手機想用電腦上的 Clash？Windows 11 開「允許區域網路」與防火牆放行分步操作

這種做法適合誰？先確認情境

若你符合下面描述，這篇文章就是為你寫的：家裡或辦公室只有一台常開的電腦跑 Clash，手機與電腦連到同一台無線基地台（或同一區網），你希望瀏覽器或部分 App 透過電腦上的代理出口，而不是在手機再匯入訂閱。若你反而想在手機獨立使用 Clash 類客戶端，請改參考Android 手機 Clash 完全設定指南，流程與權限模型會不太一樣。

請先在心裡劃一條線：開放區網代理代表「同一個 Wi‑Fi 裡的其他裝置，只要知道你的電腦 IP 和埠號，就有機會把你的 Clash 當成出口」。若你常在咖啡廳、旅宿公共網路開著這個功能，風險會明顯上升。比較穩健的做法是：只在信任的區網使用，離開環境就關閉「允許區域網路」，或乾脆改用手機本機客戶端。

第一步：查出電腦在區網的 IP 位址

手機的 Wi‑Fi 代理必須指向一個區網位址，通常是 192.168.x.x 或 10.x.x.x 這類私有位址，而不是電腦對外的公網 IP。以 Windows 11 為例，可在「設定」→「網路和網際網路」→「Wi‑Fi」→ 你目前連線的名稱 → 檢視「屬性」裡的 IPv4 位址；或在 PowerShell 執行 ipconfig，對應到目前上網的那張介面（Wi‑Fi 或乙太網路）。

請順手確認手機 Wi‑Fi 詳情裡的閘道／路由器位址與電腦是否落在同一個網段；若手機連的是訪客網路、或路由器開了「AP／無線用戶隔離」，即使代理位址填對也可能連不上，這時要先調整路由器或改連非隔離的 SSID。

第二步：確認 Clash 對外監聽的埠與協定

多數圖形客戶端會在介面上顯示 Mixed Port、HTTP 代理埠或 SOCKS 埠。常見預設是單一 mixed-port（例如 7890）同時承載 HTTP 與 SOCKS，但也有設定把兩者拆開。請以你畫面上實際顯示的數字為準，下文若以 7890 舉例，請自行替換成你的埠號。

若你曾修改過設定檔，請打開目前的 YAML，檢查 port、socks-port、mixed-port 是否與客戶端顯示一致；不一致時，防火牆放行與手機填寫都會對不到。想從頭釐清本機代理怎麼接起來，可先對照Clash 使用教學把「本機可用」確認完，再開區網會省很多時間。

第三步：開啟「允許區域網路」與設定檔中的 allow-lan

Clash 系列核心預設往往只在本機 127.0.0.1 監聽，外頭的手機當然連不進來。你需要同時處理兩件事：客戶端介面上的「允許區域網路／Allow LAN」類似開關，以及設定檔裡的 allow-lan: true。不同版本用語略有差異，但概念相同：允許來自區網介面的連線進入代理埠。

在純文字設定裡，常見寫法如下（僅示意結構，實際請合併進你的設定檔，避免重複鍵名）：

allow-lan: true
bind-address: '*'
mixed-port: 7890

bind-address 在部分環境可省略或由客戶端自動處理；若你發現開了 allow-lan 仍只能本機連線，可再確認是否被覆寫成只綁 127.0.0.1。修改後請重新載入設定或重啟核心，再用下一步驗證。

第四步：Windows 11 防火牆入站規則（最常見的卡關）

即使 Clash 已經在 0.0.0.0:7890 監聽，Windows Defender 防火牆仍可能攔截來自手機的入站連線。建議為你的 Clash 核心程序或對應埠建立明確的入站允許規則，而不是先整個關閉防火牆（那會把其他風險一起打開）。

以「放行埠」為例的簡化流程：開啟「Windows 安全性」→「防火牆與網路保護」→「進階設定」→ 選「輸入規則」→「新增規則」→ 選「連接埠」→ 指定 TCP（若你僅用 HTTP 代理）並填入你的 7890（或實際埠）→ 允許連線 → 套用於適當的設定檔（私人網路較常見）→ 命名例如「Clash mixed TCP 7890」。若你也使用獨立的 SOCKS 埠或 UDP 需求，依實際協定與埠號再補規則。

另一種做法是對「程式」建立規則，指定 mihomo.exe、clash-meta 或你的客戶端所啟動的核心執行檔；好處是較不受埠號變動影響，缺點是核心路徑更新時可能要跟著調整。無論哪一種，完成後建議先關掉手機代理，只在電腦上用區網另一台裝置或簡單工具測試連線，確認「防火牆這一關」真的過了。

