为了应对 TLS in TLS 和指纹识别等阻断或封禁的风险,Xray-core 团队推出了 VLESS Vision 和 VLESS Reality 两种新颖的技术方案。它们能够有效地隐藏和保护流量的特征,提高安全性和稳定性。如果您想了解更多详细信息,请点击 Vision 和 Reality 的查看。
下文将要搭建的是 VLESS+Reality+uTLS+Vision,能够解决 TLS in TLS 和 指纹问题,是一种比较优秀的方案
第零部分:买一台服务器#
第一部分:获取域名的标准#
Reality 不需要你自己拥有一个域名,因为他可以偷别人的域名用,但是也不是偷谁的域名都能用,都好用。
偷的域名决定了你搭建的节点的速度如何,连通性如何,稳定性如何,下面介绍一下什么样的域名符合标准。
1.1 目标网站的标准#
目标网站必须满足 5 个条件:
- 使用 TLS 1.3 协议
- 使用 X25519 签名算法
- 支持 HTTP/2 协议(H2)
- 不使用 CDN - 如果 Reality 目标网站使用 CDN,数据将转发到 CDN 节点,使你的 Reality 节点成为别人的反向代理加速节点
- 中国境内不依赖任何代理可以直接访问
1.2 如何检查目标网站#
我了解了有这 5 个标准,那我怎么检查一个网站域名是否符合这 5 个标准呢?
- 检查 TLS 1.3 支持
-
打开网站,按 F12,在设置中更改显示语言
-
在 "安全" 选项卡下,"连接" 应显示 "TLS 1.3,X25519 和 AES_xxxx",如下图所示
-
- 检查 HTTP/2 支持
-
或在控制台中输入
window.chrome.loadTimes()?.npnNegotiatedProtocol,输出的值应为 "h2"
-
- 检查网站是否使用 Cloudflare CDN,如果在使用,则这个域名不可以使用
-
在网站 URL 末尾添加
/cdn-cgi/trace。如:你看上的的域名是https://codepen.io此时在域名后面加上/cdn-cgi/trace,即:https://codepen.io/cdn-cgi/trace,发现网址内容如下图,则表示网站正在使用 Cloudflare CDN,这样的是不能用的
-
- 中国境内连通性检测方式
-
输入域名,点「持续测试」
-
等他检测,不用等他 100 个包都发完,大概看看,只要不要有中国境内的任何省份出现如下图这样的 100% 丢包,网络质量全是红色的即可。因为这样的代表这个省份无法访问这个网站(被墙)
-
我的建议当然是中国所有省份全能够连通最好,但是如果某个域名你测试出现了类似上海可以访问,但是江苏不能访问这样的,你觉得你也不会在江苏用这个节点,那也没问题,你喜欢就好
第二部分:获取 Reality 目标网站的方法#
推荐度:偷自己 > 偷邻居 > 偷服务器所在地图书馆、大学、旅游局 > 偷测试出来的 > 偷大厂
2.1 偷自己的域名#
如果自己有域名,在自己服务器上部署网站后,用自己的域名是最好的(域名 DNS 记录指向自己部署 Reality 的机器上)。
比如你的服务器在美国,这台美国服务器上部署了你自己的网站,https://aaa.example.com ,那这个 aaa.example.com 就是最好的选择,没有之一(需要符合上文「1.1 目标网站的标准」)。
2.2 偷邻居的域名#
使用 FOFA 搜索查询,有点复杂但是几乎不会影响速度(后面的方法都会影响速度了)
ASN 查询工具:https://tools.ipip.net/as.php
FOFA 目标网站查询工具:https://fofa.info
-
首先使用 ASN 查询工具,输入你的服务器 IP,记录下你的服务器所在 ASN
-
使用下面代码块中的这段搜索条件,将 ASN 替换为你查询出来的数字,在 FOFA 进行搜索。下面的示例代码含义是「查询自治域为 16509,美国区域,端口为 443,证书不是由 Let's Encrypt 或者 ZeroSSL 颁发的,且请求成功的网站。」
country 字段为国家地区两字母代码,可在以下网站寻找
asn=="16509" && country=="US" && port=="443" && cert!="Let's Encrypt" && cert.issuer!="ZeroSSL" && status_code="200" -
从搜索结果中,找到有域名的网站,与 第一部分中「1.1 目标网站的标准」提到的条件进行核对,全都符合即可将此网站域名记录下来,以供后续使用。
2.3 偷服务器所在地图书馆、大学、旅游局#
假设服务器的位置在美国,可以按照以下思路去找
