浏览器打开 9090 端口显示连接被拒绝怎么办？

先确认 Verge Rev 内核进程在运行且 external-controller 已写入最终合并配置；用 netstat 或资源监视器看 9090 是否在 127.0.0.1 监听。若端口被其他程序占用，在覆写里换用 9091 等空闲端口并同步改浏览器地址。

开了 Web 面板还要不要设置 secret？

要。secret 是 REST API 与面板的访问口令；即使只绑定 127.0.0.1，本机恶意脚本或其他用户会话仍可能调用未鉴权接口。务必使用随机强密钥，且不要截图或提交到公开仓库。

Web 外部面板和「允许局域网」是一回事吗？

不是。allow-lan 与 mixed-port 控制的是代理流量能否被局域网设备使用；external-controller 是管理 API，用于查看连接、改策略组。前者让手机走代理，后者让你在浏览器里管 Clash——两者端口与风险面都不同。

想在另一台电脑浏览器里看 Dashboard 该怎么做才安全？

不要把 external-controller 改成 0.0.0.0 却不加 secret 和防火墙。推荐 SSH 本地端口转发把远端 9090 映射到本机，或在受控内网用反向代理加 TLS 与认证；公开 Wi‑Fi 场景尤其避免裸开端口。

⚙️ 配置 2026 年 5 月 23 日 ⏱ 约 17 分钟阅读

Clash Verge Rev 怎么开 Web 外部面板？Windows 11 密钥与安全分步配置（2026）

想在浏览器里远程查看连接状态、切换节点或调试规则命中，却找不到 Clash Verge Rev 里 external-controller 的入口？本文专讲 Windows 11 上如何开启 Clash Web 面板（REST API + Dashboard）、如何设置 secret 密钥，以及为何应默认把管理口绑在 127.0.0.1 而不是随手暴露到局域网。与让手机走电脑代理不同——本篇只谈管理接口，不涉及 allow-lan 代理共享。

这篇适合谁、和站内哪些文章互补

你已经能在 Win11 上用 Clash Verge Rev 正常上网，但希望：不依赖客户端小窗，在 Chrome／Edge 里打开一个Clash dashboard，实时看连接列表、在策略组里点选节点、或确认某条域名到底走了哪条 outbound。这就是 external-controller（外部控制器）要解决的问题——它在本地开一个管理用 HTTP API，再配合 external-ui 或第三方前端，变成你熟悉的「Web 面板」。

若你尚未完成首次安装、系统代理与 TUN 选型，请先读Windows 11 下 Clash Verge Rev 首次安装；若需要在不改机场远程 YAML的前提下追加 external-controller 键，可配合Mixin 覆写教程把片段写进本地补丁层。服务器无 GUI 部署里也曾出现同类键名，见CentOS 安装 Mihomo一文中的骨架示例——桌面客户端思路相同，只是入口在 Verge Rev 设置与覆写编辑器。

排查连接超时时，可把 Web 面板的「连接视图」与日志面板教程对照：面板偏交互式切换，日志偏原始事件流。更系统的 DNS／分流总览仍见Clash 使用教程索引。

先分清三个端口：代理口、DNS 口、管理口

新手最容易把混合代理端口（常见 mixed-port，例如 7890）和外部控制器端口（常见 9090）混为一谈。前者给浏览器、终端、其他 App 走代理流量；后者给管理程序调用 REST API——读配置、改策略组、拉连接表。你在 Web 面板里点「切换节点」，背后请求的是 9090 这类地址，而不是把流量塞进 7890。

Mihomo（Clash Meta 内核）里相关键通常包括：

external-controller：监听地址，格式 IP:端口 或 :端口（仅端口时绑定行为依版本而定，桌面场景请写全 127.0.0.1）。
secret：API 鉴权密钥；面板与脚本访问时需携带。
external-ui／external-ui-url：内置或远程 Dashboard 静态资源路径；不写时有时仍可通过 /ui 访问内置界面，以你当前内核版本为准。
external-controller-cors：若从非本机网页跨域访问 API，才需要按需配置；日常本机浏览器打开一般不必动。

