Clash Verge Rev 로컬 네트워크 프록시 공유 완전 가이드: allow-lan, mixed-port, Windows 방화벽

이 글이 맞는 상황

Clash Verge Rev(약칭 CVR)를 이미 Windows PC에서 돌리고 있고, 같은 공유기나 같은 무선 대역에 있는 스마트폰·태블릿·스마트 TV까지 한 번에 우회 경로를 맞추고 싶은 경우가 많습니다. 브라우저 확장만 켠 상태나 USB 테더링 한 줄짜리 안내만으로는 부족하고, 수동 프록시 주소와 방화벽의 인바운드 허용까지 한 세트로 이해해야 할 때가 바로 그때입니다.

이 문서는 설치·구독 가져오기 같은 기본 튜토리얼과 겹치지 않도록, 오직 로컬 네트워크(LAN)로 프록시를 공유하는 설정 축만 따로 모았습니다. 검색어로 자주 붙는 allow-lan, mixed-port, 윈도우 방화벽, 모바일 핫스팟 옆길 같은 표현이 왜 함께 등장하는지도 같은 맥락에서 설명합니다.

먼저 알아 두면 좋은 세 가지

첫째, 리스닝 주소입니다. 프록시 프로세스가 127.0.0.1에만 귀를 기울이면 같은 PC 안의 앱만 연결할 수 있습니다. 다른 기기가 접속하려면 보통 0.0.0.0처럼 모든 인터페이스에서 받거나, 최소한 LAN 인터페이스의 IPv4에서 받도록 맞춰야 합니다. GUI에서는 이 동작을 LAN 허용 같은 이름으로 묶어 두는 경우가 많습니다.

둘째, allow-lan입니다. Mihomo·Clash 계열 설정에서 LAN 접속을 허용하는 스위치로 이해하면 됩니다. 끄면 보안상 안전하지만, 폰이 PC 프록시를 못 씁니다. 켜면 편하지만 같은 Wi-Fi에 있는 모든 사람이 이론상 포트를 향해 올 수 있다는 점을 함께 받아들여야 합니다.

셋째, mixed-port입니다. 하나의 TCP 포트에서 HTTP 프록시와 SOCKS를 함께 처리하는 구성입니다. 예전처럼 HTTP 포트와 SOCKS 포트를 따로 외우지 않아도 되지만, 기기마다 어떤 프로토콜을 고를지는 여전히 사용자 몫입니다. 숫자는 구독 프로필마다 다를 수 있으니 현재 활성 프로필에서 실제로 열린 포트를 확인하는 습관이 필요합니다.

1단계: Windows PC의 LAN IPv4 주소 확인

스마트폰에서 프록시 서버 주소로 적을 값은 공인 IP가 아니라 사설 대역의 로컬 주소입니다. 보통 192.168.x.x, 10.x.x.x, 172.16–31.x.x 형태입니다.

1. 설정 → 네트워크 및 인터넷으로 이동합니다.
2. PC가 유선이면 이더넷, 무선이면 Wi-Fi 항목에서 현재 연결 이름을 엽니다.
3. 속성 또는 세부 정보에서 IPv4 주소 한 줄을 적어 둡니다.

명령 줄을 선호하면 PowerShell이나 CMD에서 ipconfig를 실행해 활성 어댑터 블록의 IPv4 항목만 골라도 됩니다. 노트북이 이더넷과 Wi-Fi를 동시에 쓰면 폰이 실제로 거치는 인터페이스와 같은 줄의 주소를 택해야 합니다.

2단계: Clash Verge Rev에서 LAN 허용(allow-lan) 켜기

실행 중인 Verge Rev 창에서 설정(Settings) 또는 동등 메뉴로 들어가 LAN 허용·외부에서 접속 허용에 해당하는 토글을 찾습니다. 켠 뒤에는 코어가 재시작되거나 프로필이 다시 적용되는 경우가 있으니, 한두 초 기다렸다가 상태 표시가 안정적인지 확인합니다.

YAML을 직접 볼 수 있다면 루트 레벨에 allow-lan: true가 들어가 있는지도 교차 확인할 수 있습니다. GUI만으로 관리하는 사용자라면 토글 저장 후에도 코어 로그에 바인드 오류가 없는지만 보면 충분한 경우가 많습니다.

