手机已填电脑 IP 和端口，为什么还是连不上 Clash？

按顺序检查：两台设备是否在同一网段与同一 Wi‑Fi；Clash 是否已开启「允许局域网 / Allow LAN」；端口是否与客户端里显示的 mixed 或 HTTP 端口一致；Windows 防火墙是否已为该端口添加 TCP 入站允许；电脑是否休眠或断网导致 IP 变化；若电脑同时开热点，确认手机连的是与电脑有线/无线同一路由的 SSID 而非错误 VLAN。

手机 Wi‑Fi 里应填 HTTP 代理还是 SOCKS？

iOS 与 Android 的系统级「手动代理」通常只支持 HTTP/HTTPS 代理服务器与端口，请填 Clash 的 HTTP 端口或 mixed（混合）端口（多数客户端默认 mixed 为 7890，以你界面为准）。若应用单独支持 SOCKS5，才在应用内填 SOCKS 端口；系统 Wi‑Fi 代理不要混用未支持的协议名。

开启允许局域网会不会不安全？

允许局域网后，同一局域网内其他设备若知道你的 IP 与端口，可能尝试使用你的代理出口，存在滥用风险。建议在可信家庭网络短时开启，不用时关闭 Allow LAN；配合防火墙仅放行必要端口；避免在公共 Wi‑Fi 下对陌生人可见的网段长期开放；重要环境可改用路由器级网关代理（参见本站 OpenWrt 与桌面并存篇）。

这和 Windows 上开 TUN 或系统代理有什么区别？

TUN 与系统代理主要让本机应用走 Clash；手机不在你的电脑里，不会自动继承。要让手机走 PC 上的 Clash，需要电脑在局域网 IP 上监听代理端口并允许局域网入站，手机再显式把网关侧流量指到该 IP:端口。若你已开 TUN，仍须单独完成 Allow LAN 与防火墙步骤，二者解决的是不同层面的问题。

免费订阅链接导入后，手机还要不要再导入一次？

不需要。手机使用「手动 HTTP 代理」时，只是把浏览等流量转发到电脑上的 Clash，由电脑上的 Clash 按已导入的免费订阅链接与规则选节点。请确保电脑端订阅有效、节点可连通；若电脑端已超时，手机侧也会表现为打不开外网。

Windows Clash 局域网共享手机 2026：端口与防火墙

先厘清场景：你要的是「电脑的 Clash」，不是「手机再装一份内核」

很多教程默认你已经有一台软路由或 OpenWrt，把 DHCP 网关指到路由器上的 Clash——那条路线适合「全屋设备无感透明代理」，本站也有《OpenWrt 路由器与桌面客户端并存》专门讲网关与 DNS 分工。但你现在的诉求往往更简单：只有 PC 在跑 Clash，手机临时需要同一出口查资料、收邮件或测节点，你不想折腾路由器，也不想在一堆菜单里猜「系统代理」和「局域网」到底谁先谁后。

在这种拓扑下，手机并不是 magically 发现电脑上的代理的。你必须同时满足三件事：Clash 在局域网接口上监听（Allow LAN）、Windows 防火墙允许外部设备连入该 TCP 端口、手机显式把 HTTP 代理指到「电脑的 IPv4:端口」。任缺一项，表现都是超时、一直转圈或直接提示无法连接。下面按「从电脑到手机」的顺序写，你可以把每一步打勾，避免来回跳转。

另外请确认：手机与电脑连接的是同一个局域网。常见误判包括：电脑插网线、手机连访客 Wi‑Fi；电脑连 5G、手机连 2.4G 但路由做了客户端隔离；公司网络禁止无线客户端互访。若 ping 不通电脑的局域网 IP，应先解决二层隔离，再谈代理。

第一步：在 Windows Clash 打开「允许局域网」，并记下端口

不同图形界面文案略有出入，但核心选项通常叫做 Allow LAN、允许局域网连接 或类似表述。关闭时，Clash 往往只在 127.0.0.1 上接受连接，手机无论从哪个 IP 访问都会被拒绝——这不是「规则写错」，而是监听范围问题。

打开 Allow LAN 后，请在同一设置页确认下列端口（以你客户端实际显示为准，常见默认如下，切勿死记硬背）：

Mixed（混合）端口：同时承载 HTTP 与 SOCKS 的单一入口，很多场景下手机填这个最省事。
HTTP 端口：若你单独开启了 HTTP 代理监听，也可用于系统级「手动代理」。
SOCKS 端口：部分应用内可填，但 iOS / Android 系统 Wi‑Fi 里的「手动代理」通常只认 HTTP 类，不要在这里硬填 SOCKS。

