Vless-TCP-XTLS-Vision节点搭建,xtls-rprx-vision留控终极配置,有效解决TLS包长的问题,利用多重回落达到高效的伪装,配合客户端模拟指纹安全稳定。

 

#准备工作

VPS一台
域名一个
VPS系统为ubuntu 20.04

#开启BBR加速

echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p

#更新软件源及安装组件

apt update
apt upgrade
apt install socat

#安装Xray

bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

#修改Xray配置信息(/usr/local/etc/xray/config.json)

{
    "log": {
        "loglevel": "warning"
    },
    "routing": {
        "domainStrategy": "IPIfNonMatch",
        "rules": [
            {
                "type": "field",
                "ip": [
                    "geoip:cn",
                    "geoip:private"
                ],
                "outboundTag": "block"
            }
        ]
    },
    "inbounds": [
        {
            "port": 443,   //端口
            "protocol": "vless",  //协议类型
            "settings": {
                "clients": [
                    {
                        "id": "uuid",  //替换为你的uuid
                        "flow": "xtls-rprx-vision"   //流控
                    }
                ],
                "decryption": "none",
                "fallbacks": [
                    {
                        "dest": 10010,   //Trojan协议的分流端口
                        "xver": 1
                    },
                    {
                        "path": "/vlessws",    //vless+ws的分流路径
                        "dest": 10011,      //分流端口
                        "xver": 1
                    },
                    {
                        "path": "/vmessws",   //vmess+ws的分流路径
                        "dest": 10012,    //分流端口
                        "xver": 1
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp",
                "security": "tls",
                "tlsSettings": {
                    "rejectUnknownSni": true,   //服务端接收到的 SNI 与证书域名不匹配即拒绝 TLS 握手
                    "fingerprint": "chrome",    //TLS指纹伪装,伪装为chrome浏览器指纹
                    "allowInsecure": false,   //不允许不安全连接(仅用于客户端)
                    "alpn": [
                        "http/1.1","h2"
                    ],
                    "certificates": [
                        {
                            "ocspStapling": 3600,   //OCSP 装订更新,与证书热重载的时间间隔
                            "certificateFile": "/etc/ssl/private/cert.crt",   //证书位置,绝对路径
                            "keyFile": "/etc/ssl/private/private.key"   //私钥位置,绝对路径
                        }
                    ]
                }
            },
            "sniffing": {
                "enabled": true,
                "destOverride": [
                    "http",
                    "tls"
                ]
            }
        },
        {
            "port": 10010,   //trojan节点的分流端口
            "listen": "127.0.0.1",
            "protocol": "trojan",  
            "settings": {
                "clients": [
                    {
                        "password": "pass"  //替换为你的密码
                    }
                ],
                "fallbacks": [
                    {
                        "alpn": "h2",  //h2回落
                        "dest": 81,   //h2回落端口
                        "xver": 1
                    },
                    {
                       "dest": 82,  //http/1.1回落端口
                       "xver": 1 
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp",
                "security": "none",
                "tcpSettings": {
                    "acceptProxyProtocol": true
                }
            }
        },
        {
            "port": 10011,   //vless+ws节点的分流端口
            "listen": "127.0.0.1",
            "protocol": "vless",
            "settings": {
                "clients": [
                    {
                        "id": "uuid"   //替换为你的uuid
                    }
                ],
                "decryption": "none"
            },
            "streamSettings": {
                "network": "ws",  
                "security": "none",
                "wsSettings": {
                    "acceptProxyProtocol": true,   //若使用Nginx/Caddy等反代WS,需要删掉这行
                    "path": "/vlessws"   //ws的路径,需要和分流的一致
                }
            }
        },
        {
            "port": 10012,   //vmess+ws节点的分流端口
            "listen": "127.0.0.1",
            "protocol": "vmess",
            "settings": {
                "clients": [
                    {
                        "id": "uuid"   //替换为你的uuid
                    }
                ]
            },
            "streamSettings": {
                "network": "ws",
                "security": "none",
                "wsSettings": {
                    "acceptProxyProtocol": true,   //若使用Nginx/Caddy等反代WS,需要删掉这行
                    "path": "/vmessws"   //ws的路径,需要和分流的一致
                }
            }
        }
    ], 
    "outbounds": [
        {
            "protocol": "freedom",
            "tag": "direct"
        },
        {
            "protocol": "blackhole",
            "tag": "block"
        }
    ]
}

