SSH连接工具
任选其中一个即可
FinalShell(推荐):FinalShell下载
MobaXterm:MobaXterm官网
正式安装、搭建节点
1、必要更新操作(Debian/Ubuntu)
apt update -yapt install -y curl socat wget注意:如果是centos系统,则分别运行yum update -y和yum install -y curl socat wget
2、安装x-ui
感谢github vaxilu大佬开发如此好用的一键脚本
bash <(curl -Ls https://raw.githubusercontent.com/vaxilu/x-ui/master/install.sh)3、证书申请(开TLS提升安全性必备)
ping工具(检测解析域名是否生效)
安装Acme
curl https://get.acme.sh | sh“你的邮箱”改成你的邮箱地址
~/.acme.sh/acme.sh --register-account -m 你的邮箱“你的域名”改成你前面解析好的域名
~/.acme.sh/acme.sh --issue -d 你的域名 --standaloneBBR加速
四合一 BBR Plus / 原版BBR / 魔改BBR一键脚本(Centos 7, Debian 8/9, Ubuntu 16/18 测试通过)
wget -N --no-check-certificate "https://raw.githubusercontent.com/chiakge/Linux-NetSpeed/master/tcp.sh" && chmod +x tcp.sh && ./tcp.sh客户端下载
Windows:v2rayN下载
**IOS:**App Store中,登录非国区账号,安装Shadowrocket小火箭(推荐,协议支持全面、便宜)
不管是iPad平板还是iPhone手机,比较推荐的科学上网软件必定是:Shadowrocket,但是需要注册一个非国区或美区账号才能进行购买,目前是2.99美刀约20块人民币,注册美区账号和充值购买也非常简单,请参考以下两篇文章。
如何注册美区Apple ID:https://zhuanlan.zhihu.com/p/635054054
美区账号如何充值:https://zhuanlan.zhihu.com/p/636121931
安卓:V2RayNG
苹果MAC OS:V2RayU下载
无敌的 Xray – Reality 协议!Vless + Reality协议 + Vision流控,是否能够摆平一切顾虑!
Reality v2rayssr.com
文章导读目录
前言
我们都知道, 普通的 TLS 代理的一个重要弱点就是各种加密进行套娃,虽然加密包的外观让防火墙无法进行分辨,但是加密套娃无可避免的一个点就在于,它会在每个包都增加一个数据包头,那加密的层数越多,包的头也会越多,这个增量虽然不大,但这个数据可能具有某些统计学的一些特征。
额,那若是发现这个特征嘞,是的,那 TLS 的代理也就不太安全了。
想当初,RPRX 发布了 XTLS,而 XTLS 其主要原因就是为了减少额外的加密,在 TLS 代理的特征被暴露以后,Xray-core 1.8.0 马上推出了新的流控 —— Vision,至此,当使用 Vision 传输 TLS1.3 的数据时,99% 的数据包,几乎拥有完美的流量特征,因为他是原始数据,没有经过任何的加工。
然而在此之外,今年的三月,Xray-core 1.8.0 又进一步推出了 REALITY 协议来取代传统的 TLS 服务,这样可以消除服务端 TLS 的指纹特征,仍然具有前向保密性,而且证书链也是攻击无效,那这样安全性的确就超越了常规的 TLS,关键可以指向别人的网站,所以无须自己购置域名,布置证书等,而且,不必使用 VPS 的 443 端口,所以,的确是方便和安全了不少。甚至,在我自己长达半年的使用过程中 Reality + Vision,没有出现任何问题,延迟、速率也是很不错
视频演示

准备工作
2、找到目标指向网站
要求支持 TLS 1.3 ,H2 连接
3、Reality GitHub:
搭建 Reality
安装所需组件
以下命令,请根据自己的操作系统作出选择
## 以下为 CentOS 命令
yum update -y
yum install curl wget -y
## 以下为 Debian / Ubuntu 命令
apt update -y
apt install curl wget -y
安装 X-ui
因为原版的 X-UI 已经很久没有更新和维护了,以下的 X-UI 为改版
更新频率更高,推荐大家使用。
bash <(curl -Ls https://raw.githubusercontent.com/FranzKafkaYu/x-ui/master/install.sh)

