VPSKnow

代理服务器搭建完整指南

高级
50分钟

搭建私有代理服务器不仅是“选一个协议”这么简单。2026 年更现实的路线是:用维护活跃的 Sing-box / Xray 生态做底座,主力节点优先 REALITY,速度补充用 Hysteria 2,愿意跟进新协议再试 AnyTLS;VMess、Trojan 和传统 Shadowsocks 更多是存量兼容或备用方案。

🌐 什么是代理服务器

代理服务器是位于客户端和目标服务器之间的中间服务器。它接收客户端的请求,转发给目标服务器,再将响应返回给客户端。通过这种方式,它可以隐藏您的真实 IP,加密您的网络流量,并绕过地理限制或防火墙封锁。

📊 2026 协议优先级

如果今天从零开始搭建,不建议再按“V2Ray / Trojan / Shadowsocks 三选一”的老路线走。更稳的思路是先定客户端和核心,再定协议组合:

新部署优先

Sing-box 多协议栈

P0 · 默认框架

统一管理 REALITY / Hysteria 2 / AnyTLS / SS 等协议

安全性 取决于入站
速度 ★★★★★
难度 中等

主要特点:

  • 单一核心
  • 客户端/服务端通用
  • 协议更新快
  • 适合脚本化维护
新部署优先

VLESS + REALITY

P0 · 主力 TCP

长期主节点、UDP 受限网络、无域名或不想走 CDN 的 VPS

安全性 ★★★★★
速度 ★★★★☆
难度 中等

主要特点:

  • 无需购买域名
  • TCP 普适性强
  • 支持 Vision
  • 客户端生态成熟
新部署优先

Hysteria 2

P1 · 高速备用

高丢包、晚高峰 TCP 拥塞、移动网络等需要吞吐的场景

安全性 ★★★★☆
速度 ★★★★★
难度 中等

主要特点:

  • QUIC/UDP
  • Brutal 拥塞控制
  • TCP/UDP 转发
  • 可配混淆
新部署优先

AnyTLS

P1 · 新协议观察

愿意跟进 sing-box 新版本、需要 TCP/TLS 方向轻量节点的用户

安全性 ★★★★☆
速度 ★★★★☆
难度 中等

主要特点:

  • sing-box 1.12+
  • TCP/TLS
  • 新多路复用
  • 客户端兼容需确认

VLESS + WS + TLS + CDN

P2 · 兜底

已有域名、IP 被封、需要通过 Cloudflare 前置的存量节点

安全性 ★★★★☆
速度 ★★★☆☆
难度 中高

主要特点:

  • 可套 CDN
  • 隐藏源站 IP
  • 配置链路长
  • 性能受 CDN 影响

Trojan

P3 · 存量兼容

已有域名证书、旧客户端和旧订阅生态

安全性 ★★★★☆
速度 ★★★★☆
难度 中等

主要特点:

  • HTTPS 外观
  • 域名证书依赖
  • 生态成熟
  • 新部署优先级下降

Shadowsocks / SS2022

P3 · 轻量备用

低风险网络、备用节点、内网或简单转发

安全性 ★★★☆☆
速度 ★★★★★
难度 简单

主要特点:

  • 轻量级
  • 速度快
  • 配置简单
  • 抗封锁不是强项

VMess / V2Ray

P4 · 不建议新建

历史配置迁移、老客户端兼容、旧教程参考

安全性 ★★★☆☆
速度 ★★★☆☆
难度 中等

主要特点:

  • 历史经典
  • 生态仍在
  • 特征更明显
  • 建议逐步迁移

🔮 主力 TCP:Xray REALITY

在 2026 年,VLESS + REALITY 仍然是个人自建节点里最值得优先配置的 TCP 方案。它不要求你先准备域名,网络兼容性也比 UDP 协议更普适,适合作为日常长期主节点。需要注意的是,REALITY 的效果很依赖客户端、核心版本和参数一致性,旧教程里的字段混用很容易导致“能连但不稳”。

方式一:一键脚本(推荐新手)

F 佬 sing-box 脚本
  # 推荐使用 F 佬 sing-box 一键脚本
# 支持 VLESS REALITY / Hysteria 2 / AnyTLS 等主流协议
bash <(wget -qO- https://raw.githubusercontent.com/fscarmen/sing-box/main/sing-box.sh)