#申请安装证书

curl https://get.acme.sh | sh
ln -s /root/.acme.sh/acme.sh /usr/local/bin/acme.sh
acme.sh --set-default-ca --server letsencrypt
acme.sh --issue -d 你的域名 --standalone -k ec-256 --webroot /home/wwwroot/html
acme.sh --install-cert -d 你的域名 --ecc --key-file /etc/ssl/private/private.key --fullchain-file /etc/ssl/private/cert.crt

#安装Nginx

apt install nginx

#修改nginx配置信息(/etc/nginx/nginx.json)

user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;

events {
    worker_connections 768;
}

http {
    include mime.types;
    default_type application/octet-stream;
    sendfile on;
    keepalive_timeout 65;

    server {
        listen 80 default_server;
        listen [::]:80 default_server;
        return 301 https://$host$request_uri;    #HTTP自动跳转HTTPS
    }

    server {
        listen 127.0.0.1:82 proxy_protocol default_server;
        listen 127.0.0.1:81 http2 proxy_protocol default_server;
        set_real_ip_from 127.0.0.1;
        real_ip_header proxy_protocol;
        server_name _;
        return 404;
    }     #限定域名访问,返回404

    server {
        server_name your-domain-name.com; #你的域名
        listen 127.0.0.1:82 proxy_protocol; #HTTP/1.1本地监听端口
        listen 127.0.0.1:81 http2 proxy_protocol; #H2本地监听端口
        set_real_ip_from 127.0.0.1;
        real_ip_header proxy_protocol;

        location / {
            add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS
            proxy_pass https://www.bing.com; #伪装网址
            proxy_ssl_server_name on;
            proxy_redirect off;
            sub_filter_once off;
            sub_filter "www.bing.com" $server_name; #伪装网址
            proxy_set_header Host "www.bing.com"; #伪装网址
            proxy_set_header Referer $http_referer;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header User-Agent $http_user_agent;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto https;
            proxy_set_header Accept-Encoding "";
            proxy_set_header Accept-Language "zh-CN";
        }
    }
}

#nginx服务相关命令

#重新加载   
systemctl reload nginx

#启动状态  
systemctl status nginx.service

#xray服务相关命令

#重启 
systemctl restart xray

#启动状态  
systemctl status xray

#修改Xray开机自启配置信息(/etc/systemd/system/xray.service)

[Unit]
Description=Xray Service
Documentation=https://github.com/xtls
After=network.target nss-lookup.target

[Service]
User=root
CapabilityBoundingSet=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
NoNewPrivileges=true
ExecStart=/usr/local/bin/xray run -config /usr/local/etc/xray/config.json
Restart=on-failure
RestartPreventExitStatus=23
LimitNPROC=10000
LimitNOFILE=1000000

[Install]
WantedBy=multi-user.target

#重新加载守护进程

systemctl daemon-reload

YouTube视频教程地址:https://youtu.be/-DOdWqiIPNw

评论

发表评论

此博客中的热门博文

使用 OpenWrt 23.05.5 官网源码编译固件 创建日期:2023/04/05 修改日期:2024/10/27

图片
使用 OpenWrt 23.05.5 官网源码编译固件 创建日期:2023/04/05 修改日期:2024/10/27 下文以官方 23.05.5 为例 下文以为 x86 架构编译为例,若为其他平台(路由器、树莓派等其他架构)则下文中获取内核的魔法值、菜单配置需自行更改 前言 用过大佬编译好的固件,也自己基于大佬的固件手动编译,最终还是决定用官方的源码编译,只加入自己想要的软件 相关链接: 官方的地址 源码: https://github.com/openwrt/openwrt 固件: https://downloads.openwrt.org 大佬的源码: Lean's LEDE  :  https://github.com/coolsnowwolf/lede Lienol's OpenWrt  :  https://github.com/Lienol/openwrt 准备工作 环境 系统:Debian 11 x64位系统 网络:可以访问外网( 国内请全局科学上网 ) 磁盘:大约有 30G 的空闲空间 内存:至少 4G 物理内存 CPU:越快越好,影响编译速度 依赖 以  root  用户执行以下命令或者有  root  权限的用户 sudo apt update - y sudo apt install - y ack antlr3 aria2 asciidoc autoconf automake autopoint binutils bison build - essential \ bzip2 ccache cmake cpio curl device - tree - compiler fastjar flex gawk gettext gcc - multilib g ++- multilib \ git gperf haveged help2man intltool libc6 - dev - i386 libelf - dev libglib2 . 0 - dev libgmp3 - dev libltdl - dev \ libmpc - dev libmpfr - dev libncurses5 - dev libncursesw5 - dev libreadlin...
阅读全文

