Windows 11 Clash Verge Rev Web 외부 패널: external-controller·secret 보안 설정 (2026)

누가 읽으면 좋고, 어떤 글과 짝을 이루는지

Win11에서 Clash Verge Rev로 이미 인터넷은 되는데, 클라이언트 작은 창 말고 Chrome·Edge에서 Clash dashboard를 열어 연결 목록을 보거나 정책 그룹에서 노드를 고르고, 특정 도메인이 어느 outbound로 나갔는지 확인하고 싶을 때 쓰는 게 external-controller(외부 컨트롤러)입니다. 로컬에 관리용 HTTP API를 열고, external-ui나 서드파티 프론트와 합쳐져 익숙한 「Web 패널」이 됩니다.

첫 설치·시스템 프록시·TUN 선택이 아직이라면 Windows 11 Clash Verge Rev 첫 설정을 먼저 보세요. 원격 구독 YAML을 건드리지 않고 external-controller 키만 덧붙이려면 Mixin·프로필 오버라이드에 짧은 조각을 넣으면 됩니다. GUI 없는 서버 배포 예시는 CentOS Mihomo 설치 글의 골격과 키 이름이 같고, 데스크톱에서는 Verge Rev 설정·오버라이드 편집기가 진입점입니다.

연결 타임아웃을 볼 때는 Web 패널의 연결 뷰와 로그 패널 튜토리얼을 짝지어 보세요. 패널은 클릭으로 전환에, 로그는 원시 이벤트에 가깝습니다. DNS·분류 전체 흐름은 Clash 사용 튜토리얼 인덱스도 참고하세요.

세 포트 구분: 프록시·DNS·관리

초보자가 가장 헷갈리는 건 혼합 프록시 포트(mixed-port, 흔히 7890)와 외부 컨트롤러 포트(흔히 9090)입니다. 전자는 브라우저·터미널·앱의 프록시 트래픽용, 후자는 REST API로 설정 읽기·정책 그룹 변경·연결 목록 조회용입니다. Web 패널에서 「노드 전환」을 누르면 7890이 아니라 9090 쪽 API가 호출됩니다.

Mihomo(Clash Meta 코어) 관련 키는 보통 다음과 같습니다.

• external-controller: 리스닝 주소. 형식 IP:포트 또는 :포트(포트만 쓰면 바인드 동작이 버전마다 달라질 수 있어 데스크톱에서는 127.0.0.1을 명시하세요).
• secret: API 인증 키. 패널·스크립트가 Bearer 등으로 전달합니다.
• external-ui / external-ui-url: 내장 또는 원격 Dashboard 정적 리소스. 생략해도 /ui로 내장 UI에 닿는 빌드가 많습니다.
• external-controller-cors: 다른 기기·다른 출처 웹페이지에서 API를 부를 때만 필요. 본 PC 브라우저만 쓰면 보통 건드리지 않습니다.

1단계: 활성 프로필·코어 실행 확인

규칙 오버라이드와 같이 external-controller도 현재 활성 프로필 병합 YAML에 들어갑니다. 사이드바에서 어떤 프로필이 선택됐는지, 시스템 프록시나 TUN이 켜졌는지, 로그에 설정 로드 성공 메시지가 있는지 먼저 확인하세요. YAML 문법 오류로 코어가 안 뜨면 http://127.0.0.1:9090은 연결 거부가 나고, 이건 URL 오타와 다른 종류의 장애입니다.

구독 템플릿에 external-controller: 127.0.0.1:9090과 secret이 이미 있을 수도, 전혀 없을 수도 있습니다. 「설정 미리보기·병합 결과」에서 external-controller를 검색하는 편이 기억에 의존하는 것보다 확실합니다.

2단계: Clash Verge Rev에서 외부 컨트롤러 켜기

Rev 빌드마다 메뉴 문구는 조금 다르지만 경로는 대략 두 가지입니다.

