如何搭建与配置 3X-UI 面板？2026最新 REALITY / Hysteria 2 / WS+CDN 节点搭建参数详解与避坑指南

在自己动手搭建节点、摆脱中转机场频繁拔线与跑路焦虑的过程中，如何搭建与配置 3X-UI 面板？2026最新 REALITY / Hysteria 2 / WS+CDN 节点搭建参数详解与避坑指南 是每个自建科学上网服务玩家必须彻底掌握的必修技能。

自建 3X-UI 面板及三合一节点的标准工作流如下：

首先，首选 Debian 12 系统初始化 VPS 并通过 ntpdate 强制校准系统时间，使用官方一键脚本安装 3X-UI 面板，并在安全设定中修改默认端口（推荐 8443）、登录凭据与 url 混淆根路径；

其次，利用面板集成的 acme.sh 分别为面板域名（域名 a）与 CDN 域名（域名 b）申请 SSL 证书并开启 BBR 加速；

接着，在面板中配置三大黄金节点：443 端口 of VLESS + REALITY 模拟真实 TLS 握手做主力，随机高位端口的 Hysteria 2 暴力抗丢包，以及 2053 端口的 VLESS + WS + CDN 作为 IP 被墙时的最后备用；

最后，导出节点链接并在客户端中配置优选 IP 提速即可运行。

一、系统选型、域名与端口规划

自己搭建节点，首要工作是选择合适的服务器系统并做好域名、端口的分配规划。

1.1 VPS 操作系统选择：为什么首选 Debian 12？

如果您的 VPS 主要用于部署 3X-UI 节点，在系统选择上，建议首选 Debian 12（代号 Bookworm），其次才是 Ubuntu。

对于大部分小内存或廉价 VPS（如搬瓦工、绿云等），省下的每一兆内存都极其宝贵，因此纯净稳定的 Debian 12 是首选。

1.2 域名规划：安全与 CDN 的双重保险

为了实现隐蔽管理和 WS+CDN 节点在 IP 被墙时的“复活机制”，我们需要解析两个不同的子域名：

1. 面板访问与直连域名（域名 a）：例如 a.yourdomain.com，解析 A 记录指向服务器 IP。用于 3X-UI 管理后台访问、VLESS-REALITY 辅助配置、以及 Hysteria 2 节点申请 SSL 证书。
2. CDN 保命备用域名（域名 b）：例如 b.yourdomain.com，解析 A 记录指向服务器 IP，开启 Cloudflare 代理状态（小云朵）。用于 VLESS+WS+CDN 节点的安全中转。

1.3 端口规划

为了规避常规扫描，我们将各服务的监听端口规划如下：

二、VPS 基础环境配置与时间同步

在搭建 3X-UI 之前，必须对 VPS 进行基础环境的校准 and 排障。

使用终端工具（如 FinalShell）通过 SSH 登录您的 VPS：

1. 更新系统包并安装必备组件

apt update && apt upgrade -y
apt install -y curl wget socat ntpdate

2. 校准系统时区与时间

# 设置服务器为中国时区
timedatectl set-timezone Asia/Shanghai

# 使用 ntp 强制校准系统时钟
ntpdate pool.ntp.org

3. 清理防火墙障碍

为防止系统的临时防火墙阻断端口测试，建议先临时释放端口限制：

# 关闭 ufw (Ubuntu)
systemctl stop ufw && systemctl disable ufw

# 关闭 firewalld (Debian/CentOS)
systemctl stop firewalld && systemctl disable firewalld

# 清空系统默认的 iptables 拦截规则
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F

三、3X-UI 面板一键部署与证书托管

3.1 一键安装脚本

执行 3X-UI 开源项目最新的一键脚本命令：

bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

根据安装引导：

1. 提示是否自定义面板端口（Would you like to customize the Panel Port settings?）时输入 y。
2. 输入自定义面板端口：8443。
3. SSL 证书选项：选择 2（Let’s Encrypt IP 地址证书，作为临时证书用于第一次加密面板连接）。ACME 80 端口占用回车默认即可。
4. 脚本完成后，会打印出初始的随机用户名、密码和登录地址。

3.2 acme.sh 双证书独立申请与自动续签

3X-UI 的内置菜单仅支持为单域名配置证书，而在本文的规划中，我们需要为 a 和 b 两个子域名分别申请独立的证书。

1. 调出管理菜单

在 VPS 终端输入：

x-ui

输入 18（SSL Certificate Management）并选择 1（Get SSL）。

2. 申请备用域名 b 证书（WS+CDN 节点）

• 输入解析好且暂时关闭小云朵的域名（如 b.yourdomain.com）。
• 端口选择 80。申请成功后，系统会生成证书。
• 在 Would you like to modify –reloadcmd for ACME? 中输入 y 并选择 1。
• 注意：在 Would you like to set this certificate for the panel? 中必须输入 n（因为面板我们将绑定域名 a，不使用域名 b 登录）。
• 记下屏幕上打印的公钥（.cer）与私钥（.key）绝对路径，用于后续 WS+CDN 节点配置。
  • 例如：/root/.acme.sh/b.yourdomain.com_ecc/fullchain.cer
  • 例如：/root/.acme.sh/b.yourdomain.com_ecc/b.yourdomain.com.key

