這篇要解決的搜尋意圖是什麼

你已經在Windows桌面上安裝並執行Clash Verge Rev(以 Mihomo/Clash.Meta衍生核心為代表的常見組合),希望區網內的手機、平板、Android 電視盒或來訪親友的筆電,都能把 HTTP/SOCKS 類型的流量交接給這台電腦的代理埠,而不要另外在每台機器上手動匯入訂閱。使用者實際在搜尋列打的往往包含:allow-lanmixed-port、或是口語版的「區網共享代理」「區網代理怎麼設定」——本篇即對齊這些關鍵字,並把最常卡關的監聽位址Windows 防火牆一起講清楚。

本文預設讀者有基本 Clash/Mihomo 概念:系統 proxy只會餵給會「聽話」呼叫系統設定 API 的應用程式;把埠開放給區域網,本質上只是把「可被指向的 SOCKS/HTTP Proxy 伺服器 IP」換成這台電腦的對內私有位址。流程上並不會神奇地讓不支援 Proxy 協定的 App,自動就與已手動設定 Proxy 的瀏覽器擁有相同出口——若你希望該類程式也統一走核心,請回到單機的 TUN 或每台裝置各自安裝相容用戶端,而不是只靠 LAN 共用埠。

合規與帳號條款提醒:請遵守所在地法令與你訂閱服務對「裝置數/同時在線數」的限制;本篇僅為家庭或你自有網路下的技術說明,未鼓勵在公共區域對未知裝置廣播可連線的出口。

先看名詞:allow-lanmixed-port

allow-lan(允許區域網路連到自己的代理埠)

在多數 Clash 系列設定檔中,對應欄位寫法是 allow-lan: true。預設關閉時,為了縮小事端面(例如防止咖啡廳區網內別人對你掃埠),許多發行會把對外監聽侷限在回環位址。啟用之後並非自動完成所有事:你仍需確認 external-controllermixed-port,以及/或 portsocks-port 實際綁定在對區網可見的那一張網卡,而不是只看到 127.0.0.1監聽位址常見對應欄位為 bind-address 或由各版本圖形介面包裝為「對外繫結」選項——若介面詞彙因 Verge Rev 發版而更動,請以當版本說明的「LAN/網路程式」區塊為準。

mixed-port(常見為「合一埠」)

mixed-port這個詞在 Mihomo/Clash 生態一般指單一 TCP 連接埠上同時處理常見 HTTP 代理與 SOCKS5的連線協定自動辨識。好處非常多:對只提供單一格子的 Android「手動 Proxy」來說,通常可以直接填入這個號碼,而不用在多處對應兩種埠。對照之下,如果你在 YAML 只看到分開的 port:socks-port: 而沒有啟用 mixed,那在行動端的「伺服器」「埠」「例外清單」畫面上,就要區分:瀏覽器型 HTTP/HTTPS Proxy 欄對應 port,而許多強調 SOCKS 的工具則對 socks-port。實際以你載入後在 Verge Rev「設定/概要」區顯示的數字為主,並在第一次測試時開啟客戶端日誌,避免「協定對錯埠」造成誤會。

許多伺服器訂閱模板會自動帶 mixed-port: 7890 之類數值,但並非固定:若你發現和公司內線或舊版工具衝突,可以在覆寫中改成未佔用之埠並同步更新區網內每台手動客戶端的組態。

區網拓撲:區網共享代理Wi‑Fi 路由器場景整理

常見區網共享代理形態可分三類,彼此差別僅在你如何取得「對方機器看得見的那個 IP」,但對 Verge Rev 側要開的監聽邏輯相同:

  • 電腦與手機都連同一只家用路由器:兩者在同一 DHCP 區段(典型如 192.168.0.0/24192.168.31.0/24);手機的 Proxy伺服器請填這台電腦在該介面拿到的 IPv4 位址。區網代理的閘道路由並不需要改為代理本身——你只需要手動為「可走 HTTP Proxy 的流量」指派 Proxy 伺服器與埠。
  • Windows「行動熱點」由筆電分享給平板/手機:此時對客戶端而言,區網是熱點虛擬介面對應的私人網段;Proxy 伺服器請填發放熱點那一側主機對該區段的自身位址——常見像 192.168.137.1這類數字,而不要誤用以太網路介面對外 WAN 的假 IP。此即搜尋者口語講的「Windows 熱點旁路/熱點旁掛 Proxy」:旁路指的是資料仍先經過你熱點介面對應區段,只是把「對外那一段」委派給本機 Mihomo/Clash。
  • 乙太網路直連或 USB 數據機:只要雙方能互 ping/互開 TCP,且IPv4/IPv6沒有被客戶端「僅 cellular、不走 Wi‑Fi Proxy」規則擋掉,即可使用相同填寫格式;對於強制統一資料用量並忽略 Wi‑Fi 代理的電信客製韌體,只能改採每台裝置本地用戶端或 VPN/TUN 類方案——那不是 allow-lan 能單獨解的。