运行脚本后,跟随菜单选择 VLESS + REALITY 相关方案即可。F 佬脚本入口更简单,适合新手先跑通主力节点;安装完成后再导入支持 Mihomo / Sing-box 新配置格式的客户端测试。

方式二:手动配置(了解原理)

生成密钥 + 启动 Xray
  # 安装 Xray(官方脚本)
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

# 生成 UUID
xray uuid
# 输出:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

# 生成 x25519 密钥对(REALITY 专用)
xray x25519
# 输出:
# Private key: 你的私钥(填入 config.json 的 privateKey)
# Public key:  你的公钥(填入客户端配置)

# 启动 Xray
systemctl start xray && systemctl enable xray
systemctl status xray

REALITY 完整配置文件

/usr/local/etc/xray/config.json
  // Xray 服务端配置文件:/usr/local/etc/xray/config.json
// VLESS + TCP + XTLS + REALITY 完整配置

{
  "log": { "loglevel": "warning" },
  "inbounds": [
    {
      "listen": "0.0.0.0",
      "port": 443,                         // 使用 443 端口,最难被封
      "protocol": "vless",
      "settings": {
        "clients": [
          {
            "id": "你的UUID",               // 用 xray uuid 生成
            "flow": "xtls-rprx-vision"     // XTLS Vision 模式,REALITY 常用流控
          }
        ],
        "decryption": "none"
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "show": false,
          "dest": "www.apple.com:443",     // 目标域名("偷" Apple 的 TLS 证书)
          "xver": 0,
          "serverNames": [
            "www.apple.com"
          ],
          "privateKey": "你的私钥",         // xray x25519 生成
          "shortIds": [""]
        }
      },
      "sniffing": {
        "enabled": true,
        "destOverride": ["http", "tls", "quic"]
      }
    }
  ],
  "outbounds": [
    { "protocol": "freedom", "tag": "direct" },
    { "protocol": "blackhole", "tag": "block" }
  ]
}

高速备用:Hysteria 2

Hysteria 2 是 2026 年仍然很值得保留的高速备用方案,底层基于 QUIC / UDP,并使用 Brutal 拥塞控制。它在高丢包、移动网络或晚高峰 TCP 拥塞时经常比 TCP 节点更有体感优势,但 UDP 也更容易被企业网、校园网、部分运营商或路由器策略限制,所以不要把它当成唯一出口。

🚀

QUIC / UDP

适合高丢包和高延迟链路,吞吐上限通常更高

📶

Brutal 拥塞控制

按带宽估计主动发包,晚高峰 TCP 拥塞时更有优势

🧩

最好做备用

遇到 UDP 受限网络时,需要 REALITY 或 AnyTLS 兜底

安装 Hysteria 2

hy2 一键安装
  # ── 推荐:hy2 多协议一键脚本 ─────────────────────────────────────────────────
# 支持 Hysteria 2 / Shadowsocks / AnyTLS / EUserv IPv6-only HY2
bash <(curl -fsSL https://raw.githubusercontent.com/everett7623/hy2/main/install.sh)

# 首次运行后会安装快捷命令,之后可直接进入管理菜单
sb

# 只需要 Hysteria 2 专用入口时,也可以单独运行:
bash <(curl -fsSL https://raw.githubusercontent.com/everett7623/hy2/main/hy2.sh)

服务端配置文件

/etc/hysteria/config.yaml
  # 文件路径:/etc/hysteria/config.yaml
# Hysteria2 服务端完整配置

listen: :443          # 监听端口(UDP,443 端口抗封效果最好)

# TLS 证书配置(两种方式选一)
# 方式一:使用 Let's Encrypt 自动申请(需要域名)
acme:
  domains:
    - hy2.yourdomain.com
  email: your@email.com

# 方式二:使用现有证书文件
# tls:
#   cert: /path/to/cert.pem
#   key: /path/to/key.pem

# 认证配置
auth:
  type: password
  password: "你的强密码"         # 建议 16 位以上随机密码

# 伪装配置(访问时返回正常网站内容,防主动探测)
masquerade:
  type: proxy
  proxy:
    url: https://www.bing.com   # 伪装成 Bing,被探测时返回 Bing 内容
    rewriteHost: true

