一、 理论基础:节点协议分层
为了更好地理解节点配置,我们将代理节点比作快递运输,分为以下三层:
代理协议(数据封装/包装盒)
作用:负责将原始数据进行包装。
常见协议:VMess, VLESS, Trojan, Shadowsocks, Hysteria2。
类比:快递的纸箱、泡沫箱或木箱。
传输协议(交通工具/承载方式)
作用:决定数据以何种方式在网络中传输。
基础底层:TCP, UDP
进阶协议:WebSocket (WS), gRPC, HTTP/2, QUIC。Xray 特有 xhttp,Sing-box 特有 Tuic/Hysteria。
类比:海运、陆运、空运。
安全协议(加密/保险柜)
作用:防止数据被偷窥或篡改,提供伪装。
常见协议:TLS (标准加密), Reality (抗封锁伪装)。
类比:给包裹加装保险柜或伪装成普通货物。
二、 环境准备:防火墙放行端口
在搭建之前,必须确保 VPS 的防火墙放行了相关端口。
1. 常规 VPS (如 RackNerd, Vultr)
通过 SSH 连接服务器,使用以下命令:
查看防火墙状态: ufw status
简单粗暴(直接关闭防火墙): ufw disable
规范做法(放行特定端口):
# 放行TCP/UDP的443端口
ufw allow 443
# 放行特定端口的TCP
ufw allow 2053/tcp
# 放行后重载
ufw reload
2. Google Cloud (谷歌云)
谷歌云除了系统防火墙,还需要在后台控制台设置:
进入 VPC 网络 -> 防火墙。
点击 创建防火墙规则。
流量方向:入站。
目标:建议选择“网络中的所有实例”。
来源 IPv4 范围:0.0.0.0/0。
协议和端口:勾选 TCP/UDP,输入需要放行的端口号(如 443 或 2053)。
点击创建。
三、 3x-ui 面板节点搭建 (基于 Xray 内核)
场景 A:无域名,使用 Reality 协议 (推荐)
适合没有购买域名或不想配置证书的用户,抗封锁能力强。
入站列表 -> 添加入站。
备注:随意填写(如 vless-reality)。
协议:选择 vless。
端口:建议使用 443 (更像正常流量)。
传输:选择 xhttp (Xray 特有,更高效) 或 TCP。
安全:选择 Reality。
Reality 设置:
uTLS:保持默认 chrome。
Dest/SNI (目标网站):
注意:不要使用 Google 的域名(握手过程特殊,易失败)。
推荐:apple.com:443, amazon.com:443, microsoft.com:443, icloud.com:443。
Private Key:点击 Get New Cert 生成新密钥。
点击 添加。
点击操作栏的 二维码 图标,复制链接导入客户端测试。
场景 B:有域名和证书,使用 TLS
适合有自己域名且已申请证书的用户。
协议:vless 或 vmess。
端口:任意(如 8443)。
传输:TCP, WS 或 gRPC。
安全:选择 TLS。
TLS 设置:
域名:填写你的域名。
证书路径:选择 文件路径。3x-ui 会自动识别申请好的证书路径(通常在 /root/cert/...)。
点击 添加 并测试。
四、 s-ui 面板节点搭建 (基于 Sing-box 内核)
s-ui 的逻辑是:先配置 TLS/Reality 模板,再添加入站,最后关联用户。
第一步:TLS 设置 (安全层配置)
进入左侧菜单 TLS 设置 -> 添加 TLS。
配置 Reality 模板:
类型:选择 REALITY。
SNI (伪装域名):输入 apple.com 或 amazon.com (同样避免 Google)。
握手服务器:同上,输入 apple.com。
服务端端口:必须是 443 (Reality 协议限制)。
点击钥匙图标生成私钥。
保存。
配置 TLS 模板 (自有域名):
类型:选择 TLS。
域名:输入你的域名。
证书/私钥路径:点击 从面板设置获取 自动填入。
若使用 gRPC 或 Hysteria2/Tuic:
必须开启 ALPN。
顺序填写:h3, h2, http/1.1 (顺序不能乱)。
保存。
第二步:入站管理 (添加入站)
进入 入站管理 -> 添加入站。
协议:选择 VLESS (或其他如 Hysteria2, Tuic)。
端口:如果用 Reality 必须是 443;其他协议按需填写。
传输配置:
如果是 VLESS/VMess,需开启 启用传输 开关选择传输协议(如 HTTP, WS, gRPC)。
注意:s-ui 默认不显示传输选项,需手动开启开关。
用户管理:选择 全部。
TLS/Reality 模板:选择第一步创建好的对应模板。
保存。
第三步:用户管理 (获取连接)
进入 用户管理。
找到对应入站标签下的用户账号。
点击 二维码/链接 图标。
复制链接导入客户端(支持 Sing-box 和 Clash 格式)。
五、 常见问题排查与注意事项
节点不通的常见原因:
防火墙拦截:检查 VPS 端口是否放行。
时间不同步:客户端与服务器时间误差不能超过 90 秒。
域名握手失败:Reality 模式下,如果使用 google.com 作为 SNI,客户端可能会连接失败。解决方案:将 SNI 改为 apple.com、amazon.com 或 icloud.com。
证书不匹配:TLS 模式下,如果启用了 AllowInsecure (跳过证书验证) 为 true,可以临时解决证书域名不匹配的问题。
客户端连接技巧:
如果修改配置后仍连不上,尝试在 Windows 客户端(如 v2rayN)中开关一次 TUN 模式,这会重置路由表。
在命令行运行 ipconfig /flushdns 刷新 DNS 缓存。
协议选择建议:
最稳/推荐:VLESS + TCP/xhttp + Reality (无需域名,伪装效果好)。
有域名推荐:VLESS + WS/gRPC + TLS + CDN (抗干扰,速度尚可)。
追求速度:Hysteria2 或 Tuic (基于 UDP,速度快,但可能被运营商 QOS 限速)。
Tuic/Hysteria2 特别注意:
在 s-ui 配置 TLS 时,ALPN 选项必须开启并正确设置 (h3, h2...),否则无法连接。
Tuic 协议配置中,不要开启 uTLS 选项。
通过以上步骤,您应该能够成功搭建属于自己的高速、稳定的上网节点。
作者: 金融老民工
链接: https://jinmohe.com/posts/63924.html
来源: GoldenMagicBox
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。