2026 最新 3x-ui 面板保姆级教程:REALITY / Hysteria 2 / WS+CDN 节点搭建参数详解(二)
近期 3X-UI 面板更新频繁,功能与界面变动较大,不少朋友反映之前的REALITY / Hysteria 2 / WebSocket + Cloudflare CDN 节点搭建参数详解已无法对应新版面板界面,今天重新整理一篇最新版 3x-ui(3.3.1)的完整节点配置流程。
本文最后更新于 2026.06.15,当前 3x-ui 面板入站节点配置以最新版本(3.3.1)为准!
3x-ui 安装
如果你是第一次安装 3x-ui 面板,请详细参考 2026 最新 3x-ui 面板保姆级教程:Reality / Hysteria 2 / WS+CDN 节点搭建参数详解 这篇博文,参考安装过程。
3x-ui 面板 REALITY / Hy2 / WS+CDN 节点搭建详细参数讲解
3x-ui 完美支持了目前最前沿的 VLESS-REALITY、Hysteria2 以及传统的 WebSocket + CDN 方案。
1. 三大核心协议对比
在动手之前,我们先来看看这三种协议分别适合什么场景:
| 协议方案 | 核心优势 | 速度表现 | 隐蔽性与抗封锁 | 适用场景推荐 |
|---|---|---|---|---|
| VLESS + Reality | 极低延迟,伪装性强 | 极快 | 极高 | 绝对主力。 |
| Hysteria 2 (Hy2) | 暴力加速,抗丢包 | 最快 | 中等 需防 UDP 限速 | 备用加速。 |
| WS + CDN | 隐藏真实 IP,不死鸟 | 较慢 (受限 CDN) | 最高 | 保命底牌。 |
最佳实践:三者各有所长,无需二选一。最成熟的方案是在 3x-ui 面板中同时搭建这三个节点,根据实际网络环境随时切换。
2. 域名规划
此次节点配置,我们需要配置 REALITY / Hysteria 2 节点作为日常使用, WS+CDN 作为备用保命节点,所以需要解析绑定两个域名,并分别申请 SSL 证书。
| 域名 | SSL 证书 | 绑定面板 | 作用 |
|---|---|---|---|
cloud.zoio.kdns.fr |
需要,面板申请 | 绑定 3x-ui 面板 | 3x-ui 面板访问、REALITY节点、Hysteria 2节点 |
cloud-cdn.zoio.kdns.fr |
需要,面板申请 | 否 | WebSocket + Cloudflare CDN |
3. 节点端口规划
为了实现隐蔽与性能的完美平衡,我们对 VPS 端口进行了以下分配:
| 协议组合 | 监听端口 | 核心定位 | 推荐场景 |
|---|---|---|---|
| Reality | 443 | 最强伪装 | 日常主力,模拟真实 HTTPS 流量,极难被墙 |
| Hysteria 2 | 自定义节点端口 + 40000-50000 端口跳跃 | 暴力加速 | 游戏、4K 视频 |
| WS + CDN | 2053 | 保命备用 | IP 被墙时的最后防线,通过 Cloudflare 中转 |
1. VLESS + Reality 配置指南
REALITY 是目前最推荐的日常协议。它不需要你购买域名,也不用申请证书,而是通过“借用”别人的大型网站(如微软、苹果)的证书来伪装你的流量。防火长城检测到的是正规网站的 TLS 特征,因而放行。
添加入站 - 基础配置:
| 备注 | 随便填,我是美国洛杉矶的VPS,我这里写的是 🇺🇸 美国 Reality |
| 协议 | 选择 vless |
| 端口 | 必须填写 443 (因为真实的 HTTPS 网站都用 443 端口) |
| 其他 | 保持默认 |
添加入站 - 协议:
| 协议 | 协议这里保持默认,无需配置 |
添加入站 - 传输:
| 传输 | 选择 RAW |
| 其他 | 保持默认 |
添加入站 - 安全:
| 安全 | 选择 Reality |
| uTLS | 选择 chrome 模拟真实 Chrome 浏览器的特征 |
| 目标 | 输入 www.apple.com:443 你的节点会伪装成这个网站 |
