Windows 11 PC의 Clash를 같은 Wi‑Fi 휴대폰·태블릿에서 쓰기: allow-lan·방화벽 입장·수동 프록시

① 전제: PC와 휴대폰이 같은 L2 네트워크에 있어야 합니다

게스트 Wi‑Fi와 메인 Wi‑Fi가 단말 간 통신을 막는 공유기 설정이면, IP를 맞춰도 프록시 포트에 TCP가 닿지 않습니다. PC는 유선, 휴대폰은 무선이어도 되지만, 둘 다 같은 사설 대역(예: 192.168.0.0/24)에서 서로 ping이나 포트 확인이 되는지 먼저 봅니다. 회사망·기숙사망은 AP 격리로 인해 이 단계에서 막히는 경우가 있어, 그때는 이 가이드의 한계를 넘어서는 정책·장비 문제입니다.

또 하나, 이 방식은 휴대폰이 PC의 SOCKS/HTTP 포트로 트래픽을 보내는 구조입니다. PC에서 TUN을 켜 두었다 해도, 휴대폰이 자동으로 TUN 안으로 들어가지는 않습니다. TUN과 시스템 프록시의 차이는 TUN 모드 심화에서 다루고, 이 글은 LAN 포트 공유에 초점을 맞춥니다.

② PC의 IPv4 주소 확인하기

Windows 11에서 명령 프롬프트 또는 PowerShell을 연 뒤 ipconfig를 실행합니다. 지금 쓰는 Wi‑Fi 어댑터 또는 이더넷 항목의 IPv4 주소를 적어 둡니다. 보통 192.168.x.x 또는 10.x.x.x 형태입니다. 휴대폰 프록시 설정의 서버 칸에는 이 값을 그대로 넣습니다.

주의: 공유기가 재부팅되거나 DHCP 임대가 바뀌면 IPv4가 달라질 수 있습니다. 자주 쓰는 환경이라면 공유기에서 해당 PC에 고정 DHCP 예약을 걸어 두면 휴대폰 설정을 덜 고쳐도 됩니다.

③ Clash에서 「로컬망 허용」allow-lan과 바인드 주소

기본값은 보안상 자기 자신(루프백)만 듣는 경우가 많습니다. 다른 기기가 PC로 패킷을 내려면 코어가 0.0.0.0 또는 LAN 인터페이스 IP에서 리슨해야 합니다. 설정 파일(YAML)에서는 대개 아래와 같은 키가 등장합니다.

• allow-lan: true — 로컬망에서의 접속을 허용하는 스위치(클라이언트마다 UI 이름은 「LAN 허용」「Allow LAN」 등으로 표시되기도 함)
• bind-address: '*' 또는 0.0.0.0 — 모든 IPv4 인터페이스에서 수신(빌드·코어에 따라 키 이름이 bind-address 계열로 다를 수 있음)
• mixed-port, port, socks-port — 휴대폰에 넣을 숫자 포트. mixed가 있으면 HTTP와 SOCKS를 한 포트에서 받는 경우가 많아 모바일 설정이 단순해집니다.

Clash Verge Rev 등 GUI에서는 설정·코어 옵션 화면에 위 옵션과 동등한 항목이 있습니다. YAML을 직접 고친 뒤에는 프로필 적용·코어 재시작을 잊지 마세요. 포트 번호는 다른 앱과 겹치면 이상 동작이 나므로, 클라이언트에 표시된 값을 기준으로 휴대폰에 적습니다. PC 쪽 첫 실행 흐름이 헷갈리면 앞서 인용한 Win11 첫 설치에서 프로필·포트만 다시 확인하면 됩니다.

④ Windows 11 방화벽: 인바운드 규칙으로 TCP 포트 열기

코어 설정이 맞아도 Windows Defender 방화벽이 들어오는 연결을 차단하면 휴대폰에서는 「연결 시간 초과」에 가깝게 보입니다. 설정 경로는 대략 다음과 같습니다.

1. Windows 보안 → 방화벽 및 네트워크 보호 → 고급 설정(또는 제어판의 Windows Defender 방화벽 고급 보안)
2. 인바운드 규칙 → 새 규칙
3. 포트 → TCP → 특정 로컬 포트에 Clash의 mixed-port(또는 HTTP/SOCKS에 쓰는 포트) 입력
4. 연결 허용 → 프로필에서 개인을 포함해 현재 Wi‑Fi/유선 프로필에 맞게 선택
5. 이름을 예를 들어 Clash LAN mixed처럼 붙여 나중에 찾기 쉽게 합니다

환경에 따라 실행 파일 단위로 Clash Verge·코어 바이너리를 허용 목록에 넣는 편이 더 잘 먹는 경우도 있습니다. 반대로 서드파티 백신·엔드포인트 보안이 별도 방화벽을 갖고 있으면 거기서도 같은 포트를 열어야 합니다.