OpenWrt作为旁路由配置Wireguard 实现内网穿透

图片
  OpenWrt作为旁路由配置Wireguard 实现内网穿透 0. 前言 因为最近一直在折腾软路由相关的系统及配置,也在家里整了一套k8s的环境,有一定需求需要在外面去连这套k8s的环境作为开发环境的补充,虽然可以通过外网端口暴露的方式访问,但是还是觉得不太方便和安全,因此需要将办公环境的电脑直接通过内网的ip访问内网的环境。 因为办公环境使用的是 H3C 的 iNode 上网,尝试使用 OpenVpn 发现连接后 iNode 会掉线,在官方的论坛上搜索后得知是有冲突, iNode 跟其他VPN冲突 ,如果都是用ssl的vpn软件话会存在冲突只能用一个。这时需要换一种vpn的协议,这时选择了采用udp协议的 WireGuard 。 本文不对 OpenWrt 的安装及作为旁路由的配置做介绍,只针对旁路由下的 OpenVpn 如何安装 WireGuard 实现内网穿透,我使用的是 esir 的高大全的版本,预装了 WireGuard ,下载链接如下: esir高大全openwrt esir高大全openwrt列表 1. OpenVpn和WireGuard区别 OpenConnect VPN 主要是使用 TCP 协议,而 WireGuard 则是 UDP 协议,最明显使用感知就是前者需要类似拨号一样过程,在网络断开,重连等情况下并非无感.而 WireGuard 则类似于常驻后台,随用随取的感觉,体验不错. 在配置方面,  OpenConnect VPN  需要使用证书来提高使用安全和连接体验,而  WireGuard 则是使用点对点的加密公钥私钥的形式来配对,并且每台客户端需要单独分配 IP 和公私钥.前期配置均稍许麻烦,但两者后续使用和管理都还比较合理和方便. OpenConnect VPN  只需要客户端拥有证书文件即可(或者设置对应的账户密码), WireGuard  只需要客户拥有配置文件即可 2. 网络环境介绍 192.168.50.1   ikuai  主路由 192.168.50.2   openwrt  旁路由,并作为DNS,与 主路由网关互指 3. 服务端设置 3.1 创建公钥私钥 预共享密钥 通过 SSH 登陆到  OpenWRT ...
阅读全文

yt-dlp详细使用教程参考,其中下载播放列表有效

  1. 下载视频或播放列表 要从 Youtube 下载视频或整个视频播放列表,只需直接使用 URL 即可: yt-dlp https://www.youtube.com/watch?v=xIFfO7sfOyY 输出如下: root@localhost:~# yt-dlp https://www.youtube.com/watch?v=xIFfO7sfOyY [youtube] xIFfO7sfOyY: Downloading webpage [youtube] xIFfO7sfOyY: Downloading android player API JSON [youtube] xIFfO7sfOyY: Downloading player 596ef930 [info] xIFfO7sfOyY: Downloading 1 format(s): 315+251 [download] Destination: K_DA - MORE 4K WITH 60 FPS (REMAKE MUSIC VIDEO) [xIFfO7sfOyY].f315.webm [download] 100% of 395.99MiB in 00:07 [download] Destination: K_DA - MORE 4K WITH 60 FPS (REMAKE MUSIC VIDEO) [xIFfO7sfOyY].f251.webm [download] 100% of 3.43MiB in 00:00 [Merger] Merging formats into "K_DA - MORE 4K WITH 60 FPS (REMAKE MUSIC VIDEO) [xIFfO7sfOyY].webm" Deleting original file K_DA - MORE 4K WITH 60 FPS (REMAKE MUSIC VIDEO) [xIFfO7sfOyY].f315.webm (pass -k to keep) Deleting original file K_DA - MORE 4K WITH 60 FPS (REMAKE MUSIC VIDEO) [xIFfO7sfOyY].f251.webm (pass -k to keep) 如果要指定视频下载之后的...
阅读全文