WindowsでClashをLAN共有：スマホ向けポートと防火壁 2026

Q: ポート番号は7890で固定ですか？

多くのGUIクライアントでHTTPが7890、SOCKSが7891、Mixedポートが7890前後という例がよくありますが、設定画面とconfigのport／mixed-portの実値が正です。Clashのログや「接続情報」表示でLAN向けに開いている番号を必ず確認し、防火壁の受信規則も同じTCPポートに合わせてください。

Q: Allow LANをオンにしたのにスマホから繋がりません。

次を順に確認します。(1) PCとスマホが同一SSIDかつゲストネットワークのAP隔離が無効か。(2) Windowsのネットワークプロファイルが「プライベート」で、Defender防火壁が該当ポートの受信を許可しているか。(3) スマホ側がHTTPプロキシとSOCKSを取り違えていないか。(4) PCのClashが実際にそのポートで0.0.0.0にバインドしているか。

Q: ルーターでOpenWrtのようにゲートウェイ運用している場合は？

本稿は「単一PCがプロキシサーバになる」構成です。ルーター側で透明プロキシやDHCP配下のDNSを統括する運用は別パターンです。LAN内でPCクライアントとルータープロキシを併用するときの整理は、OpenWrt併用の記事を参照してください。

こんな人向け：ルーターではなく「このPCだけ」がプロキシになる場面

出先のホテルや自宅で、ノート PC だけ常時起動 していて、そこで Clash 系 GUI を回している。スマホは同じ Wi‑Fi に乗っているが、購読 URL を端末ごとに入れるのは面倒で、PC の出口にそろえたい——このニーズは非常に多く、検索ワードも「Windows Clash スマホ共有」「LAN プロキシ」のように具体化されやすいタイプです。

一方で、OpenWrt やルーター常駐型 のプロキシは、DHCP で DNS やデフォルト GW を配るレイヤまで含めて設計します。本稿の構成はあくまで OS が Windows の1台が HTTP／SOCKS リスナを LAN に公開する パターンなので、記事同士の役割がぶつからないように意識して読んでください。ルーター併用の整理が必要なら、OpenWrt 併用ガイドを先に押さえると全体像が掴みやすいです。

セキュリティ上の注意 Allow LAN は、信頼できる同一 LAN 内の端末に限定してください。公共 Wi‑Fi で LAN 全体にプロキシを晒すと、第三者に中継されるリスクがあります。利用後は不要ならオフに戻すか、プロファイルごとに分離した構成を検討してください。

全体の流れ：スマホは「PCのIP:ポート」へ向けるだけ

モバイル OS の Wi‑Fi 詳細設定にある 手動プロキシ（HTTP プロキシ） では、一般に サーバー＝PC の IPv4、ポート＝Clash が LAN に開いている番号 を入れます。HTTPS 通信も、アプリがシステムプロキシに従う限りは同じ出口に流れます（アプリ個別の直結や証明書ピンニングは別問題です）。

PC 側では、(1) Clash を起動し Allow LAN を有効化、(2) mixed-port または port／socks-port の実数値を確認、(3) ipconfig で Wi‑Fi アダプタの IPv4 を控える、(4) 防火壁でその TCP ポートの受信を許可——の順がわかりやすいです。ここまで揃えば、スマホのブラウザで IP 確認サイトを開いたときに PC の Clash ログに行が増える はずです。

Allow LAN をオンにする：名称はクライアントごとに少し違う

Clash Verge、Clash for Windows、他のフォーク GUI は、メニュー表記が「Allow LAN」「Allow connection from the LAN」「ローカルネットワークからの接続を許可」のように揺れますが、意味は同じで 127.0.0.1 以外のインターフェースへもリスンする スイッチです。オフのままだと、たとえば 127.0.0.1:7890 には応答しても、192.168.1.10:7890 には一切応答しません。

設定を変えたら コアの再起動 が必要な実装もあります。トグルを触った直後にスマホから試してダメでも、一度 Clash 側を再起動してから netstat や GUI のポート表示で 0.0.0.0 または実 IP で LISTEN しているか を確認してください。ここが抜けると、その後の防火壁設定を正しくしても繋がりません。

PC の LAN IP とポート番号を確定させる

IPv4 アドレスの取り方

コマンドプロンプトまたは PowerShell で ipconfig を実行し、今つなっている Wireless LAN adapter Wi‑Fi（表記は環境により異なります）の IPv4 アドレス をメモします。有線と無線の両方が有効なら、スマホと同じセグメント側を選んでください。Hyper‑V や WSL の仮想アダプタにだけ IP がある、という取り違えはよくあるので、SSID 実体のブリッジ側を見る習慣をつけると安全です。

ポートは「思い出」ではなく画面と YAML で照合

世間の例では HTTP 7890、SOCKS 7891 がよく引用されますが、あなたの環境では 別番号に変更済み の可能性があります。GUI の General／設定概要、または config.yaml の port、socks-port、mixed-port を見て、スマホが向ける先を一つに決めます。Mixed ポート が有効なら、それ一本を HTTP プロキシ先にしてしまうのがシンプルなことが多いです。

併せて、PC 本体で システムプロキシ を Clash に向けているか、TUN を併用しているかは、LAN 共有とは独立した話です。スマホから来た接続は「PC 上の Clash デーモンがリスンしているポート」に直撃するので、まずそこが開いているかに集中してください。TUN の全体像は既存の TUN 記事を参照ください。

Windows Defender 防火壁：受信規則をポート単位で足す

Allow LAN をオンにしても、ネットワークプロファイルが「パブリック」 のままだとブロックされやすいです。Wi‑Fi プロパティで プライベート に切り替えられるなら先にそちらを検討し、そのうえで不足する場合に 受信の規則 を追加します。

