這篇適合誰:只有 PC 開 Clash,手機想「借道」上網
典型情境是:家裡或租屋處只有一台 Windows 電腦常駐開著代理,手機偶爾需要同一組訂閱連結與規則,但不想在手机上再維護一份完整設定;或是公司/宿舍網路不允許你再接一台軟路由,只能用「現有電腦當區網代理伺服器」。
這與「整個區網預設閘道指向路由器上的 Clash」不同:後者請改讀本站 OpenWrt 閘道與 DNS 並存專文。本篇假設出口與規則都由 Windows 上的 Clash 核心處理,手機只是把 HTTP(S) 或 SOCKS 流量指向那台電腦。
觀念:為什麼手機不能填 127.0.0.1?
127.0.0.1 在每一台裝置上都代表「我自己」。電腦瀏覽器填 127.0.0.1:埠號 可以連到本機 Clash,是因為監聽程式跑在同一台機器上;手機若也填 127.0.0.1,它會去找手機內部是否有服務在聽該埠,結果當然失敗。
正確做法是:在路由器 DHCP 配發的同一個區網前綴下,找出 Windows 電腦的區域網路 IPv4(常見形如 192.168.0.x、192.168.1.x、10.x.x.x),手機的「代理伺服器/Proxy 主機」就填這個位址。若你曾依 WSL2 教學用過「宿主 IP」,概念類似,但手機連線目標仍是Windows 在 Wi‑Fi 或乙太網路上暴露的那張網卡 IP,不要誤用 Hyper-V 預設交換器的內部位址,除非你真的確認手機路由得到那裡。
開始前四項檢查:少做一項就會白忙
第一,手機與電腦必須在同一個「能互訪」的區網。連同一個 SSID 不一定夠:若基地台開了「AP 隔離」「客戶端隔離」「Guest 網路」,裝置之間無法互 ping,代理一定失敗。可先在手機上開瀏覽器試打 http://電腦IP:埠(未必有網頁,但能觀察是否「完全連不上」還是「有回應」)。
第二,電腦端 Clash 必須已能正常連外。本機都打不開的訂閱或節點,手機只是多繞一圈,不會因此自動變好。
第三,確認 Clash 有在你要用的埠上監聽。多數圖形客戶端會顯示 mixed-port(混合埠);若你手動改過設定檔,請核對 mixed-port、port(HTTP)、socks-port 是否與介面一致。
第四,Windows 電源與睡眠。筆電蓋上或進入睡眠,區網服務會中斷;若你希望手機長時間可用,請調整電源計畫或改接電源常開桌機。
步驟一:在客戶端開啟「允許區網/Allow LAN」
Clash 類核心預設常只監聽 127.0.0.1,外機無法連入。你必須在 GUI 找到「Allow LAN」「允許區域連線」或等價選項並開啟,讓監聽位址綁到 0.0.0.0 或至少可接受區網介面來連線。不同分支(Verge、Nyanpasu 等)用語略有差異,但關鍵字幾乎都圍繞 LAN。
開啟後,建議在 Windows 以系統管理員身分開啟命令提示字元或 PowerShell,執行 netstat -ano | findstr LISTENING,確認對應埠確實在聽(並記下 PID 以便之後核對是否為 Clash 行程)。若你同時啟用 TUN 模式,整機路由會更複雜;遇到「只有電腦正常、手機異常」時,可先暫時關閉 TUN,僅保留系統代理或純手機側手動代理做對照,細節可併讀 TUN 與系統代理排查。
步驟二:查出 Windows 目前的區網 IPv4
在 Windows 11/10 可開啟「設定 → 網路和網際網路 → Wi‑Fi/乙太網路」,檢視目前連線內容中的 IPv4 位址。習慣指令的使用者可在 PowerShell 執行 ipconfig,對應到「無線區域網路介面 Wi‑Fi」或「乙太網路」區段中的 IPv4,而不是「虛擬介面」或「WSL」區段。
若電腦同時連 Wi‑Fi 與有線,請選手機實際會走的那條路徑所屬子網的 IP。雙網卡時填錯網段,症狀會是手機完全無法建立 TCP 連線。
步驟三:手機端 Wi‑Fi 手動代理怎麼填
iOS:設定 → Wi‑Fi → 目前網路旁邊的 ⓘ → 捲到最底「HTTP 代理」→ 手動 → 伺服器填電腦 IPv4,連接埠填 Clash 的混合埠或 HTTP 埠;認證通常留空,除非你另外在核心加了帳密(一般家用不會)。
