Clash Verge Rev 怎麼開 Web 外部面板？Windows 11 金鑰與安全分步配置（2026）

external-controller 是什麼？跟 mixed-port 不要搞混

在 Mihomo／Clash Meta 設定裡，mixed-port（或獨立的 port／socks-port）是給應用程式走代理用的——瀏覽器、終端機、其他軟體把流量送進這個埠。另一條線是 external-controller：它開一個REST API 管理埠（常見預設 9090），讓Web 面板或腳本查詢即時連線、切換策略組節點、重載設定、甚至看延遲測試結果。

很多新手卡關，是因為訂閱 YAML 裡根本沒寫 external-controller，或寫了但被訂閱更新洗掉；也有人是代理本身正常，卻以為「開了 allow-lan 就等於有 Web 面板」。兩者完全不是一回事：allow-lan管的是代理埠要不要接受區網連入；external-controller管的是管理 API要不要起來、綁在哪個位址。本篇只談後者。

Clash Verge Rev 裡通常在哪裡改？

Windows 11 上的 Clash Verge Rev 介面版本會略有差異，但邏輯一致：你要讓最終送進核心的合併後 YAML包含 external-controller 與 secret。常見入口有三種：① 設定頁的「Clash 設定／外部控制器」類欄位（若有圖形開關與埠號、密碼框）；② 對使用中 Profiles 開啟進階 YAML 編輯；③ 在 Mixin／Merge 覆寫區只貼管理相關片段，避免每次訂閱刷新把鍵名沖掉——這與本站Mixin 教學同一套心法。

動手前請在側欄或頂欄對齊目前啟用的設定檔名稱；在備份檔改好卻沒切換 Profiles，是 Win11 上最常見的「明明寫了但 9090 沒在聽」原因。需要對照核心是否真的載入，可開日誌面板看重載後有無 YAML 或 bind 相關錯誤。

第一步：以本機安全為預設，綁定 127.0.0.1

安全底線很簡單：管理 API 預設只聽本機環回，不要一開始就綁 0.0.0.0。下面片段示範最常見的本機可用寫法（埠號請依環境調整，避免與其他服務衝突）：

# Minimal external-controller patch — merge into YOUR active profile
external-controller: 127.0.0.1:9090
secret: "replace-with-a-long-random-secret"

127.0.0.1:9090代表只有這台 Windows 11 電腦上的程式能連管理埠；咖啡廳同 Wi‑Fi 的陌生人無法直接掃到你的 Clash 面板。若你曾把位址改成 0.0.0.0:9090 或 :9090（等同所有介面），等於把切節點、看連線、重載設定的能力開放給整個區網——除非你有明確需求且懂風險，否則請改回環回位址。

第二步：設定 secret——Web 面板的登入金鑰

secret是管理 API 的共用金鑰。沒設 secret 時，部分環境下本機任何程式都能呼叫 API——在個人筆電上風險尚可接受，但一旦你把監聽放寬到區網，就等於無密碼的遙控後台。實務請用夠長、夠隨機的字串（建議至少二十字以上，含大小寫與數字），不要用 123456 或機場名當密碼。

第三方 Clash Web 面板（例如社群常用的 yacd、metacubexd、或核心內建的 external-ui 路徑）在連線設定裡通常會要你填：API 位址（如 http://127.0.0.1:9090）、Secret（與 YAML 裡 secret: 完全一致）。Mihomo 系 API 常見用法是在 HTTP 標頭帶 Authorization: Bearer <你的 secret>；各 Dashboard 介面會幫你包裝，重點是兩邊字串一字不差，多一個空格都會 401。

若你把 secret 寫進 Mixin 並用 Git 備份設定，請把含 secret 的檔案當敏感資料，不要推上公開倉庫；可對照本站Clash 設定備份裡關於秘密邊界的做法。

第三步：重載核心，用瀏覽器開 Web Dashboard

儲存設定後，在 Verge Rev 觸發重載設定檔／重啟核心。接著用本機瀏覽器測試（擇一即可）：

• 內建 UI 路徑：若設定含 external-ui 且核心自帶靜態檔，可試 http://127.0.0.1:9090/ui（實際子路徑依版本而異）。
• 第三方 Dashboard：在瀏覽器開啟託管的 yacd／metacubexd 頁面，API URL 填 127.0.0.1:9090，Secret 填你的金鑰。
• Verge Rev 內建入口：部分版本在托盤或側欄提供「Dashboard／外部控制器」一鍵開啟，本質仍是連到同一 API。

