為了應對 TLS in TLS 和指紋識別等阻斷或封禁的風險,Xray-core 團隊推出了 VLESS Vision 和 VLESS Reality 兩種新穎的技術方案。它們能夠有效地隱藏和保護流量的特徵,提高安全性和穩定性。如果您想了解更多詳細信息,請點擊 Vision 和 Reality 的查看。
下文將要搭建的是 VLESS+Reality+uTLS+Vision,能夠解決 TLS in TLS 和 指紋問題,是一種比較優秀的方案
第零部分:買一台伺服器#
第一部分:獲取域名的標準#
Reality 不需要你自己擁有一個域名,因為他可以偷別人的域名用,但是也不是偷誰的域名都能用,都好用。
偷的域名決定了你搭建的節點的速度如何,連通性如何,穩定性如何,下面介紹一下什麼樣的域名符合標準。
1.1 目標網站的標準#
目標網站必須滿足 5 個條件:
- 使用 TLS 1.3 協議
- 使用 X25519 簽名算法
- 支持 HTTP/2 協議(H2)
- 不使用 CDN - 如果 Reality 目標網站使用 CDN,數據將轉發到 CDN 節點,使你的 Reality 節點成為別人的反向代理加速節點
- 中國境內不依賴任何代理可以直接訪問
1.2 如何檢查目標網站#
我了解了有這 5 個標準,那我怎麼檢查一個網站域名是否符合這 5 個標準呢?
- 檢查 TLS 1.3 支持
-
打開網站,按 F12,在設置中更改顯示語言
-
在 "安全" 選項卡下,"連接" 應顯示 "TLS 1.3,X25519 和 AES_xxxx",如下圖所示
-
- 檢查 HTTP/2 支持
-
或在控制台中輸入
window.chrome.loadTimes()?.npnNegotiatedProtocol,輸出的值應為 "h2"
-
- 檢查網站是否使用 Cloudflare CDN,如果在使用,則這個域名不可以使用
-
在網站 URL 末尾添加
/cdn-cgi/trace。如:你看上的的域名是https://codepen.io此時在域名後面加上/cdn-cgi/trace,即:https://codepen.io/cdn-cgi/trace,發現網址內容如下圖,則表示網站正在使用 Cloudflare CDN,這樣的是不能用的
-
- 中國境內連通性檢測方式
-
輸入域名,點「持續測試」
-
等他檢測,不用等他 100 個包都發完,大概看看,只要不要有中國境內的任何省份出現如下圖這樣的 100% 丟包,網絡質量全是紅色的即可。因為這樣的代表這個省份無法訪問這個網站(被牆)
-
我的建議當然是中國所有省份全能夠連通最好,但是如果某個域名你測試出現了類似上海可以訪問,但是江蘇不能訪問這樣的,你覺得你也不會在江蘇用這個節點,那也沒問題,你喜歡就好
第二部分:獲取 Reality 目標網站的方法#
推薦度:偷自己 > 偷鄰居 > 偷伺服器所在地圖書館、大学、旅遊局 > 偷測試出來的 > 偷大廠
2.1 偷自己的域名#
如果自己有域名,在自己伺服器上部署網站後,用自己的域名是最好的(域名 DNS 記錄指向自己部署 Reality 的機器上)。
比如你的伺服器在美國,這台美國伺服器上部署了你自己的网站,https://aaa.example.com ,那這個 aaa.example.com 就是最好的選擇,沒有之一(需要符合上文「1.1 目標網站的標準」)。
2.2 偷鄰居的域名#
使用 FOFA 搜索查詢,有點複雜但是幾乎不會影響速度(後面的方法都會影響速度了)
ASN 查詢工具:https://tools.ipip.net/as.php
FOFA 目標網站查詢工具:https://fofa.info
-
首先使用 ASN 查詢工具,輸入你的伺服器 IP,記錄下你的伺服器所在 ASN
-
使用下面代碼塊中的這段搜索條件,將 ASN 替換為你查詢出來的數字,在 FOFA 進行搜索。下面的示例代碼含義是「查詢自治域為 16509,美國區域,端口為 443,證書不是由 Let's Encrypt 或者 ZeroSSL 頒發的,且請求成功的網站。」
country 字段為國家地區兩字母代碼,可在以下網站尋找
asn=="16509" && country=="US" && port=="443" && cert!="Let's Encrypt" && cert.issuer!="ZeroSSL" && status_code="200" -
從搜索結果中,找到有域名的網站,與 第一部分中「1.1 目標網站的標準」提到的條件進行核對,全都符合即可將此網站域名記錄下來,以供後續使用。
2.3 偷伺服器所在地圖書館、大学、旅遊局#
假設伺服器的位置在美國,可以按照以下思路去找
