Ouwenwu

个人学习日志

0%

3X-UI VLESS Reality Vision 配置教程

发表于 分类于

3X-UI 最新版配置 VLESS + Reality + Vision 教程

本文记录一次在 3X-UI v3.2.8 中配置 VLESS + Reality + Vision 的完整过程,包含端口放行检查、入站创建、Reality 参数、Sniffing、Client 创建与连通性测试。

说明:本文用于个人学习与自用环境记录。请遵守服务器所在地、网络所在地及服务商的使用规则。

1. 安装 3X-UI 面板

1.1 更新系统并安装基础工具

在服务器中执行:

1
apt-get update && apt-get install -y wget curl

1.2 放行面板和相关端口

先放行 HTTP 端口:

1
ufw allow 80

再放行 3X-UI 面板端口范围:

1
ufw allow 55555:56666/tcp

说明:这里后续会将 3X-UI 面板端口设置为 55555,因此需要提前放行该端口。端口范围 55555:56666/tcp 也便于后续测试或调整。

1.3 执行官方安装脚本

执行:

1
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

安装过程中按以下方式选择:

1
2
3
4
是否自选端口:输入 y
端口:输入 55555
面板证书类型:输入 2
后续选项(如果有):直接回车跳过

安装完成后,终端会显示面板访问地址、用户名和密码。请立即保存这些信息。

1.4 浏览器登录 3X-UI

打开浏览器,访问:

1
http://你的服务器公网IP:55555

然后使用安装脚本输出的用户名和密码登录。

登录后建议立即完成以下安全设置:

1
2
3
4
修改默认用户名和密码
修改面板访问路径
确认面板端口不是代理端口
只开放必要端口

2. 配置目标

最终目标配置为:

1
2
3
4
5
6
7
8
9
10
Protocol: VLESS
Port: 443
Transmission: RAW / TCP
Security: Reality
Flow: xtls-rprx-vision
uTLS / Fingerprint: chrome
SNI: www.amd.com
Target: www.amd.com:443
Sniffing: HTTP, TLS, QUIC
Client: 绑定到 vless-reality-vision 入站

3. 初始状态:进入 Add Inbound

最开始进入 3X-UI 的 Inbounds → Add Inbound 页面时,默认协议可能是 http

初始 Add Inbound 界面

这里不要使用 http 作为最终代理协议,需要改为:

1
Protocol: vless

4. 检查服务器本机防火墙是否放行 443

在服务器上执行:

1
2
sudo iptables -L -n -v
sudo iptables -S | grep 443

当看到类似下面结果时,说明服务器本机 UFW / iptables 已经允许 TCP 443:

1
-A ufw-user-input -p tcp -m tcp --dport 443 -j ACCEPT

截图记录:

UFW / iptables 已放行 443

此时只能说明服务器本机防火墙放行了 443,还不能证明公网能访问 443。

5. 未配置 3X-UI 入站前,公网测试 443 会失败

在 Windows PowerShell 中测试:

1
Test-NetConnection 你的服务器公网IP -Port 443

如果此时 3X-UI 还没有创建监听 443 的入站,会出现:

1
TcpTestSucceeded : False

截图记录:

未配置入站前 443 测试失败

这个结果是正常的,因为服务器虽然放行了 443,但还没有程序监听 443。

6. 创建 VLESS 入站:Basics 页面

进入:

1
Inbounds → Add Inbound → Basics

填写:

1
2
3
4
5
6
7
8
Enabled: 开启
Remark: vless-reality-vision
Protocol: vless
Address: 留空
Port: 443
Total Flow: 0
Traffic Reset: Never
Duration: 留空

截图记录:

Basics 页面配置 VLESS 和 443

说明:

  • Address 留空表示监听所有 IP。
  • Port 使用 443,前提是服务器没有其他服务占用 443。
  • 如果 443 被 Nginx、Caddy、Apache 等占用,可以换成其他端口,例如 8443,但云服务器安全组也要对应放行。

7. Protocol 页面

进入:

1
Add Inbound → Protocol

保持:

1
2
3
Decryption: none
Encryption: none
Selected: None

截图记录:

Protocol 页面保持 none

注意:

