三种主流VPN搭建方法完全指南
文章目录
本文介绍 VLESS+Reality、TUIC 和 Hysteria2 三种主流 VPN 的搭建方法,包含自动化安装脚本和客户端配置指南.
免责声明: 本文内容仅供学习研究使用,请勿用于非法用途。
TL;DR
服务器环境要求
推荐服务器:
- vmiss: us-los-angeles-cn2 (6 CAD/month)
- bandwagonhost: E-Commerce VPS (169 USD/Year)
- 操作系统: Ubuntu 24.04 LTS (22版本也可)
- 权限: root 用户
- 网络: 公网 IP 地址
- 防火墙: 需开放相应端口
⚠️ 重要提示: 某些服务器安装完成后,需要在以下两处开放相应端口:
- 服务器提供商的防火墙设置
- 服务器系统防火墙(使用
ufw命令, Vultr 服务器通常需要这一步!)
一键安装 (推荐安装 VLESS + Reality 和 Hysteria2 即可)
VLESS + Reality (快捷安装, 无需域名和邮箱)
bash <(curl -fsSL https://raw.githubusercontent.com/nolanzhao/network_tools/dev/install_vless_reality.sh)
TUIC (需要输入自己的域名和邮箱)
bash <(curl -fsSL https://raw.githubusercontent.com/nolanzhao/network_tools/dev/install-tuic-server.sh)
Hysteria2 (需要输入自己的域名和邮箱)
bash <(curl -fsSL https://raw.githubusercontent.com/nolanzhao/network_tools/dev/install_hysteria2.sh)
方案一: VLESS + Reality (最稳定)
方案特点
VLESS + Reality 是目前最稳定的VPN方案之一,具有以下优势:
- ✅ 极强抗封锁能力: Reality 协议可伪装成真实网站流量
- ✅ 基于 TCP: 稳定可靠,适合网络环境复杂的场景
- ✅ 无需域名: 不需要购买和配置域名,降低使用门槛
- ✅ 配置简单: 使用自动化脚本一键部署
技术原理
VLESS 是一种轻量级传输协议,Reality 是新一代流量伪装技术,可以将VPN流量伪装成访问知名网站的流量,从而避免被识别和封锁。
一键安装
bash <(curl -fsSL https://raw.githubusercontent.com/nolanzhao/network_tools/dev/install_vless_reality.sh)
💡 安装完成后,脚本会自动生成:
- 完整的连接配置信息(服务器地址、端口、UUID、公钥、Short ID)
- 客户端导入二维码(扫码即用)
- 配置文件位置:
/usr/local/etc/xray/config.json
维护命令
# 查看服务状态
systemctl status xray
# 启动服务
systemctl start xray
# 停止服务
systemctl stop xray
# 重启服务
systemctl restart xray
# 查看日志
journalctl -u xray -f
方案二: TUIC (速度较快, 可做备选方案)
方案特点
TUIC 是基于 QUIC 协议的现代化VPN方案:
- ⚡ 速度快: 基于 UDP 的 QUIC 协议,延迟低
- 🔒 安全性高: 内置 TLS 1.3 加密
- 🌐 需要域名: 必须配置有效域名和 SSL 证书
- 📱 支持广泛: 主流客户端均支持
技术原理
TUIC 基于 QUIC (Quick UDP Internet Connections) 协议,这是 Google 开发的下一代互联网传输协议,具有 0-RTT 连接建立、多路复用、丢包快速恢复等特性,在弱网环境下表现优异。
前置准备
- 域名准备: 拥有一个有效域名,并确保 DNS 已解析到服务器 IP
- 邮箱准备: 用于申请 SSL 证书(推荐使用真实邮箱)
一键安装
bash <(curl -fsSL https://raw.githubusercontent.com/nolanzhao/network_tools/dev/install-tuic-server.sh)
安装过程中会交互式提示输入:
- 域名: 你的域名(如 tuic.example.com)
- 邮箱: 用于证书申请的邮箱地址
- 证书验证方式: HTTP-01(推荐)或 DNS-01
💡 安装完成后,脚本会自动:
- 申请并配置 SSL 证书(自动续期)
- 生成随机端口、UUID 和强密码
- 显示完整的客户端配置信息和二维码
- 配置文件位置:
/etc/tuic/config.json
防火墙配置
安装完成后记得开放 TUIC 使用的端口:
# 查看配置文件获取端口号
cat /etc/tuic/config.json | grep server
# 开放端口(假设端口是 12345)
sudo ufw allow 12345/udp
维护命令
# 查看服务状态
systemctl status tuic-server