若你刚接触 TUN 模式与系统代理的区别，建议先读《Clash TUN 与系统代理》：TUN 主要解决「电脑本机哪些进程走了虚拟网卡」，并不替手机完成配置；Allow LAN 才是把手机流量「递进来」的前置条件。

改完端口或开关后，若客户端提供「重启核心」或「重载配置」，执行一次，避免旧进程仍绑定在旧接口上。随后保持 Clash 正常运行且节点可选——电脑自己都打不开外网时，手机更不可能借道成功。

第二步：用 ipconfig 找到电脑的局域网 IPv4（不是 127.0.0.1）

手机代理地址必须填电脑在局域网中的地址，常见形态为 192.168.x.x、10.x.x.x 或 172.16–31.x.x。在 Windows 上最快的方式是打开 PowerShell 或 CMD，执行 ipconfig，在正在上网的那块网卡（无线局域网适配器 WLAN 或以太网）下查看 IPv4 地址。

注意几个坑：

多网卡多 IP：笔记本可能同时有 Wi‑Fi、有线、虚拟网卡（Hyper‑V、VMware、TUN）。请选与手机同一网段、真正在跑默认路由的那一块，避免填到仅虚拟机可见的地址。
DHCP 租约变化：路由器重启或电脑长时间离线后 IPv4 可能变。长期共享可考虑在路由器里给电脑做静态 DHCP 绑定，减少手机端频繁改地址。
IPv6：系统级手动代理字段往往围绕 IPv4 教程展开；若你全屋纯 IPv6，需要额外核对客户端与系统是否支持，本文默认 IPv4 场景。

拿到形如 192.168.1.23 的地址后，可以先在手机浏览器以外的工具（如另一台电脑的 ping）验证连通性；若 ICMP 被禁用，至少确保手机与电脑在同一 SSID 下能互访文件共享或路由管理页——这能提前排除 AP 隔离。

第三步：Windows 防火墙为 Clash 端口添加「入站」允许

即使 Allow LAN 已开，Windows Defender 防火墙仍可能默认拦截「从 Wi‑Fi 进来的非白名单连接」。表现为手机端代理立刻失败，而电脑本机通过 127.0.0.1 访问同一端口却正常。此时需要在「入站规则」里显式放行。

推荐两种做法（二选一即可，优先选你更熟悉维护的那种）：

方式	适用	操作要点
按 TCP 端口放行	端口固定、可快速核对	新建入站规则 → 端口 → TCP → 特定本地端口（你的 mixed 或 HTTP 端口）→ 允许连接 → 勾选域/专用/公用（家庭网络通常选专用即可，视你的网络配置文件而定）
按程序路径放行	端口偶尔变动、想少改规则	新建入站规则 → 程序 → 浏览到 Clash 主程序或内核可执行文件 → 允许连接；若更新后路径变了需同步规则

配置完成后，可用手机在同一 Wi‑Fi 下访问 http://电脑IP:端口 做粗测（部分客户端会返回简单页面或连接被重置，只要能区分「立即拒绝」与「超时」即可）。若仍不通，暂时关闭防火墙对比（仅用于定位，定位后请恢复并改为正规规则），或检查是否安装了第三方安全套件二次拦截。

与《Windows 11 UWP 与 Clash》里强调的「回环隔离」不同，这里是跨主机入站，规则方向别选成「出站」。

第四步：手机连接同一 Wi‑Fi，设置「手动 HTTP 代理」

以常见系统为例（具体菜单名随版本略有差异）：

iOS / iPadOS：设置 → 无线局域网 → 已连 Wi‑Fi 右侧信息按钮 → 滚动到「HTTP 代理」→ 选手动 → 服务器填电脑 IPv4 → 端口填 mixed 或 HTTP 端口 → 认证一般留空（除非你在 Clash 侧自行加了鉴权，多数默认没有）。更多 Clash 系客户端场景见《iOS 18 订阅与蜂窝排查》。
Android：设置 → WLAN → 长按已连接网络 → 修改网络 → 高级选项 → 代理 → 手动 → 主机名与端口同上。若厂商 ROM 把菜单藏得很深，可依赖系统搜索框输入「代理」定位。App 级排错可参考《Clash for Android 七步排查》。