| SNI | 输入 www.apple.com 必须与 目标 的域名保持完全一致,用于 TLS 握手验证 |
| 公钥/私钥 | 点击 获取新证书 自动生成 |
| 其他 | 保持默认 |
添加入站 - 嗅探:
| 启用 | 点击启用 |
| 勾选 | HTTP、TLS、QUIC |
点击「创建」,完成。
2. Hysteria 2 配置指南
如果 VPS 宽带质量较差,或晚高峰频繁丢包,Hy2 是不二之选。基于 UDP 的暴力加速机制,能最大限度地榨取可用带宽,优化网络。
2.1. 面板配置
添加入站 - 基础配置:
| 备注 | 随便填,我是美国洛杉矶的VPS,我这里写的是 🇺🇸 美国 Hysteria2 |
| 协议 | 选择 hysteria |
| 端口 | 随机生成 50342 (避开跳跃范围,如跳跃端口为40000-50000,节点端口不能配置为40000-50000这个范围内的端口) |
| 其他 | 保持默认 |
添加入站 - 传输:
| QUIC Params | 启用 |
| UDP Hop | 启用 |
| Hop Ports | 输入 40000-50000 |
添加入站 - 安全:
| 安全 | TLS |
| SNI | 输入绑定 3x-ui 面板的域名 cloud.zoio.kdns.fr |
| uTLS | 无需配置 / 保持默认 None |
| ALPN | 默认 h3 Hysteria 2 硬性规定必须包含 h3(代表 HTTP/3) |
| 拒绝未知 SNI | 建议开启,防扫描探测 |
| 会话恢复 | 建议开启,允许客户端在短暂断开后,直接复用上一次的 TLS 密钥进行快速连接,不需要重新进行繁琐的 TLS 握手。 |
| 公钥/私钥 | 从面板设置证书 |
| 其他 | 保持默认 |
添加入站 - 嗅探:
| 启用 | 点击启用 |
| 勾选 | HTTP、TLS、QUIC |
点击「创建」,完成。
2.2. Hysteria 2 节点 VPS 配置
Hysteria 2 的端口跳跃(Port Hopping)在 VPS 端的实现原理是:实际上 Hysteria 2 服务端只监听了你设定的那个“主端口”(比如 50342),当客户端把流量发到跳跃范围内的其他端口(比如 40001)时,需要通过 VPS 防火墙规则将流量重定向(REDIRECT)至主端口。
假设你在 3x-ui 里设置的:
- 主端口 (Port):
50342 - 端口跳跃范围 (UDP Hop):
40000-50000
第一步:更新软件源并安装 nftables
sudo apt-get update sudo apt-get install nftables -y
第二步:重新写入配置文件
安装完成后,系统会自动生成一个默认的 /etc/nftables.conf。我们需要重新把你的端口转发规则写进去。
1.打开配置文件:
sudo nano /etc/nftables.conf
2.此时里面可能会有一些默认的规则。请用键盘把里面的内容全部删掉,然后重新粘贴入转发规则:(注意替换你的实际端口)
#!/usr/sbin/nft -f
flush ruleset
table inet nat {
chain prerouting {
type nat hook prerouting priority dstnat; policy accept;
udp dport 40000-50000 redirect to :50342
}
chain postrouting {
type nat hook postrouting priority srcnat; policy accept;
}
}
3.保存并退出:按 Ctrl + O -> 回车 -> Ctrl + X。
第三步:重新启动并设置开机自启
配置完文件后,我们需要让系统加载它,并确保以后 VPS 重启时能自动运行。
1.执行以下命令启动并启用 nftables:
sudo systemctl enable nftables sudo systemctl restart nftables
2.检查防火墙状态:
sudo systemctl status nftables
如果看到有一行绿色的 active (running),说明你的 VPS 已经完美实现了端口跳跃转发!
