症狀與常見誤區:勾了「允許區網」仍連不上
典型畫面是:筆電或桌機上的 Clash 已開啟,訂閱正常、節點可測速,你也已在圖形介面勾選允許區域網路連線(或同義選項)。接著在手機 Wi‑Fi 設定裡填上「代理主機=電腦 IP、埠=介面顯示的 HTTP 或 SOCKS」,結果瀏覽器打不開網頁、通訊軟體顯示離線,或只有少數 App 能用。此時若立刻懷疑「節點壞了」,往往會走偏:電腦本機上網若正常,問題多半落在區網如何把封包送到電腦上的監聽埠,而不是遠端機場。
另一個常見誤區,是把「能 ping 到電腦」當成「代理一定通」。ICMP 與 TCP 連到指定埠是兩回事;防火牆可以允許 ping 卻擋掉對 7890、9090 這類埠的入站連線。還有人把代理填成路由器管理位址、或填了已休眠的另一張網卡 IP,手機當然連不到正確的監聽端點。建議先把問題拆成三句話:核心是否在正確介面上監聽、本機防火牆是否放行、手機封包能否路由到那個 IP:埠。若遠端握手仍有問題,再對照 連線日誌與 TLS 專題,避免與區網層混談。
綁定位址:為什麼不能只聽 127.0.0.1
代理程式監聽的綁定位址決定了「誰能把 TCP 連線送進來」。若只綁在迴環位址 127.0.0.1,代表只有本機行程能連,區網上的手機無論怎麼填 IP 都會失敗——這與有沒有勾「允許區網」無關,而是套接字根本沒有在區網介面上開門。多數圖形客戶端在開啟「允許區域網路連線」時,會把 HTTP/SOCKS/混合埠改為綁定 0.0.0.0(所有介面)或明確綁到區網 IP;若你曾手改過設定檔,請檢查 external-controller、mixed-port、port、socks-port 等段落是否仍寫成只聽本機。
實務上還有一種邊界情況:筆電同時連 Wi‑Fi 與有線,或裝了虛擬機/VPN 虛擬網卡,系統上會出現多個區網 IP。手機必須填「與手機同一子網、且 Clash 實際綁定或可被轉送到的那個」位址。若你不確定,可在電腦上用系統網路資訊或指令檢視目前活躍介面的 IPv4,並避免使用已斷線介面的舊 IP。選擇圖形客戶端時,介面是否清楚列出監聽埠與綁定範圍,會直接影響這類除錯效率,可先參考 全平臺客戶端對照。
防火牆與安全軟體:入站規則才是關鍵
即使程式已綁 0.0.0.0,作業系統防火牆仍可能攔截從區網進來的 TCP 連線。Windows 上常見是「私人網路允許、公用網路封鎖」的檔案與印表器共用規則與 Defender 防火牆配置不一致;macOS 上可能是「阻擋所有連入連線」未對 Clash 或對應埠建立例外;Linux 桌面則可能是 ufw、firewalld 預設只放行已建立連線相關回應,而未開放本機作為「區網代理伺服器」的入站。第三方防毒、所謂「網路加速」或企業端點防護,也可能在驅動層擋掉非預期埠。
排查時請鎖定入站(inbound)規則:允許來自區網網段(例如 192.168.0.0/16、10.0.0.0/8 等你實際使用的範圍)到 Clash 所使用埠的 TCP。測試期間可暫時縮小來源範圍到手機 IP,確認通後再決定是否放寬。請勿為了省事長期關閉全系統防火牆;正確做法是「最小放行」加「只開必要埠」。若你懷疑是安全軟體而非系統防火牆,可短暫停用其網路模組做對照,並在測試結束後恢復。
網段、閘道與代理伺服器位址怎麼填
手機上設定 Wi‑Fi 代理時,「伺服器」欄位必須是電腦在該 Wi‑Fi 下的 IPv4 位址,而不是 Clash 介面上的「虛擬 IP」、也不是路由器 WAN 位址。請在電腦上查看目前連線的介面:例如同接在 192.168.1.0/24 時,電腦可能是 192.168.1.23,手機可能是 192.168.1.40,兩者子網遮罩與預設閘道應一致。若手機拿到的閘道是路由器,而電腦是另一組網段(例如電腦透過第二層 NAT 或錯誤的靜態設定),封包就不會自然送到電腦上的代理埠。
若環境裡有 IPv6,請先以 IPv4 完成驗證:許多客戶端與手機系統在「僅代理 IPv4」與雙棧行為上不一致,會表現為「部分網站能打開、部分不行」。確認 IPv4 代理整條鏈路可用後,再考慮 IPv6 與分流規則。更多 DNS、雙棧與假 IP 的交互,可一併查閱 常見問題 中與連線、解析相關的說明,避免把網段問題誤判成節點故障。