Android:各廠 UI 不同,多在 Wi‑Fi 詳細資訊 → 進階選項 → 代理 → 手動,主機與埠同上。若系統只支援 HTTP 代理,請優先使用 mixed-port 或 http-port,不要誤填純 SOCKS 埠。
填完後,先用瀏覽器開一個會反映出口 IP 的頁面做測試;若網頁可開但特定 App 仍直連,多半是該 App 忽略系統代理或使用自有連線,這已超出「區網代理」範圍,需改考慮 VPN 類或分應用方案。
步驟四:Windows Defender 防火牆入站規則(最常卡關)
即使 Clash 已監聽 0.0.0.0:埠,Windows 防火牆仍可能預設封鎖區網對該埠的入站連線。請在「具有進階安全性的 Windows Defender 防火牆」新增一條輸入規則:
作法 A(建議,範圍較精準):規則類型選「連接埠」→ TCP → 特定本機連接埠填你的 mixed-port(或實際使用的 HTTP 埠)→ 允許連線→ 套用網域/私人(依你的設定檔)→ 命名如「Clash mixed inbound」。若你也在用 UDP 型態的協定經由同一服務(較少見於純 HTTP 代理),再視需要另開 UDP。
作法 B:程式規則,路徑指向實際的 Clash 核心或 GUI 執行檔。好處是換埠較不用改規則;壞處是更新後路徑若變動要重設。
若仍不通,暫時將目前網路設定檔切到「私人」並確認沒有第三方安全軟體再攔一層。企業環境若有群組原則鎖防火牆,需由管理員放行。
疑難排解:允許區網仍連不上的清單
症狀 A:手機顯示代理錯誤或逾時。回到電腦用另一裝置或同機 curl -x http://本機區網IP:埠 https://example.com 測試;若電腦自己用區網 IP 可通、手機不行,偏向防火牆或 AP 隔離。
症狀 B:只有 HTTPS 站異常。檢查是否誤用只支援 HTTP 的舊代理模式、或中間人憑證未被手機信任(純 Clash 轉送通常不需額外憑證;若你接了 HTTPS 解密另當別論)。
症狀 C:IPv6 網站行為怪異。部分網路會優先走 IPv6;若你只為 IPv4 代理,可能出現「看似連上但實際繞過代理」的錯覺。可在路由器或裝置端暫時觀察 IPv6 影響,或於 Clash 規則面處理,細節可延伸 DNS 與 Fake-IP 專文。
症狀 D:電腦 IP 常常變。可在路由器 DHCP 為該電腦 MAC 指配保留位址,避免每次重開機都要重填手機代理。
安全與合規:區網代理不是「隱形斗篷」
允許區網等於把代理服務暴露給能與你 Layer 2 互通的裝置。請勿在公共 Wi‑Fi 長期開啟;在信任的家庭網路,也建議搭配路由器管理後台密碼、訪客網路分離。請在所在地法律與服務條款允許範圍內使用;本文僅說明技術設定,不提供規避監管或侵權用途的指引。
常見問題(精簡版)
手機 Wi‑Fi 代理的主機名稱要填什麼?
填 Windows 在該 Wi‑Fi 下的區網 IPv4,不可填 127.0.0.1。
連接埠要填混合埠還是 HTTP 埠?
多數情況填客戶端顯示的 mixed-port 即可搭配 HTTP 代理欄位;若你停用混合埠,改填設定檔中的 port(HTTP)。
已開允許區網仍連不上?
優先查防火牆入站規則與路由器 AP 隔離;其次確認兩台裝置是否同一子網、電腦是否睡眠。
這樣開放安全嗎?
僅限信任的區網與自己的裝置;不用時關閉允許區網並縮小防火牆放行範圍。
結語:先把「能連進電腦」搞定,再談規則與訂閱
Windows Clash 分享給手機的本質,是「允許區網 + 正確 連接埠 + 防火牆入站規則 + 手機填對 區網 IP」。這四件事做好,手機端的 Wi‑Fi 手動代理就能穩定借用電腦上已驗證過的節點與規則,省去在行動裝置上反覆除錯的時間。
相較於四處搜片段教學,一次把拓撲與防火牆講清楚,之後要調整訂閱連結或策略組也會輕鬆許多。若你還需要跨平台一致的客戶端與安裝指引,可從本站整理好的頁面取得套件與版本說明,把精力留在規則品質與網路穩定度。
更多場景化教學可瀏覽技術專欄首頁,依裝置與需求選讀即可。