使用vless + vision科学上网
引言
最近有朋友反馈vmess + ws的方式不好使了,经过测试vless + vision的方式依然可以使用。但是美中不足的是需要使用域名外加申请证书。虽然设置上麻烦了一些,但是在安全性和稳定性上会有更好的保障。
卸载旧软件
如果你是全新安装,可以跳过该步骤。
由于我们之前安装的x-ui软件包不支持vision,所以需要卸载之后重新安装新的软件。卸载的方法很简单,输入如下命令:
x-ui
然后选择正确数字卸载软件,之后输入“y”再卸载面板。
按回车键返回主菜单,完成卸载。
之后再输入下面的命令删除原脚本
rm /usr/bin/x-ui -f
安装x-ui
如果你之前没接触过VPS服务器,你需要挑选一台合适的VPS服务器,关于VPS服务器如何注册申请,请参考这篇文章(链接)。
注:win7系统,需要下载专门的ssh客户端。推荐使用xshell,下载链接。个人版可以免费使用,安装完之后输入邮箱验证一下即可,软件支持中文。
在PowerShell界面(限win10+)使用ssh命令登录到VPS服务器。
ssh root@172.233.130.214
复制代码之后在PowerShell界面单击右键,然后回车确认。记得将“@”后面的IP地址更换成你的服务器IP地址,首次登录需要校验公钥指纹,输入yes按回车确认。
再次尝试登录,输入root对应的登录密码。注意这里输入密码是不会有提示符的,输完之后按回车即可。如果密码输入错误,会断开连接,需要重新发起连接请求。
当出现如上图所示的文字时,表示已经成功登录。
- 更新软件源
首次登录需要更新一下软件源
apt update
复制并运行下方的x-ui一键安装代码
bash <(curl -Ls https://raw.githubusercontent.com/FranzKafkaYu/x-ui/956bf85bbac978d56c0e319c5fac2d6db7df9564/install.sh) 0.3.4.4
安装的过程中会要求我们指定管理员账号密码和端口
最后提示我们x-ui面板已成功安装
由于vless+vision协议必须要使用域名和证书,所以接下来我们提前做好准备,进入域名和证书环节。
注册域名
首先我们需要申请一个免费的二级域名用于申请证书,推荐Afraid Free DNS(链接),使用简单不闹心。
如图所示,依次输入姓氏,名字,ID,密码和邮箱,勾选条款之后点击发送验证码到邮箱地址。
检查邮箱,点击验证地址并再次输入ID和密码即可完成验证。
- 申请二级域名
点击“Subdomains”
Type类型默认为“A”,不要选其它。Subdomain填选你想用的二级子域名名称,如果被用过,在提交的时候会出错。Domain选一个好记的,这里就用“mooo.com”。Destination是域名解析的地址,也就是我们购买的VPS服务器IP地址,输入安全验证码之后点击”save”提交。这个图片验证码是真的难认,不行的话可以点击“Different Image”多试几次。
如果出现这个页面,表示二级域名已经成功申请下来了。需要注意的是,每隔几个月要重新登录一次Afraid Free DNS账号,否则二级域名会被系统收回。
记得将官网收藏一下,每隔一段时间查看一下状态。
检查二级域名解析生效
一般来说,域名解析生效需要一段时间,可能几分钟或者几个小时,最长不会超过24小时。我们可以在windows终端查看。
ping xiaobaibai.mooo.com
我设置的解析地址是“172.233.130.214”,所以当前还没有生效,需要再登待一段时间。
大概十几分钟之后,解析就已经生效了。
证书申请
- 安装证书工具包
curl https://get.acme.sh | sh; apt install socat -y; ~/.acme.sh/acme.sh --set-default-ca --server letsencrypt
出现绿色文字,表示已成功完成安装。在安装的过程中会出现红色的警告,提示你需要socat这个包,请忽视它们,因为会自动安装socat。
确认域名解析生效之后,就可以正式申请证书了。
- 证书申请
申请证书的时候会启用一个临时的web服务器发起网络验证,所以请确保服务器的80端口处于开启状态。
默认情况下,ubuntu的防火墙是关闭的,如果不放心,可以用下面的命令确保半闭防火墙。
ufw disable
友情提示:如果你想打开防火墙,请确认放行80端口。因为证书每三个月会自动更新,到时候会再次发起网络验证。
我们使用的是let’s encrypt颁发的免费证书,输入如下命令:
~/.acme.sh/acme.sh --issue -d xiaobaibai.mooo.com --standalone -k ec-256 --force --insecure
注意需要将黑体部分域名更换成你申请到的二级域名。
已成功申请到证书,最后还会告知你证书的位置。
证书安装
由于let’s encrypt颁发的免费证书只有三个月有效期,所以我们还需要使用专门的工具来安装并管理证书。
在完成安装之后就系统就会在证书快到期之前的几天自动更新。
证书安装命令:
~/.acme.sh/acme.sh --install-cert -d xiaobaibai.mooo.com --ecc --key-file /etc/x-ui/server.key --fullchain-file /etc/x-ui/server.crt
这里要注意将红色的部分更换成你申请的二级域名
提示已成功安装证书。
记录下证书的地址,分别是密钥:“/etc/x-ui/server.key”和公钥:“/etc/x-ui/server.crt”,一会要用到。
友情提示:安装目录“/etc/x-ui/”是x-ui面板的默认安装目录,也可以指定其它目录存放证书。
配置服务端连接
安装好证书后就不用我们再操心证书的事情了,接下来进行x-ui面板的服务端配置。
在浏览器页面中输入: “http://172.233.130.214:8888/”访问管理面板,红色部分用自己的IP替换。注意是地址http不是https,端口8888前面的“:”是英文输入法下的字符而非中文“:”。
输入刚才设置的管理员账号和密码
点击“入站列表”并“添加入站”。
首先输入一个方便管理的备注名,这里的端口号可以根据实际情况修改。
这里有一个地方忘记在图表上标注了,“网络”一定要选择tcp。
然后点击“+”号,添加一个用户。
打开TLS选项,此时账号后面后出现“flow”选项,选择“vision”。
输入刚才申请的二级域名并设置好证书目录,注意公钥和密钥不要弄反了。
二级域名:xiaobaibai.mooo.com
私钥:/etc/x-ui/server.key
公钥:/etc/x-ui/server.crt
点击添加,连接就设置好了。
客户端设置
客户端支持windows,apple,android,具体操作方法可以查看(链接):
真连接延迟大于-1,说明我们的连接有效。由于测速网址使用的是http,vless+vision并不支持,所以看不到结果。实际用起来体验和vmess+ws一样,并没有任何明显的区别,基本都能跑满。
Enjoy it!
小结
vless+vision由于使用了TLS,所以更加安全可靠。其实它的设置并不麻烦,只是要解决域名和证书的问题。正是因为有一定的门槛,所以它被墙的概率要远小心vmess+ws,至少我天天使和,没有任何异常。如果你不想使用免费的域名,觉得三个月验证一次比较麻烦,也可以考虑购买那种打骨折的域名,一年只需要几美元,或者也可以考虑使用ocserv + openconnect,一种远不被墙的翻墙方式。(链接)
这么多年的经历告诉我,科学上网就是一场没有尽头的游击战,vless+vision肯定也有被墙的一天。其实也不用太过担心,现在有越来越多的新协议和新的混淆方式出来,比起以前的网络环境已经好太多了,大不了再换就是。安装过程中如果遇到任何问题,可以在下方留言告诉我。