搭建私有代理服务器不仅是“选一个协议”这么简单。2026 年更现实的路线是:用维护活跃的 Sing-box / Xray 生态做底座,主力节点优先 REALITY,速度补充用 Hysteria 2,愿意跟进新协议再试 AnyTLS;VMess、Trojan 和传统 Shadowsocks 更多是存量兼容或备用方案。
🌐 什么是代理服务器
代理服务器是位于客户端和目标服务器之间的中间服务器。它接收客户端的请求,转发给目标服务器,再将响应返回给客户端。通过这种方式,它可以隐藏您的真实 IP,加密您的网络流量,并绕过地理限制或防火墙封锁。
📊 2026 协议优先级
如果今天从零开始搭建,不建议再按“V2Ray / Trojan / Shadowsocks 三选一”的老路线走。更稳的思路是先定客户端和核心,再定协议组合:
先用一个维护活跃的核心统一管理协议,再按网络环境选择 REALITY、Hysteria 2 或 AnyTLS。
TCP 侧主力方案,适合日常长期节点;关键是保持 Xray / 客户端版本一致,别混用旧字段。
QUIC/UDP 方案,晚高峰或高丢包链路表现好;企业网、校园网或 UDP 受限环境要准备 TCP 备用。
sing-box 1.12 起加入的新 TCP/TLS 方向,适合愿意跟进客户端兼容性的用户,不建议作为唯一节点。
Sing-box 多协议栈
P0 · 默认框架
统一管理 REALITY / Hysteria 2 / AnyTLS / SS 等协议
主要特点:
- 单一核心
- 客户端/服务端通用
- 协议更新快
- 适合脚本化维护
VLESS + REALITY
P0 · 主力 TCP
长期主节点、UDP 受限网络、无域名或不想走 CDN 的 VPS
主要特点:
- 无需购买域名
- TCP 普适性强
- 支持 Vision
- 客户端生态成熟
Hysteria 2
P1 · 高速备用
高丢包、晚高峰 TCP 拥塞、移动网络等需要吞吐的场景
主要特点:
- QUIC/UDP
- Brutal 拥塞控制
- TCP/UDP 转发
- 可配混淆
AnyTLS
P1 · 新协议观察
愿意跟进 sing-box 新版本、需要 TCP/TLS 方向轻量节点的用户
主要特点:
- sing-box 1.12+
- TCP/TLS
- 新多路复用
- 客户端兼容需确认
VLESS + WS + TLS + CDN
P2 · 兜底
已有域名、IP 被封、需要通过 Cloudflare 前置的存量节点
主要特点:
- 可套 CDN
- 隐藏源站 IP
- 配置链路长
- 性能受 CDN 影响
Trojan
P3 · 存量兼容
已有域名证书、旧客户端和旧订阅生态
主要特点:
- HTTPS 外观
- 域名证书依赖
- 生态成熟
- 新部署优先级下降
Shadowsocks / SS2022
P3 · 轻量备用
低风险网络、备用节点、内网或简单转发
主要特点:
- 轻量级
- 速度快
- 配置简单
- 抗封锁不是强项
VMess / V2Ray
P4 · 不建议新建
历史配置迁移、老客户端兼容、旧教程参考
主要特点:
- 历史经典
- 生态仍在
- 特征更明显
- 建议逐步迁移
🔮 主力 TCP:Xray REALITY
在 2026 年,VLESS + REALITY 仍然是个人自建节点里最值得优先配置的 TCP 方案。它不要求你先准备域名,网络兼容性也比 UDP 协议更普适,适合作为日常长期主节点。需要注意的是,REALITY 的效果很依赖客户端、核心版本和参数一致性,旧教程里的字段混用很容易导致“能连但不稳”。
方式一:一键脚本(推荐新手)
# 推荐使用 F 佬 sing-box 一键脚本
# 支持 VLESS REALITY / Hysteria 2 / AnyTLS 等主流协议
bash <(wget -qO- https://raw.githubusercontent.com/fscarmen/sing-box/main/sing-box.sh)
运行脚本后,跟随菜单选择 VLESS + REALITY 相关方案即可。F 佬脚本入口更简单,适合新手先跑通主力节点;安装完成后再导入支持 Mihomo / Sing-box 新配置格式的客户端测试。
方式二:手动配置(了解原理)
# 安装 Xray(官方脚本)
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install
# 生成 UUID
xray uuid
# 输出:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
# 生成 x25519 密钥对(REALITY 专用)
xray x25519
# 输出:
# Private key: 你的私钥(填入 config.json 的 privateKey)
# Public key: 你的公钥(填入客户端配置)
# 启动 Xray
systemctl start xray && systemctl enable xray
systemctl status xray
REALITY 完整配置文件
// Xray 服务端配置文件:/usr/local/etc/xray/config.json
// VLESS + TCP + XTLS + REALITY 完整配置
{
"log": { "loglevel": "warning" },
"inbounds": [
{
"listen": "0.0.0.0",
"port": 443, // 使用 443 端口,最难被封
"protocol": "vless",
"settings": {