第五步：手機端 Wi‑Fi 代理要怎麼填？

在 iPhone 或 iPad 上，路徑通常是「設定」→「Wi‑Fi」→ 目前網路旁的 i →「設定 HTTP 代理」→「手動」，伺服器填電腦區網 IP，埠填HTTP 或 mixed 埠。Android 則多在 Wi‑Fi 網路詳情裡找到「代理」改為「手動」，主機名與埠位同上。

若你的客戶端主要提供 SOCKS5，而系統 Wi‑Fi 介面只能設 HTTP 代理，就可能出現「欄位對不起來」的情況；此時可改用手機瀏覽器支援 SOCKS 的外掛、或回到在手機安裝支援 SOCKS／VPN 模式的客戶端。相對地，若你使用 mixed-port 且手機只走 HTTP 代理，一般瀏覽流量就有機會先打通。

DNS 與「看起來連了代理但網頁怪怪的」

只設HTTP 代理時，部分系統仍可能用手機自己的 DNS做解析；若你的規則高度依賴特定 DNS 或 fake-ip 行為，會出現「電腦上正常、手機上解析不一致」的現象。實務上可先從症狀區分：是連線逾時還是解析錯誤；必要時在手機暫改 DNS、或在路由器層統一 DNS，再對照 Clash 日誌看請求是否真的進到核心。

若你希望釐清 TUN 與系統代理在「誰吃流量」上的差異，可延伸閱讀Clash TUN 模式深度解析；本篇場景是手機把流量「送進電腦的代理埠」，與電腦本機開 TUN 不衝突，但兩邊規則與 DNS 仍建議一併思考，避免各說各話。

驗證與除錯：建議順序

遇到「手機顯示已設定代理卻上不了網」，建議照這個順序縮小範圍，而不要同時改三個地方：

1. 電腦本機瀏覽器先確認 Clash 與節點正常，排除訂閱或規則問題。
2. 電腦防火牆是否已對正確埠放行，必要時暫時在「私人網路」測試規則是否命中。
3. allow-lan 與監聽位址是否真的對區網開放，可用區網內另一裝置掃描或連線測試（僅在信任網路進行）。
4. 手機與電腦是否同一區網、無隔離，IP 是否抄錯（常見是抄到閘道而不是電腦）。
5. 代理類型是否匹配：HTTP 欄位卻填 SOCKS 埠、或需要認證但未支援，都會失敗。

安全與法遵提醒

請把「允許區域網路」視為對同網段開了一扇門：惡意或誤設的裝置可能濫用你的出口，也可能讓你的帳戶或上游服務商看到異常流量型態。離開信任環境請關閉；家庭網路也建議搭配路由器管理介面，關閉不必要的埠轉發與訪客隔離以外的風險暴露。

請遵守所在地與網路服務提供者的規範；本文僅說明技術設定與除錯思路，不提供規避法律或侵害他人權益的操作建議。

常見問題

為什麼電腦能上網，手機填了代理卻完全連不到？

最高機率是防火牆入站規則未放行，或路由器開了無線用戶隔離；其次是 allow-lan 未開、監聽仍綁在本機，或 IP／埠抄錯。依上一節順序檢查通常能定位。

開了允許區域網路，會不會讓整個社區都能用我的代理？

一般家用的 NAT 會把區網與外部分開；能連到你代理埠的，主要是同一區網內的裝置。但若你把埠轉發到公網、或在不可信的公共 Wi‑Fi 開放，風險就完全不同，請避免這樣做。

手機遊戲或某些 App 還是不走代理，正常嗎？

許多 App 不使用系統 HTTP 代理，或會使用自己的連線策略；系統 Wi‑Fi 代理主要影響願意遵循系統設定的程式。若需要整機導流，通常要改用手機上的 VPN／透明代理類客戶端，而不是只靠電腦分享。

總結來說，讓手機共用電腦上的 Clash，核心就是三件事：區網找得到電腦、代理服務願意對區網監聽、Windows 11 防火牆肯放行入站。把這條鏈路打通之後，平板、電視瀏覽器這類裝置也能沿用同一套規則出口，維護成本往往低於「每台裝置各管一份訂閱」。若你還沒在電腦上把客戶端準備好，建議先從本站下載頁取得可信安裝來源，再依Windows 11 首次設定把本機跑穩；相較於零散拼教學，一次把桌面與區網場景對齊，長期使用會順手得多。若你正在找能穩定承載規則分流、又方便切換區網分享的客戶端，實際試用往往比純看介面截圖更有感——→ 立即免費下載 Clash，開啟流暢上網新體驗。