- 搜索美国比较有名的大学,看他们的官网,与 第一部分中「1.1 目标网站的标准」提到的 5 个条件进行核对
- 搜索美国的图书馆官网,看他们与 1.1……
- 搜美国的旅游……
2.4 偷测试出来的域名#
使用第三方平台上预先测试过的网站,操作简单但无法控制位置,大概率无法获得最优的速度。
在以上两个网站中,找到 A + 的网站进入,与 第一部分中「1.1 目标网站的标准」提到的 5 个条件进行核对,全都符合即可将此网站域名记录下来,以供后续使用。
2.5 偷大厂的网站(非常不建议,原因)#
www.icloud.com
airbnb【这个不同的区有不同的域名建议自己搜索】
www.airbnb.co.uk
www.airbnb.ca
www.airbnb.com.sg
www.airbnb.com.au
www.airbnb.co.in
addons.mozilla.org
www.microsoft.com
www.lovelive-anime.jp
www.tesla.com
wareval.com
www.nvidia.com
www.sap.com
第三部分:在服务器上搭建节点#
在我们获取到一个合适的域名后,就是在服务器上搭建节点了,这里推荐使用 X-UI 搭建节点,因为原版的 X-UI 已经很久没有更新和维护了,以下的 X-UI 为改版,来自 GitHub :点击访问
3.1 安装 X-UI#
-
首先执行命令安装
bash <(curl -Ls https://raw.githubusercontent.com/FranzKafkaYu/x-ui/master/install.sh) -
安装过程中会提示设置用户名和密码,我们需要设置,设置你喜欢的用户名和密码
-
过程中还需要设置端口,这个是通过 ip + 端口访问你的 X-UI 界面的端口,比如设置 6311
-
当出现了「x-ui 管理脚本使用方法」相关的信息的时候,就是安装成功了,此时通过 ip + 端口访问面板,比如 http://5.5.5.5:6311,输入用户名和密码就登录进去了
3.2 使用 X-UI 搭建节点#
- 首先切换 X-UI 的内核版本,推荐使用最新版本
- 切换内核版本后,点击左侧「入站列表」,然后点击「添加入站」
- 需要更改的地方如下
- 备注:就是给起个名,比如
reality-vision - 添加用户:点 “+” 图标,添加一个用户。不要点哪些 + 3、+5 的,你会添加出来很多用户
- reality:将 reality 的开关调整至开启状态
- 用户的 flow:
xtls-rprx-vision(reality 开了才会有这个选项) - 目标网站:你选择的域名 + 443,如:
www.nvidia.com:443,不要加 http 或者 https - 可选域名:你选择的网站,如:
www.nvidia.com,不要加 http 或者 https
- 备注:就是给起个名,比如
- 点击底部的「添加」按钮
3.3 节点的使用#
Meta 内核赋予了高度的自由度,下面只介绍最简便的方式,不讨论玩出花的方式
在 Clash Verge Rev 中使用
我们可以去订阅转换页面,将这个节点进行一个转换开始使用
1. 在 X-UI 中点击「入站列表」菜单,然后找到刚刚建出来的节点,点击详细信息的「查看」,再点击「复制链接」
2. 打开https://sub.lainbo.com/
3. 将刚才复制的东西,粘贴到「订阅链接」输入框中,链接中,#之后的内容是节点的名字,可以改一个你容易识别的名字。你也可以把你的机场的原始链接(ss 链接)放在前面,这样就可以把刚刚创建出来的节点与机场节点融合成一个订阅
4. 其他表单项全都不用管,点击底部的「生成订阅链接」
5. 生成的链接可以在 Clash Verge Rev 中的「订阅」菜单,顶部输入框输入,然后点击「导入」使用
在 Clash Meta for Android 中使用
同上,有机场链接就和机场链接融合,没有就直接输入vless://xxxxx,就能生成一个订阅让 Clash Meta for Android 等 meta 内核的移动端 app 使用
在 Shadowrocket 中使用
iOS 端 四天王软件中 只有小火箭可以使用 Reality 协议的节点。其他也有支持的(V2BOX、FoXray、sing-box)但是比较小众这里不介绍
使用方式和 Clash Verge Rev 类似,需要你得到机场的原始订阅链接,和一份自建节点的 Gist 链接,在订阅转换网站中一样也将「客户端」选择为 Clash,生成一个新的订阅链接
1. 推荐将这个链接转换为二维码,然后
2. 在小火箭首页的右上角点「+」,在最下方找到「扫描二维码」进行导入使用