"clients": [
{
"id": "你的UUID", // 用 xray uuid 生成
"flow": "xtls-rprx-vision" // XTLS Vision 模式,REALITY 常用流控
}
],
"decryption": "none"
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"show": false,
"dest": "www.apple.com:443", // 目标域名("偷" Apple 的 TLS 证书)
"xver": 0,
"serverNames": [
"www.apple.com"
],
"privateKey": "你的私钥", // xray x25519 生成
"shortIds": [""]
}
},
"sniffing": {
"enabled": true,
"destOverride": ["http", "tls", "quic"]
}
}
],
"outbounds": [
{ "protocol": "freedom", "tag": "direct" },
{ "protocol": "blackhole", "tag": "block" }
]
}
⚡ 高速备用:Hysteria 2
Hysteria 2 是 2026 年仍然很值得保留的高速备用方案,底层基于 QUIC / UDP,并使用 Brutal 拥塞控制。它在高丢包、移动网络或晚高峰 TCP 拥塞时经常比 TCP 节点更有体感优势,但 UDP 也更容易被企业网、校园网、部分运营商或路由器策略限制,所以不要把它当成唯一出口。
QUIC / UDP
适合高丢包和高延迟链路,吞吐上限通常更高
Brutal 拥塞控制
按带宽估计主动发包,晚高峰 TCP 拥塞时更有优势
最好做备用
遇到 UDP 受限网络时,需要 REALITY 或 AnyTLS 兜底
安装 Hysteria 2
# ── 推荐:hy2 多协议一键脚本 ─────────────────────────────────────────────────
# 支持 Hysteria 2 / Shadowsocks / AnyTLS / EUserv IPv6-only HY2
bash <(curl -fsSL https://raw.githubusercontent.com/everett7623/hy2/main/install.sh)
# 首次运行后会安装快捷命令,之后可直接进入管理菜单
sb
# 只需要 Hysteria 2 专用入口时,也可以单独运行:
bash <(curl -fsSL https://raw.githubusercontent.com/everett7623/hy2/main/hy2.sh)
服务端配置文件
# 文件路径:/etc/hysteria/config.yaml
# Hysteria2 服务端完整配置
listen: :443 # 监听端口(UDP,443 端口抗封效果最好)
# TLS 证书配置(两种方式选一)
# 方式一:使用 Let's Encrypt 自动申请(需要域名)
acme:
domains:
- hy2.yourdomain.com
email: your@email.com
# 方式二:使用现有证书文件
# tls:
# cert: /path/to/cert.pem
# key: /path/to/key.pem
# 认证配置
auth:
type: password
password: "你的强密码" # 建议 16 位以上随机密码
# 伪装配置(访问时返回正常网站内容,防主动探测)
masquerade:
type: proxy
proxy:
url: https://www.bing.com # 伪装成 Bing,被探测时返回 Bing 内容
rewriteHost: true
# 带宽限制(可选,防止滥用)
# bandwidth:
# up: 1 gbps
# down: 1 gbps
# QUIC 参数优化
quic:
initStreamReceiveWindow: 26843545
maxStreamReceiveWindow: 26843545
initConnReceiveWindow: 67108864
maxConnReceiveWindow: 67108864
服务管理与防火墙
# Hysteria2 服务管理
systemctl start hysteria-server.service # 启动
systemctl enable hysteria-server.service # 开机自启
systemctl status hysteria-server.service # 查看状态
journalctl -u hysteria-server.service -f # 查看实时日志
# 更新脚本入口 / 核心组件
sb
# 或重新拉取最新统一入口:
bash <(curl -fsSL https://raw.githubusercontent.com/everett7623/hy2/main/install.sh)
# 防火墙开放 UDP 443 端口(重要!Hysteria2 使用 UDP)
ufw allow 443/udp
# 注意:443/tcp 不受影响,可以继续运行其他 TCP 服务
⚠️ Hysteria 2 的定位:它是高速备用,不是“永远更稳”的万能方案。推荐策略是 REALITY / AnyTLS 作为 TCP 侧兜底,Hysteria 2 作为高速节点,在客户端里做手动切换或自动故障切换。
