왜 LAN에서 Clash를 나눠 쓰나요?

집이나 기숙사처럼 하나의 Wi-Fi를 여러 사람·기기가 같이 쓰는 환경에서는, 노트북이나 미니 PC 한 대에만 Clash를 올려 두고 나머지는 별도 설치 없이 같은 노드와 분류 규칙을 쓰고 싶은 경우가 많습니다. 스마트폰은 앱 스토어에서 클라이언트를 받을 수 있지만, 닌텐도 스위치플레이스테이션, 구형 안드로이드 TV 박스는 OS가 프록시를 제한적으로만 노출하거나, 아예 수동 설정만 허용합니다.

이때 쓰는 패턴이 바로 Clash가 PC에서 HTTP·SOCKS5 포트를 열고, 다른 기기가 그 PC의 사설 IP(예: 192.168.0.23)와 포트를 수동 프록시로 지정하는 방식입니다. 트래픽은 PC의 Clash 코어로 들어가므로, PC에서 이미 검증한 분류 규칙과 정책 그룹을 그대로 공유할 수 있습니다. 단, PC가 켜져 있고 같은 L2 브로드캐스트 도메인(대개 같은 공유기 SSID)에 있어야 한다는 전제가 붙습니다.

💡
한 줄 요약 LAN 공유는 「미니 게이트웨이」에 가깝습니다. 인터넷으로 포트를 노출하는 것이 아니라, 공유기 뒤의 기기만 PC 프록시에 붙이는 구조입니다. 밖에서 접속할 수 있게 열면 보안 사고로 이어지므로 절대 하지 마세요.

전제 조건과 한계

먼저 PC에서 Clash가 정상적으로 구독·규칙·DNS까지 돌아가야 합니다. Windows라면 Clash Verge Rev 설치 가이드처럼 기본 연결을 맞춘 뒤 진행하는 편이 안전합니다. TUN 모드는 PC 자신의 트래픽을 커널에서 가로채는 기능이고, LAN 허용(mixed-port 등)은 별개 레이어입니다. 둘 다 켤 수는 있지만, 초보자는 「브라우저에서 해외 사이트가 의도대로 나온다」는 상태를 만든 다음 LAN 옵션을 켜는 순서를 권장합니다.

한편, 게임 패킷의 상당수는 UDP입니다. HTTP 프록시는 본질적으로 TCP 중심이라, 타이틀이 요구하는 UDP 경로가 그대로 따라오지 않을 수 있습니다. 또 안티치트나 일부 온라인 서비스는 프록시 사용 자체를 제한합니다. 본 글은 기술적 연결 방법을 설명할 뿐, 각 서비스의 약관·이용 지역·회사 보안 정책은 사용자가 직접 확인해야 합니다.

allow-lan과 바인딩 주소

대부분의 Clash Meta 기반 클라이언트는 설정 YAML에 allow-lan 항목이 있습니다. 이 값을 true로 두면, 기본적으로 0.0.0.0에 가깝게 모든 인터페이스에서 mixed·포트 바인딩을 시도합니다. GUI 앱이라면 「LAN 허용」「Allow LAN」 같은 토글이 같은 스위치입니다.

만약 bind-address나 유사 옵션이 127.0.0.1로 고정돼 있다면, 외부 기기에서 접속이 거절됩니다. 이때는 전체 인터페이스 바인딩으로 바꾸거나, Wi-Fi 어댑터의 사설 주소로 명시하는 방식을 씁니다. 설정을 저장한 뒤 코어를 재시작해야 반영되는 경우가 많으니, 변경 후 한번 완전히 내렸다가 올려 보세요.

어떤 포트를 쓰나요? mixed-port, HTTP, SOCKS5

Clash 계열은 보통 mixed-port 하나로 HTTP와 SOCKS5를 동시에 받습니다. 예를 들어 7890이면, 스마트폰의 「HTTP 프록시」 칸에는 192.168.x.x7890을 넣고, SOCKS 클라이언트가 있다면 같은 주소에 프로토콜만 바꿉니다. 구버전 프로필은 port(HTTP)와 socks-port가 분리돼 있을 수 있으니, 대시보드나 로그 화면에 표시된 숫자를 그대로 따르는 것이 가장 안전합니다.