手順のイメージは次のとおりです。セキュリティが強化された Windows Defender 防火壁 を開き、「詳細設定」へ進みます。受信の規則 → 新しい規則 → 種類は ポート → プロトコルは TCP → 特定のローカルポート に、先ほど確認した Clash の番号（例：7890）を入れます。操作は 接続を許可、プロファイルは当面 プライベート にだけチェックを入れると過剰公開を避けやすいです。名前は「Clash HTTP LAN」など後でわかるものにします。

HTTP と SOCKS を別ポートで公開しているなら、規則を二重に作る か、必要な片方だけ許可します。UDP を使う特殊な構成でなければ、最初は TCP だけで十分なことが多いです。作成後も繋がらないときは、一時的に防火壁をオフにして切り分けるより、規則の適用プロファイルと実際のネットワーク種別 が一致しているかを疑う方が安全です。

スマホ側：Wi‑Fi の手動プロキシに IP とポートを入れる

iOS／Android とも、Wi‑Fi ネットワークの詳細から HTTP プロキシを手動 にできます。サーバー に PC の IPv4、ポート に mixed または HTTP ポートを入力します。認証は通常不要です（Clash 側で認証を足していない限り）。設定後、ブラウザで軽いページを開き、PC の Clash 接続ログ にスマホのフローが出るかを見ます。

うまくいかないときは、スマホから PC へ ping が通るか（iOS の制約で不可の場合もある）、同セグメントか、ゲスト Wi‑Fi のクライアント隔離 で相互通信が禁止されていないかを確認してください。ホテルや公共 AP では隔離がデフォルトのことも多く、その場合は PC をモバイルルータのプライマリ LAN に直接つなぐ などトポロジの変更が必要です。

DNS の扱い：まずは「プロキシ経由の名前解決」で様子を見る

LAN 共有で詰まりやすいのが DNS です。スマホが ISP の DNS を直叩きすると、意図せず漏洩したり、社内ドメインの挙動が変わったりします。最初の切り分けでは、ブラウザがシステムプロキシに従う前提で Clash 側のルールと DNS モード を信頼し、異常があれば DNS モード解説に立ち返るとよいです。

モバイル単体で Clash 系アプリを使う場合の切り分けは、Android 向け記事や iOS 向け記事が参考になります。本稿の構成（PC リレー）とは症状の出方が違うため、記事を取り混ぜないようにしてください。

よくある詰まり：チェックリストで上から潰す

Allow LAN が実際に有効か：再起動後、LISTEN アドレスが 127.0.0.1 だけになっていないか。
IP を間違えていないか：VPN 接続中に仮想アダプタ側をメモしていないか。
ポートを取り違えていないか：HTTP と SOCKS、mixed のどれを開けているか。
防火壁とプロファイル：プライベート／パブリック、受信規則の適用範囲。
AP 隔離：ゲスト SSID やホテル Wi‑Fi で端末間通信が禁止されていないか。
PC がスリープ：ノートの電源設定で LAN NIC が止まっていないか。

ここまで試してブラウザだけ通る／特定アプリだけ通らない場合は、端末側アプリが プロキシ非対応 の可能性があります。そのときは VPN クライアント型のソリューションや、PC 側 TUN で全体を捕捉してから別経路に出す等の別設計が必要になりますが、それは本稿のスコープ外です。

よくある質問

スマホのプロキシ先にはPCのどのIPを入れればよいですか？

同一LAN内でPCに割り当てられたプライベートアドレス（例：192.168.x.x、10.x.x.x）を使います。コマンドプロンプトで「ipconfig」を実行し、Wi‑Fiアダプターの「IPv4アドレス」を確認してください。VPNや仮想スイッチだけが別セグメントになっている場合は、そのIPではなく実際にスマホから到達できるインターフェース側を選びます。

ポート番号は7890で固定ですか？

多くのGUIでHTTPが7890、SOCKSが7891、Mixedが7890前後という例はありますが、設定画面とconfigの実値が正です。ログや接続情報でLAN向けに開いている番号を必ず確認し、防火壁の受信規則も同じTCPポートに合わせてください。

Allow LANをオンにしたのにスマホから繋がりません。

同一SSIDかつゲスト隔離の有無、WindowsのネットワークプロファイルとDefender受信規則、スマホ側のHTTP／SOCKSの取り違え、Clashのバインド先を順に確認してください。

ルーターでOpenWrtのようにゲートウェイ運用している場合は？

本稿は単一PCがプロキシになる構成です。ルーター級の透明プロキシやDHCP DNSの統括は別パターンです。併用時の整理はOpenWrt併用記事を参照してください。

まとめ

Windows で Clash を動かし、スマホに同じ出口を共有 したいときの要点は、Allow LAN でリスン範囲を広げ、ipconfig と GUI／YAML で IP・ポートを確定 し、Defender 防火壁 がその TCP 受信を許可していること、そして AP 隔離のない同一 LAN に乗っていることです。ルーター中心の LAN プロキシ 記事と役割を分けて読めば、検索意図に応じた最短手順にたどり着きやすくなります。

クライアントの世代差で挙動が変わるため、長期運用では Meta（mihomo）コアの更新と画面の変化に追従してください。実行ファイルの入手と各 OS 向けパッケージの比較は、ダウンロードページでまとめて確認できます。

→ Clash を無料ダウンロード — Allow LAN 対応クライアントの選定から、Windows 上でのポート公開と防火壁設定まで一気に試せます。