2026 最新 3x-ui 面板保姆级教程:REALITY / Hy2 / WS+CDN 节点搭建参数详解
由于最近的中转机场拔线风波,造成了大部分中转机场线路直接变成了直连线路。相比于购买机场,自己动手搭建节点不仅能彻底解决隐私泄露和频繁跑路的焦虑,还能独享服务器带宽。3x-ui 凭借其强大的多协议支持和直观的 Web 界面,已经成为了搭建私人节点的最优解。
这篇教程将化繁为简,带你一次性搞定目前最主流的三种协议 REALITY / Hy2 / WS+CDN ,并掰碎了揉碎了为你讲解每一个参数的作用。
1. 准备工作
- VPS一台:建议系统:Ubuntu 22.04+ / Debian 12+
- 域名一个:免费域名 / 购买域名
- Cloudflare 账号一个:将域名托管到 Cloudflare
2. Cloudflare 域名解析
将域名托管到 Cloudflare,配置两个子域名,例如: a 和 b ,将 A 记录指向服务器 IP。
- 子域名
a:作为面板域名,并配置 REALITY 和 Hysteria 2 节点 - 子域名
b:配置 WS + CDN 节点,暂时不开启 CDN ,申请完SSL证书后再开启。 - 在 SSL/TLS 设置中,建议选择 Full (全程加密)。
3. 搭建部署 3X-UI
3x-ui项目地址:https://github.com/MHSanaei/3x-ui
在配置节点参数之前,我们先过一下最新版 3X-UI 的安装步骤。
3.1 更新系统
打开 Finalshell ,通过 SSH 链接 VPS 。
登录 VPS 的 SSH,然后输入以下命令更新及安装组件
# Debian/Ubuntu sudo apt update && sudo apt upgrade -y 更新 sudo apt install curl socat -y 安装 curl
3.2 安装3x-ui
输入以下命令回车进行安装
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
3.2 安装3x-ui
否要自定义面板端口设置?“Would you like to customize the Panel Port settings? (If not, a random port will be applied) [y/n]:/ ”回复 “y”。
自定义端口设置为 例如:8443 ,回车。
SSL 证书配置选择 2 Let's Encrypt IP 地址证书,IPv6 地址直接回车跳过,ACME HTTP-01 监听器端口保持 默认80端口,直接回车
面板安装完成,绿色文字包含Username:用户名,Password:密码,Port:端口,Access URL:管理地址 等信息。记录下来。
3.3 申请第一个 SSL 证书
3x-ui 的内置菜单通常只支持单域名申请,不能直接生成泛域名证书,需要分别为两个域名申请 SSL 证书。现在先为子域名 b 申请SSL证书。
输入 x-ui 调出面板管理脚本
使用脚本内置 acme.sh 申请 SSL 证书,选择 19 19 SSL Certificate Management然后再选择 1 1. Get SSL。输入域名(b)回车,端口默认 80 直接回车即可。
在 Would you like to modify --reloadcmd for ACME? (y/n): 后输入 y ,选择 1 。
复制好证书路径,这里的证书主要是为了我们配置 VMess + WS + Cloudflare CDN 使用
- 证书:
/root/.acme.sh/b.zoionet.indevs.in_ecc/fullchain.cer - 密钥:
/root/.acme.sh/b.zoionet.indevs.in_ecc/b.zoionet.indevs.in.key
3.4 申请第二个 SSL 证书
在 Would you like to set this certificate for the panel? (y/n) 为面板设置此证书,输入 n 回车。
我们不使用域名 b 访问面板,所以这里输入 n 。
输入 1 1. Get SSL (Domain): 再次申请证书 。输入解析好的域名(a)回车,端口默认 80 直接回车。
在 Would you like to modify --reloadcmd for ACME? (y/n): 后输入 y ,选择 1 。
在 Would you like to set this certificate for the panel? (y/n) 为面板设置此证书,这次输入 y 回车。
我们使用域名 a 访问面板,所以这里输入 y 。
记录Access URL:管理地址,这是登录面板的URL。
3.5 开启 BBR
输入0退出菜单,选择 24 24. Enable BBR 然后再选择 1 1. Enable BBR 开启BBR
输入0退出菜单
到这里,我们的 3x-ui 安装及 SSL 证书设置完成。我们通过 Access URL: 给出的面板管理地址登录面板。输入安装 3X-UI 时获取的账号密码即可登录面板。
4. 3x-ui 面板设置
4.1 修改默认登录路径
在后台选择 「面板设置」 - 「常规」 - 「常规配置」 - 「面板 url 根路径」 修改默认登录路径。
修改完后一定要点击上方的,保存 - 重启面板
更改后,我们的登录地址将由原来的 https://xui.zoio.net:8443/ij78rO6dljPCxU5tJc/ 更改为 https://xui.zoio.net:8443/zoio/
4.2 修改默认账号密码
自动生成的账号密码太难记,我们可以修改默认的账号及密码,在后台选择 「面板设置」 - 「安全设定」 - 「管理员凭证」 修改默认账号密码。
4.3 添加入站列表
在 「入站列表」 选择 「添加入站」。输入配置参数,点击添加。
5. REALITY / Hy2 / WS+CDN 节点搭建参数
3x-ui 完美支持了目前最前沿的 VLESS-REALITY、Hysteria2 以及传统的 WebSocket + CDN 方案。