在 Clash Verge Rev 側建議操作的步驟排序

為了區分問題是在「區網聽錯埠」或「節點本身失敗」,建議順序一定要先本機成功案例,再對外:Clash Verge Rev先完成訂閱更新/策略組選線,並以系統 Proxy 模式或你已習慣的方式,讓這台電腦上的瀏覽器能上目標站台。接著才把同一核心埠暴露給其它裝置,避免將「對外防火牆或 bind 問題」猜成區網共享邏輯錯。

  1. 於【設定/Clash/Mihomo 核心區】或對等頁簽確認目前的 Port 對照:mixed-port是否存在;若只看到分開數字,請在腦海中記錄HTTPSOCKS兩類。
  2. allow-lan/允許區域網連線 改為開啟;若介面另有提供「對外繫結位址」,選擇 0.0.0.0(監聽所有 IPv4)或明確對應你分享熱點/乙太的那一張 NIC,而不是僅 127.0.0.1
  3. 套用/重啟核心:部分介面將「YAML 套用」與「服務程式重載」區分為兩次按鍵——若你已改過埠或 bind,請不要只編輯文字檔但未觸發實際重載。
  4. 在 Windows 上使用 ipconfig 或設定 App 確認對方裝置連線的那一張網卡所顯示的 IPv4 位址並抄下;對熱點場景請額外檢視「行動熱點適配器/網路共用」對應的閘道具體號碼。
  5. 對其它裝置:在無線網路細節中找到「HTTP Proxy」「手動」或對等描述,填入「伺服器/主機=電腦位址」,「連接埠=mixed-port或 HTTP 對應埠」,必要時對 HTTPS 另行勾選沿用相同主機。Socks 類應用請改填socks-port;若將 SOCKS請求送至僅支援 HTTP協定的埠,將得到連線重設或非預期的拒絕。
  6. 驗證:於客戶端開啟顯示公網來源 IP 的檢查頁面(僅為測出口,不涉及任何違規用途);若你看到與主機側相同出口國家/ASN,並可對照 Mihomo 「連線(Connections)」面板同時亮起該請求紀錄,即代表區網共用代理路徑已打通。

Windows 防火牆與 Defender:允許區網裝置「對入方向」進來的最小步驟

allow-lan只是把核心設定改為願意在非回環埠上對外張開耳朵;而真正阻擋你表哥的舊安卓平板的通常是入站規則。若你已允許過「公開網路」場景請求,請回頭檢查目前 Wi‑Fi 介面類型是否在「私人」而不是被誤分類成公共而套用另一套規則。實務上建議:針對實際載入 Mihomo/Clash 核心的執行檔或其服務元件建立明確規則,允許對應的 TCP 進入你所設定的mixed-portportsocks-port監聽埠;對於只靠「自動允許程式清單」而升級換路徑後失效的案例,請用「監聽中埠」對照工作管理員確認正確二元檔,不要盲套舊檔名。

若你是在公司設備上做測試,還可能存在GPO/EDR/協力資安代理蓋過本機控制台設定的問題——此情況下即使介面開了 allow-lan,外部仍會看到 RST。與區網共享相關的除錯關鍵字其實是「對目標監聽埠做區段內第二台電腦的telnet/Test-NetConnection」,而不是只靠手機試瀏覽器。

小結:若第二台區網主機對你的 mixed-port TCP 無法進行握手,但本機對 127.0.0.1:埠號卻可行,十有八九仍是 bind 綁定在 loopback/防火牆/企業規則,而不是 Clash 規則寫錯。