# 带宽限制(可选,防止滥用)
# bandwidth:
#   up: 1 gbps
#   down: 1 gbps

# QUIC 参数优化
quic:
  initStreamReceiveWindow: 26843545
  maxStreamReceiveWindow: 26843545
  initConnReceiveWindow: 67108864
  maxConnReceiveWindow: 67108864

服务管理与防火墙

  # Hysteria2 服务管理
systemctl start hysteria-server.service    # 启动
systemctl enable hysteria-server.service   # 开机自启
systemctl status hysteria-server.service   # 查看状态
journalctl -u hysteria-server.service -f   # 查看实时日志

# 更新脚本入口 / 核心组件
sb
# 或重新拉取最新统一入口:
bash <(curl -fsSL https://raw.githubusercontent.com/everett7623/hy2/main/install.sh)

# 防火墙开放 UDP 443 端口(重要!Hysteria2 使用 UDP)
ufw allow 443/udp
# 注意:443/tcp 不受影响,可以继续运行其他 TCP 服务

⚠️ Hysteria 2 的定位:它是高速备用,不是“永远更稳”的万能方案。推荐策略是 REALITY / AnyTLS 作为 TCP 侧兜底,Hysteria 2 作为高速节点,在客户端里做手动切换或自动故障切换。

☁️ 兜底方案:VLESS + WS + TLS + CDN

VLESS + WebSocket + TLS + CDN 现在更适合作为兜底方案:你已经有域名、源站 IP 被封,或者需要把入口藏在 Cloudflare 这样的前置网络后面。它的代价是配置链路更长、延迟和速度受 CDN 策略影响,也更容易因为 WebSocket、证书、回源端口和客户端路径不一致而排障困难。新装节点不必默认从这条路线开始。

Nginx 反代配置

/etc/nginx/conf.d/vless-ws.conf
  # 文件路径:/etc/nginx/conf.d/vless-ws.conf
# VLESS + WebSocket + TLS + Nginx 反代(配合 Cloudflare CDN 使用)

server {
    listen 443 ssl;
    http2 on;
    server_name proxy.yourdomain.com;    # 你的代理域名(需在 CF 上解析)

    ssl_certificate     /etc/letsencrypt/live/proxy.yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/proxy.yourdomain.com/privkey.pem;

    # SSL 安全配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305;
    ssl_prefer_server_ciphers off;

    # 默认返回正常网站(防探测)
    location / {
        root /var/www/html;
        index index.html;
    }

    # 代理路径(只有客户端知道这个路径)
    location /你的随机路径/ {                      # 如 /ws-xray/
        proxy_redirect off;
        proxy_pass http://127.0.0.1:10086;         # Xray 监听本地端口
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_read_timeout 86400s;
        proxy_send_timeout 86400s;
    }
}

server {
    listen 80;
    server_name proxy.yourdomain.com;
    return 301 https://$host$request_uri;
}

Xray WebSocket 模式配置

/usr/local/etc/xray/config.json(WebSocket 模式)
  // Xray 配置(WebSocket 模式,搭配 Nginx 反代)
// 文件路径:/usr/local/etc/xray/config.json

{
  "inbounds": [
    {
      "listen": "127.0.0.1",           // 只监听本地,由 Nginx 接入
      "port": 10086,
      "protocol": "vless",
      "settings": {
        "clients": [
          { "id": "你的UUID" }
        ],
        "decryption": "none"
      },
      "streamSettings": {
        "network": "ws",
        "wsSettings": {
          "path": "/你的随机路径/"      // 必须与 Nginx 配置一致
        }
      }
    }
  ],
  "outbounds": [{ "protocol": "freedom" }]
}

📋 CF CDN 中转配置清单

  1. 域名在 Cloudflare 解析,A 记录指向 VPS IP,橙色云朵(代理开启)
  2. CF SSL/TLS 模式设为 Full(非 Strict,因为 Nginx 证书自签也行)
  3. CF 面板 Network → WebSocket 设为开启
  4. 客户端使用的端口必须是 CF 支持的端口(443/2053/2083/2087/2096/8443)
  5. 客户端配置:TLS 开启,Host 填域名,path 填 /你的随机路径/