☁️ 兜底方案:VLESS + WS + TLS + CDN
VLESS + WebSocket + TLS + CDN 现在更适合作为兜底方案:你已经有域名、源站 IP 被封,或者需要把入口藏在 Cloudflare 这样的前置网络后面。它的代价是配置链路更长、延迟和速度受 CDN 策略影响,也更容易因为 WebSocket、证书、回源端口和客户端路径不一致而排障困难。新装节点不必默认从这条路线开始。
Nginx 反代配置
# 文件路径:/etc/nginx/conf.d/vless-ws.conf
# VLESS + WebSocket + TLS + Nginx 反代(配合 Cloudflare CDN 使用)
server {
listen 443 ssl;
http2 on;
server_name proxy.yourdomain.com; # 你的代理域名(需在 CF 上解析)
ssl_certificate /etc/letsencrypt/live/proxy.yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/proxy.yourdomain.com/privkey.pem;
# SSL 安全配置
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305;
ssl_prefer_server_ciphers off;
# 默认返回正常网站(防探测)
location / {
root /var/www/html;
index index.html;
}
# 代理路径(只有客户端知道这个路径)
location /你的随机路径/ { # 如 /ws-xray/
proxy_redirect off;
proxy_pass http://127.0.0.1:10086; # Xray 监听本地端口
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_read_timeout 86400s;
proxy_send_timeout 86400s;
}
}
server {
listen 80;
server_name proxy.yourdomain.com;
return 301 https://$host$request_uri;
}
Xray WebSocket 模式配置
// Xray 配置(WebSocket 模式,搭配 Nginx 反代)
// 文件路径:/usr/local/etc/xray/config.json
{
"inbounds": [
{
"listen": "127.0.0.1", // 只监听本地,由 Nginx 接入
"port": 10086,
"protocol": "vless",
"settings": {
"clients": [
{ "id": "你的UUID" }
],
"decryption": "none"
},
"streamSettings": {
"network": "ws",
"wsSettings": {
"path": "/你的随机路径/" // 必须与 Nginx 配置一致
}
}
}
],
"outbounds": [{ "protocol": "freedom" }]
}
📋 CF CDN 中转配置清单
- 域名在 Cloudflare 解析,A 记录指向 VPS IP,橙色云朵(代理开启)
- CF SSL/TLS 模式设为 Full(非 Strict,因为 Nginx 证书自签也行)
- CF 面板 Network → WebSocket 设为开启
- 客户端使用的端口必须是 CF 支持的端口(443/2053/2083/2087/2096/8443)
- 客户端配置:TLS 开启,Host 填域名,path 填
/你的随机路径/
📦 统一核心:Sing-box / AnyTLS
Sing-box 更像“统一代理运行时”,而不是单个协议。它把 VLESS、Hysteria 2、Shadowsocks、TUIC、AnyTLS 等入站统一到同一套 JSON 配置和服务管理里,适合希望减少脚本碎片、统一客户端导出的用户。AnyTLS 是 sing-box 1.12 起加入的新 TCP/TLS 方向,值得观察和补充,但客户端兼容面还不如 VLESS REALITY 与 Hysteria 2,建议先做备用节点。
安装 Sing-box
# 安装 Sing-box(官方脚本)
bash <(curl -fsSL https://sing-box.app/deb-install.sh)
# 或手动下载最新版
VERSION=$(curl -s https://api.github.com/repos/SagerNet/sing-box/releases/latest | grep '"tag_name"' | cut -d'"' -f4)
wget "https://github.com/SagerNet/sing-box/releases/download/${VERSION}/sing-box-${VERSION#v}-linux-amd64.tar.gz"
tar xzf sing-box-*.tar.gz
mv sing-box-*/sing-box /usr/local/bin/
# 配置文件路径(创建目录)
mkdir -p /etc/sing-box
# 启动
systemctl start sing-box
systemctl enable sing-box