成功連上後，你應能在面板看到即時連線、proxy-groups 與節點列表，並可測試切換。若只是要確認 API 活著，也可在 PowerShell 用 curl 測（將 YOUR_SECRET 替換為實際 secret）：

curl -H "Authorization: Bearer YOUR_SECRET" http://127.0.0.1:9090/version

有回傳版本資訊代表 external-controller 與 secret 基本正確；若連線被拒，回頭查監聽位址、防火牆與是否載入錯誤 Profiles。

第四步：CORS 與第三方 Web UI 的常見卡關

若你把 Dashboard 放在另一個網域（例如線上託管的靜態頁）去連 127.0.0.1:9090，瀏覽器可能擋跨來源請求（CORS），主控台出現紅字但本機 curl 卻正常。解法通常有三條路：① 改用本機或同來源的 UI（含 /ui 或 Verge 內建開啟）；② 在設定補 external-ui 讓核心直接服務面板靜態檔；③ 查當前 Mihomo 文件是否支援 external-controller-cors 等進階鍵——但不要為了偷懶把 CORS 設成 * 又同時把 API 綁到區網，那是把管理後台變成公共玩具。

想理解策略組在面板裡怎麼對應規則命中，可先讀proxy-groups 完全指南，再回面板做切換實驗，會比盲點節點有效得多。

第五步：Windows 11 防火牆——本機面板通常不必放行入站

當 external-controller 只綁 127.0.0.1 時，流量不會從實體網卡進來，Windows Defender 防火牆多半不需要為 9090 新增入站規則——這與要給手機連代理的allow-lan 場景不同。若你刻意改綁區網位址讓其他裝置開面板，才需要像放行 mixed-port 那樣，為TCP 9090（或你的自訂埠）加限縮來源 IP 範圍的入站規則，而不是「私人＋公用網路全開」。

真的需要區網存取面板時（進階，風險自負）

少數人會想在平板瀏覽器連桌機的 Dashboard。技術路徑是：把 external-controller 改成 0.0.0.0:9090 或明確綁區網 IP、設極強 secret、防火牆只允許你家路由器的內網段、離開環境立刻改回 127.0.0.1。即使如此，公共 Wi‑Fi 或帶訪客隔離的 SSID 仍不建議這樣做——管理 API 被掃到就是節點與連線紀錄外洩加任意切換出口。多數使用者應滿足於本機 127.0.0.1 開面板；遠端維運請考慮 VPN 進家網後再連本機位址，而不是把 9090 端口轉發到公網。

訂閱更新會不會洗掉 external-controller？

會。很多機場訂閱模板不帶 external-controller，或帶的是提供者內部用的位址；每次訂閱刷新若覆寫整段頂層鍵，你的設定可能消失。穩定做法是：把 external-controller 與 secret 放在Mixin／Merge 覆寫或 Verge Rev 的全域 Clash 設定（若版本支援與訂閱解耦），讓訂閱只負責節點與規則主體。更新訂閱後養成習慣：重載一次 → 看 9090 是否仍在聽 → 開 Dashboard 試 secret。

疑難排解速查

• 瀏覽器連不上 9090：核心有沒有跑、Profiles 是否正確、鍵名是否被訂閱蓋掉、埠是否被其他程式占用。
• 401 Unauthorized：secret 不一致；或 Dashboard 填了 secret 但 YAML 裡 secret 被註解掉。
• 面板空白但 API 有版本號：多半是 UI 路徑或 CORS；改內建 /ui 或 Verge 一鍵入口。
• 能開面板但切節點無效：策略組名稱與訂閱不一致，或規則仍指向別的出站；用連線紀錄對照教學頁理解命中順序。

常見問題

部分強調「全圖形、零設定」的代理工具，要嘛根本沒有標準 REST 管理介面，要嘛把進階檢視鎖在付費雲端後台，遇到連線異常只能乾等或重裝。Clash 搭配 Mihomo 的 external-controller 則是開放、可腳本化的管理面：本機綁 127.0.0.1、設好 secret，就能在瀏覽器用Web 面板看清每一條連線與規則命中，又不必把控制權拱手讓給不透明的中介。若你正在 Windows 11 上找可稽核、可除錯的分流方案，不妨從本站下載 Clash取得合適客戶端，再依本篇把 Dashboard 安全地開起來。