📦 统一核心:Sing-box / AnyTLS

Sing-box 更像“统一代理运行时”,而不是单个协议。它把 VLESS、Hysteria 2、Shadowsocks、TUIC、AnyTLS 等入站统一到同一套 JSON 配置和服务管理里,适合希望减少脚本碎片、统一客户端导出的用户。AnyTLS 是 sing-box 1.12 起加入的新 TCP/TLS 方向,值得观察和补充,但客户端兼容面还不如 VLESS REALITY 与 Hysteria 2,建议先做备用节点。

安装 Sing-box

Sing-box 安装
  # 安装 Sing-box(官方脚本)
bash <(curl -fsSL https://sing-box.app/deb-install.sh)

# 或手动下载最新版
VERSION=$(curl -s https://api.github.com/repos/SagerNet/sing-box/releases/latest   | grep '"tag_name"' | cut -d'"' -f4)
wget "https://github.com/SagerNet/sing-box/releases/download/${VERSION}/sing-box-${VERSION#v}-linux-amd64.tar.gz"
tar xzf sing-box-*.tar.gz
mv sing-box-*/sing-box /usr/local/bin/

# 配置文件路径(创建目录)
mkdir -p /etc/sing-box

# 启动
systemctl start sing-box
systemctl enable sing-box
systemctl status sing-box

多协议服务端配置(REALITY + Hysteria 2 + AnyTLS)

/etc/sing-box/config.json
  # 文件路径:/etc/sing-box/config.json
# Sing-box 服务端:同时支持 VLESS+REALITY、Hysteria 2 和 AnyTLS

{
  "log": {
    "level": "info",
    "timestamp": true
  },
  "inbounds": [
    // ── VLESS + REALITY 入站 ──────────────────────────────────────────────
    {
      "type": "vless",
      "tag": "vless-in",
      "listen": "::",
      "listen_port": 443,
      "users": [
        {
          "uuid": "你的UUID",
          "flow": "xtls-rprx-vision"
        }
      ],
      "tls": {
        "enabled": true,
        "server_name": "www.apple.com",
        "reality": {
          "enabled": true,
          "handshake": {
            "server": "www.apple.com",
            "server_port": 443
          },
          "private_key": "你的REALITY私钥",
          "short_id": [""]
        }
      }
    },
    // ── Hysteria2 入站 ────────────────────────────────────────────────────
    {
      "type": "hysteria2",
      "tag": "hy2-in",
      "listen": "::",
      "listen_port": 8443,           // 使用不同端口区分两个协议
      "up_mbps": 1000,
      "down_mbps": 1000,
      "users": [
        { "password": "你的Hysteria2密码" }
      ],
      "tls": {
        "enabled": true,
        "acme": {
          "domain": "hy2.yourdomain.com",
          "email": "your@email.com"
        }
      },
      "masquerade": "https://www.bing.com"
    },
    // ── AnyTLS 入站(sing-box 1.12+,新协议备用)────────────────────────────
    {
      "type": "anytls",
      "tag": "anytls-in",
      "listen": "::",
      "listen_port": 9443,
      "users": [
        {
          "name": "vpsknow",
          "password": "你的AnyTLS密码"
        }
      ],
      "tls": {
        "enabled": true,
        "acme": {
          "domain": "anytls.yourdomain.com",
          "email": "your@email.com"
        }
      }
    }
  ],
  "outbounds": [
    { "type": "direct", "tag": "direct" },
    { "type": "block", "tag": "block" }
  ]
}

🚀 存量兼容:V2Ray / VMess

V2Ray / VMess 是早期生态里非常经典的方案,但在 2026 年已经不建议作为新节点首选。它仍适合阅读旧配置、迁移历史订阅、兼容老客户端,或临时维护存量节点;新部署请优先考虑 REALITY、Hysteria 2、AnyTLS 或 sing-box 多协议入口。

1. 安装 V2Ray

  bash <(curl -L https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh)

2. 配置文件

编辑 /usr/local/etc/v2ray/config.json

  {
  "inbounds": [{
    "port": 10086,
    "protocol": "vmess",
    "settings": {
      "clients": [{ "id": "YOUR_UUID", "alterId": 0 }]
    }
  }],
  "outbounds": [{ "protocol": "freedom" }]
}

3. 启动服务

  systemctl start v2ray && systemctl enable v2ray

🔐 轻量备用:Shadowsocks

Shadowsocks 的优势是轻量、配置简单、客户端覆盖广;缺点也很明确:在强对抗环境里不应承担主力抗封锁角色。更适合低风险网络、内网转发、备用节点,或者通过 hy2 / sing-box 作为多协议脚本里的一个备用出口。