systemctl status sing-box
多协议服务端配置(REALITY + Hysteria 2 + AnyTLS)
# 文件路径:/etc/sing-box/config.json
# Sing-box 服务端:同时支持 VLESS+REALITY、Hysteria 2 和 AnyTLS
{
"log": {
"level": "info",
"timestamp": true
},
"inbounds": [
// ── VLESS + REALITY 入站 ──────────────────────────────────────────────
{
"type": "vless",
"tag": "vless-in",
"listen": "::",
"listen_port": 443,
"users": [
{
"uuid": "你的UUID",
"flow": "xtls-rprx-vision"
}
],
"tls": {
"enabled": true,
"server_name": "www.apple.com",
"reality": {
"enabled": true,
"handshake": {
"server": "www.apple.com",
"server_port": 443
},
"private_key": "你的REALITY私钥",
"short_id": [""]
}
}
},
// ── Hysteria2 入站 ────────────────────────────────────────────────────
{
"type": "hysteria2",
"tag": "hy2-in",
"listen": "::",
"listen_port": 8443, // 使用不同端口区分两个协议
"up_mbps": 1000,
"down_mbps": 1000,
"users": [
{ "password": "你的Hysteria2密码" }
],
"tls": {
"enabled": true,
"acme": {
"domain": "hy2.yourdomain.com",
"email": "your@email.com"
}
},
"masquerade": "https://www.bing.com"
},
// ── AnyTLS 入站(sing-box 1.12+,新协议备用)────────────────────────────
{
"type": "anytls",
"tag": "anytls-in",
"listen": "::",
"listen_port": 9443,
"users": [
{
"name": "vpsknow",
"password": "你的AnyTLS密码"
}
],
"tls": {
"enabled": true,
"acme": {
"domain": "anytls.yourdomain.com",
"email": "your@email.com"
}
}
}
],
"outbounds": [
{ "type": "direct", "tag": "direct" },
{ "type": "block", "tag": "block" }
]
}
🚀 存量兼容:V2Ray / VMess
V2Ray / VMess 是早期生态里非常经典的方案,但在 2026 年已经不建议作为新节点首选。它仍适合阅读旧配置、迁移历史订阅、兼容老客户端,或临时维护存量节点;新部署请优先考虑 REALITY、Hysteria 2、AnyTLS 或 sing-box 多协议入口。
1. 安装 V2Ray
bash <(curl -L https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh)
2. 配置文件
编辑 /usr/local/etc/v2ray/config.json:
{
"inbounds": [{
"port": 10086,
"protocol": "vmess",
"settings": {
"clients": [{ "id": "YOUR_UUID", "alterId": 0 }]
}
}],
"outbounds": [{ "protocol": "freedom" }]
}
3. 启动服务
systemctl start v2ray && systemctl enable v2ray
🔐 轻量备用:Shadowsocks
Shadowsocks 的优势是轻量、配置简单、客户端覆盖广;缺点也很明确:在强对抗环境里不应承担主力抗封锁角色。更适合低风险网络、内网转发、备用节点,或者通过 hy2 / sing-box 作为多协议脚本里的一个备用出口。
安装 Shadowsocks-libev
apt update && apt install shadowsocks-libev -y
配置
编辑 /etc/shadowsocks-libev/config.json:
{
"server":"0.0.0.0",
"server_port":8388,
"password":"your_password",
"timeout":300,
"method":"aes-256-gcm"
}
🛡️ 存量兼容:Trojan
Trojan 依然能服务已有域名、证书和旧客户端生态,但它不再是新手新装节点的默认推荐。已经有 Trojan 节点可以继续维护;新机器优先考虑 REALITY / Hysteria 2 / AnyTLS 组合,减少域名证书、Web 服务和代理配置混在一起的维护成本。
