1 증상과 방화벽을 의심할 만한 신호
대표적인 패턴은 다음과 같습니다. 첫째, TUN을 켠 직후 모든 앱의 인터넷이 한꺼번에 사라지고, TUN만 끄면 바로 복구됩니다. 둘째, 브라우저는 되는데 클라이언트 안의 지연 테스트·구독 갱신만 타임아웃됩니다. 셋째, Allow LAN을 켠 뒤 다른 기기나 WSL에서 PC의 mixed 포트로 접속이 안 되고, 동일 PC의 로컬 브라우저만 됩니다. 넷째, 방화벽 로그나 보안 제품 알림에 특정 포트·실행 파일 차단이 반복됩니다.
이런 증상은 노드 품질만으로는 설명이 안 되는 경우가 많습니다. Windows Defender 방화벽은 프로필(도메인·전용·공용)과 규칙 우선순위에 따라 같은 프로그램이라도 허용·차단이 갈립니다. 특히 카페·공유 숙소처럼 Wi-Fi를 처음 잡을 때 공용 네트워크로 분류되면, 사용자가 만든 «전용에만 적용» 인바운드 규칙이 아예 안 먹는 일이 생깁니다.
처음 PC에 Clash 계열을 올릴 때는 Windows 설치 가이드로 기본 포트·권한을 맞춘 뒤, 이 글의 방화벽 절차를 적용하는 편이 빠릅니다.
2 방화벽이 Clash·TUN에 관여하는 이유
TUN 모드는 가상 네트워크 어댑터를 통해 커널 라우팅에 가깝게 트래픽을 붙잡습니다. 이 과정에서 로컬에서 열린 프록시 포트·DNS·내부 제어용 API에 대한 연결이 늘고, 백그라운드 프로세스 간 통신 패턴도 달라집니다. Windows 11의 Windows Defender 방화벽은 앱별·포트별로 인바운드 연결을 필터링하므로, 업데이트로 경로가 바뀐 실행 파일이나 새로 설치된 코어 바이너리가 «처음 보는 앱»으로 분류되면 차단 프롬프트가 뜨거나 기본 정책에 걸릴 수 있습니다.
또한 서드파티 백신·엔드포인트 제품이 WFP(Windows Filtering Platform) 상에서 Defender 위에 또 한 겹 규칙을 얹는 경우가 있습니다. 이 경우 Defender UI에서는 허용으로 보여도 실제 패킷은 위쪽 필터에서 떨어집니다. 즉 «방화벽 문제»는 Defender만이 아니라 전체 호스트 방화벽 스택을 의미한다고 보는 것이 안전합니다.
3 네트워크를 전용(프라이빗)으로 맞추기
설정 → 네트워크 및 인터넷 → Wi-Fi(또는 이더넷) → 속성에서 현재 연결의 네트워크 프로필 형식을 확인합니다. 집·사무실처럼 신뢰하는 환경이라면 전용 네트워크로 두는 것이 일반적입니다. 공용 프로필로 남아 있으면, 사용자 정의 인바운드 규칙에서 «전용»에만 체크해 둔 항목이 적용되지 않아 LAN에서 mixed 포트로 들어오는 SYN이 계속 막힐 수 있습니다.
회사 PC에서는 IT 정책으로 프로필을 바꿀 수 없을 수 있습니다. 그때는 기업 VPN·분할 터널 가이드와 충돌 여부를 함께 확인해야 하며, 임의로 방화벽을 뚫는 것이 허용되는지 내부 규정을 따르세요.
4 고급 보안이 포함된 Windows Defender 방화벽에서 인바운드 규칙 만들기
제어판 → 시스템 및 보안 → Windows Defender 방화벽 → 고급 설정(또는 설정 앱에서 방화벽 고급 보안으로 이동)을 엽니다. 왼쪽에서 인바운드 규칙을 선택하고 오른쪽 새 규칙을 누릅니다.
Allow LAN으로 mixed·SOCKS·HTTP 포트를 다른 기기나 WSL에서 쓰는 경우, 포트 유형을 선택하고 TCP(필요 시 UDP도 별도 규칙)로 클라이언트에 설정된 로컬 포트를 지정합니다. 동작은 연결 허용, 프로필은 상황에 맞게 전용만 또는 전용+도메인 등으로 제한하고, 이름은 나중에 찾기 쉽게 Clash mixed TCP 7890처럼 적습니다.
포트 번호는 프로필마다 다릅니다. GUI에서 mixed 포트를 확인한 뒤 방화벽 규칙과 숫자를 반드시 일치시키세요. API·외부 컨트롤러 포트를 외부망에 열 필요가 없다면, 규칙에 원격 IP 제한을 두거나 바인딩 주소를 루프백 위주로 유지하는 편이 좋습니다. 자세한 TUN·포트 개념은 TUN 모드 가이드를 참고하세요.