💡 一句话代理口让应用上网，管理口让你「管」Clash；把管理口当成带口令的运维 API，而不是第二个代理端口。

第一步：确认当前 profile 已激活且内核在跑

和写覆写、改规则一样，external-controller 写入的是当前启用配置档合并后的最终 YAML。请先核对：侧栏哪条 profile 高亮、系统代理或 TUN 是否已开、日志里是否有「配置加载成功」类信息。若内核因 YAML 语法错误根本没起来，浏览器访问 http://127.0.0.1:9090 只会得到连接被拒绝——这与「面板 URL 写错」是两种不同故障，别急着换 yacd 主题。

部分机场订阅模板自带 external-controller: 127.0.0.1:9090 与随机 secret；也可能完全不含该段，需要你在 Verge Rev 全局设置或 Mixin 里补。打开「配置预览／合并结果」搜一眼 external-controller，比记忆默认值可靠。

第二步：在 Clash Verge Rev 里开启外部控制器

不同 Rev 版本菜单文案略有差异，但路径大致两类：

客户端设置页：在「Clash 内核／外部控制／External Controller」相关区域，打开开关并填写监听地址与端口。若提供「随机生成 secret」按钮，优先使用，再复制到密码管理器。
Profile Mixin 覆写：当设置页无法持久化、或订阅刷新覆盖行为不符合预期时，在覆写编辑器写入最小片段（见下一节 YAML）。保存后重载配置，回到预览确认键已出现在合并结果中。

从 Clash for Windows 迁来的用户常记得旧版 Dashboard 按钮；Verge Rev 同样依赖内核侧 external-controller 真开起来，而不只是托盘里有一个「打开面板」菜单项。若菜单灰掉或点了空白页，90% 是端口未监听或secret 未填对面板要求。

第三步：用 Mixin 写入 external-controller 与 secret（推荐最小片段）

下面是一段面向 Win11 本机浏览器的示意配置：管理口只绑回环，并设独立强密钥。请把 YOUR_LONG_RANDOM_SECRET 换成自己生成的字符串（建议 24 位以上字母数字混合），不要使用文章或论坛里的示例原样。

# Profile override — local Web dashboard (example)
external-controller: 127.0.0.1:9090
secret: "YOUR_LONG_RANDOM_SECRET"
external-ui: ui
# optional: external-ui-url for hosted yacd / metacubexd

若 9090 已被其他软件占用（旧 Clash 实例、别的调试工具），可改为 127.0.0.1:9091 等空闲端口，浏览器地址与 YAML 必须同步改。保存后若解析失败，日志会提示 YAML 行号；用「减半覆写」二分法定位，不要一次粘贴过多无关键。

安全提醒：secret 等同于远程改你代理策略的密码。截图、录屏、Git 仓库、群聊里发覆写片段前务必打码；更不要把 external-controller 设成 0.0.0.0:9090 且留空 secret——这在公共 Wi‑Fi 或多人局域网等于裸奔的管理员权限。

第四步：浏览器打开 Clash Web 面板并鉴权

配置重载成功后，在本机浏览器访问（端口与上文一致）：

内置 Dashboard：http://127.0.0.1:9090/ui（部分版本路径为 /ui/#/，以实际跳转为准）。
带 token 的 URL：部分前端支持 http://127.0.0.1:9090/ui/?token=YOUR_LONG_RANDOM_SECRET 或 hash 路由里填 secret，避免每次手动输入。
第三方 UI：若配置了 external-ui-url 指向 yacd、metacubexd 等托管页，按该前端文档填写API 基址 http://127.0.0.1:9090 与密钥。

打开后建议做三个快速验收：连接列表是否随你刷新网页而更新；策略组里手动换节点是否立刻反映到 Verge Rev 主界面；规则页（若 UI 提供）是否能看到当前 mode。任一失败，先查 secret 是否一致、是否混用了 http／https（管理 API 通常为 HTTP 明文，仅限本机环回）。

用 curl 自测 API（PowerShell 或 Windows Terminal 均可）可区分「浏览器缓存问题」与「内核 API 问题」：

curl -H "Authorization: Bearer YOUR_LONG_RANDOM_SECRET" http://127.0.0.1:9090/version

若返回内核版本 JSON，说明 external-controller 与 secret 已生效；若 401，检查 Bearer 前缀与密钥引号；若连接失败，回到「端口是否在监听」。