设置 X-ui 面板
找到左侧面板设置,记录 “面板 url 根路径” ,以后访问 X-ui 面板的地址为 http://ip:端口/面板url根路径
如何寻找 TLS1.3/H2 的网站
目标网站最低标准:国外网站,支持 TLSv1.3 与 H2,域名非跳转用
加分项:IP 相近(更像,且延迟低),Server Hello 后的握手消息一起加密(如 dl.google.com),有 OCSP Stapling
配置加分项:禁回国流量,TCP/80、UDP/443 也转发(REALITY 对外表现即为端口转发,目标 IP 冷门或许更好)
可以使用这个网站:来寻找 TLS1.3 / X25519 / H2 的指向站点,更多注意事项,请看 本期视频
也可以使用这个网站:来查询目标网站是否支持 OCSP Stapling (加分项而已,不支持也没有太大关系)
注意:大家代理出现问题,第一个需要检查的是目标网站是否存在问题!!!!!!
部署 Reality 节点
创建 Reality 节点还是很简单的,如下图,更多注意事项请看

开启 BBR 加速
以下 BBR 加速,请自选一种
1、系统自带 BBR 加速
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p
2、BBRplus 加速
wget -N --no-check-certificate "https://raw.githubusercontent.com/chiakge/Linux-NetSpeed/master/tcp.sh" && chmod +x tcp.sh && ./tcp.sh
Reality 客户端
以下客户端来自 XTLS 官方推荐(部分我没有进行尝试,大家可以自行尝试)
OpenWrt
Windows
Android
iOS & macOS arm64
https://v2rayssr.com/go?url=macOS arm64 & x64
Linux
后记
有了 X-ui 面板,可视化的搭建 Reality ,也是极为方便,而且这种协议也是目前来说比较安全的代理方式之一,不需要自己购买的域名,可以有效的去除普通 TLS 代理过程中的一些特征。
但是互联网没有绝对,无非也就是矛与盾之间的较量,只是在目前来说不容易被封 IP 和端口。
若是你问我,是不是推荐所有人都来使用它,其实我不推荐,这只是一种方法,若是你自创的一种方式能长期稳定的使用,那么我不推荐你进行更换,就和 XTLS 官方所说:“把所有的鸡蛋都放在一个篮子里是十分危险的,我们鼓励大家善用每个工具的特性,分散特征”。
比如:NaiveProxy、魔改的 Shadowsocks,MITM 代理 等等。我个人觉得,越少冷门越好。
x-ui docker image
x-ui docker 版本
可以通过使用不同的tag来使用不同作者的镜像
Tag | amd64 | arm64 | armv7 | s390x | |
|---|---|---|---|---|---|
latest | ✅ | ✅ | ✅ | ✅ | |
alpha-zh | ✅ | ✅ | ❌ | ✅ | |
beta | ✅ | ✅ | ❌ | ✅ |
为什么要使用docker
一致性且能保证环境隔离
快速部署
保证灵活性和扩展性
更好的可移植性
低成本
方便控制版本
安全
.....
对于 x-ui,如果使用 docker
无需关心原宿主机的系统,架构,版本
不会破坏原系统,如果不想使用,很方便就能完全干净的卸载
部署方便且容易升级
如何使用
前提:安装好 docker
使用官方一键脚本
curl -sSL https://get.docker.com/ | sh
运行你的容器
使用 vaxilu/x-ui 版本的
mkdir x-ui && cd x-ui
docker run -itd --network=host \
-v $PWD/db/:/etc/x-ui/ \
-v $PWD/cert/:/root/cert/ \
--name x-ui --restart=unless-stopped \
enwaiax/x-ui
注意: 如果希望使用FranzKafkaYu/x-ui版本,仅需要讲上述镜像修改为 enwaiax/x-ui:alpha-zh
使用 docker-compose 运行
mkdir x-ui && cd x-ui
wget https://raw.githubusercontent.com//chasing66/x-ui/main/docker-compose.yml
docker compose up -d
如何启用 ssl
假设你的 x-ui 端口是
54321假设你的 IP 是
10.10.10.10假设你的域名是
xui.example.com,且已经做好 A 记录解析假设你使用的是 Debian 10+或者 Ubuntu 18+的系统
假设你的邮箱是
xxxx@example.com
步骤如下
安装必要软件
sudo apt update
sudo apt install snapd nginx
sudo snap install core
sudo snap refresh core
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
新建一个 nginx 配置
touch /etc/nginx/conf.d/xui.conf
增加以下配置,按照实际情况调整
server {
listen 80;
listen [::]:80;
server_name xui.example.com;
location / {
proxy_redirect off;
proxy_pass http://127.0.0.1:54321;
proxy_http_version 1.1;
proxy_set_header Host $host;
}
# 反代websocket
location /xray {
proxy_redirect off;
proxy_pass http://127.0.0.1:10001;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Y-Real-IP $realip_remote_addr;
}
}
检查配置是否正常
nginx -t
申请证书,按照提示设置
certbot --nginx --agree-tos --no-eff-email --email xxxxx@example.com
更多细节可以参考 cerbot
刷新 nginx 配置生效
ngins -s reload
配置定时任务
sudo certbot renew --dry-run

评论区