5.1 三大核心协议对比
在动手之前,我们先来看看这三种协议分别适合什么场景:
| 协议方案 | 核心优势 | 速度表现 | 隐蔽性与抗封锁 | 适用场景推荐 |
|---|---|---|---|---|
| VLESS + REALITY | 极低延迟,伪装性强 | 极快 | 极高 | 绝对主力。 |
| Hysteria 2 (Hy2) | 暴力加速,抗丢包 | 最快 | 中等 需防 UDP 限速 | 备用加速。 |
| VMess + WS + CDN | 隐藏真实 IP,不死鸟 | 较慢 (受限 CDN) | 最高 | 保命底牌。 |
最佳实践:不要做选择题,小孩子才做选择!最成熟的方案是在你的 3x-ui 面板中同时搭建这三个节点,根据网络环境随时切换。
5.2 VLESS + REALITY 配置指南
REALITY 是目前最推荐的日常协议。它不需要你购买域名,也不用申请证书,而是通过“借用”别人的大型网站(如微软、苹果)的证书来伪装你的流量。墙看到的是你在访问正规大站,从而放行。
详细配置步骤:
| 备注 | 随便填,例如 US-LA |
| 协议 | 选择 vless |
| 监听 IP | 留空(默认所有 IP) |
| 端口 | 必须填写 443 (因为真实的 HTTPS 网站都用 443 端口) |
| 传输 | 选择 TCP |
安全: 选择 reality |
uTLS: 选择 chrome 模拟真实 Chrome 浏览器的特征 |
Target: www.microsoft.com:443 你的节点会伪装成这个网站 |
|
SNI: www.microsoft.com 必须与 Target 的域名保持完全一致,用于 TLS 握手验证 |
|
| ShortId: 点击右侧刷新按钮生成一个:客户端与服务端对接的暗号,防止恶意探测。 | |
| 公钥/私钥: 点击 “Get New Key” 按钮 | |
| 返回 用户 配置 | 电子邮件(可选): REALITY,这里无所谓,完全是为了命名好看。 |
流控 (Flow): 必选 xtls-rprx-vision 这是核心技术,用于穿透防火墙并提升速度 |
|
| 其他默认,保存与应用! | |
5.3 Hysteria 2 配置指南
如果你的宽带本身质量较差,或者到了晚高峰频繁丢包,基于 UDP 协议的 Hy2 绝对是你的救星。它极其粗暴且高效,能瞬间吃满你的带宽。
详细配置步骤:
前提条件:Hy2 必须使用自己的域名和真实 SSL 证书。
| 备注 | 随便填,例如 US-LA |
| 协议 | 选择 hysteria |
| 监听 IP | 留空(默认所有 IP) |
| 端口 | 随机高位端口(如 13322),避开运营商对标准端口的干扰。 |
| Masquerade 开启 | Type: Proxy |
URL: https://www.bing.com 你的节点会伪装成这个网站 |
|
| TLS 配置 | SNI: a.zoionet.indevs.in 填你申请了证书并绑定了面板的域名 |
uTLS: chrome |
|
ALPN: h3 |
|
| Reject Unknown SNI: 启用:防止他人通过扫描你的 IP 地址发现该服务 | |
| Session Resumption: 启用:会话复用。加速二次连接速度,减少握手。 | |
| 公钥/私钥 | 点击 “从面板设置证书” 按钮 |
| 用户 (可选) | 电子邮件(可选): Hy2,这里无所谓,完全是为了命名好看。 |
| 其他默认,保存与应用! | |
注意事项:Hy2 走的是 UDP 协议,请务必在服务器防火墙中放行你设置的端口的 UDP 流量,这是 90% 的新手连不上 Hy2 的原因。
5.4 VMess + WS + Cloudflare CDN
这个方案的逻辑是:把你的翻墙流量伪装成普通的网页请求,并交给 Cloudflare (CF) CDN 去转发。即使你的服务器真实 IP 被墙了,只要 CF 的节点还能访问,你的节点就永远活着。
详细配置步骤:
第一步,为域名 b 开启(CDN)“小云朵”(Proxy 状态)
| 备注 | 随便填,例如 US-LA |
| 协议 | 选择 vmess |
| 监听 IP | 留空(默认所有 IP) |
| 端口 | Cloudflare支持的HTTPS端口:2053、2083、2087、2096、 |
| 传输 | WebSocket |
| 主机 | 填你开启了小云朵的域名 b.zoionet.indevs.in |
| 路径 | /www-zoio-net CDN 只有匹配到这个路径,才会把流量当做节点流量处理, |
安全 选择 TLS |
SNI: 填你开启了小云朵的域名 b.zoionet.indevs.in 用于 TLS 握手 |
uTLS: chrome |
|
Reject Unknown SNI: 启用 |
|
| 公钥/私钥: 直接复制证书路径 | |
| 用户 (可选) | 电子邮件(可选): WS-CDN,这里无所谓,完全是为了命名好看。 |
| 其他默认,保存与应用! | |
注意事项:由于流量需要绕道 Cloudflare 的全球节点再回到你的服务器,物理延迟会增加。这个节点不适合打游戏,主要用于看网页或在服务器 IP 被封时“救急”。
5.5 复制节点信息
入站列表添加完成后,即可导入节点链接了,点击三个点菜单,选择导出链接,复制链接地址,然后再各个客户端里使用了。使用教程:Windows 、Android 、IOS、macOS 全平台科学上网工具 APP客户端下载及使用教程!
二维码
客户端(Client)配置:
在手机或电脑软件中使用节点时,需要将地址 (Address):填域名 b.zoionet.indevs.in,不要填写面板的域名
结语
- 追求极致隐蔽,用 REALITY
- 追求暴力测速,用 Hysteria 2
- 给自己留条后路,备好 WS+CDN
配置完成后,请妥善保管你的节点订阅链接,不要使用网络公开的节点转换。畅游互联网,安全永远是第一位的!