5 프로그램(실행 파일) 단위로 허용하기
포트 규칙만으로 부족하면 프로그램 유형으로 새 인바운드 규칙을 만듭니다. Clash Verge Rev 설치 경로의 실행 파일과, 함께 배포되는 Mihomo·코어 실행 파일 경로를 각각 지정합니다. 업데이트 후 바이너리 경로가 바뀌면 규칙이 헛돌 수 있으므로, 버전 올린 뒤에는 방화벽 규칙의 대상 경로가 여전히 유효한지 확인하세요.
Windows는 때때로 «공용 네트워크에서의 수신 연결 차단»과 앱 규칙을 동시에 적용합니다. 앱 규칙을 추가해도 안 되면 앞서 설명한 네트워크 프로필과 규칙의 프로필 탭(도메인·전용·공용) 체크박스를 다시 맞춰 보세요.
6 TUN·DNS·로그로 교차 검증하기
방화벽을 손봤는데도 증상이 같으면, 단일 원인이 아닐 수 있습니다. TUN을 켠 상태에서 Clash 로그에 DNS 해석 실패·dial timeout이 쏟아지면 DNS·FakeIP 설정을 함께 점검하세요. 방화벽이 막아서 생기는 현상과 DNS만 틀어져 생기는 현상은 겉보기에 비슷하지만, 로그에 찍히는 단계가 다릅니다.
절차를 정리하면 다음과 같습니다. (1) TUN 끄고 시스템 프록시만으로 브라우저 테스트. (2) TUN 켜고 동일 사이트 테스트. (3) 방화벽에서 앱·포트 규칙 추가 후 재부팅 없이 서비스 재시작. (4) 여전히 실패하면 보안 제품 일시 중지로 원인 분리(가능할 때만). 각 단계에서 시간을 메모해 두면 커뮤니티나 지원 채널에 올릴 때도 유리합니다.
설치 패키지는 출처가 분명한 공식 다운로드 페이지를 우선하는 것이 좋습니다. 실행 파일 경로가 표준적이면 방화벽 규칙도 관리하기 쉽습니다.
7 방화벽이 아닐 때 흔한 대안 원인
드라이버·가상 스위치 충돌로 TUN 어댑터가 제대로 안 올라오는 경우, 장치 관리자에서 오류 코드를 확인하거나 클라이언트를 최신으로 올려 보세요. 다른 VPN 제품이 동시에 전체 터널을 잡고 있으면 라우팅 표가 엉켜 «전부 끊김»처럼 보일 수 있습니다. 또한 프로세스 기반 규칙(프로세스 이름 라우팅)과 혼동해 특정 앱만 우회 실패하는 경우도 있으니, 증상이 앱 한정인지 전역인지 먼저 가릅니다.
하드웨어 오프로딩·SSL 검사가 있는 공유기나 사내 프록시는 Clash와 무관하게 연결을 끊기도 합니다. 이때는 같은 노트북을 스마트폰 테더링에 붙여 비교하면 네트워크 측인지 단말 측인지 빠르게 좁힐 수 있습니다.
8 실행 체크리스트
- Wi-Fi·유선이 전용 네트워크인지 확인(회사 정책 준수).
- Defender 고급 설정에서 Clash·Mihomo 관련 인바운드 규칙이 있는지, 프로필 범위가 맞는지 확인.
- Allow LAN 사용 시 mixed·SOCKS 포트에 대한 TCP(및 필요 시 UDP) 규칙 추가.
- 업데이트 후 실행 파일 경로가 바뀌지 않았는지 확인.
- TUN on/off·시스템 프록시만으로 A/B 비교 후 로그에 남은 오류 유형 기록.
- 서드파티 방화벽·백신이 있으면 동일 예외를 그 제품에도 반영.
- UWP 한정 문제면 Loopback, 기업망이면 VPN 분할 문서를 병행.
9 정리
TUN 모드는 편하지만, Windows Defender 방화벽과 네트워크 프로필이 어긋나면 «노드가 죽었다»고 오해하기 쉬운 전역 단절로 이어집니다. 전용 네트워크로 맞추고, Clash·Mihomo 실행 파일과 필요한 로컬 포트에 대해 인바운드 규칙을 명시하면 같은 구독이라도 체감 안정성이 달라지는 경우가 많습니다. UWP·DNS·기업 VPN은 각각 다른 문서와 짝을 이루므로, 증상 범위를 먼저 나누고 적용 순서를 정하면 시간을 아낄 수 있습니다.
GUI에서 로그·규칙·TUN을 한 화면에서 다루기 쉬운 클라이언트를 쓰면 이런 트러블슈팅도 수월합니다. 동일한 목표를 두고도 설정 가독성이 나은 도구가 장기적으로 스트레스를 줄여 줍니다.