一键安装脚本
source <(curl -sL https://git.io/trojan-install)
⚡ 一键安装脚本
对于新手,以下是 2026 年更值得保留的脚本入口:优先选维护活跃、命令清晰、能导出客户端配置或来自官方项目的方案。全能型脚本不要堆太多,入口越少,排障越容易。
Sing-box 全家桶 — 支持 REALITY / Hysteria 2 / AnyTLS,统一管理入口
⭐ 推荐
bash <(wget -qO- https://raw.githubusercontent.com/fscarmen/sing-box/main/sing-box.sh)
Xray 官方安装脚本 — 只安装/升级核心,适合手动配置 REALITY
官方底座
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install
这个脚本只负责安装或升级 Xray-core 和基础 geodata,不会替你生成节点配置;适合想按本文 REALITY 配置文件自己维护的用户。
3X-UI 面板 — Web 可视化管理,多用户流量统计,Xray 内核
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
hy2 多协议一键脚本 — Hysteria 2 / Shadowsocks / AnyTLS,带节点导出与二维码
VPSKnow
bash <(curl -fsSL https://raw.githubusercontent.com/everett7623/hy2/main/install.sh)
项目文档:everett7623/hy2。只部署 Hysteria 2 时可运行 hy2.sh 专用入口;需要多协议管理时优先使用统一入口。
🔍 必读:DNS 防泄露配置
这是代理使用中最容易被忽略的安全盲点:即使代理连接成功,如果 DNS 查询没有走代理,您的 ISP 仍然能看到您访问了哪些域名(通过 DNS 请求),这叫 DNS 泄露。在某些防火墙环境下,DNS 泄露会导致特定域名被 DNS 污染而无法访问。
# ── 检测 DNS 泄露(访问这些网站查看你的 DNS 服务器)────────────────────────
# https://dnsleaktest.com
# https://browserleaks.com/dns
# 如果 DNS 服务器显示的是你的 ISP(国内电信/联通/移动),说明存在 DNS 泄露
# ── 方法一:在 Clash/Sing-box 客户端配置 DNS ─────────────────────────────────
# Clash 配置(config.yaml):
# dns:
# enable: true
# enhanced-mode: fake-ip # 或 redir-host
# nameserver:
# - https://1.1.1.1/dns-query # 通过代理请求 Cloudflare DoH
# - https://8.8.8.8/dns-query # 通过代理请求 Google DoH
# nameserver-policy:
# "+.cn": [223.5.5.5, 119.29.29.29] # 国内域名走国内 DNS
# ── 方法二:服务端启用 FakeDNS(Xray 配置)──────────────────────────────────
# 在 Xray config.json 的 inbounds 中开启 sniffing:
# "sniffing": {
# "enabled": true,
# "destOverride": ["http", "tls", "quic"],
# "routeOnly": false
# }
# ── 方法三:在 VPS 上部署 AdGuard Home(见第26篇)────────────────────────────
# 最彻底的方案:将 DNS 解析完全交给自己服务器的 AdGuard Home
# 客户端 DNS 指向 Tailscale 内网的 AdGuard Home IP(100.64.x.x)
# 所有 DNS 查询走加密隧道,完全不泄露
# ── 验证 DNS 不泄露的客户端配置(以 Clash 为例)────────────────────────────
# 确保以下设置:
# 1. clash-tun 模式开启(接管系统所有流量,包括 UDP DNS)
# 2. DNS 模式设为 fake-ip
# 3. nameserver 只使用走代理的 DoH 地址(非国内 DNS 地址)
# 4. 关闭系统 IPv6(有时 IPv6 DNS 会绕过代理)
🔄 订阅转换与分流规则
服务端搭建好后,通常会生成一个节点链接或订阅链接。但不同客户端(Clash/Sing-box/Shadowrocket)需要不同格式,且默认节点不含分流规则。subconverter 订阅转换解决这两个问题——一键转换格式 + 自动注入分流规则。
# ── subconverter:将单节点/订阅链接转换为各客户端格式 ──────────────────────
# GitHub: https://github.com/tindy2013/subconverter
# 在线转换(无需自建):https://sub.xeton.dev
# ── 自建 subconverter(Docker)────────────────────────────────────────────────
docker run -d --name subconverter --restart always -p 25500:25500 tindy2013/subconverter:latest
