环地址:必要时显式设置 绑定地址0.0.0.0 或内网 IP。
  5. 在操作系统防火墙中为 Clash 或端口添加入站放行,并核对网络配置文件(专用/公用)。
  6. 排除杀软与终端管控;热点 / USB 场景单独检查热点接口监听。
  7. 电脑本机代理异常时,再转向节点与日志,参考 timeout 与 TLS 分层排查

把「局域网能连上端口」与「出口节点健康」分成两件事,会显著减少无效折腾。相比反复导入订阅,先把监听、防火墙网段三件事坐实,往往一次就能定位九成「手机连不上」的投诉。

结语:先让局域网真正「可达」

Clash 局域网代理的价值在于把桌面上的策略分享给其它设备,但它的前提是:代理端口对局域网真实可见、未被系统安全策略拒绝、两台设备处于可互访的网段。勾选允许局域网连接只是第一步,后续仍要核对绑定地址是否仍停留在回环、入站规则是否放行、路由器是否隔离无线客户端。把这条链路跑通后,再谈规则优化与节点质量,才不会把网络工程问题误判成「机场坏了」。

一款把端口、监听范围、局域网开关集中展示、并提供清晰日志的客户端,会让你在「手机连不上」时少猜一半变量。相比隐藏细节的「全自动模式」,能直接看到当前监听地址与连接日志的工具,更适合需要分享给家人设备使用的场景。

立即免费下载 Clash,开启流畅上网新体验,在确认局域网可达之后,用更直观的客户端管理端口与策略,把共享代理从「偶尔能用」变成「按预期工作」。