  • 这里的 X25519 authML-KEM-768 auth 不需要点。
  • Reality 密钥是在后面的 Security 页面配置,不是在这里配置。

8. Stream 页面

进入:

1
Add Inbound → Stream

设置:

1
2
3
4
5
6
Transmission: RAW
Proxy Protocol: 关闭
HTTP Obfuscation: 关闭
External Proxy: 关闭
Sockopt: 关闭
TCP Masks: 不添加

截图记录:

Stream 页面使用 RAW

说明:

  • RAW 可以理解为新版界面中的 TCP / 原始传输方式。
  • 本教程目标是 VLESS + RAW/TCP + Reality + Vision

9. Security 页面:Reality 配置

进入:

1
Add Inbound → Security

选择:

1
Security: Reality

推荐配置:

1
2
3
4
5
6
7
8
9
10
11
12
Show: 关闭
Xver: 0
uTLS: chrome
Target: www.amd.com:443
SNI: www.amd.com
Max Time Diff(ms): 0
Min Client Ver: 建议留空
Max Client Ver: 建议留空
Short IDs: 建议只保留一个,便于排查
SpiderX: /
Public Key: 点击 Get New Cert 自动生成
Private Key: 点击 Get New Cert 自动生成

截图记录:

Security 页面 Reality 配置

重要提醒:

  • 截图中显示了 Private Key,正式长期使用前建议重新生成一组 Reality Key。
  • 以后不要公开 Private Key、UUID、客户端分享链接等敏感信息。
  • TargetSNI 要对应,例如:
1
2
Target: www.amd.com:443
SNI: www.amd.com

也可以使用其他真实 HTTPS 站点,例如:

1
2
Target: www.microsoft.com:443
SNI: www.microsoft.com

10. Sniffing 页面

进入:

1
Add Inbound → Sniffing

建议设置:

1
2
3
4
5
6
7
8
9
Enabled: 开启
HTTP: 勾选
TLS: 勾选
QUIC: 勾选
FAKEDNS: 不勾选,或新手先关闭
Metadata only: 关闭
Route only: 关闭
IPs excluded: 留空
Domains excluded: 留空

截图记录:

Sniffing 页面配置

说明:

  • HTTP / TLS / QUIC 可开启。
  • FAKEDNS 属于更复杂的 DNS 分流配置,新手阶段建议先关闭,避免增加排查难度。

11. Advanced 页面

进入:

1
Add Inbound → Advanced

新手保持默认即可。

最后点击:

1
Create

创建完成后,服务器应开始监听 443。

12. 检查 443 是否监听成功

在服务器上执行:

1
sudo ss -lntp | grep ':443'

理想结果类似:

1
LISTEN 0 4096 0.0.0.0:443 0.0.0.0:* users:(("xray",pid=xxxx,fd=xx))

然后在 Windows PowerShell 中执行:

1
Test-NetConnection 你的服务器公网IP -Port 443

当出现下面结果时,说明公网 TCP 443 已经连通:

1
TcpTestSucceeded : True

本次配置中最终测试结果为:

1
2
3
4
5
6
ComputerName     : 你的服务器公网IP
RemoteAddress    : 你的服务器公网IP
RemotePort       : 443
InterfaceAlias   : 以太网
SourceAddress    : 10.x.x.x
TcpTestSucceeded : True

13. 创建 Client 客户端

新版 3X-UI 中,创建入站后还需要创建客户端。

进入:

1
Clients

最开始可能显示 Clients 0

Clients 页面为空

点击:

1
+ Add Clients

14. Add Client 页面配置

填写:

1
2
3
4
5
6
7
8
9
10
11
Email: demo-vless
UUID: 自动生成
Total Sent/Received(GB): 0
Expiry: 留空
Start After First Use: 关闭
Auto Renew: 0
Flow: xtls-rprx-vision
Comment: 可留空
Group: 可留空
Attached inbounds: vless-reality-vision
Enabled: 开启

截图记录:

Add Client 页面配置

说明:

  • Flow 必须选择:
1
xtls-rprx-vision
  • Attached inbounds 必须绑定前面创建的:
1
vless-reality-vision
  • Hysteria AuthPassword 是通用字段或其他协议使用的字段,本教程使用 VLESS 时不用重点处理。