# 使用方法(将原始订阅链接转换为 Clash 格式 + 带分流规则):
# http://你的VPS:25500/sub?target=clash&url=<原始订阅URL编码>&config=<规则集URL>
# ── 推荐分流规则集 ────────────────────────────────────────────────────────────
# 1. blackmatrix7/ios_rule_script(GitHub 上维护最积极的规则集)
# https://github.com/blackmatrix7/ios_rule_script
# 包含:流媒体分流/广告过滤/App专属规则/国内直连
# 2. MetaCubeX/meta-rules-dat(Mihomo/Clash Meta 规则数据库)
# https://github.com/MetaCubeX/meta-rules-dat
# ── 示例:Clash 配置中使用规则集 ─────────────────────────────────────────────
# rule-providers:
# netflix:
# type: http
# behavior: classical
# url: "https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Clash/Netflix/Netflix.yaml"
# interval: 86400
# direct:
# type: http
# behavior: domain
# url: "https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Clash/China/China_Domain.yaml"
# interval: 86400
# rules:
# - RULE-SET,netflix,🎬 Netflix
# - RULE-SET,direct,DIRECT
# - GEOIP,CN,DIRECT
# - MATCH,🚀 节点选择
🚀 进阶:BBR 速度优化
搭建好服务端后,如果晚高峰速度不理想,先检查 CPU、套餐限速、路由、丢包、协议配置和客户端网络。BBR 只影响 TCP 拥塞控制,无法修复错误路由、UDP 协议瓶颈或上游带宽不足;仅在 TCP 测试显示瓶颈时按需启用,并保留改前改后的同条件结果。
# 开启 Linux 内核自带的 BBR 加速算法
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p
# 验证是否开启成功 (有输出说明成功)
lsmod | grep bbr
📱 附录:全平台客户端推荐(2026)
服务端搭建好后,您需要在设备上安装客户端并导入配置。2026 年更建议优先选择维护活跃、支持 REALITY / Hysteria 2 / AnyTLS 或 Mihomo / Sing-box 新配置格式的客户端,旧客户端只作为兼容补充。
🪟 Windows
- Clash Verge Rev ⭐: Mihomo 内核,覆盖主流新协议,界面成熟,持续更新
- Hiddify Next: 新兴客户端,Sing-box 内核,界面简洁,支持 REALITY+Hysteria2
- v2rayN: 老牌经典,Xray 内核,操作简单,占用极小,适合轻量用户
🍎 macOS
- Clash Verge Rev ⭐: 同 Windows,跨平台支持,是目前 macOS 最活跃的免费客户端
- Surge Mac: 终极神器,功能无敌,但价格极高($49.99+),专业用户首选
- Stash: Clash 生态,界面精致,年费订阅制
📱 iOS(需非国区 ID)
- Shadowrocket ⭐: "小火箭",$2.99,性价比最高,万能兼容,几乎支持所有协议
- Quantumult X: 高端玩家首选,MitM/重写能力最强,$7.99
- Sing-box(官方): 免费开源,Sing-box 核心,支持最新协议,但界面较朴素
🤖 Android
- Karing ⭐: 近年活跃,Sing-box 内核,界面现代,开源免费,快速迭代
- Hiddify: 跨平台,Sing-box 内核,支持 REALITY/Hysteria2,界面简洁
- v2rayNG: 老牌稳定,Xray 内核,操作简单,适合轻量需求
- NekoBox for Android: Sing-box 内核,功能强大,类 PC 端操作体验
🐧 Linux
- Clash Verge Rev: 跨平台支持 Linux,图形界面,开箱即用
- sing-box(CLI): 命令行模式,资源极省,配合 systemd 后台运行,服务器端理想
- Mihomo(Clash Meta): Clash Meta 内核直接运行,搭配 yacd-meta Web 面板管理
📺 路由器/软路由
- OpenClash(OpenWRT): 路由器级全局代理,家庭网络设备无需各自安装客户端
- PassWall / SSR Plus+: OpenWRT 插件,支持多种内核,适合玩 OpenWRT 路由器的用户
- Mihomo(iStoreOS): 软路由友好,配合 OpenWRT 使用,家庭全屋透明代理首选
❓ 常见问题解答
2026 年新搭建代理节点,协议优先级怎么排?
