手机想用电脑上的 Clash？Windows 11 开「允许局域网」与防火墙放行分步操作

读完本文你能独立完成什么

你可以按顺序完成：在电脑上打开 允许局域网或等价 YAML 配置，确认 mixed／HTTP 等代理端口；用命令行或系统界面查到当前网卡的局域网 IPv4；在手机系统设置里为该 Wi‑Fi 配置手动 HTTP 代理；最后在 Windows 11 防火墙里为上述端口添加入站放行规则，并理解「专用网络 / 公用网络」对规则是否生效的影响。若你希望手机独立安装客户端而非借用电脑，可对照Android 手机 Clash 完全配置指南；本文聚焦「电脑已跑通，局域网设备只想填一个代理地址」的路径。

原理：为什么「电脑能上」不等于「手机连电脑代理也能上」

默认情况下，许多 Clash 系客户端会把 HTTP/SOCKS 监听绑定在 127.0.0.1，含义是只有本机进程能连这个端口；同一房间里的手机即使 IP 段相同，从网络视角仍是另一台主机，连接会被操作系统直接拒绝。打开允许局域网（配置里常对应 allow-lan: true，并配合把监听地址扩到 0.0.0.0 或「所有接口」）后，代理服务才会接受来自局域网网卡的入站连接。

第二个常见断点是 Windows Defender 防火墙：它区分出站与入站。电脑浏览器访问外网，多数是出站被允许；而手机把流量交给电脑代理，属于「外部设备 → 本机某个 TCP 端口」的入站路径，若未显式放行，表现为手机端代理已开启但任何站点超时。第三个容易忽略的细节是网络配置文件类型：若当前 Wi‑Fi 被标成「公用网络」，而你创建的入站规则只勾了「专用」，规则不会对这张网卡生效。

第一步：在客户端开启「允许局域网」

以 Clash Verge Rev 为例，在设置或内核相关页面中查找「允许局域网」「Allow LAN」「绑定地址」等表述：打开后，内核应监听可被局域网访问的地址。若你直接编辑 Mihomo／Clash Meta 的 YAML，可核对顶层是否存在 allow-lan: true，并确认 mixed-port（或分开的 port / socks-port）存在且端口数字未被注释掉。部分图形界面在切换该开关后会提示重启内核，按提示操作后再进行下一步。

若高级设置里可单独指定 bind-address，在需要给手机用时，应选择「全部接口」或 * / 0.0.0.0 一类语义（具体选项名随版本变化），避免仍停留在仅 127.0.0.1。外部控制器（external-controller）是否对局域网开放与「手机走代理」不是同一回事：手机日常只需要 HTTP 或 SOCKS 代理端口，不必为了上网而把管理端口暴露给整个局域网，以减少误配置与安全风险。

第二步：记下 mixed 或 HTTP 代理端口号

手机 Wi‑Fi 代理设置里，一般填写「主机名 = 电脑局域网 IP」「端口 = 混合代理端口」。在客户端概览或配置文件中查看当前生效的 mixed-port；若未启用 mixed，仅有 port（HTTP）与 socks-port，则手机端需选择与其协议匹配的代理类型。多数系统「手动代理」界面默认按 HTTP 代理填写，此时应优先使用 mixed 端口或 HTTP 端口，并与客户端实际监听一致。改端口后记得同步修改防火墙规则与手机上的端口数字，否则会出现「昨天能用今天不行」的错觉。

第三步：查询 Windows 11 本机在局域网中的 IPv4 地址

在开始菜单搜索「命令提示符」或打开 PowerShell，执行 ipconfig，在当前正在上网的那块网卡（无线局域网适配器 WLAN，或以太网）下找到「IPv4 地址」。请使用形如 192.168.x.x 或 10.x.x.x 的地址，而不是 127.0.0.1。若显示 169.254.x.x，说明可能没有从路由器正确拿到 DHCP，应先修复电脑本机网络再谈代理。台式机插网线、笔记本用 Wi‑Fi 时，对应适配器不同，填错网卡 IP 会导致手机连到一块「没在用的接口」上。

路由器若开启「AP 隔离」或「访客网络隔离」，不同 Wi‑Fi SSID 或访客 Wi‑Fi 下的设备无法互访，此时手机永远 ping 不通电脑，代理也无从谈起。需要在路由器管理后台关闭同类隔离选项，或让手机与电脑接入同一主网络。公司网络常有客户端隔离策略，属于管理员策略限制，不在本文家庭场景讨论范围内。

第四步：在手机上为该 Wi‑Fi 设置手动代理

确保手机与电脑连接同一路由器同一频段下可互通的 SSID。在 Android 上进入「WLAN → 已连接网络详情 → 代理 → 手动」，主机名填上一步 IPv4，端口填 mixed／HTTP 端口，保存。在 iOS 上进入「无线局域网 → 已连接网络右侧信息 → 配置代理 → 手动」，服务器与端口同样填写。部分国产系统会把代理入口放在「网络助理」或安全中心里，若找不到，可在系统设置内搜索「代理」关键字。