3. VLESS + WS + Cloudflare CDN
这个方案的原理是:将代理流量伪装成普通的 HTTPS 请求,经由 Cloudflare (CF) CDN 中转至服务器。即使服务器真实 IP 被封锁,只要 CF 节点仍可访问,你的节点就始终在线。
注意事项:由于流量需要绕道 Cloudflare 的全球节点再回到你的服务器,物理延迟会增加。这个节点不适合打游戏,主要用于看网页或在服务器 IP 被封时“救急”。
为域名 cloud-cdn.zoio.kdns.fr 开启(CDN)“小云朵”(Proxy 状态)
在 Cloudflare 后台将 SSL/TLS 设置为 完全(严格) (SSL/TLS - 概述)
添加入站 - 基础配置:
| 备注 | 随便填,我是美国洛杉矶的VPS,我这里写的是 🇺🇸 美国 WS-CDN |
| 协议 | 选择 vless |
| 分享地址策略 | 选择 自定义 |
| 自定义分享地址 | 填你开启了小云朵的域名 cloud-cdn.zoio.kdns.fr |
| 端口 | 填写 2053 (Cloudflare支持的HTTPS端口:2053、2083、2087、2096、 |
| 其他 | 保持默认 |
添加入站 - 协议:
| 协议 | 协议这里保持默认,无需配置 |
添加入站 - 传输:
| 传输 | 选择 WebSocket |
| 主机 | 填你开启了小云朵的域名 cloud-cdn.zoio.kdns.fr |
| 路径 | 自定义 /www-zoio-net CDN 只有匹配到这个路径,才会把流量当做节点流量处理 |
| 其他 | 保持默认 |
添加入站 - 安全:
| 安全 | 选择 TLS |
| SNI | 输入 cloud-cdn.zoio.kdns.fr 必须与上一步的主机域名保持完全一致 |
| uTLS | 选择 chrome 模拟真实 Chrome 浏览器的特征 |
| ALPN | 默认 h2、http/1.1 |
| 拒绝未知 SNI | 建议开启,防扫描探测 |
| 会话恢复 | 建议开启,允许客户端在短暂断开后,直接复用上一次的 TLS 密钥进行快速连接,不需要重新进行繁琐的 TLS 握手。 |
| 公钥/私钥 | 这里因为使用的域名并不是绑定面板的域名,所以需要手动输入 SSL 证书路径,而不是从面板设置证书, 查看上一篇教程的 3.3 申请第一个 SSL 证书 查看证书路径 |
| 其他 | 保持默认 |
添加入站 - 嗅探:
| 启用 | 点击启用 |
| 勾选 | HTTP、TLS、QUIC |
点击「创建」,完成。
到这里,我们的入站节点已经全部添加完成。
3x-ui 添加客户端
在左侧菜单选择 「客户端」 点击 「添加客户端」
虽然 3x-ui 更新后,入站节点 与 用户 改为了分开配置,之前是一个节点可配置多个用户,现在更新为客户端,一个客户端可绑定多个节点信息。但我个人建议仍然是分开创建客户端,(一个客户端对应一个入站节点)原因是:
- REALITY 节点需要配置流控(Flow):
xtls-rprx-vision - Hysteria 2 底层使用的是 UDP 协议(基于 QUIC),
xtls-rprx-vision只能作用于 TCP 流量 - WS + CDN 节点走的是 WebSocket (WS),并且中间经过了 Cloudflare CDN 的转发,它只认标准的 HTTP、HTTPS 和 WebSocket 握手协议。
添加客户端 - 基本:
建议:一个客户端对应一个入站节点,分别配置。
| 邮箱 | 自定义 会显示在节点名称上 |
| 关联入站 | 选择刚刚添加的 入站节点 |
| 其他配置 | 流量及过期配置,自用无需配置 |
添加客户端 - 凭据:
| Flow | 流控:选择 xtls-rprx-vision 这是核心技术,用于穿透防火墙并提升速度 |
| * 注意 | 只有 Reality 节点且传输设置为 RAW 时才需要配置 流控(Flow),Hysteria 2 节点与 WS-CDN 无需配置。 |
3x-ui 复制节点订阅链接
添加完客户端信息后,点击 客户端信息图标 复制节点信息,复制到你的 V2rayN 或者 Passwall 中使用。
节点信息:
- 复制链接:单节点信息
- 订阅信息:
- SUB:通用订阅链接
- CLASH:CLASH系订阅链接
v2rayN 示例:(忽略我这垃圾VPS的延迟)
