保姆级教程:3x-ui 与 s-ui 面板节点完整搭建指南

一、 理论基础:节点协议分层

为了更好地理解节点配置,我们将代理节点比作快递运输,分为以下三层:

  1. 代理协议(数据封装/包装盒)

    • 作用:负责将原始数据进行包装。
    • 常见协议:VMess, VLESS, Trojan, Shadowsocks, Hysteria2
    • 类比:快递的纸箱、泡沫箱或木箱。

  2. 传输协议(交通工具/承载方式)

    • 作用:决定数据以何种方式在网络中传输。
    • 基础底层:TCP, UDP
    • 进阶协议:WebSocket (WS), gRPC, HTTP/2, QUIC。Xray 特有 xhttp,Sing-box 特有 Tuic/Hysteria
    • 类比:海运、陆运、空运。

  3. 安全协议(加密/保险柜)

    • 作用:防止数据被偷窥或篡改,提供伪装。
    • 常见协议:TLS (标准加密), Reality (抗封锁伪装)。
    • 类比:给包裹加装保险柜或伪装成普通货物。

二、 环境准备:防火墙放行端口

在搭建之前,必须确保 VPS 的防火墙放行了相关端口。

1. 常规 VPS (如 RackNerd, Vultr)

通过 SSH 连接服务器,使用以下命令:

  • 查看防火墙状态: ufw status
  • 简单粗暴(直接关闭防火墙): ufw disable
  • 规范做法(放行特定端口):
    1
    2
    3
    4
    5
    6
    # 放行TCP/UDP的443端口
    ufw allow 443
    # 放行特定端口的TCP
    ufw allow 2053/tcp
    # 放行后重载
    ufw reload

2. Google Cloud (谷歌云)

谷歌云除了系统防火墙,还需要在后台控制台设置:

  1. 进入 VPC 网络 -> 防火墙
  2. 点击 创建防火墙规则
  3. 流量方向:入站。
  4. 目标:建议选择“网络中的所有实例”。
  5. 来源 IPv4 范围0.0.0.0/0
  6. 协议和端口:勾选 TCP/UDP,输入需要放行的端口号(如 4432053)。
  7. 点击创建。

三、 3x-ui 面板节点搭建 (基于 Xray 内核)

场景 A:无域名,使用 Reality 协议 (推荐)

适合没有购买域名或不想配置证书的用户,抗封锁能力强。

  1. 入站列表 -> 添加入站
  2. 备注:随意填写(如 vless-reality)。
  3. 协议:选择 vless
  4. 端口:建议使用 443 (更像正常流量)。
  5. 传输:选择 xhttp (Xray 特有,更高效) 或 TCP
  6. 安全:选择 Reality
  7. Reality 设置
    • uTLS:保持默认 chrome
    • Dest/SNI (目标网站)
      • 注意不要使用 Google 的域名(握手过程特殊,易失败)。
      • 推荐apple.com:443, amazon.com:443, microsoft.com:443, icloud.com:443
    • Private Key:点击 Get New Cert 生成新密钥。
  8. 点击 添加
  9. 点击操作栏的 二维码 图标,复制链接导入客户端测试。

场景 B:有域名和证书,使用 TLS

适合有自己域名且已申请证书的用户。

  1. 协议vlessvmess
  2. 端口:任意(如 8443)。
  3. 传输TCP, WSgRPC
  4. 安全:选择 TLS
  5. TLS 设置
    • 域名:填写你的域名。
    • 证书路径:选择 文件路径。3x-ui 会自动识别申请好的证书路径(通常在 /root/cert/...)。
  6. 点击 添加 并测试。

四、 s-ui 面板节点搭建 (基于 Sing-box 内核)

s-ui 的逻辑是:先配置 TLS/Reality 模板,再添加入站,最后关联用户。

第一步:TLS 设置 (安全层配置)

进入左侧菜单 TLS 设置 -> 添加 TLS

配置 Reality 模板:

  1. 类型:选择 REALITY
  2. SNI (伪装域名):输入 apple.comamazon.com (同样避免 Google)。
  3. 握手服务器:同上,输入 apple.com
  4. 服务端端口必须是 443 (Reality 协议限制)。
  5. 点击钥匙图标生成私钥。
  6. 保存。

配置 TLS 模板 (自有域名):

  1. 类型:选择 TLS
  2. 域名:输入你的域名。
  3. 证书/私钥路径:点击 从面板设置获取 自动填入。
  4. 若使用 gRPCHysteria2/Tuic
    • 必须开启 ALPN
    • 顺序填写:h3, h2, http/1.1 (顺序不能乱)。
  5. 保存。

第二步:入站管理 (添加入站)

  1. 进入 入站管理 -> 添加入站
  2. 协议:选择 VLESS (或其他如 Hysteria2, Tuic)。
  3. 端口:如果用 Reality 必须是 443;其他协议按需填写。
  4. 传输配置
    • 如果是 VLESS/VMess,需开启 启用传输 开关选择传输协议(如 HTTP, WS, gRPC)。
    • 注意:s-ui 默认不显示传输选项,需手动开启开关。
  5. 用户管理:选择 全部
  6. TLS/Reality 模板:选择第一步创建好的对应模板。
  7. 保存。

第三步:用户管理 (获取连接)

  1. 进入 用户管理
  2. 找到对应入站标签下的用户账号。
  3. 点击 二维码/链接 图标。
  4. 复制链接导入客户端(支持 Sing-box 和 Clash 格式)。

五、 常见问题排查与注意事项

  1. 节点不通的常见原因

    • 防火墙拦截:检查 VPS 端口是否放行。
    • 时间不同步:客户端与服务器时间误差不能超过 90 秒。
    • 域名握手失败:Reality 模式下,如果使用 google.com 作为 SNI,客户端可能会连接失败。解决方案:将 SNI 改为 apple.comamazon.comicloud.com
    • 证书不匹配:TLS 模式下,如果启用了 AllowInsecure (跳过证书验证) 为 true,可以临时解决证书域名不匹配的问题。

  2. 客户端连接技巧

    • 如果修改配置后仍连不上,尝试在 Windows 客户端(如 v2rayN)中开关一次 TUN 模式,这会重置路由表。
    • 在命令行运行 ipconfig /flushdns 刷新 DNS 缓存。

  3. 协议选择建议

    • 最稳/推荐VLESS + TCP/xhttp + Reality (无需域名,伪装效果好)。
    • 有域名推荐VLESS + WS/gRPC + TLS + CDN (抗干扰,速度尚可)。
    • 追求速度Hysteria2Tuic (基于 UDP,速度快,但可能被运营商 QOS 限速)。

  4. Tuic/Hysteria2 特别注意

    • 在 s-ui 配置 TLS 时,ALPN 选项必须开启并正确设置 (h3, h2...),否则无法连接。
    • Tuic 协议配置中,不要开启 uTLS 选项。

通过以上步骤,您应该能够成功搭建属于自己的高速、稳定的上网节点。