3단계: mixed-port 번호 확인하기

대부분의 최근 Mihomo 프로필은 mixed-port 필드를 포함합니다. 값이 7890 같은 숫자로 적혀 있다면, 스마트폰 수동 프록시 화면의 포트 칸에 동일한 숫자를 넣습니다. 프로필마다 다르니 항상 7890이다라고 가정하지 마세요.

mixed-port가 비어 있고 HTTP 포트·SOCKS 포트만 따로 있다면, 기기 설정에서 지원하는 쪽을 고릅니다. 브라우저형 설정은 HTTP(프록시)를, 일부 앱은 SOCKS5를 요구합니다. 두 줄을 동시에 넣을 수 있는 OS도 있고 하나만 넣는 OS도 있어서 해당 기기 도움말을 한 번 더 보는 것이 좋습니다.

리스닝·바인드 관련해서 자주 하는 실수

bind-address나 유사 옵션이 127.0.0.1로 고정되어 있으면 allow-lan을 켜도 외부에서 붙지 못하는 경우가 있습니다. 이때는 * 또는 0.0.0.0처럼 모든 인터페이스를 받는 값으로 바꾸는 패턴이 일반적입니다. 반대로 보안을 극대화하고 싶다면 특정 LAN 서브넷만 허용하도록 방화벽 규칙을 쪼개는 방법도 있습니다.

외부 컨트롤러(external-controller) 포트를 따로 열어 두었다면, 그 포트는 관리용 REST가 노출될 수 있어 LAN 공유 목적과 별개로 더 엄격하게 제한해야 합니다. 일반 사용자에게 필요한 것은 대개 mixed-port 한 줄입니다.

4단계: Windows Defender 방화벽에서 인바운드 허용

코어가 포트를 열어도 OS 방화벽이 막으면 폰에서는 타임아웃만 보입니다. Windows에서는 다음 두 경로 중 하나를 택하면 됩니다.

• 알림 기반: 처음 외부에서 접속을 시도할 때 뜨는 방화벽 팝업에서 액세스 허용을 누릅니다. 이때 네트워크 프로필이 개인인지 확인하세요.
• 규칙 직접 추가: 고급 보안이 포함된 Windows Defender 방화벽 → 인바운드 규칙 → 새 규칙 → 포트 → TCP → 위에서 확인한 mixed-port 숫자만 허용.

회사나 학교 PC라면 중앙 관리 방화벽이 별도로 있을 수 있습니다. 이 경우 로컬 규칙을 추가해도 즉시 통과되지 않으므로 IT 정책을 먼저 확인해야 합니다.

모바일 핫스팟(테더링 반대 방향)일 때의 차이

Windows에서 모바일 핫스팟 기능으로 폰을 붙이면, 폰 입장의 게이트웨이는 핫스팟을 켠 PC가 됩니다. 이때 프록시 서버 주소에는 공유기 주소가 아니라 그 PC의 핫스팟 인터페이스 IPv4를 적어야 합니다. 반대로 PC와 폰이 같은 가정용 라우터 Wi-Fi에 동시에 붙어 있다면, 보통 PC의 일반 LAN 주소만 알면 됩니다.

핫스팟 대역은 업데이트마다 조금씩 달라질 수 있으니, 연결이 안 되면 PC에서 ipconfig로 로컬 영역 연결* 또는 Microsoft 호스트 가상 어댑터에 해당하는 줄을 다시 확인하세요. 또 다른 VPN 클라이언트가 동시에 켜져 있으면 라우팅이 꼬여 LAN 테스트만 실패할 수 있습니다.

5단계: 폰·태블릿·TV에서 수동 프록시 넣기

Android에서는 Wi-Fi 네트워크 세부정보에서 프록시를 수동으로 바꿉니다. 호스트 이름에 PC IPv4를, 포트에 mixed-port를 넣고 저장합니다. 일부 제조사 ROM은 메뉴 이름이 다르지만 프록시, 고급 옵션 같은 단서를 따라가면 동일합니다.

iPhone·iPad는 Wi-Fi 항목의 정보 화면 하단에서 HTTP 프록시를 구성합니다. SOCKS만 필요한 앱은 별도 앱 설정을 쓰거나, 시스템 범위 SOCKS를 지원하지 않을 수 있어 한계가 있습니다. 스마트 TV나 셋톱박스는 프록시 UI가 없는 경우가 많아 공유기 단 DHCP나 별도 게이트웨이 장비를 쓰는 편이 현실적입니다.