DNS、HTTPS 站台與行動端的真實行為落差

對只支援無線網路的 HTTP/HTTPS Proxy這類老式介面的區網裝置來說,系統並不一定自動把 HTTPS 請求細節都交給你——部分韌體需要額外的「PAC」或對安全例外清單做說明。若發現區網代理能開純瀏覽資訊站卻對某些 HTTPS App 無效,常見並非 mixed-port 問題,而是該程式使用自帶 QUIC/DoH/certificate pinning而規避系統層級 Proxy。Mihomo在日誌中若完全看不到對應 TCP,代表流量未經過你對外開的那一埠——此時請接受「該程式需另案處理」而不是硬調 allow-lan。

對於強依賴區域 CDN 的中文內容,亦可能發生「請求已到代理但因為 GeoIP/規則被標回DIRECT」的情境——這並非區網沒接上,而是你現有規則覺得不該出國。區分方式:在行動瀏覽器與在主機桌面上開同一測試站,對照 Mihomo 策略欄(Policy)與紀錄欄RULE是否一致。

常見問題與對症檢查清單

  • 症狀:手機報「無法連上 Proxy 伺服器」。先 ping 電腦 IP;若 ICMP 被拒仍可能無妨,請直接試 TCP:Test-NetConnection 指令(對電腦 IP 與實際 mixed-port 數字測試)。若這裡就失敗,回到防火牆與bind-address
  • 症狀:只有 SOCKS app 能上,Chrome 上不了。檢閱是否在 HTTP 場景誤用了 socks-port 或未填 HTTPS 對應欄位——嘗試把 HTTP 代理與 HTTPS 代理都指向同一組「伺服器 + 埠號」,對應 mixed-port 或 HTTP 用的 port
  • 症狀:換了 Wi‑Fi 電腦 IP 改了但規則沒自動更新。家用路由器若指派短租約 DHCP,手機裡會快取過期 Proxy 伺服器數字——更新方式是在裝置上切換乾淨的網際網路型態並重新填入,或對路由器做 MAC 繫結靜態位址以降低變動。
  • 症狀:熱點模式只有筆電自己走代理,對外分享出去的朋友裝置仍為本地電信線路。檢視是否僅對「區域連線」「乙太區段」規則開了允許但未涵蓋虛擬熱點介面對應的防火牆配置檔,或對方資料方案是否阻擋手動 Proxy(少數電信鎖 IMEI OS build)。

FAQ(對應多數搜尋延伸問句)

為什麼文件寫external-controller但手機根本不需要它

external-controller是給 dashboards/REST/策略熱載入調用的控制器埠,與你讓親友區網上網要填的 mixed-portportsocks-port 並不是一回事。對一般「把瀏覽器流量交給你」的需求,請勿把控制器對外對陌生人開在同一張不信任網路的入站方向上——那是安全風險而不是功能捷徑。

開啟 allow-lan 後還需要做「區網隔離」(AP/訪客 Wi‑Fi)調整嗎

若你的路由器上「訪客網」與主網之間強制無法對流,那來訪手機並不能碰到你桌機對內張開的那些埠——要嘛改連主 SSID(在你信任對方前提下),要嘛將分享方式改為筆電直開熱點。對 IoT VLAN 區隔強的住家,請先對照區網字面意義:可路由性是前提

市面上的封閉加速器與可追溯的 Mihomo/Clash 區網方案

一體機式區網產品常把對外協定細節包在無法調整的黑色介面後面:當手機製造商對「手動 Proxy」支援逐代縮減,你只能被動等待 App 自己是否吃系統設定。相較之下,你已經在桌面跑著的Clash Verge Rev搭配mihomo規則,可以在同一出口下精準對照「哪些網域名稱被DIRECT」「哪些請求終究沒來到 mixed-port」,這種可追溯性對要兼顧測試、翻譯、跨區身分驗證的人尤其重要——它不只是一次性的區網共享代理技巧,而是你整張路由表的一部分。

如果你接下來會長期在多裝置之間複用同一規則,建議將本次驗證成功的埠與區段手抄成短文檔,並在換路由器或重做熱點分享時重跑一次 TCP 監聽測試,而不是憑記憶硬填舊數字。相較僅會推銷峰值頻寬、卻對長尾協定相容性模糊的封閉產品,Clash 生態讓你可以在連線紀錄層級反覆對照並微調規則——當你希望把桌面已驗正的出口複製到其他家庭成員終端又不想重灌訂閱時,就是一條省去反覆試錯的路徑。

立即免費下載 Clash,延續已熟悉的規則到更多裝置 →