적용 후에는 같은 PC에서 다른 기기 역할을 가정한 검증이 어렵다면, 우선 휴대폰 브라우저로 http://PC의IPv4:포트 형태가 아니라, 프록시를 켠 상태에서 외부 사이트 접속으로 확인하는 것이 일반적입니다. 내부 웹 UI가 없는 빌드도 많으므로, 최종 판단은 실제 프록시 경유 접속으로 합니다.

⑤ 휴대폰·태블릿: Wi‑Fi에 「수동 프록시」 넣기

iOS·iPadOS는 해당 Wi‑Fi 네트워크의 정보 화면에서 HTTP 프록시를 수동으로 바꾼 뒤, 서버에 PC의 IPv4, 포트에 mixed 또는 HTTP 포트를 넣습니다. SOCKS만 지원하는 앱을 쓰지 않는 한 HTTP 프록시만으로도 브라우저와 많은 앱이 따라옵니다.

Android는 제조사·OS 버전에 따라 Wi‑Fi 고급 옵션에 프록시가 있거나, 개별 앱 VPN/프록시로 가야 하는 경우가 있습니다. 안드로이드에서 Clash 앱 자체를 쓰는 흐름은 안드로이드 Clash 설정과 역할이 겹치므로, 이 글은 PC 포트만 빌려 쓰는 경우에 집중합니다. 일부 앱은 시스템 프록시를 무시하므로, 그때는 앱 내 프록시 설정이나 별도 클라이언트가 필요합니다.

⑥ 잘 안 될 때: 순서대로 좁히기

1. 휴대폰과 PC가 동일 SSID·동일 서브넷인지, 게스트 네트워크가 아닌지 확인합니다.
2. PC에서 ipconfig로 적어 둔 IPv4가 여전히 유효한지 다시 봅니다.
3. Clash에서 allow-lan과 바인드, 실제 리슨 포트가 기대와 같은지 확인합니다. 구독·프로필 문제는 구독 링크 FAQ에서 별도로 다룹니다.
4. 방화벽 인바운드가 개인 네트워크에만 적용돼 있는데 Wi‑Fi 프로필이 공용으로 잡혀 있지 않은지 확인합니다. 필요하면 해당 Wi‑Fi를 개인으로 바꿉니다.
5. PC에서 다른 VPN·필터 드라이버가 동시에 켜져 있으면 경로가 꼬일 수 있습니다. 한 번 끄고 재시도합니다.

⑦ DNS·규칙: 휴대폰에서도 PC와 같은 프로필을 탄다

휴대폰 트래픽이 PC의 Clash로 들어가면, 도메인 규칙·DNS·fake-ip는 PC 쪽 프로필 설정을 그대로 따릅니다. 그래서 PC 브라우저에서는 되는데 휴대폰 앱만 이상하다면, 앱이 DoH나 자체 DNS로 빠져 나가는지도 의심해 볼 만합니다. 구조를 넓게 잡고 싶다면 Clash 입문 튜토리얼에서 Rule·DNS 흐름을 한 번 정리해 두면 이후 진단이 빨라집니다.

⑧ 보안·법적 책임: LAN 공유는 「신뢰 구역」 전제입니다

이 구성은 PC에 프록시 입구를 여는 것과 같습니다. 인증 없는 개방형 프록시에 가까워지면 같은 네트워크의 다른 사람이 악용할 수 있으므로, 가능하면 짧은 시간만 켜고 쓰거나, 공유기 수준에서 신뢰할 단말만 남기는 편이 좋습니다. 또한 네트워크 경로 변경은 현지 법령·서비스 약관·회사 정책을 준수해야 하며, 이 문서는 기술적인 연결 절차만 설명합니다.

⑨ 정리

Windows 11에서 이미 Clash가 돌아가는 상태라면, 휴대폰과 공유하는 핵심은 세 가지입니다. allow-lan 등으로 LAN에서 포트를 듣게 만들 것, 방화벽 인바운드로 그 TCP 포트를 허용할 것, 휴대폰 Wi‑Fi 수동 프록시에 PC IPv4와 포트를 정확히 넣을 것입니다. 이 세 가지가 맞으면 「PC만 되고 폰만 안 됨」 류 증상은 대부분 해소됩니다.

규칙 기반 클라이언트는 처음엔 항목이 많아 보이지만, 한 번 프로필과 포트·방화벽의 관계를 잡아 두면 TV·태블릿·게스트 기기까지 같은 집 네트워크 안에서 일관되게 쓰기 쉬워집니다. 설치 패키지와 버전은 릴리스만 쫓기보다 사이트의 안내를 따르는 편이 덜 헷갈립니다. → Clash를 무료로 내려받고, Windows에서도 규칙 기반 프록시를 안정적으로 써 보세요.