科学上网

主页
protocols

2026 最新 3x-ui 面板保姆级教程:REALITY / Hysteria 2 / WS+CDN 节点搭建参数详解

由于最近的中转机场拔线风波,造成了大部分中转机场线路直接变成了直连线路。相比于购买机场,自己动手搭建节点不仅能彻底解决隐私泄露和频繁跑路的焦虑,还能独享服务器带宽。3x-ui 凭借其强大的多协议支持和直观的 Web 界面,已经成为了搭建私人节点的最优解。

这篇教程将一次性搞定目前最主流的三种协议 VLESS + REALITY / Hysteria 2 (Hy2) / WebSocket + Cloudflare CDN ,并掰碎了揉碎了为你讲解每一个参数的作用。所有内容均为我的个人喜好和理解,如有不合理之处,请指正。

1. 准备工作

1.1 VPS 系统选择

如果你的VPS,只是为了搭建 3x-ui ,在系统选择方面,建议首选 Debian,次选 Ubuntu 。 Debian 以“吝啬”著称,系统默认安装的组件极少。(推荐版本:Debian 12 )

内存占用 刚安装完的 Debian 12 内存占用通常仅为 100MB-200MB,而 Ubuntu 往往在 300MB-500MB 左右。对于搬瓦工这种资源宝贵的 VPS,省下的内存可以给 3x-ui 提供更稳定的缓存空间。
无冗余服务 Ubuntu 默认带有很多不需要的后台服务(如 Snap, Netplan 等),在调试 Hysteria2 这种高性能协议时,越纯净的系统冲突越少。
稳定 Debian 的包管理器 apt 极其成熟。
现代 Debian 12 默认自带较新的内核(6.1+),这对开启 BBR 加速 非常友好,能让你在搭建 Hysteria2 时获得更好的网络吞吐量。

1.2 域名规划

此次节点配置,我们需要配置 WS+CDN 作为备用保命节点,所以需要解析绑定两个域名,并分别申请 SSL 证书。

域名 SSL 证书 绑定面板 作用
a.xxx.xxx 需要,面板申请 绑定 3x-ui 面板 3x-ui 面板访问、REALITY节点、Hysteria 2节点
b.xxx.xxx 需要,面板申请 WebSocket + Cloudflare CDN

1.3 端口规划

为了实现隐蔽与性能的完美平衡,我们对 VPS 端口进行了以下分配:

协议组合 监听端口 核心定位 推荐场景
3x-ui 面板 8443 管理后台 使用非标常用端口,兼顾安全与 CDN 访问
REALITY 443 最强伪装 日常主力,模拟真实 HTTPS 流量,极难被墙
Hysteria 2 随意 暴力加速 游戏、4K 视频
WS + CDN 2053 保命备用 IP 被墙时的最后防线,通过 Cloudflare 中转

端口设置原则为 Cloudflare支持的HTTPS端口: 44320532083208720968443,每个端口只能使用一次。

1.4 新 VPS 推荐设置

无论你选择了 Debian 还是 Ubuntu,建议在安装 3x-ui 之前先执行以下配置:

打开 Finalshell ,通过 SSH 链接 VPS 。

第一步:更新系统并清理冗余

apt update && apt upgrade -y

第二步:安装必备基础依赖

apt install -y curl wget socat

第三步:同步系统时区与时间

协议握手失败(如 -1 延迟)很大一部分原因是 VPS 时间与本地时间不同步。

# 设置为中国时区
timedatectl set-timezone Asia/Shanghai

# 安装时间同步工具并强制同步
apt update && apt install -y ntpdate
ntpdate pool.ntp.org

第四步:彻底解决防火墙障碍

为了避免测试时因为端口没开导致连不上,建议先清理一下防火墙规则。

# 停止并禁用 Debian 可能存在的防火墙服务
systemctl stop ufw
systemctl disable ufw
systemctl stop firewalld
systemctl disable firewalld
# 清空 iptables 规则(确保万无一失)
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F