포트 번호를 바꿨다면, 아래에서 설명할 OS 방화벽 규칙도 같은 번호로 다시 열어야 합니다. 여러 개의 Clash 인스턴스를 띄우는 실험 환경이라면, 어떤 프로세스가 어떤 포트를 잡았는지 혼동하기 쉬우므로 작업 전에 한 벌로 정리해 두세요.

Windows·macOS 방화벽에서 허용하기

allow-lan을 켜도 OS 방화벽이 막으면 다른 기기에서 타임아웃이 납니다. Windows는 「Windows Defender 방화벽」에서 Clash 혹은 해당 GUI 실행 파일에 대해 개인 네트워크 프로필에서 인바운드 허용을 추가합니다. macOS는 「방화벽 옵션」에서 앱별 허용을 확인하거나, 테스트 단계에서만 일시적으로 끄고 원인을 좁힐 수 있습니다(상시 비활성화는 비추천).

빠른 점검으로는, 같은 Wi-Fi의 스마트폰 브라우저에서 아무 페이지나 열기 전에, 터미널 앱이 있다면 PC IP로 TCP 연결을 시험해 볼 수 있습니다. 다만 모바일 환경마다 도구가 다르니, 실무에서는 PC에서 netstat 또는 대시보드의 연결 수가 올라가는지로 역추적하는 경우가 많습니다.

PC의 LAN 주소 확인하기

Windows는 ipconfig로, macOS·Linux는 ifconfig나 GUI의 네트워크 세부정보로 무선 LAN 어댑터의 IPv4를 확인합니다. 이더넷에만 물려 있다면 그 주소를 쓰면 됩니다. 게스트 Wi-Fi는 AP 격리 때문에 기기 간 통신이 막히는 경우가 많습니다. PC와 스위치가 같은 SSID인데도 ping이 안 된다면, 공유기에서 AP isolation 옵션을 먼저 의심하세요.

공유기가 여러 대인 메시 환경에서는, PC가 속한 서브넷과 스마트폰이 속한 서브넷이 다르면 브로드캐스트가 안 통할 수 있습니다. 이럴 때는 같은 메인 라우터의 같은 대역에 두거나, 유선으로 메인 AP에 직결하는 편이 디버깅 비용이 적습니다.

스마트폰: Wi-Fi 고급 설정에서 수동 프록시

안드로이드는 Wi-Fi 네트워크 상세 화면에서 프록시: 수동을 고르고, 호스트명에 PC의 IPv4, 포트에 mixed-port를 넣습니다. iOS도 Wi-Fi의 「프록시 구성」에서 수동을 선택해 같은 방식으로 채웁니다. 저장 후에는 해당 SSID에 다시 연결되었는지, VPN 프로필이 동시에 켜져 충돌하지 않는지 확인하세요.

일부 국내 앱은 시스템 프록시를 무시하고 직접 소켓을 엽니다. 이때는 앱 자체에 SOCKS 설정이 없으면 LAN HTTP만으로는 안 잡힐 수 있습니다. 반대로 브라우저 기반 서비스는 대부분 잘 따라옵니다. 필요하면 프로필별로 프록시를 켠 Wi-Fi만 쓰고, 결제·뱅킹용 SSID는 분리하는 습관이 안전합니다.

닌텐도 스위치·플레이스테이션: 설정 가능 범위

닌텐도 스위치는 인터넷 설정에서 프록시 서버를 수동으로 넣을 수 있습니다. PC의 IP와 포트를 입력한 뒤 연결 테스트를 돌려 보세요. 다만 타이틀마다 네트워크 스택이 달라, 스토어 다운로드는 되는데 P2P 대전만 실패하는 식의 편차가 있습니다. 플레이스테이션도 유사하게 네트워크 설정에 프록시 항목이 있는 펌웨어가 있으나, 모델·지역·OS 버전에 따라 UI가 다릅니다. 공식 메뉴에서 「프록시」나 「Proxy」 키워드를 찾아 순서대로 채우면 됩니다.

콘솔은 브라우저가 아닌 독립 프로토콜을 많이 쓰므로, HTTP만 지원하는 프록시로는 부족한 경우가 있습니다. 이때 SOCKS를 고를 수 있는지, 아니면 공유기 뒤의 다른 게이트웨이를 써야 하는지 판단해야 합니다. 본문에서 말하는 LAN Clash는 「가능하면 편하게 쓰는 옵션」이지, 모든 멀티플레이 시나리오를 보장하지는 않습니다.

