Clash Verge如何开启局域网共享代理给其他设备?
功能定位:为什么需要局域网共享
把 Clash Verge 的「局域网共享代理」打开,本机立刻化身轻量级网关:手机、平板、游戏机无需重复安装客户端,就能在同一张 Wi-Fi 下直接享受规则分流与节点加速。相比逐台配置订阅,共享模式一次性解决多终端需求,也省掉重复建隧道带来的电量与内存开销。
该能力依赖 Clash Meta 内核的 allow-lan 参数,本质是把默认仅监听 127.0.0.1 的 HTTP/SOCKS 端口绑定到 0.0.0.0,并配合系统防火墙放行。只要主机与客户端处于同一二层网络,即可通过「主机 IP+端口」手动指定代理,无需额外协议。
前置检查:版本、网络与权限
最低版本与内核
截至当前的最新版本已内置 Clash Meta 内核,图形界面直接暴露「Allow LAN」开关;若你仍在 1.x 旧版,请先通过 Settings → About → Check Update 升级,否则需要手动编辑 YAML。
网络拓扑要求
主机与待共享设备必须处于同一网段,且子网掩码 ≤ 24。经验性观察:校园网 802.1X、公司 802.1Q VLAN 隔离场景下,即使 IP 前三段相同,二层广播被交换机抑制,也会导致 ping 不通代理端口。
验证方法:在副设备执行
ping 主机IP与nc -vz 主机IP 7890,若 ICMP 通而端口不通,优先排查防火墙;若 ICMP 也不通,则属于二层隔离,需改用路由器做端口转发或放弃共享。
三步开启共享:最短可达路径
Windows 10/11
- 托盘图标右键 → Settings → Core → Allow LAN,打开开关。
- Settings → Port 记下 HTTP 端口(默认 7890),若提示 0.0.0.0:7890 bind failed,把 Mixed Port 改为 7895 并 Restart Core。
- 开始菜单搜索「Windows Defender 防火墙」→ 高级设置 → 入站规则 → 新建规则 → 端口 → TCP 7895 → 允许连接 → 配置文件全选 → 命名「Clash Verge LAN」→ 完成。
完成后,在副设备 Wi-Fi 设置里把 HTTP 代理指向 http://主机IP:7895,无需账号密码即可上网。
macOS 13+
- 菜单栏图标 → Preferences → Core → Allow LAN 勾选。
- 若端口冲突,在同一面板修改 Mixed Port,例如 7895。
- 系统设置 → 网络 → 防火墙 → 选项 → 添加 Clash Verge.app → 允许所有连接。
macOS 默认不会拦截出站,因此只需确认「阻止所有传入连接」处于关闭状态即可。
Linux(Ubuntu 22.04 示例)
- ~/.config/clash-verge/settings.json 中把
"allow-lan": false改为true,保存后重启进程。 sudo ufw allow 7895/tcp若你使用 UFW;Firewalld 用户执行sudo firewall-cmd --add-port=7895/tcp --permanent && sudo firewall-cmd --reload。
无桌面环境时,也可通过 ss -tlnp | grep 7895 确认监听地址为 0.0.0.0。
可选加固:认证、限速与日志
HTTP 基础认证
在 Settings → Core → Authentication 填入 user:pass,副设备端会弹出账号密码输入框,可防止室友误用流量。注意:基础认证对 HTTP 明文有效,若担心明文泄露,请只在受信局域网开启。
单 IP 限速
Clash Meta 内核暂不提供原生限速,需要借助外部工具。经验性做法:Linux 用 tc qdisc 给 7895 端口做入口限速;Windows 可在「高级 QoS 策略」里针对 clash-verge.exe 的传出流量设置 20 Mbps 上限。
日志级别
共享后连接数会翻倍,建议把日志级别调到 warning,避免磁盘被 debug 日志撑满。路径:Settings → Core → Log Level → Warning。
例外与副作用:何时不该用
- 公司 802.1X 网络:IT 部门常将「未授权代理」视为违规,共享端口可能被 NAC 系统扫描并强制下线。
- 公共 Wi-Fi:机场、酒店普遍启用 AP 隔离,副设备根本无法访问你的 7895 端口,开启后徒增暴露面。
- 电池供电笔记本:共享后网卡持续高功率监听,经验性观察 Surface Pro 9 电量缩短约 18%,会议外出场景慎用。
