x-ui 部署与 VLESS-REALITY 抗封锁配置手册
这篇文档整理在 Linux 服务器上部署 FranzKafkaYu 版 x-ui(v0.3.4.4) 配合 Xray-core(v26.5.3) 的 VLESS-REALITY 节点流程,目标是搭出一个稳定、低开销、抗封锁的代理出口,并把版本选型、配置参数与避坑要点沉淀成可长期复用的运维手册。
本方案常用于对网络稳定性、群控兼容性、资源开销有较高要求的场景。它和 3X-UI 出站路由与分流配置指南 属于同一套面板运维体系,可配合阅读。
请在符合当地法律法规的前提下,将该方案用于网络调试与研发。
背景:为什么是这套版本组合?
在网络对抗持续升级的环境下,盲目追新往往带来稳定性下降、配置不兼容和特征暴露等问题。本方案采用「旧版面板 + 特定版内核 + 现代协议」组合,核心是用确定性换稳定性。
为什么选择 x-ui v0.3.4.4
| 优势 | 说明 |
|---|---|
| 零未知 Bug 闭环 | 原作者归档前的经典稳定版,经过长期大规模实战,不存在致命未知缺陷 |
| 群控与 API 兼容 | 底层 SQLite 结构和 API 边界清晰,适合批量自动化运维(批量增删用户、流量统计) |
| 商业级限流限额 | 原生 iptables 设备限制、单端口多用户独立流量与过期时间控制,便于精细化成本核算 |
为什么锁定内核到 v26.5.3
- 规避实验特征:新版 Xray-core 频繁引入实验性握手特征和加密算法,容易被防火墙启发式扫描和反向识别。
- 性能与开销平衡:该版本保留了抗封锁核心 REALITY,同时精简了臃肿模块,内存与 CPU 基础开销极低。
- 语法向下兼容:与旧版 x-ui 生成的配置结构契合,避免因配置语法被废弃(Deprecated)导致内核崩溃(Panic)。
服务器环境准备
推荐系统架构
- 操作系统:Debian 11 / 12(推荐,内存占用最少),或 Ubuntu 20.04 / 22.04 LTS。
- 虚拟化架构:KVM。
防火墙端口开放
REALITY 协议本质是通过伪装主流 HTTPS 流量来达到抗封锁目的,因此端口选择很关键。
最佳方案
服务器上没有搭建其他网站时,建议完全占用标准 HTTPS 端口 443,伪装效果最好。
无论选哪个端口,都必须提前在服务商控制台(腾讯云 / 阿里云 / AWS 等)以及系统防火墙(UFW / iptables)中放行对应的 TCP 端口,否则节点无法连接。
自动化部署步骤
在具备 root 权限的 Linux 服务器终端中,依次执行以下步骤。
基础环境更新与依赖安装
# 更新源并安装必要工具
apt update && apt install -y curl tar wget jq执行一键安装脚本(指定 v0.3.4.4)
bash <(curl -Ls https://raw.githubusercontent.com/FranzKafkaYu/x-ui/956bf85bbac978d56c0e319c5fac2d6db7df9564/install.sh) 0.3.4.4该脚本直接从 FranzKafkaYu 的 GitHub 历史提交(Commit)中下载归档版本。执行后,终端会提示设置面板监听端口、管理员用户名和管理员密码。
不要使用默认的 admin/admin 账号密码,也不要使用默认的 54321 面板端口。
指定并锁定内核到 v26.5.3
安装完毕后,在 SSH 终端输入命令打开后台管理菜单:
x-ui根据菜单提示,选择「切换内核 / 更新内核」选项,手动输入或选择版本号 26.5.3。
也可以直接将编译好的特定版本二进制文件替换到:
/usr/local/x-ui/bin/xray-linux-amd64核心配置:VLESS-REALITY 入站
登录 x-ui 后台网页端,进入「入站列表」→「添加入站」,对照以下参数配置。
基础参数区(Inbound Settings)
| 配置项 | 推荐值 | 作用与解析 |
|---|---|---|
| 备注(remark) | 任意名称(如 us-reality) | 节点标识名称 |
| 协议(protocol) | vless | 极简、低延迟、高性能协议 |
| 端口(port) | 443(推荐)或 29110 | 优先 443 以实现完美 HTTPS 伪装 |
| 监听 IP | 留空 | 默认监听服务器所有网络接口 |
用户管理区(Client Settings)
| 配置项 | 推荐值 | 作用与解析 |
|---|---|---|
| ID | 点击随机生成 | 用户唯一识别码(UUID) |
| 流控(flow) | 留空 | REALITY 配合常规 TCP 传输时无需填写 flow |
| uTLS | chrome | 模拟 Chrome 的 TLS 握手特征(核心防封锁) |
| 邮箱(email) | user1@xray.co(可自定义) | 用于多用户流量统计与身份标识 |
传输配置区(Transport Settings)
- 网络(network):
tcp - 嗅探(sniffing):必须开启,勾选
http、tls、quic。嗅探能帮助服务端识别客户端访问的域名,从而进行精准的目标网站分流与连接重定向。
REALITY 安全设置区(核心避坑要点)
打开 reality 开关后,会展示以下核心参数:
| 参数 | 推荐值 / 说明 |
|---|---|
| 目标网站(Dest) | images.apple.com:443 |
| 可选域名(ServerNames) | images.apple.com |
| 私钥(PrivateKey) | 点击生成 / 保持自动生成 |
| 公钥(PublicKey) | 对应生成的公钥,需填入客户端 |
| 短 ID(shortIds) | 18,ccc0,dc066f,d40f7dd7 |
避坑点一:短 ID(shortIds)的格式问题
- 错误示范:
,18,ccc0,dc066f,d40f7dd7(注意开头多余的逗号)。 - 影响:旧版 x-ui 容错较弱,开头携带逗号会导致 Xray 内核解析 JSON 时报错崩溃,节点无法启动或客户端彻底无法连接。
- 正确做法:去掉开头的所有标点。短 ID 必须是以英文逗号分隔的 8 位或 16 位十六进制字符数组,或者直接留空。
避坑点二:目标网站(Dest)域名选型
- 不要盲目使用
addons.mozilla.org(火狐商店):部分服务器连接火狐 CDN 物理延迟较高,且其证书特征近年被防火墙标记较多,易导致首包延迟或偶发断流。 - 推荐更换为:
images.apple.com:443(苹果静态资源)、swdist.apple.com:443(苹果更新源)、dl.google.com:443(谷歌下载源)。这些站点全球 CDN 优化极佳,延迟低,且巨大的正常 HTTPS 流量能淹没代理特征。
为什么不需要自己的域名和证书?