안드로이드 TV·OTT 박스

많은 OTT 박스는 사용자에게 프록시 UI를 거의 주지 않습니다. 안드로이드 TV라면 Wi-Fi 프록시를 노출하는 빌드도 있지만, 제조사 커스터마이징으로 숨겨진 경우가 흔합니다. 이때는 앱 측 VPN/프록시 클라이언트를 깔거나, 아래의 바이패스 라우터처럼 네트워크 경로 자체를 바꾸는 방법을 검토하게 됩니다. LAN Clash 한 가지만으로 모든 스트리밍 DRM 경로를 만족시키긴 어렵습니다.

「바이패스 라우터」 개념과 PC 게이트웨이

고급 사용자는 공유기 DHCP에서 특정 기기의 기본 게이트웨이만 PC로 보내거나, 이중 라우터 토폴로지에서 보조 라우터의 WAN을 Clash PC 뒤에 두는 식으로 확장합니다. 이 경우 PC는 사실상 소형 라우터 역할을 하며, IP 포워딩·NAT·DNS 캐시까지 손봐야 해 난이도가 급격히 올라갑니다. 가정용으로는 「수동 프록시가 되는 기기만 PC 포트를 쓴다」는 현실적인 선에서 멈추는 경우가 대부분입니다.

문서화된 Clash 단일 앱만으로 가정의 모든 트래픽을 완벽히 투명 프록시하려면, OS 레벨 라우팅과 충돌을 피하기 어렵습니다. 그래서 본 글은 HTTP·SOCKS를 지원하는 단말을 대상으로 한 시나리오에 초점을 맞춥니다.

DNS가 엇갈릴 때

단말이 여전히 공유기 DNS를 쓰면, 도메인이 로컬 ISP 쪽으로 먼저 풀려 Clash 규칙과 어긋날 수 있습니다. HTTP 프록시는 CONNECT 이후에야 SNI를 볼 수 있는 경우가 있어, DNS와 규칙 엔진의 싱크가 중요합니다. PC 쪽 Clash DNS가 이미 안정적이라면, 스마트폰을 PC와 같은 DNS로 맞추거나, fake-ip 기반 프로필에서는 단말 캐시를 비우고 다시 시도해 보세요.

보안: LAN 안에서만 쓰기

Clash allow-lan + 공유기 포트 포워딩 조합은 매우 위험합니다. 인터넷에 프록시가 노출되면 타인이 악용해 스팸·불법 접속의 출구로 쓰일 수 있고, 본인도 법적 리스크에 노출됩니다. 반드시 사설 대역 안에서만 쓰고, 공용 Wi-Fi에서는 PC 방화벽을 과도하게 열지 마세요. 집에 방문자가 잠깐 쓰는 정도라도, 작업이 끝나면 allow-lan을 끄거나 포트 규칙을 정리하는 편이 좋습니다.

자주 생기는 증상

첫째, IP가 DHCP로 바뀌면 단말 프록시 설정이 하루아침에 깨집니다. PC에 예약 IP를 걸어 두세요. 둘째, VPN을 PC에서 동시에 켜면 라우팅 루프가 납니다. 셋째, mixed-port와 구 HTTP 포트를 혼동하면 연결 거절이 뜹니다. 넷째, 게스트 SSID에 붙어 있으면 아무리 맞게 쳐도 안 됩니다. 증상별로 위 체크리스트를 위에서부터 다시 밟으면 대부분 원인이 좁혀집니다.

정리하며

LAN에서 Clash를 나눠 쓰는 흐름은 단순합니다. PC 코어가 검증된 규칙을 실행 중이고, allow-lan과 방화벽이 맞으면, 같은 Wi-Fi의 스마트폰·콘솔은 복잡한 앱 없이도 그 경로를 빌릴 수 있습니다. TUN으로 PC 자신을 다듬고, LAN 포트로 가족 기기를 묶는 식의 역할 분담도 흔한 패턴입니다.

클라이언트 빌드가 많아 출처를 헷갈리기 쉬운데, ClashFast 다운로드 페이지에서 플랫폼별 패키지를 한곳에 모아 두었습니다. PC 쪽을 아직 설치 중이라면 → Clash를 무료로 내려받아 LAN 공유 전에 기본 연결부터 맞춰 보세요.