1. 클라이언트 설정: 「Clash 코어」「외부 제어」「External Controller」 근처에서 스위치를 켜고 리스닝 주소·포트를 입력합니다. 「secret 난수 생성」 버튼이 있으면 쓰고 비밀번호 관리자에 복사하세요.
2. Profile Mixin 오버라이드: 설정 화면만으로 유지가 안 되거나 구독 갱신 동작이 어긋나면 오버라이드 편집기에 최소 YAML(다음 절)을 넣고 설정 재로드 후 미리보기에 키가 보이는지 확인합니다.

Clash for Windows에서 넘어온 사용자는 예전 Dashboard 버튼을 기억하기 쉽습니다. Verge Rev도 트레이에 「패널 열기」가 있어도, 코어 쪽 external-controller가 실제로 리스닝해야 합니다. 메뉴가 비활성이거나 빈 페이지면 대개 포트 미리스닝 또는 secret 불일치입니다.

3단계: Mixin에 external-controller·secret 넣기 (최소 예시)

아래는 Win11 본 PC 브라우저 전제 예시입니다. 관리 포트는 루프백만, YOUR_LONG_RANDOM_SECRET은 24자 이상 난수로 바꾸세요. 글·커뮤니티 예시를 그대로 쓰지 마세요.

# Profile override — local Web dashboard (example)
external-controller: 127.0.0.1:9090
secret: "YOUR_LONG_RANDOM_SECRET"
external-ui: ui
# optional: external-ui-url for hosted yacd / metacubexd

9090이 예전 Clash 인스턴스 등에 점유됐으면 127.0.0.1:9091 등으로 바꾸고 브라우저 주소와 YAML을 같이 수정하세요. 파싱 실패 시 로그에 줄 번호가 나옵니다. 한꺼번에 많이 붙이지 말고 오버라이드를 반씩 줄여 원인을 찾는 편이 낫습니다.

4단계: 브라우저에서 Clash Web 패널 열기·인증

재로드가 성공한 뒤 본 PC 브라우저에서 (포트는 위와 동일):

• 내장 Dashboard: http://127.0.0.1:9090/ui (일부는 /ui/#/, 실제 리다이렉트를 따르세요).
• token URL: http://127.0.0.1:9090/ui/?token=YOUR_LONG_RANDOM_SECRET처럼 hash·query에 secret을 넣는 프론트도 있습니다.
• 서드파티 UI: external-ui-url로 yacd·metacubexd 등을 쓰면 API 기본 주소 http://127.0.0.1:9090과 secret을 해당 문서대로 넣습니다.

열린 뒤 빠른 점검 세 가지: 연결 목록이 웹 새로고침에 따라 변하는지, 정책 그룹에서 고른 노드가 Verge Rev 메인에 바로 반영되는지, 규칙 탭(있을 때)에 현재 mode가 보이는지. 하나라도 실패하면 secret 일치·http/https 혼동(관리 API는 보통 HTTP, 루프백 한정)을 의심하세요.

PowerShell·Windows Terminal에서 curl로 API만 검증하면 브라우저 캐시와 코어 문제를 가릴 수 있습니다.

curl -H "Authorization: Bearer YOUR_LONG_RANDOM_SECRET" http://127.0.0.1:9090/version

JSON으로 코어 버전이 오면 external-controller와 secret이 유효합니다. 401이면 Bearer 접두사·따옴표를, 연결 실패면 포트 리스닝을 다시 보세요.

5단계: 보안 — 기본 127.0.0.1, LAN 노출은 신중히

「Clash Web 패널 설정」을 검색할 때 함께 봐야 할 건 「안전하게 여는 법」입니다. 권장 기본값:

• 바인드: 127.0.0.1:포트를 쓰고, 원격 운영 계획·방화벽·강한 secret 없이 0.0.0.0은 피하세요.
• 키 강도: secret 필수. 노트북이 불신 Wi‑Fi에 붙은 뒤에는 오버라이드에서 교체를 고려하세요.
• 방화벽: Win11은 루프백 인바운드를 보통 막지 않습니다. 의도적으로 LAN에서 접속하게 바꿨다면 「Windows 보안 → 방화벽 → 고급 설정」에서 9090 인바운드를 최소 출발 IP로만 허용하세요.
• allow-lan과 분리: allow-lan으로 mixed-port를 여는 것과 Dashboard 노출은 무관합니다. Web 패널만 켠다고 태블릿이 자동으로 프록시를 쓰지는 않습니다.