手機熱點與電腦分享網路的特殊情境
熱點共享會改寫拓撲:手機開熱點給電腦時,電腦通常拿到 192.168.43.x 或廠商自訂區段,閘道往往是手機本身;此時「手機要連電腦上的代理」在邏輯上要嘛改為手機先連回同一區網的另一條路徑,要嘛改為電腦分享網路給手機(角色對調)。許多使用者混淆「誰是 DHCP 伺服器、誰是客戶端」,導致填錯代理 IP。請先畫清楚:哪台裝置在發放 IP、Clash 跑在哪張網卡上,再把代理伺服器設成該網卡在當前拓撲下的可達位址。
Windows「行動熱點」或 macOS「網際網路共享」也有類似現象:分享出去的子網與你平常家用的 192.168.1.x 不同,防火牆規則若只寫死舊網段,新子網仍會被擋。每次切換分享模式後,建議重新確認電腦在該模式下的 IPv4,並相應更新入站規則或乾脆以「來自分享介面子網」為條件放行。
路由器:訪客網路與 AP/用戶端隔離
部分家用路由器在「訪客 Wi‑Fi」或「智慧連線」模式下會啟用用戶端隔離(AP isolation):同一 SSID 下的裝置彼此無法互訪,只能上外網。此時手機與電腦雖然「都連上 Wi‑Fi」,但二層流量被禁止直連,你無法用手機去連電腦上的代理埠。解法是把兩台都改接到允許區網互通的 SSID、或關閉隔離(若路由器提供選項)、或改用以太網路/交換器讓兩者落在同一隔離策略內。
公司或校園網常見額外準入、802.1X 或按埠封鎖,也可能禁止裝置之間的任意 TCP,這已超出 Clash 設定本身能解決的範圍。若僅在特定場域失敗,先用前述「換一張網」對照,能快速判斷是否為網路政策問題。
HTTP/SOCKS 埠與通訊協定別搞混
Clash 通常會分別或合併提供 HTTP、SOCKS5 與混合埠。手機系統的「代理」設定多數走 HTTP 或「自動」類型;若你填的是純 SOCKS 埠,而系統只發 HTTP CONNECT,會表現為連不上。請以客戶端顯示為準:哪個埠標註為 HTTP、哪個為 SOCKS、是否提供 mixed-port,並與手機設定頁的選項對齊。外部控制器埠(常見 9090)用於 API,不應當成瀏覽器代理埠使用。
若你同時啟用系統代理與 TUN,請注意流量是否重複經過本機埠,少數環境會出現迴圈或策略衝突。區網分享場景一般以「電腦開混合埠+手機設 HTTP 代理」最直覺;進階需求再考慮手機上支援 SOCKS 的 App 或描述檔。保持埠號與通訊協定一致,能避免大量「以為設定錯其實是協定不匹配」的工時浪費。
可重複執行的排查清單
建議依序執行,每步都能排除一整類原因:
- 在電腦上確認 Clash 顯示的監聽埠與類型(HTTP/SOCKS/mixed),與手機設定一致。
- 確認綁定為所有介面或區網 IP,而非僅
127.0.0.1。 - 在電腦查正確 IPv4,與手機同子網;必要時對照閘道與遮罩。
- 在防火牆新增入站允許:來源區網 → 目標埠 TCP,必要時先限單一手機 IP 測試。
- 檢查路由器是否訪客網路/用戶端隔離;必要時換 SSID 或關閉隔離。
- 熱點或網路分享場景下,重畫拓撲並更新 IP 與防火牆網段。
- 若電腦本機代理正常、區網仍不通,用另一台區網裝置對該 IP:埠做 TCP 連線測試,縮小是手機設定還是網路隔離。
完成區網層驗證後,若網頁仍無法開啟但代理通道已建立,再回頭看節點、DNS 與日誌——此時才與「連線失敗、TLS」類問題同一條排查樹。把層次分清楚,能顯著減少無效重裝與盲改規則。
結語
Clash 區域網路代理的本質,是讓同一區網內其他裝置把 HTTP 或 SOCKS 流量交給你電腦上的監聽端點;因此「允許區域網路連線」只是必要條件之一,還必須滿足綁定位址可達、防火牆放行入站,以及手機與電腦位於可互通的網段。熱點、訪客 Wi‑Fi 與 AP 隔離會把看似簡單的 IP:埠 組合變得容易誤判,先用拓撲與規則對齊,再談分流與節點,順序對了,排錯會快很多。
相比把監聽埠藏在本機、卻缺乏清楚狀態顯示的工具,能同時展示埠、綁定與連線健康狀態的客戶端,在區網分享與日常維護上會明顯省心;當你需要把同一套策略延伸到筆電、手機與路由器旁設備時,這種透明度尤其划算。
→ 立即免費下載 Clash,開啟流暢上網新體驗,在釐清防火牆、綁定位址與網段之後,把區網裝置與本機出口穩定對齊。