最后点击:

1
Create

15. 导出客户端链接

创建 Client 后,在客户端行的 Actions 中查找:

1
二维码 / QR Code / Copy Link / Share / Export

复制 VLESS 链接。

链接中应包含以下关键字段:

1
2
3
4
5
6
7
8
9
vless://
服务器IP:443
security=reality
type=tcp 或 type=raw
flow=xtls-rprx-vision
sni=www.amd.com
fp=chrome
pbk=
sid=

如果缺少 flow=xtls-rprx-vision,客户端可能没有启用 Vision。

16. Windows v2rayN 导入方式

Windows 使用 v2rayN 时:

1
服务器 → 从剪贴板导入分享链接 → 选中节点 → 设为活动服务器 → 启动系统代理

导入后检查节点参数:

1
2
3
4
5
6
7
8
9
10
地址: 你的服务器公网IP
端口: 443
协议: VLESS
传输: TCP / RAW
安全: Reality
SNI: www.amd.com
Fingerprint: chrome
Public Key: 与 3X-UI 的 Public Key 一致
Short ID: 与 3X-UI 的 Short ID 一致
Flow: xtls-rprx-vision

17. Android v2rayNG 导入方式

Android 使用 v2rayNG 时:

1
右上角 + → 从剪贴板导入 → 选择新节点 → 点击右下角启动

如果连接失败,优先检查:

1
2
3
4
5
6
7
Flow 是否为 xtls-rprx-vision
SNI 是否为 www.amd.com
Fingerprint 是否为 chrome
Public Key 是否正确
Short ID 是否正确
端口是否为 443
服务器安全组是否放行 TCP 443

18. 常见问题排查

18.1 TcpTestSucceeded 为 False

可能原因:

1
2
3
4
5
1. 3X-UI 入站没有创建成功
2. Xray 没有监听 443
3. 服务器本机防火墙没有放行 443
4. 云服务器安全组没有放行 443
5. 443 被其他程序占用

排查命令:

1
2
3
4
sudo ss -lntp | grep ':443'
sudo lsof -iTCP:443 -sTCP:LISTEN -P -n
sudo ufw status
sudo iptables -S | grep 443

18.2 端口通,但客户端连不上

优先检查客户端参数是否一致:

1
2
3
4
5
6
security=reality
flow=xtls-rprx-vision
sni=www.amd.com
fp=chrome
pbk=Public Key
sid=Short ID

18.3 客户端提示 TLS handshake timeout

可能原因:

1
2
3
4
5
6
1. SNI 与服务端 Reality 的 SNI 不一致
2. Public Key 错误
3. Short ID 错误
4. Flow 没有设置为 xtls-rprx-vision
5. 客户端版本过旧,不支持 Reality / Vision
6. Min Client Ver / Max Client Ver 限制导致客户端被拒绝

18.4 443 被其他程序占用

检查:

1
sudo lsof -iTCP:443 -sTCP:LISTEN -P -n

如果看到 nginxapachecaddy 等占用 443,需要:

1
2
3
1. 改用其他端口,例如 8443;或
2. 停止占用 443 的服务;或
3. 做更复杂的反向代理 / 分流配置。

19. 最终配置汇总

本次可用配置汇总如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
Inbound Remark: vless-reality-vision
Protocol: vless
Port: 443
Transmission: RAW
Security: Reality
uTLS: chrome
Target: www.amd.com:443
SNI: www.amd.com
SpiderX: /
Sniffing: HTTP, TLS, QUIC
Client Email: demo-vless
Client Flow: xtls-rprx-vision
Attached Inbound: vless-reality-vision

20. 安全建议

  1. 面板默认账号密码必须修改。
  2. 建议修改面板访问路径。
  3. 面板端口不要和代理端口混用。
  4. 不要公开 Reality Private Key、UUID、分享链接、订阅链接。
  5. 如果截图或链接曾经公开,建议重新生成 Client UUID 和 Reality Key。
  6. 服务器只开放必要端口,例如 SSH、面板端口、代理端口。
  7. 定期更新 3X-UI 和 Xray-core。