# 启动服务
systemctl start tuic-server
# 停止服务
systemctl stop tuic-server
# 重启服务
systemctl restart tuic-server
# 查看日志
journalctl -u tuic-server -f
证书管理
脚本已自动配置证书自动续期(每天 21:29 检查,到期前 60 天自动续期):
# 查看证书列表和到期时间
/root/.acme.sh/acme.sh --list
# 查看自动续期定时任务
crontab -l | grep acme.sh
# 手动强制续期(如需要)
/root/.acme.sh/acme.sh --renew -d your.domain.com --force --ecc
# 手动触发检查(不等定时)
/root/.acme.sh/acme.sh --cron --force
Crontab 自动续期配置(已自动添加):
# 每天 21:29 自动更新服务器所有域名证书
29 21 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
方案三: Hysteria2 (速度最快)
方案特点
Hysteria2 是目前速度最快的VPN方案:
- 🚀 速度最快: 专为高延迟、高丢包网络优化
- 💪 强大功能: 多端口跳跃、自定义拥塞控制
- 🌐 需要域名: 需要配置域名和证书
- ⚙️ 配置灵活: 可根据网络环境精细调优
技术原理
Hysteria2 同样基于 QUIC 协议,但使用了自研的拥塞控制算法,在高丢包环境下性能远超传统协议。它特别适合跨国长距离传输和弱网环境。
前置准备
- 域名准备: 拥有一个有效域名,并确保 DNS 已解析到服务器 IP
- 邮箱准备: 用于申请 SSL 证书
一键安装
1. 安装 Hysteria2
bash <(curl -fsSL https://get.hy2.sh/)
2. 申请证书
# 安装 acme.sh
curl https://get.acme.sh | sh -s email=your@email.com
# 申请证书
~/.acme.sh/acme.sh --issue -d your.domain.com --standalone --keylength ec-256
# 安装证书(包含自动重启配置)
~/.acme.sh/acme.sh --install-cert -d your.domain.com --ecc \
--key-file /etc/hysteria/private.key \
--fullchain-file /etc/hysteria/cert.crt \
--reloadcmd "systemctl restart hysteria-server"
💡 证书自动续期: 添加
--reloadcmd参数后,证书续期时会自动重启 Hysteria2 服务
3. 创建配置文件
参考官方文档创建 /etc/hysteria/config.yaml,关键配置项:
- 监听端口(建议 443)
- TLS 证书路径
- 认证密码
- 带宽限制(根据服务器实际情况调整)
- 伪装网站(masquerade)
完整配置模板请参考: https://v2.hysteria.network/zh/docs/getting-started/Server/
4. 启动服务
systemctl enable hysteria-server
systemctl start hysteria-server
systemctl status hysteria-server
防火墙配置
# 开放 443 端口(UDP)
sudo ufw allow 443/udp
# 开放 80 端口(用于证书续期)
sudo ufw allow 80/tcp
高级功能
端口跳跃(防止端口封锁):
listen: :20000-30000 # 使用端口段
多用户管理:
auth:
type: userpass
userpass:
user1: password1
user2: password2
维护命令
# 查看服务状态
systemctl status hysteria-server
# 启动/停止/重启
systemctl start/stop/restart hysteria-server
# 查看日志
journalctl -u hysteria-server -f
# 测试配置文件
hysteria server -c /etc/hysteria/config.yaml --test
# 更新 Hysteria2
bash <(curl -fsSL https://get.hy2.sh/)
证书管理
# 查看证书列表和到期时间
/root/.acme.sh/acme.sh --list
# 查看自动续期定时任务
crontab -l | grep acme.sh
# 手动强制续期(如需要)
/root/.acme.sh/acme.sh --renew -d your.domain.com --force --ecc
# 手动触发检查(不等定时)
/root/.acme.sh/acme.sh --cron --force
Crontab 自动续期配置:
# 每天 21:29 自动更新服务器所有域名证书
29 21 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
客户端配置
支持的客户端
所有三种方案都支持以下主流客户端:
Windows / macOS / Linux
- v2rayN: https://v2rayn.2dust.link/
- 支持所有三种协议
- 图形化界面,易于使用
- mac 授权安装命令:
xattr -cr /Applications/v2rayN.app
iOS
- Shadowrocket: App Store 下载(需美区账号)
- 功能强大,支持多种协议
Android
- v2rayNG: https://v2rayng.2dust.link/
- 开源免费,支持所有协议
通用配置步骤
- 下载并安装客户端
- 导入服务器配置
- 扫描服务端生成的二维码(推荐)
- 或手动输入服务器信息
- 测试连接
- 选择路由模式(全局/规则/直连)
配置说明
推荐方式: 使用安装脚本生成的二维码,在客户端中扫码导入配置(最简单快捷)
手动配置: 安装完成后,脚本会显示所有必要的连接参数,按照提示在客户端中手动输入即可
三种方案对比
| 特性 | VLESS + Reality | TUIC | Hysteria2 |
|---|---|---|---|
| 传输协议 | TCP | QUIC (UDP) | QUIC (UDP) |
| 稳定性 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| 速度 | ⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
| 抗封锁能力 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| 弱网表现 | 一般 | 好 | 极好 |
| CPU占用 | 低 | 中 | 中 |
| 推荐场景 | 稳定为主 | 平衡性能 | 极限速度 |
使用建议
新手用户
推荐 VLESS + Reality:
- 无需域名和证书,配置最简单
- 稳定性最好,适合长期使用
- 一键脚本安装,5分钟搞定
追求速度
推荐 Hysteria2:
- 速度最快,特别适合看视频、下载
- 弱网环境表现优异
- 可根据实际情况精细调优
多方案部署
建议在同一服务器上同时部署多种方案:
- 主力: Hysteria2(日常使用)
- 备用: VLESS + Reality(应对封锁)
- 辅助: TUIC(特殊场景)
安全建议
服务器安全
- 定期更新系统
sudo apt update && sudo apt upgrade -y
- 配置防火墙
sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing
# 只开放必要端口
- 修改 SSH 端口
# 编辑 /etc/ssh/sshd_config
Port 2222 # 改为非标准端口
PermitRootLogin no # 禁止 root 直接登录
- 使用密钥登录
# 禁用密码登录,只允许密钥
PasswordAuthentication no
使用安全
- 定期更换密码和UUID
- 不要分享配置给不信任的人
- 合理使用,遵守当地法律法规
- 定期备份配置文件
故障排查
无法连接
- 检查服务状态
systemctl status xray # 或 tuic-server / hysteria-server
- 检查端口是否开放
# 检查端口监听
netstat -tlnp | grep 端口号
# 检查防火墙
sudo ufw status
- 查看日志
journalctl -u 服务名 -f
速度慢
- 检查服务器负载
top
iotop
- 测试服务器网络
# 安装 speedtest-cli
pip3 install speedtest-cli
# 测速
speedtest-cli
- 调整配置参数
- Hysteria2: 调整 bandwidth 参数
- TUIC: 尝试更换拥塞控制算法
频繁断线
- 检查服务器稳定性
- 更换伪装域名(VLESS Reality)
- 调整超时参数(Hysteria2)
总结
本文详细介绍了三种主流VPN搭建方案的完整流程。每种方案都有其特点:
- VLESS + Reality: 最稳定,无需域名,适合新手
- TUIC: 速度快,配置适中,综合性能好
- Hysteria2: 速度最快,功能最强,适合追求极致性能
选择合适的方案,正确配置和使用,可以获得稳定高速的网络体验。
请合理使用这些工具,遵守相关法律法规。
参考资源
- Xray 官方文档: https://xtls.github.io/
- TUIC 官方仓库: https://github.com/EAimTY/tuic
- Hysteria2 官方文档: https://v2.hysteria.network/
- v2rayN 下载: https://v2rayn.2dust.link/
- acme.sh 文档: https://github.com/acmesh-official/acme.sh
最后更新: 2025年12月27日 #修改主机推荐 #添加 mac 授权安装命令