2. Cloudflare 域名解析

将域名托管到 Cloudflare,配置两个子域名,例如: ab ,将 A 记录指向服务器 IP。

  • 子域名 a :作为面板域名,并配置 REALITY 和 Hysteria 2 节点
  • 子域名 b :配置 WS + CDN 节点,暂时不开启 CDN ,申请完SSL证书后再开启。
  • 在 SSL/TLS 设置中,建议选择 Full (全程加密)。
图片描述 - 科学上网 ZOIO.NET
Cloudflare 域名解析

3. 搭建部署 3X-UI

3x-ui项目地址:https://github.com/MHSanaei/3x-ui

在配置节点参数之前,我们先过一下最新版 3X-UI 的安装步骤。

3.1 安装3x-ui

输入以下命令回车进行安装

bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
安装3x-ui - 科学上网 ZOIO.NET
安装3x-ui

3.2 安装3x-ui过程

否要自定义面板端口设置?“Would you like to customize the Panel Port settings? (If not, a random port will be applied) [y/n]:/ ”回复 “y”。

自定义端口设置为 例如:8443 ,回车。

SSL 证书配置选择 2 Let's Encrypt IP 地址证书,IPv6 地址直接回车跳过,ACME HTTP-01 监听器端口保持 默认80端口,直接回车

安装3x-ui 配置面板端口 / IP 地址证书 - 科学上网 ZOIO.NET
配置面板端口 / IP 地址证书

面板安装完成,绿色文字包含Username:用户名Password:密码Port:端口Access URL:管理地址 等信息。记录下来。

面板安装完成 - 科学上网 ZOIO.NET
面板安装完成!

3.3 申请第一个 SSL 证书

3x-ui 的内置菜单通常只支持单域名申请,不能直接生成泛域名证书,需要分别为两个域名申请 SSL 证书。现在先为子域名 b 申请SSL证书。

输入 x-ui 调出面板管理脚本

调出面板管理脚本 - 科学上网 ZOIO.NET
调出面板管理脚本

使用脚本内置 acme.sh 申请 SSL 证书,选择 19 19 SSL Certificate Management然后再选择 1 1. Get SSL。输入域名(b)回车,端口默认 80 直接回车即可。

申请第一个 SSL 证书 - 科学上网 ZOIO.NET
申请第一个 SSL 证书

Would you like to modify --reloadcmd for ACME? (y/n): 后输入 y ,选择 1

复制好证书路径 - 科学上网 ZOIO.NET
复制保持证书路径

复制好证书路径,这里的证书主要是为了我们配置 VLESS + WS + Cloudflare CDN 使用

  • 证书(公钥):/root/.acme.sh/b.zoionet.indevs.in_ecc/fullchain.cer
  • 密钥(私钥):/root/.acme.sh/b.zoionet.indevs.in_ecc/b.zoionet.indevs.in.key

3.4 申请第二个 SSL 证书

Would you like to set this certificate for the panel? (y/n) 为面板设置此证书,输入 n 回车。

我们不使用域名 b 访问面板,所以这里输入 n

输入 1 1. Get SSL (Domain): 再次申请证书 。输入解析好的域名(a)回车,端口默认 80 直接回车。

申请第二个 SSL 证书 - 科学上网 ZOIO.NET
申请第二个 SSL 证书

Would you like to modify --reloadcmd for ACME? (y/n): 后输入 y ,选择 1

修改 ACME 的 --reloadcmd - 科学上网 ZOIO.NET
修改 ACME 的 --reloadcmd

Would you like to set this certificate for the panel? (y/n) 为面板设置此证书,这次输入 y 回车。

我们使用域名 a 访问面板,所以这里输入 y

板设置此证书 - 科学上网 ZOIO.NET
面板设置此证书:是

记录Access URL:管理地址,这是登录面板的URL。

3.5 开启 BBR

输入0退出菜单,选择 24 24. Enable BBR 然后再选择 1 1. Enable BBR 开启BBR

开启BBR - 科学上网 ZOIO.NET
开启BBR

输入0退出菜单

到这里,我们的 3x-ui 安装及 SSL 证书设置完成。我们通过 Access URL: 给出的面板管理地址登录面板。输入安装 3X-UI 时获取的账号密码即可登录面板。

