这篇文章很久之前就写了,但一直放在wordpress博客的草稿里不敢发布。原因是去年我wp博客突然被下备案了,什么原因都没有告知,后面打电话问了管局才知道是因为博客存在搭建VPN、翻墙教程,被工信部永久拉入黑名单了(呜呜呜,5年的备案域名,收录还这么多就这样没了)。今天突然想起还有hexo博客,就索性在这里发布算了。
Reality协议的优势:
- 消除TLS指纹:通过伪装成普通的HTTPS流量,Reality协议避免了被特定TLS特征识别的风险。
- 前向保密性:确保即使私钥泄露,之前的通信内容也无法被解密。
- 无需自有域名:可以指向任何支持TLS 1.3和H2的网站,无需购买或配置自己的域名。
- 不受端口限制:可以使用非443端口,增加了部署的灵活性。
reality在流行代理协议中是最强的,强于TLS,至于会不会被GFW封,目前没有收到大规模报告。如果流量大了,还是会封的。
多的就不写了(下面的教程比较简略),别到时候把这博客给整墙了
建议debian12系统
面板安装脚本
1 | # 3x-ui(伊朗的,功能多,推荐) |
给面板加SSL(可忽略,但强烈建议)
安装cf证书,需要cf上有域名
解析一个A记录的域名到服务器ip
然后打开个人资料:https://dash.cloudflare.com/profile/api-tokens,找到Global API Key复制下来
在ssh终端输入x-ui,输入19(Cloudflare SSL Certificate),然后接着输入解析的域名,cf的key,邮箱,一直按着执行下去就会出现面板地址了(如果忘记了,脚本命令第10就是面板信息)
添加节点
打开面板,直接上配置图
Dest和SNI填一个支持H2,且ping值低的网站填上去(要用服务器ping该网站),注意别漏:443
如何寻找 TLS1.3/H2 的网站
- 目标网站最低标准:国外网站,支持 TLSv1.3 与 H2,域名非跳转用
- 加分项:IP 相近(更像,且延迟低),Server Hello 后的握手消息一起加密(如 dl.google.com),有 OCSP Stapling
- 配置加分项:禁回国流量,TCP/80、UDP/443 也转发(REALITY 对外表现即为端口转发,目标 IP 冷门或许更好)
查询目标网站是否支持 OCSP Stapling:http://web.chacuo.net/netocspstapling
TLS1.3 / X25519 / H2:https://www.ssllabs.com/ssltest/index.html
1 | # 域名推荐 |
