为什么需要「局域网代理」而不是再给每台设备装客户端

很多人已经在电脑上用 Clash 跑通了订阅与分流,但家里还有手机、平板、Nintendo Switch、PlayStation、电视盒子等设备。它们要么没有成熟的一键 Clash 客户端,要么安装与维护成本明显高于「填一个代理地址」。在这种场景下,更自然的做法是:让已经运行 Clash 的那台电脑(或小型主机)在局域网内提供 HTTP 或 SOCKS5 入站,其他设备只要连上同一 Wi‑Fi,把系统或应用的代理指向这台机器的 IP 与端口,就能共享同一套规则与策略组。

这和你在单台电脑上开 TUN 模式不是一回事:TUN 主要解决「本机哪些程序不读系统代理」的问题;而本文关注的是跨设备、无专用客户端如何把流量送进 Clash。若你希望先巩固本机全局接管,可对照 Clash TUN 模式详解,再回来看局域网入站会更容易建立整体图景。

💡
适用边界 局域网代理适合「能手动设置 HTTP/HTTPS 代理」或支持 SOCKS5 的系统与应用。纯 UDP、不走代理端口的游戏流量、或强制证书校验且与 MITM 冲突的场景,需要单独评估;必要时再考虑旁路由或网关级转发,而不是只改「Wi‑Fi 详情里的代理」。

先弄清三个概念:mixed 端口、HTTP 代理 局域网、SOCKS5 共享

Clash 系内核通常会在本机开放一个或多个入站端口,常见形态包括:单独的 port(HTTP)、socks-port(SOCKS5),以及合并两者的 mixed-port。当你在图形客户端里看到「端口设置」或「允许来自局域网的连接」时,背后往往对应 YAML 里 mixed-portallow-lan 一类开关。

HTTP 代理 局域网指的是:代理进程监听在 0.0.0.0 或具体网卡 IP 上,而不仅是 127.0.0.1。只有这样,手机在填写「代理主机名」为你的电脑局域网 IP(例如 192.168.1.23)时,报文才能到达 Clash。SOCKS5 共享同理,只是协议不同:不少游戏启动器、下载器或 Android 应用对 SOCKS5 支持更好,可在能选协议时与 HTTP 二选一或并列配置。

若你使用远程配置,实际字段名可能略有差异,但语义稳定:打开允许局域网、把绑定地址从纯回环改为全网卡监听、确认 mixed 或分端口数值与客户端显示一致。改完后务必在电脑本机先用环回地址测通,再换手机访问。

开始前的准备:同一网段、固定电脑 IP、订阅已可用

请确认手机与电脑连接的是同一个无线路由器 SSID,并且没有被访客网络、AP 隔离、「终端互访禁止」之类策略隔开。部分企业热点或酒店 Wi‑Fi 会阻止无线客户端互 ping,这时你怎么填代理都不会通,只能换网络或改用移动热点做对照实验。

在电脑上查局域网 IP:Windows 可用 ipconfig,macOS 用「系统设置 → 网络」,Linux 用 ip a。建议给这台机器在路由器 DHCP 里做地址保留,避免第二天 IP 变了全家设备都要重填。Clash 本身能正常上网、规则分流符合预期,是继续折腾局域网分享的前提;若你还卡在导入订阅,可先完成 订阅链接与多订阅管理 再往下看。

开启 Clash 允许局域网连接:GUI 与配置要点

以常见图形客户端为例,操作路径大同小异:进入「设置 / 通用 / 端口」区域,勾选允许局域网(Allow LAN),记下 mixed-port 或 HTTP 端口数值。若提供「绑定地址」选项,应选择监听所有接口或明确选中有线/无线网卡,而不是仅限 127.0.0.1

如果你直接维护 YAML,可对照下列结构(示例端口请按实际修改):

mixed-port: 7890
allow-lan: true
bind-address: '*'
# Use '*' to listen on all interfaces; some builds use 0.0.0.0 instead.

保存后重启内核或重载配置,在电脑上用 curl -x http://127.0.0.1:7890 https://example.com(端口替换为你的值)验证本机入站正常,再在手机上把代理指向 http://你的局域网IP:7890

系统防火墙与路由器:最常见的「我明明开了允许局域网」

Windows 防火墙首次弹出提示时若点了「阻止」,外设备会被静默丢弃连接。请到「允许应用通过防火墙」中为 Clash 主程序或内核勾选专用/公用网络,或临时关闭防火墙做对比测试以定位问题。macOS 同理,关注「传入连接」授权;Linux 则留意 nftablesufw 是否放行对应 TCP 端口。

若你安装了第三方安全套件,它可能在系统防火墙之上再加一层拦截。排障时建议只保留一条路径变量:先确保电脑与手机互 ping 正常,再 telnet 或网络工具探测端口开放,最后才怀疑规则写错。