- 搜索美國比較有名的大学,看他們的官網,與 第一部分中「1.1 目標網站的標準」提到的 5 個條件進行核對
- 搜索美國的圖書館官網,看他們與 1.1……
- 搜美國的旅遊……
2.4 偷測試出來的域名#
使用第三方平台上預先測試過的網站,操作簡單但無法控制位置,大概率無法獲得最優的速度。
在以上兩個網站中,找到 A + 的網站進入,與 第一部分中「1.1 目標網站的標準」提到的 5 個條件進行核對,全都符合即可將此網站域名記錄下來,以供後續使用。
2.5 偷大廠的網站(非常不建議,原因)#
www.icloud.com
airbnb【這個不同的區有不同的域名建議自己搜索】
www.airbnb.co.uk
www.airbnb.ca
www.airbnb.com.sg
www.airbnb.com.au
www.airbnb.co.in
addons.mozilla.org
www.microsoft.com
www.lovelive-anime.jp
www.tesla.com
wareval.com
www.nvidia.com
www.sap.com
第三部分:在伺服器上搭建節點#
在我們獲取到一個合適的域名後,就是在伺服器上搭建節點了,這裡推薦使用 X-UI 搭建節點,因為原版的 X-UI 已經很久沒有更新和維護了,以下的 X-UI 為改版,來自 GitHub :點擊訪問
3.1 安裝 X-UI#
-
首先執行命令安裝
bash <(curl -Ls https://raw.githubusercontent.com/FranzKafkaYu/x-ui/master/install.sh) -
安裝過程中會提示設置用戶名和密碼,我們需要設置,設置你喜歡的用戶名和密碼
-
途中還需要設置端口,這個是通過 ip + 端口訪問你的 X-UI 界面的端口,比如設置 6311
-
當出現了「x-ui 管理腳本使用方法」相關的信息的時候,就是安裝成功了,此時通過 ip + 端口訪問面板,比如 http://5.5.5.5:6311,輸入用戶名和密碼就登錄進去了
3.2 使用 X-UI 搭建節點#
- 首先切換 X-UI 的內核版本,推薦使用最新版本
- 切換內核版本後,點擊左側「入站列表」,然後點擊「添加入站」
- 需要更改的地方如下
- 備註:就是給起個名,比如
reality-vision - 添加用戶:點 “+” 圖標,添加一個用戶。不要點那些 + 3、+5 的,你會添加出來很多用戶
- reality:將 reality 的開關調整至開啟狀態
- 用戶的 flow:
xtls-rprx-vision(reality 開了才會有這個選項) - 目標網站:你選擇的域名 + 443,如:
www.nvidia.com:443,不要加 http 或者 https - 可選域名:你選擇的網站,如:
www.nvidia.com,不要加 http 或者 https
- 備註:就是給起個名,比如
- 點擊底部的「添加」按鈕
3.3 節點的使用#
Meta 內核賦予了高度的自由度,下面只介紹最簡便的方式,不討論玩出花的方式
在 Clash Verge Rev 中使用
我們可以去訂閱轉換頁面,將這個節點進行一個轉換開始使用
1. 在 X-UI 中點擊「入站列表」菜單,然後找到剛剛建出來的節點,點擊詳細信息的「查看」,再點擊「複製鏈接」
2. 打開https://sub.lainbo.com/
3. 將剛才複製的東西,粘貼到「訂閱鏈接」輸入框中,鏈接中,#之後的內容是節點的名字,可以改一個你容易識別的名字。你也可以把你的機場的原始鏈接(ss 鏈接)放在前面,這樣就可以把剛剛創建出來的節點與機場節點融合成一個訂閱
4. 其他表單項全都不用管,點擊底部的「生成訂閱鏈接」
5. 生成的鏈接可以在 Clash Verge Rev 中的「訂閱」菜單,頂部輸入框輸入,然後點擊「導入」使用
在 Clash Meta for Android 中使用
同上,有機場鏈接就和機場鏈接融合,沒有就直接輸入vless://xxxxx,就能生成一個訂閱讓 Clash Meta for Android 等 meta 內核的移動端 app 使用
在 Shadowrocket 中使用
iOS 端 四天王軟件中 只有小火箭可以使用 Reality 協議的節點。其他也有支持的(V2BOX、FoXray、sing-box)但是比較小眾這裡不介紹
使用方式和 Clash Verge Rev 類似,需要你得到機場的原始訂閱鏈接,和一份自建節點的 Gist 鏈接,在訂閱轉換網站中一樣也將「客戶端」選擇為 Clash,生成一個新的訂閱鏈接
1. 推薦將這個鏈接轉換為二維碼,然後
2. 在小火箭首頁的右上角點「+」,在最下方找到「掃描二維碼」進行導入使用