建议按“核心 + 协议组合”来选:① Sing-box / hy2 统一入口:先解决安装、导出、服务管理和后续升级;② VLESS + REALITY:TCP 侧主力,长期日常使用优先;③ Hysteria 2:UDP 高速备用,适合高丢包和晚高峰,但要准备 TCP 兜底;④ AnyTLS:2026 值得观察的新协议,客户端兼容确认后再加入;⑤ VLESS + WS + TLS + CDN:源站 IP 被封或已有域名时兜底;⑥ Trojan / VMess / Shadowsocks:更多是存量兼容、轻量备用或旧客户端迁移,不建议作为新部署主线。
节点配置好后连接成功但访问速度很慢,怎么排查?
按层次排查:① 服务器本身网络是否正常:SSH 登录 VPS,用 speedtest 测试服务端出口速度;② BBR 是否开启:sysctl net.ipv4.tcp_congestion_control,未开启时尤其影响高延迟跨国链路;③ 回程路由是否拥堵:用 NextTrace 检查回程路由,是否走了 163 骨干网在晚高峰限速——这是物理问题,只能换线路(见第22篇);④ 服务器负载:top 查看 CPU/内存;⑤ 客户端问题:测试不同客户端是否有差异;⑥ 协议切换:TCP 慢时尝试切换 Hysteria2(UDP),绕过 TCP QoS 拥塞。
节点搭好没多久就被封了,有没有防封建议?
先区分是 IP 封、端口封还是客户端配置错:① 先保 SSH:不要把代理端口和 SSH 端口混在一起,保留可登录入口;② 端口被封:换随机高位端口或 443/8443,并同步客户端;③ TCP 受限:切到 Hysteria 2 测试 UDP;④ UDP 受限:回到 REALITY 或 AnyTLS;⑤ 源站 IP 被封:已有域名时再考虑 VLESS + WS + TLS + CDN;⑥ 旧协议风险:VMess、传统 SS 和长期公开分享节点更容易被扫描和复用,建议迁移到新协议组合并避免公开扩散节点信息。
3X-UI 面板和直接用命令行配置相比有什么优劣?
3X-UI 优势:图形界面管理入站规则,可视化查看流量统计和在线用户;多用户管理(每人独立 UUID 和流量限额);订阅链接一键生成,分享给他人方便;支持 Telegram 机器人通知流量到期。3X-UI 劣势:面板本身是一个 Web 服务,增加了攻击面(需要修改默认端口和账号);历史上出现过安全漏洞,需要及时更新;占用额外的端口和内存;面板密码泄露可能导致配置被篡改。命令行方案优势:零额外攻击面,配置直接写在 JSON 文件里;一次配置、长期稳定,无需登录维护;资源占用极小。建议:个人自用选命令行(更简洁安全);需要多用户管理或经常分享节点选 3X-UI(便捷性碾压)。
Sing-box 和 Xray 有什么区别?为什么说 Sing-box 是"新一代"?
两者都是代理核心(执行引擎),区别在设计理念:Xray 更适合把 VLESS + REALITY 做到稳定细致,历史文档和生态很成熟;Sing-box 更适合把多个协议放进一个统一运行时,服务端和客户端都能用同一套思路维护,Hysteria 2、AnyTLS、Shadowsocks、TUIC 等协议更新跟进更快。如何选择:只做一个 REALITY 主节点,Xray 很稳;希望同时管理 REALITY、Hysteria 2、AnyTLS 和 SS,Sing-box 或 hy2 统一入口更省心。
AnyTLS 值不值得现在部署?
