VLESS + Reality 是目前抗封锁能力最强的方案之一:不需要域名、不需要证书,直接借用一个真实大站(如 microsoft.com)做 TLS 伪装,流量特征几乎和正常 HTTPS 一致。本文用 Xray-core 一步步搭起来。
一、安装 Xray
# 官方一键安装脚本
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install二、生成所需参数
# UUID(客户端 id)
xray uuid
# Reality 密钥对(记下 Private key 和 Public key)
xray x25519
# shortId(任意偶数位十六进制,0~16 位)
openssl rand -hex 8三、服务端配置
编辑 /usr/local/etc/xray/config.json,把上一步生成的值填进去:
{
"inbounds": [
{
"listen": "0.0.0.0",
"port": 443,
"protocol": "vless",
"settings": {
"clients": [
{ "id": "你的UUID", "flow": "xtls-rprx-vision" }
],
"decryption": "none"
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"dest": "www.microsoft.com:443",
"serverNames": ["www.microsoft.com"],
"privateKey": "你的Private key",
"shortIds": ["你的shortId"]
}
}
}
],
"outbounds": [ { "protocol": "freedom" } ]
}四、启动并放行端口
systemctl enable --now xray
systemctl restart xray
# 防火墙放行 443(如装了 ufw)
ufw allow 443/tcp五、客户端配置
v2rayN / sing-box / Shadowrocket 等填写:
- 地址:你的服务器 IP,端口:443
- UUID:第二步生成的 id,流控 flow:
xtls-rprx-vision - 传输:tcp,安全:reality,SNI:
www.microsoft.com - PublicKey:第二步的 Public key,shortId:第二步的值,Fingerprint:chrome
六、验证
# 看运行状态与日志
systemctl status xray
journalctl -u xray -e --no-pager | tail -n 20提示:dest 选一个本地访问通畅、且支持 TLS1.3 + H2 的大站;serverNames 要与 dest 同域名。换站能进一步降低被识别概率。
这套方案日常最稳。如果你想隐藏服务器真实 IP、套 Cloudflare CDN,看下一篇 VMess + WebSocket + TLS。