安装 Shadowsocks-libev

  apt update && apt install shadowsocks-libev -y

配置

编辑 /etc/shadowsocks-libev/config.json

  {
    "server":"0.0.0.0",
    "server_port":8388,
    "password":"your_password",
    "timeout":300,
    "method":"aes-256-gcm"
}

🛡️ 存量兼容:Trojan

Trojan 依然能服务已有域名、证书和旧客户端生态,但它不再是新手新装节点的默认推荐。已经有 Trojan 节点可以继续维护;新机器优先考虑 REALITY / Hysteria 2 / AnyTLS 组合,减少域名证书、Web 服务和代理配置混在一起的维护成本。

一键安装脚本

  source <(curl -sL https://git.io/trojan-install)

一键安装脚本

对于新手,以下是 2026 年更值得保留的脚本入口:优先选维护活跃、命令清晰、能导出客户端配置或来自官方项目的方案。全能型脚本不要堆太多,入口越少,排障越容易。

Sing-box 全家桶 — 支持 REALITY / Hysteria 2 / AnyTLS,统一管理入口

⭐ 推荐
  bash <(wget -qO- https://raw.githubusercontent.com/fscarmen/sing-box/main/sing-box.sh)

Xray 官方安装脚本 — 只安装/升级核心,适合手动配置 REALITY

官方底座
  bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

这个脚本只负责安装或升级 Xray-core 和基础 geodata,不会替你生成节点配置;适合想按本文 REALITY 配置文件自己维护的用户。

3X-UI 面板 — Web 可视化管理,多用户流量统计,Xray 内核

  bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

hy2 多协议一键脚本 — Hysteria 2 / Shadowsocks / AnyTLS,带节点导出与二维码

VPSKnow
  bash <(curl -fsSL https://raw.githubusercontent.com/everett7623/hy2/main/install.sh)

项目文档:everett7623/hy2。只部署 Hysteria 2 时可运行 hy2.sh 专用入口;需要多协议管理时优先使用统一入口。

🔍 必读:DNS 防泄露配置

这是代理使用中最容易被忽略的安全盲点:即使代理连接成功,如果 DNS 查询没有走代理,您的 ISP 仍然能看到您访问了哪些域名(通过 DNS 请求),这叫 DNS 泄露。在某些防火墙环境下,DNS 泄露会导致特定域名被 DNS 污染而无法访问。

DNS 防泄露检测与配置
  # ── 检测 DNS 泄露(访问这些网站查看你的 DNS 服务器)────────────────────────
# https://dnsleaktest.com
# https://browserleaks.com/dns
# 如果 DNS 服务器显示的是你的 ISP(国内电信/联通/移动),说明存在 DNS 泄露

# ── 方法一:在 Clash/Sing-box 客户端配置 DNS ─────────────────────────────────
# Clash 配置(config.yaml):
# dns:
#   enable: true
#   enhanced-mode: fake-ip            # 或 redir-host
#   nameserver:
#     - https://1.1.1.1/dns-query    # 通过代理请求 Cloudflare DoH
#     - https://8.8.8.8/dns-query    # 通过代理请求 Google DoH
#   nameserver-policy:
#     "+.cn": [223.5.5.5, 119.29.29.29]  # 国内域名走国内 DNS

# ── 方法二:服务端启用 FakeDNS(Xray 配置)──────────────────────────────────
# 在 Xray config.json 的 inbounds 中开启 sniffing:
# "sniffing": {
#   "enabled": true,
#   "destOverride": ["http", "tls", "quic"],
#   "routeOnly": false
# }

# ── 方法三:在 VPS 上部署 AdGuard Home(见第26篇)────────────────────────────
# 最彻底的方案:将 DNS 解析完全交给自己服务器的 AdGuard Home
# 客户端 DNS 指向 Tailscale 内网的 AdGuard Home IP(100.64.x.x)
# 所有 DNS 查询走加密隧道,完全不泄露

# ── 验证 DNS 不泄露的客户端配置(以 Clash 为例)────────────────────────────
# 确保以下设置:
# 1. clash-tun 模式开启(接管系统所有流量,包括 UDP DNS)
# 2. DNS 模式设为 fake-ip
# 3. nameserver 只使用走代理的 DoH 地址(非国内 DNS 地址)
# 4. 关闭系统 IPv6(有时 IPv6 DNS 会绕过代理)