填完后，先打开一个纯网页测试（避免一上来就用强证书钉扎的 App）。若网页能开，说明链路已通；若仅部分 App 异常，多半是应用无视系统代理或自带 DNS，需要单独处理，那已超出「共享 Clash 端口」这一最小闭环。

关于免费订阅链接：手机不需要再导入一份订阅才能「借用」电脑上的 Clash。订阅与规则仍在 PC 侧维护；你要做的是让 HTTP 流量到达 PC 上的 Clash 监听端口。若你尚未在电脑导入订阅，可从本站下载页获取客户端后，按界面指引粘贴订阅 URL；节点不可用时应先在电脑端测通，再让手机连代理。

验证与对照：从「能连上端口」到「规则也生效」

建议按下面顺序收窄问题范围，不要跳步：

电脑本机：浏览器或 curl 走 127.0.0.1:端口 能访问目标站点。
局域网另一设备：若方便，用第二台电脑测试同端口；没有则直接用手机浏览器。
手机仅开代理：关闭 VPN 类 App，避免双隧道；确认没有第二个「自动配置脚本」抢代理。
Clash 日志：连接时是否出现来自手机 IP 的入站记录；若无，仍是网络层或防火墙问题；若有但握手失败，再查规则、TLS 与节点。

若网页提示证书问题，多半与HTTPS 解密无关（本场景通常不做 MITM），而是目标站点自身证书链或系统时间异常；先校时，再对照电脑直连是否同样报错。

DNS 与隐私：手机「走了代理」不等于「DNS 也完美」

系统级 HTTP 代理主要转发 HTTP(S) 应用流量；部分系统或应用仍可能绕过代理发起 DNS 查询，或在代理握手前先做本地解析。若你依赖 Clash 的 fake-ip、nameserver-policy 等能力，电脑端配置再完美，手机侧若坚持自带 DoH/专用 DNS，也可能出现「网页偶发打不开」的错觉。

对大多数用户，先把端口、防火墙、Allow LAN三步跑通，再观察是否仍有纯 DNS 症状；若需要深挖，可继续读《fake-ip 与 redir-host》，理解局域网与解析链路的耦合。

常见问题（速查）

手机填了 IP 和端口还是连不上？

回到本文第二、三、四步逐项核对：Allow LAN、端口数字、ipconfig 的 IPv4、入站规则是否覆盖当前网络配置文件、手机与电脑是否同一网段。若电脑睡眠，无线网卡可能被省电策略关掉。

HTTP 还是 SOCKS？

系统 Wi‑Fi 手动代理优先用 HTTP / mixed 端口。SOCKS 留给单独支持的应用内设置。

Allow LAN 安全吗？

同网段内可被滥用，仅在可信环境短时开启；公共网络慎用。更长远的全屋方案见 OpenWrt 专文。

TUN 开了还需要 Allow LAN 吗？

需要。TUN 解决本机虚拟网卡流量；手机共享依赖局域网入站监听与防火墙放行。

手机还要导入免费订阅链接吗？

不用。订阅在电脑 Clash 里维护即可；手机只负责把流量送到电脑的端口。

写在最后：把「共享代理」当成可开关的能力

Windows Clash 向手机共享局域网代理，本质是把你已在 PC 上调好的规则与订阅，通过一个稳定的 TCP 入口暴露给信任设备。它与路由器网关方案并不冲突：你完全可以先在单电脑场景用本文方法应急，再决定是否要上 OpenWrt。相比在每台手机单独维护订阅与规则，这种「一机出口、多端复用」在临时办公、家人借用网络时往往更省事。

若你希望客户端把 Allow LAN、端口展示与日志做得更直观，减少在防火墙菜单里反复试错，可以优先选择界面清晰、与 Meta 内核同步更新的发行版；安装包与版本说明见本站下载中心。更多实战文章可在技术专栏按分类浏览。

→ 立即免费下载 Clash，在 Windows 上导入免费订阅链接、打开允许局域网并配好防火墙后，手机连同一 Wi‑Fi 即可共享同一代理出口。

读完若仍卡在「电脑能开、手机全超时」，建议按顺序导出 Clash 日志中与手机 IP 相关的行，再对照本文表格回溯；需要规则进阶时，可继续阅读《YAML 规则分流指南》。