다른 PC에서 패널을 보려면 SSH 로컬 포트 포워딩(ssh -L 9090:127.0.0.1:9090 user@win11-pc)으로 관리 트래픽을 암호화하는 편이, 9090을 Wi‑Fi 전체에 브로드캐스트하는 것보다 낫습니다. 공인망 노출은 TLS·별도 인증이 있는 역프록시 수준이 필요해 가정용 기본 범위를 넘습니다.

자주 나는 문제와 점검 순서

「사이트에 연결할 수 없음 / 연결 거부」

순서: Verge Rev 실행 → 병합 YAML에 external-controller → netstat -ano | findstr 9090으로 127.0.0.1 LISTENING → 구 프로세스 포트 점유. 포트를 바꿨으면 옛 탭을 닫고 새 주소로 접속하세요.

패널은 되는데 노드 전환이 안 먹음

GUI와 API의 정책 그룹 이름 불일치, 또는 DIRECT·GLOBAL 모드일 때가 많습니다. 정책 그룹 수동 전환 글과 Web·본 화면에서 같은 그룹명 철자를 맞춰 보세요.

구독 갱신 후 401 또는 패널 불통

오버라이드가 비워졌거나, 구독 베이스 secret과 패널에 저장한 값이 어긋난 경우입니다. 설정 화면과 Mixin 두 곳에 secret을 넣었다면 병합 미리보기 기준으로 한 곳만 남기세요.

회사망·보안 SW 간섭

일부 EDR이 로컬 HTTP 루프백을 후킹해 Dashboard만 이상하고 프록시는 정상인 경우가 있습니다. 포트 변경·시크릿 창·보안 SW의 127.0.0.1 예외 정책을 확인하세요.

자주 묻는 것 (짧게)

Verge Rev UI만으로 부족해서 Web 패널이 꼭 필요한가요?

필수는 아닙니다. Verge Rev에도 연결·로그·정책 그룹 뷰가 있습니다. Web 패널은 브라우저 큰 화면, yacd류 레이아웃, REST API 스크립트에 익숙한 사용자에게 맞습니다. 포트가 달라 공존해도 됩니다.

secret은 어디에 저장되나요? 제거 시 남나요?

보통 프로필 오버라이드·앱 설정 디렉터리에 남습니다. 백업 시 오버라이드 텍스트를 민감 정보로 취급하고, 설정 백업 글처럼 암호화·동기화 규칙을 두세요.

Web 패널로 다른 사람에게 원격 노드 전환을 맡겨도 되나요?

기술적으로는 가능하지만 프록시 제어권을 넘기는 것과 같습니다. 통제된 내부망·강한 secret·감사 필요가 없으면 비신뢰 기기에는 열지 마세요. 가정용은 본 PC 루프백 + SSH 터널이 기본입니다.

정리

Windows 11에서 Clash Verge Rev Web 외부 패널을 쓰려면 네 가지가 핵심입니다. 병합 YAML에 external-controller 선언, 난수 secret, 기본 127.0.0.1 바인드, 브라우저·curl로 API 검증. LAN 프록시 공유와는 다른 문제 — 여기서는 「보고·관리」만, 「휴대폰에 프록시 빌려주기」는 다루지 않습니다.

일부 폐쇄형 프록시 셸은 표준 REST API가 없거나 Dashboard가 코어 버전에 묶여 업그레이드마다 깨지기도 하고, 관리 페이지가 고정 클라우드에만 있어 오프라인에서 연결을 디버깅하기 어렵습니다. Clash 생태계는 external-controller를 열린·스크립트 가능한 인터페이스로 두고, Verge Rev는 Mixin으로 원격 구독 파일을 수정하지 않고 패널을 안전히 켤 수 있게 합니다. 일상은 GUI로, 브라우저에서는 연결을 깊게 보고 싶다면 Clash 다운로드에서 유지보수 중인 클라이언트를 고른 뒤, 이 글 순서대로 Dashboard와 secret을 한 번에 맞춰 보세요.