🔄 订阅转换与分流规则

服务端搭建好后,通常会生成一个节点链接或订阅链接。但不同客户端(Clash/Sing-box/Shadowrocket)需要不同格式,且默认节点不含分流规则。subconverter 订阅转换解决这两个问题——一键转换格式 + 自动注入分流规则。

subconverter 部署与分流规则配置
  # ── subconverter:将单节点/订阅链接转换为各客户端格式 ──────────────────────
# GitHub: https://github.com/tindy2013/subconverter
# 在线转换(无需自建):https://sub.xeton.dev

# ── 自建 subconverter(Docker)────────────────────────────────────────────────
docker run -d   --name subconverter   --restart always   -p 25500:25500   tindy2013/subconverter:latest

# 使用方法(将原始订阅链接转换为 Clash 格式 + 带分流规则):
# http://你的VPS:25500/sub?target=clash&url=<原始订阅URL编码>&config=<规则集URL>

# ── 推荐分流规则集 ────────────────────────────────────────────────────────────
# 1. blackmatrix7/ios_rule_script(GitHub 上维护最积极的规则集)
#    https://github.com/blackmatrix7/ios_rule_script
#    包含:流媒体分流/广告过滤/App专属规则/国内直连

# 2. MetaCubeX/meta-rules-dat(Mihomo/Clash Meta 规则数据库)
#    https://github.com/MetaCubeX/meta-rules-dat

# ── 示例:Clash 配置中使用规则集 ─────────────────────────────────────────────
# rule-providers:
#   netflix:
#     type: http
#     behavior: classical
#     url: "https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Clash/Netflix/Netflix.yaml"
#     interval: 86400
#   direct:
#     type: http
#     behavior: domain
#     url: "https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Clash/China/China_Domain.yaml"
#     interval: 86400

# rules:
#   - RULE-SET,netflix,🎬 Netflix
#   - RULE-SET,direct,DIRECT
#   - GEOIP,CN,DIRECT
#   - MATCH,🚀 节点选择

🚀 进阶:BBR 速度优化

搭建好服务端后,如果晚高峰速度不理想,先检查 CPU、套餐限速、路由、丢包、协议配置和客户端网络。BBR 只影响 TCP 拥塞控制,无法修复错误路由、UDP 协议瓶颈或上游带宽不足;仅在 TCP 测试显示瓶颈时按需启用,并保留改前改后的同条件结果。

  # 开启 Linux 内核自带的 BBR 加速算法
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p

# 验证是否开启成功 (有输出说明成功)
lsmod | grep bbr

📱 附录:全平台客户端推荐(2026)

服务端搭建好后,您需要在设备上安装客户端并导入配置。2026 年更建议优先选择维护活跃、支持 REALITY / Hysteria 2 / AnyTLS 或 Mihomo / Sing-box 新配置格式的客户端,旧客户端只作为兼容补充。

🪟 Windows

  • Clash Verge Rev ⭐: Mihomo 内核,覆盖主流新协议,界面成熟,持续更新
  • Hiddify Next: 新兴客户端,Sing-box 内核,界面简洁,支持 REALITY+Hysteria2
  • v2rayN: 老牌经典,Xray 内核,操作简单,占用极小,适合轻量用户

🍎 macOS

  • Clash Verge Rev ⭐: 同 Windows,跨平台支持,是目前 macOS 最活跃的免费客户端
  • Surge Mac: 终极神器,功能无敌,但价格极高($49.99+),专业用户首选
  • Stash: Clash 生态,界面精致,年费订阅制

📱 iOS(需非国区 ID)

  • Shadowrocket ⭐: "小火箭",$2.99,性价比最高,万能兼容,几乎支持所有协议
  • Quantumult X: 高端玩家首选,MitM/重写能力最强,$7.99
  • Sing-box(官方): 免费开源,Sing-box 核心,支持最新协议,但界面较朴素

🤖 Android

  • Karing ⭐: 近年活跃,Sing-box 内核,界面现代,开源免费,快速迭代
  • Hiddify: 跨平台,Sing-box 内核,支持 REALITY/Hysteria2,界面简洁
  • v2rayNG: 老牌稳定,Xray 内核,操作简单,适合轻量需求
  • NekoBox for Android: Sing-box 内核,功能强大,类 PC 端操作体验