第五步：安全配置——默认 127.0.0.1，慎开局域网

用户搜索「Clash Web 面板怎么开」时，真正该同时搜索的是「怎么开才安全」。推荐默认策略：

绑定地址：始终写 127.0.0.1:端口，不要写 0.0.0.0 除非你有明确的远程运维需求且已叠加防火墙与强 secret。
密钥强度：必须设置 secret；定期在覆写里轮换，尤其在笔记本曾经连过不可信热点之后。
防火墙：Win11 一般不对回环入站拦截；若你故意改成局域网可访问，必须在「Windows 安全中心 → 防火墙 → 高级设置」里单独为 9090 入站做最小源 IP 限制，而不是「专用网络全放行」。
与 allow-lan 脱钩：开允许局域网让手机走 mixed-port，并不会自动帮你安全暴露 Dashboard；反之，只开 Web 面板也不会让平板自动能用你的代理——别混为一谈。

若你确实需要在另一台电脑上看面板，优先方案是 SSH 本地端口转发（在公司 Linux 跳板机上 ssh -L 9090:127.0.0.1:9090 user@win11-pc），让管理流量走加密隧道，而不是把 9090 广播到整层 Wi‑Fi。公网暴露更应使用反向代理 + TLS + 独立认证，已超出家用桌面默认场景，本文不鼓励。

常见故障与排查顺序

浏览器提示「无法访问此网站／连接被拒绝」

顺序：Verge Rev 是否在运行 → 合并 YAML 是否含 external-controller → netstat -ano | findstr 9090 是否在 127.0.0.1 LISTENING → 端口是否被旧进程占用。改端口后记得关旧标签页，避免仍访问 9090。

面板能开但切换节点无效

多为主界面与 API 操作的策略组名不一致，或当前为 DIRECT／GLOBAL 等特殊模式。对照策略组手动切换一文，在 GUI 与 Web 面板里核对同一组名拼写。

订阅刷新后面板 401 或打不开

检查覆写是否被清空、或订阅基底自带的 secret 与你在面板里保存的口令不一致。Mixin 层写入的 secret 一般会覆盖基底，但若你在设置页与覆写两处各写一份，以合并结果预览为准只保留一处权威来源。

公司网络／安全软件拦截

少数 EDR 会 hook 本地 HTTP 环回；表现为只有 Dashboard 异常而代理仍可用。可暂时换端口、换浏览器无痕窗口，或查阅安全软件对 127.0.0.1 环回代理检测的白名单策略。

常见问题（口语速查）

Clash Verge Rev 自带界面不够，还要开 Web 面板吗？

不是必须。Verge Rev 已提供连接、日志、策略组等视图；Web 面板适合习惯浏览器大屏、需要yacd 类布局，或想用脚本调 REST API 的用户。两者可以并存，端口不同、互不影响。

secret 存在哪里？卸载会残留吗？

通常随 profile 覆写或应用配置目录持久化。备份配置时把覆写文本当作敏感资产，可参考配置备份一文做加密打包，不要明文丢进同步盘。

能否用 Web 面板给别人「远程切节点」？

技术上可以，但等于把代理控制权交给对方。除非在受控内网且 secret 足够强、并有审计需求，否则不建议对不可信设备开放。家用场景优先本机环回 + SSH 隧道。

小结

在 Windows 11 上为 Clash Verge Rev 开启 Web 外部面板，核心是四件事：在合并配置里声明 external-controller、设置随机 secret、默认绑定 127.0.0.1、用浏览器或 curl 验证 API。它与局域网代理共享解决的是不同问题——本篇只管「怎么看、怎么管」，不管「怎么让手机蹭电脑上网」。

相比之下，部分闭源代理壳要么不提供标准 REST API、要么 Dashboard 与内核版本强绑定导致升级即失效；还有一类工具把管理页绑在固定云端，本地无法离线调试连接。Clash 生态则把 external-controller 做成开放、可脚本化的接口，Verge Rev 再用 Mixin 让你不必改机场远程文件也能安全开面板。若你正在找一款既能图形化日常使用、又能在浏览器里深度观测连接的代理栈，不妨从下载 Clash页挑选维护中的客户端，按本文步骤把 Dashboard 与 secret 一次配对到位。