⚠️
安全提示 allow-lan: true 意味着同一广播域内其他设备也可尝试使用你的代理入站。请勿在不可信公共网络开启;家庭环境也建议配合路由器访客隔离策略,并在不用时关闭局域网允许。

手机与平板:iOS、Android 的手动 HTTP 代理

在 iOS 上进入当前 Wi‑Fi 的详情页,滚动到「HTTP 代理」,选择「手动」,服务器填电脑 IP,端口填 mixed/HTTP 端口。若站点走 HTTPS,Clash 作为普通 HTTP 代理仍会建立隧道,不必在手机上安装额外证书——这与「解密 TLS」无关。

Android 各厂商路径略有不同,一般在 Wi‑Fi 详情 → 高级 → 代理,选择手动并填写主机与端口。部分系统仅支持 HTTP,若你依赖 SOCKS5,可改用支持 SOCKS 的第三方工具或应用内单独配置。设置完成后用浏览器打开一个需代理才能稳定访问的页面做验证,并观察 Clash 连接日志是否出现来自手机 IP 的会话。

游戏机与电视盒子:能设代理的设代理,不能的想旁路由

Nintendo Switch 在「互联网设置」里可为单个网络配置代理服务器,把地址与端口指向你的电脑即可。PlayStation、Xbox 的系统代理能力因版本与地区界面而异,若找不到 HTTP 代理选项,通常需要在路由器层做透明转发或让网关设备运行 Clash——也就是常说的旁路由思路:下游设备无感知,默认网关指向运行 Clash 的那台机器,由它在三层转发与分流。

电视盒子若基于 Android,往往可像手机一样设 Wi‑Fi 代理;纯 IPTV 固件则可能要改路由或加一层透明代理。对游戏场景还要额外注意:许多联机游戏大量使用 UDP,对延迟敏感,「能连上商店」不等于「联机体验更好」;有时反而应把游戏相关域名或 IP 规则设为直连,避免徒增跳转。

若你希望整体分流逻辑更「一次写好,全家复用」,可结合 国内直连与海外代理分流教程,在电脑上把规则打磨稳定,再开放局域网入站,比在每台终端重复维护规则轻松得多。

旁路由与游戏机:什么时候该从「填代理」升级

当你遇到以下任一情况,可以评估旁路由:设备根本没有代理设置入口;应用大量 UDP 流量无法通过 HTTP 入站;你希望家里所有终端默认走同一网关而不逐台配置。实现上可以是软路由、树莓派、迷你主机长期运行 Clash,或主路由刷固件——本文不展开具体硬件刷机步骤,但核心原则是让需要代理的流量在三层路径上经过 Clash,而不是仅在应用层塞一个 HTTP 地址。

旁路由对网络拓扑要求更高:DHCP 网关、DNS 下发、环路规避、双机热备都要预先设计。若你只是想临时让 Switch 下载数字版更新走代理,电脑开允许局域网 + Switch 填代理往往就够了。

排障清单:从「完全不通」到「只有部分 App 失效」

现象:手机显示已连接代理,但任何站点都打不开

优先检查电脑 Clash 是否运行、端口是否一致、allow-lan 是否生效,防火墙是否放行。再确认手机与电脑 IP 同网段,路由器未开 AP 隔离。可在电脑执行抓包或用简单 TCP 探测确认手机到入站端口的 SYN 是否到达。

现象:浏览器可以,部分 App 不行

说明系统代理对该 App 不生效或 App 使用了自有网络栈。尝试换支持代理的客户端,或在 Android 上使用 VPN 类方案(与本文字面「无客户端」目标相冲突,但可作为权宜)。长期方案仍要回到 TUN/网关级接管。

现象:网页白屏、提示 DNS 失败

手机仍可能使用运营商 DNS,与 Clash 侧 fake-ip 或分流预期不一致。可将路由器 DNS 指到可靠上游,或在 Clash DNS 配置中理顺 redir-host / fake-ip 与规则的关系,避免「解析走了旁路、连接却进代理」的错位。

开源信息与安装包入口分开

Clash 生态的内核与前端多为开源,你可以在 GitHub 上查阅提交记录、比对发行版哈希,这对建立长期信任很有帮助。与此同时,日常安装图形客户端仍建议以本站聚合页为主入口,把「读源码」和「下载安装包」分成两步,可降低误入仿冒 Release 的风险。Windows 用户若尚未装好桌面端,可按 Clash Verge Rev Windows 教程 完成首装,再按本文打开局域网共享。

当你把允许局域网、端口监听与防火墙几件事一次配对成功,同一 Wi‑Fi 下的手机与主机就能无感复用你在电脑上已经调好的策略组与规则顺序,而不必在每台设备重复导入订阅。相比「每台都装客户端」,这种拓扑在宿舍与家庭环境里往往更省事;若你还希望把 DNS、分流与客户端版本统一纳管,可从本站 Clash 客户端下载页 获取适合你平台的版本,先在单机上跑稳,再向局域网外推。→ 立即免费下载 Clash,开启流畅上网新体验