3x-ui 登录 - 科学上网 ZOIO.NET
3x-ui 登录

4. 3x-ui 面板设置

4.1 修改默认登录路径

在后台选择 「面板设置」 - 「常规」 - 「常规配置」 - 「面板 url 根路径」 修改默认登录路径。

修改完后一定要点击上方的,保存 - 重启面板

修改默认登录路径 - 科学上网 ZOIO.NET
修改默认登录路径

更改后,我们的登录地址将由原来的 https://a.xxx.xxx:8443/ij78rO6dljPCxU5tJc/ 更改为 https://a.xxx.xxx:8443/zoio/

4.2 修改默认账号密码

自动生成的账号密码太难记,我们可以修改默认的账号及密码,在后台选择 「面板设置」 - 「安全设定」 - 「管理员凭证」 修改默认账号密码。

修改默认账号密码 - 科学上网 ZOIO.NET
修改默认账号密码

4.3 添加入站列表

在 「入站列表」 选择 「添加入站」。输入配置参数,点击添加。

添加入站列表 - 科学上网 ZOIO.NET
添加入站列表

5. REALITY / Hy2 / WS+CDN 节点搭建详细参数讲解

3x-ui 完美支持了目前最前沿的 VLESS-REALITY、Hysteria2 以及传统的 WebSocket + CDN 方案。

5.1 三大核心协议对比

在动手之前,我们先来看看这三种协议分别适合什么场景:

协议方案 核心优势 速度表现 隐蔽性与抗封锁 适用场景推荐
VLESS + REALITY 极低延迟,伪装性强 极快 极高 绝对主力。
Hysteria 2 (Hy2) 暴力加速,抗丢包 最快 中等 需防 UDP 限速 备用加速。
WS + CDN 隐藏真实 IP,不死鸟 较慢 (受限 CDN) 最高 保命底牌。

最佳实践:不要做选择题,小孩子才做选择!最成熟的方案是在你的 3x-ui 面板中同时搭建这三个节点,根据网络环境随时切换。

配置参考截图 - 科学上网 ZOIO.NET
配置参考截图

5.2 VLESS + REALITY 配置指南

REALITY 是目前最推荐的日常协议。它不需要你购买域名,也不用申请证书,而是通过“借用”别人的大型网站(如微软、苹果)的证书来伪装你的流量。墙看到的是你在访问正规大站,从而放行。

详细配置步骤

备注 随便填,我是美国洛杉矶的VPS,我这里写的是 US-LA
协议 选择 vless
端口 必须填写 443 (因为真实的 HTTPS 网站都用 443 端口)
用户 电子邮件(自定义): REALITY,3X-UI 的节点命名方式为 备注-电子邮件
流控 (Flow): 必选 xtls-rprx-vision 这是核心技术,用于穿透防火墙并提升速度
只有下方的 安全 选择 reality 后才可配置
传输 选择 TCP
安全:
选择 reality		 uTLS: 选择 chrome 模拟真实 Chrome 浏览器的特征
Target: www.microsoft.com:443 你的节点会伪装成这个网站
SNI: www.microsoft.com 必须与 Target 的域名保持完全一致,用于 TLS 握手验证
公钥/私钥: 点击 “Get New Key” 按钮
Sniffing 启用 勾选: HTTPTLSQUICFAKEDNS
其他默认,保存与应用!