🐧 Linux

  • Clash Verge Rev: 跨平台支持 Linux,图形界面,开箱即用
  • sing-box(CLI): 命令行模式,资源极省,配合 systemd 后台运行,服务器端理想
  • Mihomo(Clash Meta): Clash Meta 内核直接运行,搭配 yacd-meta Web 面板管理

📺 路由器/软路由

  • OpenClash(OpenWRT): 路由器级全局代理,家庭网络设备无需各自安装客户端
  • PassWall / SSR Plus+: OpenWRT 插件,支持多种内核,适合玩 OpenWRT 路由器的用户
  • Mihomo(iStoreOS): 软路由友好,配合 OpenWRT 使用,家庭全屋透明代理首选

常见问题解答

2026 年新搭建代理节点,协议优先级怎么排?

建议按“核心 + 协议组合”来选:① Sing-box / hy2 统一入口:先解决安装、导出、服务管理和后续升级;② VLESS + REALITY:TCP 侧主力,长期日常使用优先;③ Hysteria 2:UDP 高速备用,适合高丢包和晚高峰,但要准备 TCP 兜底;④ AnyTLS:2026 值得观察的新协议,客户端兼容确认后再加入;⑤ VLESS + WS + TLS + CDN:源站 IP 被封或已有域名时兜底;⑥ Trojan / VMess / Shadowsocks:更多是存量兼容、轻量备用或旧客户端迁移,不建议作为新部署主线。

节点配置好后连接成功但访问速度很慢,怎么排查?

按层次排查:① 服务器本身网络是否正常:SSH 登录 VPS,用 speedtest 测试服务端出口速度;② BBR 是否开启sysctl net.ipv4.tcp_congestion_control,未开启时尤其影响高延迟跨国链路;③ 回程路由是否拥堵:用 NextTrace 检查回程路由,是否走了 163 骨干网在晚高峰限速——这是物理问题,只能换线路(见第22篇);④ 服务器负载top 查看 CPU/内存;⑤ 客户端问题:测试不同客户端是否有差异;⑥ 协议切换:TCP 慢时尝试切换 Hysteria2(UDP),绕过 TCP QoS 拥塞。

节点搭好没多久就被封了,有没有防封建议?

先区分是 IP 封、端口封还是客户端配置错:① 先保 SSH:不要把代理端口和 SSH 端口混在一起,保留可登录入口;② 端口被封:换随机高位端口或 443/8443,并同步客户端;③ TCP 受限:切到 Hysteria 2 测试 UDP;④ UDP 受限:回到 REALITY 或 AnyTLS;⑤ 源站 IP 被封:已有域名时再考虑 VLESS + WS + TLS + CDN;⑥ 旧协议风险:VMess、传统 SS 和长期公开分享节点更容易被扫描和复用,建议迁移到新协议组合并避免公开扩散节点信息。

3X-UI 面板和直接用命令行配置相比有什么优劣?

3X-UI 优势:图形界面管理入站规则,可视化查看流量统计和在线用户;多用户管理(每人独立 UUID 和流量限额);订阅链接一键生成,分享给他人方便;支持 Telegram 机器人通知流量到期。3X-UI 劣势:面板本身是一个 Web 服务,增加了攻击面(需要修改默认端口和账号);历史上出现过安全漏洞,需要及时更新;占用额外的端口和内存;面板密码泄露可能导致配置被篡改。命令行方案优势:零额外攻击面,配置直接写在 JSON 文件里;一次配置、长期稳定,无需登录维护;资源占用极小。建议:个人自用选命令行(更简洁安全);需要多用户管理或经常分享节点选 3X-UI(便捷性碾压)。

Sing-box 和 Xray 有什么区别?为什么说 Sing-box 是"新一代"?

两者都是代理核心(执行引擎),区别在设计理念:Xray 更适合把 VLESS + REALITY 做到稳定细致,历史文档和生态很成熟;Sing-box 更适合把多个协议放进一个统一运行时,服务端和客户端都能用同一套思路维护,Hysteria 2、AnyTLS、Shadowsocks、TUIC 等协议更新跟进更快。如何选择:只做一个 REALITY 主节点,Xray 很稳;希望同时管理 REALITY、Hysteria 2、AnyTLS 和 SS,Sing-box 或 hy2 统一入口更省心。

AnyTLS 值不值得现在部署?