工作假设:若主机同时开启 TUN 模式与 Allow LAN,Windows 会把 0.0.0.0:7890 绑定在虚拟网卡上,导致物理网卡收不到包。解决:先关 TUN,再开 Allow LAN;或手动指定物理网卡 IP 而非 0.0.0.0。
验证与回退:快速自检清单
- 主机执行
curl -x http://本机IP:端口 https://ipinfo.io,返回节点出口 IP 即说明服务正常。 - 副设备浏览器访问
http://主机IP:端口,若看到「Clash Meta HTTP Proxy」欢迎页,则链路已通。 - 若无法打开,先关主机防火墙 10 秒做对照实验;能通即防火墙规则写错,不能通则继续排查二层隔离。
- 回退:Allow LAN 关闭 → Core Restart → 防火墙规则禁用,30 秒内即可恢复单机模式。
多设备实战:30 秒给 iPhone 配代理
场景:日区 Apple ID 下载 TestFlight 应用,需要固定日本节点。步骤:Windows 主机开 Allow LAN → iPhone 设置 → 无线局域网 → 点击当前 Wi-Fi 右侧 ⓘ → HTTP 代理 → 手动 → 服务器填 192.168.1.123,端口 7895 → 存储。打开 Safari 访问 https://ipinfo.io,地区显示 Tokyo 即成功。全程无需安装描述文件,也不影响蜂窝流量。
性能与成本:共享后的资源开销
| 指标 | 单机 | 共享 3 台 | 可观测工具 |
|---|---|---|---|
| CPU 占用 | 4–6% | 6–9% | 任务管理器 / htop |
| 内存占用 | 110 MB | 120 MB | Process Explorer |
| 峰值连接 | ~80 | ~300 | Clash Verge 仪表盘 |
经验性结论:共享三台设备仅增加约 10 MB 内存与 3% CPU,对 2020 年后主流笔记本可忽略;若同时开启 TUN 与局域网共享,CPU 占用可能翻倍,建议在高性能插座场景使用。
FAQ:必须知道的 5 个问题
开启 Allow LAN 后,外网能扫到我的端口吗?
默认只绑定 0.0.0.0,但能否被外网扫描取决于你的路由器是否做了端口映射。家用 NAT 无映射时,外网无法主动访问;若曾在路由做过 DMZ,建议加认证或改回 127.0.0.1。
共享后 Netflix 打不开,提示代理?
Clash Verge 规则集默认走「Streaming-US」策略,但共享设备 DNS 可能硬编码 8.8.8.8,导致解析到黑名单 IP。把副设备 DNS 改为自动获取或指向路由器,让 Clash 的 fake-ip 生效即可。
iOS 15 无法保存 HTTP 代理端口?
苹果在 iOS 15 后要求端口范围 1–65535,但输入框有缓存 BUG。解决:先填 80 → 存储 → 再改为真实端口 → 存储,或切换飞行模式强制刷新。
可以同时开 Wi-Fi 热点和 Allow LAN 吗?
Windows 10 热点模式会把客户端 NAT 到 192.168.137.0/24,此时需在「热点适配器」上再放行一次 7895 端口;否则只能 ping 通却连不上代理。
共享后延迟比本机高 20 ms,正常吗?
正常。副设备流量需经无线多一跳,且 Clash 内部转发会引入 5–10 ms 处理时间;若高 50 ms 以上,检查是否副设备 DNS 绕路或节点已切换。
最佳实践 6 条检查表
- 升级至截至当前的最新版本,确保 Allow LAN 图形开关可用。
- 先关 TUN 再开 Allow LAN,避免虚拟网卡抢 0.0.0.0。
- 防火墙规则限 TCP 单端口,不开放 UDP,降低扫描面。
- 公共网络一律关闭,二层隔离场景直接放弃。
- 外出办公用电池时,共享设备 ≤2 台,延长续航。
- 每月检查 Clash Verge 仪表盘连接数,>500 持续 5 min 时考虑回退或升级硬件。
总结与下一步
Clash Verge 的局域网共享代理用 3 步就能把一台电脑变成「零配置网关」,在居家、实验室、小型工作室场景下性价比极高;只要避开公共 Wi-Fi、802.1X 与电池极限,副作用可控。读完本文,你可以:
- 立即按平台路径打开 Allow LAN 并放行端口;
- 用 curl、nc、浏览器三件套验证链路;
- 根据检查表决定是否加认证、限速或回退。
下一步,不妨把规则集切换到「Streaming-US」并复测副设备 Netflix 解锁,或尝试用 Prometheusexporter 把流量导出到 Grafana,看共享后峰值到底能跑多少连接。祝你玩得开心,也别忘了合规第一。