5.3 Hysteria 2 配置指南

如果你的宽带本身质量较差,或者到了晚高峰频繁丢包,基于 UDP 协议的 Hy2 绝对是你的救星。它极其粗暴且高效,能瞬间吃满你的带宽。

详细配置步骤

前提条件:Hy2 必须使用自己的域名和真实 SSL 证书。

备注 随便填,我是美国洛杉矶的VPS,我这里写的是 US-LA
协议 选择 hysteria
端口 随机高位端口(如 13322),避开运营商对标准端口的干扰。
用户(可选) 电子邮件(自定义): Hy2
Masquerade 可选 Type: Proxy
URL: https://www.bing.com 你的节点会伪装成这个网站
TLS SNI: 输入域名 a.zoionet.indevs.in
uTLS: 选择 chrome 模拟真实 Chrome 浏览器的特征
ALPN: h3
Reject Unknown SNI: 启用:防止他人通过扫描你的 IP 地址发现该服务
Session Resumption: 启用:会话复用。加速二次连接速度,减少握手。
公钥/私钥 点击 “从面板设置证书” 按钮
Sniffing 启用 勾选: HTTPTLSQUICFAKEDNS
其他默认,保存与应用!

注意事项:Hy2 走的是 UDP 协议,请务必在服务器防火墙中放行你设置的端口的 UDP 流量,这是 90% 的新手连不上 Hy2 的原因。

5.4 VLESS + WS + Cloudflare CDN

这个方案的逻辑是:把你的翻墙流量伪装成普通的网页请求,并交给 Cloudflare (CF) CDN 去转发。即使你的服务器真实 IP 被墙了,只要 CF 的节点还能访问,你的节点就永远活着。

注意事项:由于流量需要绕道 Cloudflare 的全球节点再回到你的服务器,物理延迟会增加。这个节点不适合打游戏,主要用于看网页或在服务器 IP 被封时“救急”。

第一步,为域名 b 开启(CDN)“小云朵”(Proxy 状态)

域名开启(CDN) - 科学上网 ZOIO.NET
域名开启(CDN)

详细配置步骤

备注 随便填,我是美国洛杉矶的VPS,我这里写的是 US-LA
协议 选择 vless
端口 必须填写 2053 (Cloudflare支持的HTTPS端口:443 REALITY节点已用、20532083208720968443 面板已用)
用户(可选) 电子邮件(自定义): WS-CDN
传输 选择 WebSocket
主机 填你开启了小云朵的域名 b.zoionet.indevs.in
路径 /www-zoio-net CDN 只有匹配到这个路径,才会把流量当做节点流量处理,
安全:
选择 TLS		 SNI: b.zoionet.indevs.in 必须与 Target 的域名保持完全一致,用于 TLS 握手验证
uTLS: 选择 chrome 模拟真实 Chrome 浏览器的特征
Reject Unknown SNI: 启用:防止他人通过扫描你的 IP 地址发现该服务
公钥/私钥: 直接复制证书路径
Sniffing 启用 勾选: HTTPTLSQUICFAKEDNS
其他默认,保存与应用!

5.5 复制节点信息

入站列表添加完成后,即可导入节点链接了,点击三个点菜单,选择导出链接复制链接地址,然后再各个客户端里使用了。使用教程:Windows 、Android 、IOS、macOS 全平台科学上网工具 APP客户端下载及使用教程!

复制节点信息 - 科学上网 ZOIO.NET
复制节点信息

二维码

二维码 - 科学上网 ZOIO.NET
二维码

客户端(Client)配置

在手机或电脑软件中使用节点时,需要将地址 (Address):填域名 b.zoionet.indevs.in,不要填写面板的域名

v2rayN 示例 - 科学上网 ZOIO.NET
v2rayN 示例

结语

  • 追求极致隐蔽,用 REALITY
  • 追求暴力测速,用 Hysteria 2
  • 给自己留条后路,备好 WS+CDN

配置完成后,请妥善保管你的节点订阅链接,不要使用网络公开的节点转换。畅游互联网,安全永远是第一位的!