很多人配到这里会困惑:传统 VLESS 不是必须有域名吗?为什么这里只填了 images.apple.com,却没让我买域名、申请证书?
不需要。 你不需要购买、也不需要配置任何自己的域名和证书。VLESS-REALITY 协议已经从技术层面彻底消除了这个痛点——这也是它相比传统 VLESS 最大的优势之一。
传统 VLESS vs VLESS-REALITY
传统 VLESS(需要域名)
搭建传统的 VLESS-XTLS 或 VLESS-WS-TLS 节点时,你必须:
- 花钱购买一个域名(如
myvps123.com) - 做 DNS 解析,把域名指向 VPS 的 IP
- 向证书颁发机构(如 Let’s Encrypt)申请 SSL 证书
- 配置 Nginx / Caddy,并定时续签证书
弊端:步骤繁琐、每年要交域名费,而且一旦域名被防火墙(GFW)标记,这个域名就废了,只能重新花钱买新的。
REALITY 的「借壳」原理
REALITY 的核心是让你的服务器在被探测时,表现得像一台正规大厂的服务器:
- 对外伪装:当防火墙或任何外部探测扫描你的 VPS IP 和端口(如 443)时,Xray 内核会扮演「传话筒」,把连接无缝指向苹果的官方服务器。
- 借用真证书:探测方看过来,发现返回的是正宗的、由 Apple 官方签名的 SSL 证书,于是判定「这是一台苹果资源服务器,放行」。
- 暗号识别:而当你自己的客户端用专属的**私钥(PrivateKey)**发起连接时,服务器通过预先对好的暗号识别出是你,再建立真正的代理通道。
一句话概括:对外人借苹果的壳,对自己人验私钥的号。 所以伪装的最好是 Apple、Microsoft、Google 这类大厂域名——防火墙不可能把这些大厂彻底封死。
这套方案因此带来的三个好处
| 维度 | 说明 |
|---|---|
| 省钱 | 不需要购买域名,没有每年的域名续费 |
| 省心 | 不需要配置 Nginx / Caddy,不需要定时续签证书(证书过期曾是最头疼的故障源之一) |
| 更安全 | 伪装的是大厂域名,防火墙难以针对性封锁,节点存活率更高 |
客户端配置对接
配置完成后,点击面板右侧的「二维码」或「复制链接」。导出的节点链接格式如下:
vless://[UUID]@[服务器IP]:[端口]?encryption=none&flow=&security=reality&sni=[目标网站]&fp=chrome&pbk=[公钥]&sid=[短ID]&type=tcp&headerType=none#备注兼容客户端推荐
| 平台 | 推荐客户端 |
|---|---|
| Windows | v2rayN(选择 Xray 内核模式)/ Clash Verge(Mihomo 核心) |
| macOS | Clash Verge / V2rayU |
| Android | v2rayNG / Nekobox |
| iOS | Shadowrocket(小火箭)/ Loon / Quantumult X |
常用维护指令
日常运行中如遇面板或节点异常,可登录服务器用以下命令排查:
| 操作 | 命令 |
|---|---|
| 打开面板管理菜单 | x-ui |
| 查看 Xray 运行日志 | x-ui log |
| 重启面板 | x-ui restart |
| 启动面板 | x-ui start |
| 停止面板 | x-ui stop |
x-ui log 非常重要:因 shortIds 填错等配置问题导致的内核报错,通常能在这里直接定位。
总结
这套方案的核心思路是用确定的版本组合换取长期稳定性:
- 旧版面板提供成熟的群控与限流能力
- 锁定内核规避实验性特征,降低被识别风险
- REALITY 协议借真实大站 HTTPS 流量完成伪装
后续可继续补充的方向:多节点批量运维脚本、流量监控告警、证书与域名轮换策略,以及与 3X-UI 出站分流 的联动配置。