设置完成后，先打开一个纯 HTTP 的轻量页面测试；若仅 HTTPS 异常，再回头查证书与 DNS，而不是先怀疑端口。若某 App 仍不走系统代理，属于应用自身网络栈问题，可考虑在该设备上改用独立 VPN 类客户端（参见Android 教程中的分应用与 VPN 模式说明），或在电脑侧改用 TUN 仅服务本机——但电脑 TUN 不会自动让手机流量进 Clash，手机仍须显式指向电脑代理或自行跑客户端。

第五步：添加 Windows 11 防火墙入站规则（按端口放行）

打开「Windows 安全中心 → 防火墙和网络保护 → 高级设置」，左侧选择「入站规则 → 新建规则」。选择「端口 → TCP → 特定本地端口」，填入你的 mixed 或 HTTP 端口；动作选「允许连接」；配置文件建议至少勾选「专用」，若当前 Wi‑Fi 被归类为公用，也要勾选「公用」，否则规则不会对这张网卡生效；名称可写「Clash mixed 端口入站」便于日后排查。若你同时开放了 SOCKS 端口给局域网，需再建一条相同逻辑的规则，或在一个规则里填多个端口（视向导是否支持）。

第三方安全软件若接管了防火墙，可能绕过或叠加 Windows 自带规则；此时需要在对应杀软防火墙里同样放行「本机监听端口 + 来自局域网的入站 TCP」。完成后可在手机开代理的情况下，用浏览器访问任意网页验证；若仍失败，暂时关闭防火墙对比（仅作测试，确认后应立即恢复并改为正规放行），以判断问题是否仍在防火墙层。

专用网络、公用网络与规则配置文件的对应关系

首次连接某个 Wi‑Fi 时，Windows 11 会询问这是「专用」还是「公用」；许多用户随手选成公用，导致只针对「专用」 profile 放行的入站规则永远不命中。可在「设置 → 网络和 Internet → WLAN → 属性」里查看当前网络配置文件，并按实际需要改为专用（仅在家庭等可信环境建议）。修改后回到「高级安全 Windows Defender 防火墙」确认入站规则在对应 profile 上为「是」。

对照排查：仍然连不上时按序检查

（1）电脑本机关闭代理后能否正常上网；确保出口本身可用，订阅与节点无大面积失效。订阅类共性问题可参考订阅链接那些事。

（2）手机能否 ping 通电脑 IP；若根本 ping 不通，优先查 AP 隔离、不同网段、VPN 占用、或手机开了私人 DNS 与代理无关的全局隧道。

（3）允许局域网是否真的生效；在电脑上用资源监视器或 netstat 查看对应端口监听地址是否包含 0.0.0.0 或具体局域网 IP，而不是仅 127.0.0.1。

（4）端口与协议是否和手机填写一致；HTTP 代理填到 SOCKS 端口、或端口差一位数字，都会表现为长时间加载无响应。

（5）入站规则是否覆盖当前网络配置文件；公用网络场景下未勾选「公用」是最隐蔽的错误之一。

（6）是否有多个网卡或多块虚拟网卡抢路由；同时运行其他 VPN、模拟器或 Hyper-V 虚拟交换机时，偶发导致流量走错接口，可先退出冲突软件再测。

安全与合规提醒

开启允许局域网意味着同网段内其他设备可以尝试连接你的代理端口；在咖啡厅、酒店等不可信网络，应关闭该能力或离开该网络后立即关闭。不要在文章或截图中公开自己的订阅链接、Token 或完整配置文件。请遵守所在地法律法规与服务提供商条款；本文仅描述在家庭或自有办公网络内、由设备所有者本人进行的网络调试方法。

和「系统代理」「TUN」的关系（避免混淆）

Windows 上「设置为系统代理」主要影响本机应用读取系统代理设置后的行为；它不会替手机做决定。手机走电脑代理，本质是手机把 HTTP 请求发给电脑上的 Clash 监听端口，与电脑是否开启系统代理无必然联系。电脑端 TUN 模式用于在本机更底层接管流量，同样不代替手机的局域网代理设置。若你希望整屋设备统一策略，长期仍建议各设备独立安装可信客户端；局域网共用电脑代理更适合临时调试、电视盒子不便装客户端等场景。

小结

让手机使用同一 Wi‑Fi 下 Windows 11 电脑上的 Clash，关键链路是：allow-lan 打开、监听地址对局域网可见、代理端口与手机 Wi‑Fi 设置一致，以及 防火墙入站规则放行该 TCP 端口。把这四步当成固定 checklist，比反复重装客户端更能定位问题。与侧重 Steam、订阅 FAQ 等主题的站内文章相比，本篇专门补齐「多设备共用本机代理」这一高意图场景，方便你在已跑通桌面端后继续向手机、平板延伸。

若你尚未在电脑上完成首次安装与模式选择，可先阅读Windows 11 下 Clash Verge Rev 首次安装与断网排查，再回到本文做局域网放行。相比依赖零散论坛回帖，使用仍在积极维护的客户端、从本站下载页获取安装包并配合使用教程建立统一习惯，长期维护成本更低。规则型代理在分流精细度与可观测性上仍有明显优势；当你需要把手机临时挂到已调好的桌面出口上时，按本文完成允许局域网与防火墙配置即可稳定使用。→ 立即免费下载 Clash，开启流畅上网新体验。