1. ミックスドポートと LAN 共有が必要になる理由
自宅やオフィスの PC で Clash(Windows 11) を動かしつつ、スマートフォンや別ノート PC にはフルクライアントを入れたくない、というニーズはよくあります。そのときの定番が、HTTP と SOCKS の両方を受けられる ミックスドポート(Mixed Port) を 1 つ開き、同じセグメント上の端末から PC の LAN アドレスへ向ける構成です。
ところがホスト上の 127.0.0.1 では問題なくても、192.168.x.x からは拒否される、というパターンが非常に多いです。実務では バインド先(ループバックのみか)、アプリ側の LAN 許可、そして Windows Defender ファイアウォール が受信を止めていないか、の三つがほぼ決め手になります。
本稿ではその順序で設定し、短い確認だけで切り分けできるようにします。スタック全体の整理は 設定の概要、デスクトップクライアントの選び方は Windows 向け比較記事も参照してください。
2. ミックスドポートとは
Clash 系コアにおける ミックスドポートは、同一 TCP ポート番号で HTTP プロキシ要求と SOCKS5 セッションの両方を受け付けるリスナーです。ブラウザや OS が HTTP 前提、アプリが SOCKS 前提、といった差を、利用者がポートを二つ覚えることなく 7890 のような一つの番号にまとめられます。
LAN 共有の文脈では「多重化そのもの」より、ファイアウォールで開ける TCP ポートが一つに決まることが重要です。YAML では mixed-port: 7890 とし、別途 port や socks-port を残すかどうかは好みですが、多くのユーザーはミックスドだけにして運用を単純化します。
3. Windows 11 側のネットワーク確認
Clash を触る前に、プロファイルが プライベート か パブリック かを確認します。パブリックではファイアウォールが厳しく、ルールの当たり外れで挙動がブレやすくなります。共有用 PC の IPv4(例 192.168.1.42)をメモし、ルータで DHCP 予約するとアドレス変化による断線を減らせます。
ゲスト Wi‑Fi やクライアント隔離がある環境では、そもそも端末間通信が禁止されています。ping が通らない、ポートが見えない場合は Clash 以前の問題です。
IPv6 について
当面は IPv4 のほうが家族への説明もモバイルの手動プロキシ入力も楽です。IPv4 が安定してから IPv6 を検討すれば十分です。
4. クライアント設定(ポートと LAN)
Clash Verge などの GUI には Allow LAN(または同趣旨の項目)があります。有効にするとコアは 0.0.0.0(全インターフェース)で待ち受け、127.0.0.1 専用ではなくなります。「PC では動くがスマホでは動かない」ときはまずここです。
config.yaml を直接編集する場合は mixed-port、bind-address、allow-lan などを核のバージョンに合わせます。保存後はサービス再起動し、実際に読み込まれた設定をクライアント画面で再確認してください。
システムプロキシ(127.0.0.1:7890 を OS に設定すること)と LAN からの受信は別物です。リモート端末が必要とするのは PC の LAN IP と同じポート番号です。
5. Windows ファイアウォール
アプリの許可は「Windows セキュリティ → ファイアウォール → アプリがファイアウォールを通過できるようにする」から。一覧に無ければ「別のアプリを許可」で .exe を指定し、プライベート と必要なら パブリック の両方にチェックします。
子プロセス構成によってはアプリ規則だけでは足りないため、受信の規則で TCP のミックスド番号を明示的に許可します。名前は Clash mixed 7890 TCP のように後で分かるものにします。
サードパーティのセキュリティ製品がさらに上に乗る場合もあります。企業端末ではグループポリシーで待受自体が禁止されていることもあり、その場合は Clash 設定以前の問題です。
手順の順番
先にクライアントで実際に LISTEN してからファイアウォールを直します。何もバインドしていない番号だけ許可しても意味がなく、切り分けが混乱します。
6. 監聴と疎通の確認
PowerShell で netstat -ano | findstr :7890(ポートは読み替え)とし、0.0.0.0:7890 で LISTENING になっているか確認します。127.0.0.1 のみなら LAN 共有の目的には不十分です。
別端末から curl やポートチェックで 192.168.x.x:7890 へ TCP が張れるか見ます。TCP まで通ればファイアウォールとバインドはクリアに近く、あとはプロトコルや認証の話になります。
| 症状 | 想定原因 | まず試すこと |
|---|---|---|
| PC では動くがスマホでは動かない | ループバックのみ/LAN オフ | Allow LAN、0.0.0.0 バインド |
| LAN からすぐタイムアウト | 受信ブロック | アプリ許可+ TCP 受信規則 |
| ときどき切れる | DHCP で IP が変わった | ルータで予約 |
| プロトコルエラー | HTTP と SOCKS の取り違え | ミックスドを統一 |
7. 他端末の設定
Android は Wi‑Fi の詳細設定から手動プロキシを指定し、ホストに PC の IPv4、ポートにミックスドの番号を入れます。iOS も同様に手動プロキシ画面でサーバとポートを設定します(HTTP/HTTPS に同じ値を入れる場合が多いです)。
別の Windows/macOS では OS のプロキシ設定かブラウザ拡張で同じホスト/ポートを指定します。ゲートウェイ PC 上の Clash で選んだノードにその端末の通信も乗る点に注意してください。
8. トラブルシュート
「ポートは開いたはず」という段階で詰まる場合は、次を上から順に。
- 設定変更のたびに
netstatで本当に広いインターフェースで LISTEN しているか。 - プロファイル再インポートで Allow LAN が戻っていないか。
- ネットワークがプライベートとして認識されているか。
- ルータの AP 隔離で端末間が見えないか。
- 外部クライアント接続時に Clash ログに痕跡があるか。
TCP が通ったうえで 502 や TLS エラーなら、トンネルより上流ノードや DNS を疑う段階です。
パフォーマンス
スマホ全トラフィックを PC 経由にすると遅延が乗ります。大きな転送では PC のスリープに注意し、常時共有なら電源設定も合わせて調整します。
9. セキュリティと利用上の注意
0.0.0.0 でミックスドを開くと、同じ LAN にいる機器からプロキシ利用を試みられる可能性があります。信頼できる自宅ネットワーク向けの話であり、公共 Wi‑Fi では無効化してください。ルータのポート開放でインターネット側に晒すのも本稿の範囲外であり非推奨です。
クライアントは信頼できる配布元から入手し、インストールや更新は 公式サイトのダウンロードページを優先してください。
10. まとめ
Wi‑Fi 経由で Clash を共有する要点は三つ、実際に待ち受けているミックスドポート、LAN を含むバインド、ファイアウォールがプロファイルと整合した許可です。ここが揃えば、スマホやサブ PC は別途トンネルを張らずに同じ出口設定を再利用できます。
ポート番号とログが明示されているため、VPN アプリのようにブラックボックスになりにくいのも Clash 系の強みです。動いた状態の YAML とファイアウォールメモを残しておくと、次回ドライバ更新やクライアント更新後も短時間で復旧できます。