值得作为备用节点测试,但不建议直接替代所有现有方案。AnyTLS 是 sing-box 新增的 TCP/TLS 方向,优势是配置轻、协议现代、适合和 Hysteria 2 形成 TCP / UDP 双备用;限制是客户端兼容、订阅导出和第三方面板支持还在变化。实际做法:主力保留 REALITY,速度备用保留 Hysteria 2,再加一个 AnyTLS 节点观察一两周。
代理服务器搭建后,如何配置分流规则(国内直连,国外走代理)?
分流规则(Rule-Based)在客户端配置,而非服务端。主要在 Clash/Sing-box 客户端的配置文件中定义规则集:① Clash(YAML 格式):在 rules 段落添加 GEOIP、DOMAIN-SUFFIX、IP-CIDR 等规则,匹配中国 IP 和域名直连,其他流量走代理;常用规则集:blackmatrix7/ios_rule_script(GitHub 上有完整维护的规则集);② Sing-box(JSON 格式):在 route.rules 中定义,逻辑相同;③ 推荐预设订阅:使用 subconverter(见本文订阅转换章节)配合支持"白名单模式"的转换服务,自动生成带分流规则的配置文件,无需手动编写。
服务端端口被封了(无法连接),但 SSH 还能用,怎么快速恢复?
端口被封但 SSH 正常说明源站大概率还活着。处理方案:① 先换端口:修改服务端监听端口并同步客户端;② 准备双协议:TCP 用 REALITY / AnyTLS,UDP 用 Hysteria 2,某一类网络受限时可以切换;③ 保留管理入口:用 sb 或 systemd 查看服务状态和日志,别盲目反复重装;④ CDN 兜底:只有在源站 IP 暴露或端口反复失效时,再配置 VLESS + WS + TLS + CDN;⑤ 及时复盘:确认是否公开分享、端口过于常见、客户端订阅泄露或脚本长期未更新。
Hysteria2 是什么?和 REALITY 相比有什么区别?
Hysteria 2 是基于 QUIC / UDP 的代理协议,适合高丢包、高延迟、晚高峰 TCP 拥塞等场景;REALITY 是 TCP 侧主力,兼容性更普适。核心区别不是“谁永远更强”,而是网络限制不同:UDP 通畅时 Hysteria 2 速度更容易跑起来,UDP 被限时 REALITY 或 AnyTLS 更稳。实用建议:主力保留 REALITY,速度备用用 Hysteria 2,新协议测试用 AnyTLS。
iOS 没有非国区 Apple ID,有没有其他方法安装代理客户端?
几种替代方案:① 注册一个美区/港区 Apple ID(推荐):国外信用卡或礼品卡充值,买一次 Shadowrocket($2.99)终身使用,是最干净的方案;② AltStore / SideStore:通过 PC 侧载方式在国区账号下安装未上架 App Store 的 IPA 文件,每 7 天需要重新签名(免费开发者证书限制);③ 苹果企业证书签名版(不推荐):不稳定,容易证书被吊销失效,且存在安全风险;④ 路由器级代理:在家庭路由器(OpenWRT)或软路由上部署代理,iPhone 连接 WiFi 时自动走代理,无需在 iPhone 上安装任何 App——这是最优雅的家庭网络方案;⑤ Sing-box 官方 iOS App:已于 2024 年上架 App Store(需非国区),免费开源,是目前国区外最好的免费选择。
搭建代理服务器后,下一步应该做什么来完善网络工具体系?
代理解决了出站流量,按 30 篇路径继续完善网络基础设施:① DNS 服务器搭建(第26篇):在 VPS 上部署 AdGuard Home,接管 DNS 解析——去广告、防污染、DoH 加密,并为代理客户端提供干净的 DNS(防止 DNS 泄露暴露真实访问记录),参见DNS 服务器搭建;② 端口转发与内网穿透(第27篇):将代理服务器与 frp 内网穿透结合,把家庭内网服务安全发布到公网,并通过代理节点中转实现全球访问,参见端口转发与内网穿透;③ 与异地组网结合:在 Tailscale 组网内的设备上,将代理服务配置为只允许内网 IP 访问(Tailscale 100.x.x.x 网段),既保证安全又方便组网内所有设备共用一个出口节点。