本文详解Clash在Windows/macOS系统开启局域网代理共享的完整流程,涵盖TUN模式与系统代理差异、防火墙配置要点及移动端接入方法,实现单设备代理多终端共享访问。
核心概念:TUN模式与系统代理的区别
配置Clash局域网共享代理前,需明确两种流量接管方式,系统代理仅处理HTTP/HTTPS协议,通过系统代理设置分发流量,适合浏览器和基础办公场景,TUN模式则创建虚拟网卡接管所有流量(含UDP、ICMP),能处理游戏加速、视频通话等全协议需求。
局域网共享场景下,若接收设备需完整代理支持(如手机APP后台同步),建议主设备开启TUN模式;仅网页浏览可保持系统代理以降低资源占用。
配置步骤
开启局域网共享开关
在Clash配置文件中启用允许局域网连接:
# config.yaml 片段 mixed-port: 7890 allow-lan: true bind-address: '*' external-controller: 0.0.0.0:9090
allow-lan: true 是核心参数,允许其他设备通过IP:端口访问代理。bind-address: '*' 确保多网卡环境正常监听。
代理组类型选择与配置
根据使用场景配置三种代理组:
Select(手动选择):适合固定线路需求
proxy-groups:
- name: "手动选择"
type: select
proxies:
- 香港节点
- 日本节点
- DIRECT
URL-Test(自动测速):适合多节点负载均衡
- name: "自动选择"
type: url-test
url: http://www.gstatic.com/generate_204
interval: 300
proxies:
- 节点A
- 节点B
Fallback(故障转移):适合稳定性优先场景
- name: "故障转移"
type: fallback
url: http://www.gstatic.com/generate_204
interval: 300
proxies:
- 主节点
- 备用节点
防火墙与网络发现设置
Windows系统需在"Windows Defender防火墙"中允许Clash通过专用/公用网络,macOS需在"系统设置-网络-防火墙"中关闭阻止所有传入连接,或在"安全性与隐私"中允许Clash内核通信。
确认主设备IP地址(ipconfig或ifconfig),通常为168.x.x段。
接收端设备配置
其他设备连接同一WiFi后,手动设置代理:
- 代理地址:主设备IP(如192.168.1.5)
- 端口:7890(与mixed-port一致)
- 协议:HTTP或SOCKS5
iOS/Android设备在WiFi设置中配置代理,选择"手动"并填入上述参数,支持PAC模式的设备可访问http://主设备IP:9090/ui下载自动配置。
分流规则优先级详解
Clash按规则类型从上到下匹配,建议配置顺序:
rules: - DOMAIN,clash.local,DIRECT - DOMAIN-SUFFIX,google.com,Proxy - IP-CIDR,127.0.0.0/8,DIRECT - GEOIP,CN,DIRECT - MATCH,Proxy
DOMAIN:精确匹配单域名,优先级最高
DOMAIN-SUFFIX:匹配域名后缀(如google.com匹配mail.google.com)
IP-CIDR:IP段匹配,适合CDN资源分流
GEOIP:基于GeoIP数据库的国家/地区识别
规则自上而下执行,首次匹配即生效,MATCH作为兜底规则必须置于末尾。
常见问题排查
现象:局域网设备显示"代理服务器拒绝连接"
原因:主设备防火墙拦截或allow-lan未启用
解决方法:检查配置文件allow-lan参数,临时关闭防火墙测试连通性
现象:能访问网页但游戏/视频通话无法连接
原因:系统代理不支持UDP转发,接收设备未配置DNS
解决方法:主设备切换TUN模式,接收设备DNS改为8.8.8或主设备IP
现象:连接后速度明显慢于主设备 原因:代理组节点选择不当或本地带宽瓶颈 解决方法:检查代理组类型,url-test组确保interval设置合理,避免频繁切换节点
节点选择与订阅建议
实现稳定的Clash局域网共享代理,节点质量是关键,对于国际网络加速需求,建议选择支持Clash YAML格式的订阅服务,确保包含完整的规则集和节点组配置。
优质订阅应具备:低延迟的亚洲节点(适合游戏)、高带宽的欧美节点(适合4K视频)、以及支持自动切换的故障转移组,通过SubConverter工具可转换不同格式订阅,适配Clash内核特性。
配置完成后,建议定期更新订阅链接以获取最新节点信息,确保跨境办公和学术资源访问的连续性。