值得作为备用节点测试,但不建议直接替代所有现有方案。AnyTLS 是 sing-box 新增的 TCP/TLS 方向,优势是配置轻、协议现代、适合和 Hysteria 2 形成 TCP / UDP 双备用;限制是客户端兼容、订阅导出和第三方面板支持还在变化。实际做法:主力保留 REALITY,速度备用保留 Hysteria 2,再加一个 AnyTLS 节点观察一两周。

代理服务器搭建后,如何配置分流规则(国内直连,国外走代理)?

分流规则(Rule-Based)在客户端配置,而非服务端。主要在 Clash/Sing-box 客户端的配置文件中定义规则集:① Clash(YAML 格式):在 rules 段落添加 GEOIP、DOMAIN-SUFFIX、IP-CIDR 等规则,匹配中国 IP 和域名直连,其他流量走代理;常用规则集:blackmatrix7/ios_rule_script(GitHub 上有完整维护的规则集);② Sing-box(JSON 格式):在 route.rules 中定义,逻辑相同;③ 推荐预设订阅:使用 subconverter(见本文订阅转换章节)配合支持"白名单模式"的转换服务,自动生成带分流规则的配置文件,无需手动编写。

服务端端口被封了(无法连接),但 SSH 还能用,怎么快速恢复?

端口被封但 SSH 正常说明源站大概率还活着。处理方案:① 先换端口:修改服务端监听端口并同步客户端;② 准备双协议:TCP 用 REALITY / AnyTLS,UDP 用 Hysteria 2,某一类网络受限时可以切换;③ 保留管理入口:用 sb 或 systemd 查看服务状态和日志,别盲目反复重装;④ CDN 兜底:只有在源站 IP 暴露或端口反复失效时,再配置 VLESS + WS + TLS + CDN;⑤ 及时复盘:确认是否公开分享、端口过于常见、客户端订阅泄露或脚本长期未更新。

Hysteria2 是什么?和 REALITY 相比有什么区别?

Hysteria 2 是基于 QUIC / UDP 的代理协议,适合高丢包、高延迟、晚高峰 TCP 拥塞等场景;REALITY 是 TCP 侧主力,兼容性更普适。核心区别不是“谁永远更强”,而是网络限制不同:UDP 通畅时 Hysteria 2 速度更容易跑起来,UDP 被限时 REALITY 或 AnyTLS 更稳。实用建议:主力保留 REALITY,速度备用用 Hysteria 2,新协议测试用 AnyTLS。

iOS 没有非国区 Apple ID,有没有其他方法安装代理客户端?

几种替代方案:① 注册一个美区/港区 Apple ID(推荐):国外信用卡或礼品卡充值,买一次 Shadowrocket($2.99)终身使用,是最干净的方案;② AltStore / SideStore:通过 PC 侧载方式在国区账号下安装未上架 App Store 的 IPA 文件,每 7 天需要重新签名(免费开发者证书限制);③ 苹果企业证书签名版(不推荐):不稳定,容易证书被吊销失效,且存在安全风险;④ 路由器级代理:在家庭路由器(OpenWRT)或软路由上部署代理,iPhone 连接 WiFi 时自动走代理,无需在 iPhone 上安装任何 App——这是最优雅的家庭网络方案;⑤ Sing-box 官方 iOS App:已于 2024 年上架 App Store(需非国区),免费开源,是目前国区外最好的免费选择。

搭建代理服务器后,下一步应该做什么来完善网络工具体系?

代理解决了出站流量,按 30 篇路径继续完善网络基础设施:① DNS 服务器搭建(第26篇):在 VPS 上部署 AdGuard Home,接管 DNS 解析——去广告、防污染、DoH 加密,并为代理客户端提供干净的 DNS(防止 DNS 泄露暴露真实访问记录),参见DNS 服务器搭建;② 端口转发与内网穿透(第27篇):将代理服务器与 frp 内网穿透结合,把家庭内网服务安全发布到公网,并通过代理节点中转实现全球访问,参见端口转发与内网穿透;③ 与异地组网结合:在 Tailscale 组网内的设备上,将代理服务配置为只允许内网 IP 访问(Tailscale 100.x.x.x 网段),既保证安全又方便组网内所有设备共用一个出口节点。