구성 후에는 브라우저로 간단한 IP 확인 사이트를 열어 출구 IP가 의도한 노드와 비슷한지, 또는 지연 테스트 페이지가 뜨는지 확인합니다. 안 되면 다음 절의 체크리스트를 순서대로 밟습니다.

연결이 안 될 때의 체크리스트

• PC에서 Verge Rev가 실행 중이고 시스템 프록시와 별개로 코어 데몬이 살아 있는지
• allow-lan과 바인드 설정이 동시에 외부 접속을 허용하는 조합인지
• 방화벽 인바운드가 TCP와 정확한 포트 번호를 허용하는지
• 폰과 PC가 같은 L2 브로드캐스트 도메인인지(게스트 Wi-Fi 분리가 켜져 있으면 실패)
• 호스트 파일이나 기업 제한으로 프록시 우회 대상 도메인이 직접 차단되지 않았는지

보안과 네트워크 예절

LAN 프록시 공유는 본질적으로 내 PC를 소형 게이트웨이처럼 노출하는 행위입니다. 신뢰할 수 있는 가족·개발용 실험 네트워크에서는 편리하지만, 공용 장소에서는 빠르게 끄는 것이 좋습니다. 구독 제공자의 동시 접속·디바이스 정책도 함께 읽어 두세요. 허용 범위를 넘는 공유는 계약 위반으로 이어질 수 있습니다.

어린이나 타인의 기기를 붙일 때는 어떤 트래픽이 프록시를 타는지 미리 설명하고, 필요하면 특정 시간대에만 옵션을 켜는 식으로 운영하는 편이 안전합니다.

자주 묻는 질문

Q. TUN 모드를 켜야 LAN 공유가 되나요?
A. 반드시 그런 것은 아닙니다. 다른 기기가 PC의 프록시 포트로 명시적으로 연결하는 모델이라면 mixed-port 경로만으로 충분한 경우가 많습니다. TUN은 주로 PC 자신의 트래픽 가로채기에 가깝습니다.

Q. DNS도 PC 쪽으로 보내야 하나요?
A. 기기마다 다릅니다. 일부 환경에서는 프록시만 타고 DNS는 여전히 로컬 resolver를 써서 누설이 생깁니다. 증상이 이상하면 해당 OS의 프록시 우회 목록과 DNS 설정을 함께 점검하세요.

Q. 포트가 이미 사용 중이라고 나옵니다.
A. 다른 프록시 클라이언트나 개발 서버가 같은 번호를 선점했을 수 있습니다. 활성 프로필에서 mixed-port를 빈 번호로 바꾼 뒤 방화벽 규칙도 함께 수정합니다.

정리: 장치마다 앱을 깔기 어려울 때 Clash 쪽 구성이 유리한 이유

스마트 TV나 오래된 태블릿처럼 프록시 앱 설치가 까다로운 기기가 섞이면, 매 단말에 클라이언트를 올리는 대신 믿을 만한 PC 하나에 규칙을 모아 두고 LAN으로 포트만 나눠 주는 패턴이 현실적입니다. 상용 VPN 앱은 종종 동시 로그인 수나 플랫폼 종류를 제한하지만, Clash·Mihomo 계열은 한 코어에서 정책 그룹과 로그를 통째로 유지한 채 외부 단말의 수동 프록시만 붙이면 되므로 재현성이 좋습니다.

반대로 모든 트래픽을 각각의 폰 VPN으로만 처리하려 하면, 버전 업데이트·배터리 제한·분기 규칙 불일치 때문에 문제 원인을 찾기가 더 어려워집니다. 이미 Verge Rev로 데스크톱 규칙을 손에 익혔다면, LAN 허용과 mixed-port만 정확히 맞춰도 거실 기기까지 같은 경로를 공유하는 비용이 크게 줄어듭니다.

Clash 클라이언트를 받아 LAN 공유와 규칙 분기를 같은 스택으로 유지하기 →