3. 申请面板直连域名 a 证书（面板+直连节点）

• 重新在菜单中输入 18 -> 1。
• 输入主域名（如 a.yourdomain.com），默认 80 端口。
• 在最后的 Would you like to set this certificate for the panel? 时输入 y，将域名 a 的证书正式绑定给面板后台。
• 绑定成功后，面板退出并重启。退出 x-ui 脚本，接下来即可通过全新的 HTTPS 域名链接安全访问面板：https://a.yourdomain.com:8443/。

3.3 开启系统 BBR 拥塞算法

继续在终端输入 x-ui，输入 23（Enable BBR）并选择 1 启用 BBR 加速。开启后输入 0 退出脚本。

四、3X-UI 常规安全加固

公网上的黑客扫描器会无差别扫描 8443 端口。为了杜绝安全泄露，必须对面板后台进行安全混淆。

1. 修改登录路径（面板 url 根路径）：
   • 登录 Web 页面，点击左侧菜单的 「面板设置」 -> 「常规配置」。
   • 在 「面板 url 根路径」 字段输入一个随机 of 混淆路径，例如 /zoio/。
   • 点击 「保存配置」 并 「重启面板」。
   • 加固后，访问后台的链接必须输入完整的混淆路径：https://a.yourdomain.com:8443/zoio/，若直接访问不带混淆后缀的根域名将直接返回 404 错误，从而屏蔽扫描。
2. 重置管理员凭证：
   • 在 「安全设定」 -> 「管理员凭证」 中将系统默认随机生成的账号密码更改为您自定义的高强度账号密码。

五、三大黄金节点配置参数详解

3X-UI 最强悍的地方在于，它允许您在一个控制台下同时配置多种主流的防封锁与网络吞吐协议。

5.1 VLESS + REALITY (日常主力节点)

REALITY 是一种革命性的直连伪装方案，它省去了申请证书的麻烦，通过“借用”别人的真实大厂 SSL 证书（如 www.microsoft.com）来规避防火墙的深度探测（DPI）。

添加入站配置步骤：

• 备注：自定义命名（如 Reality-Direct）。
• 协议：选择 vless。
• 端口：必须填 443（模拟正常的 HTTPS 安全网页访问）。
• 用户：点击生成 UUID。
• 流控 (Flow)：必选 xtls-rprx-vision（只有开启该流控，Xray 才能实现主动伪装与抗时延探测分析）。
• 传输：选择 tcp。
• 安全：选择 reality。
• uTLS：选择 chrome（模拟真实 Chrome 浏览器的握手 TLS 指纹）。
• Target (目标网站)：填写 www.microsoft.com:443。
• SNI (安全套接字指示)：填写 www.microsoft.com（必须与 Target 一致）。
• 公钥与私钥 (Key Pair)：点击右侧的 Get New Key，面板会自动生成对应的密钥对。
• Sniffing (流量嗅探)：开启，并勾选 HTTP, TLS, QUIC, FAKEDNS（支持客户端在分流时准确获取域名以规避 DNS 泄漏）。
• 点击 「添加」 完成入站节点生成。

5.2 Hysteria 2 (备用加速与游戏节点)

Hysteria 2 基于 QUIC/UDP 协议，在大带宽、高丢包、高时延的晚高峰环境下具有极强的穿透和提速性能。

添加入站配置步骤：

• 备注：自定义命名（如 Hy2-Turbo）。
• 协议：选择 hysteria 2。
• 端口：输入自定义的高位端口（如 13322）。
• 安全：默认开启 TLS。
• SNI：输入我们解析好的子域名 a.yourdomain.com。
• ALPN：必须填写 h3。
• Reject Unknown SNI：建议启用（如果有人用非解析域名或扫描器直接探测您的 IP 端口，节点将直接拒绝服务以防止扫描泄露）。
• Session Resumption：开启（允许复用会话以减少 TLS 二次握手的耗时）。
• 证书证书路径：点击底部的 「从面板设置证书」 按钮，面板会自动读取绑定至当前面板域名 a 的证书路径。
• Sniffing (流量嗅探)：开启并勾选全部。
• 点击 「添加」 保存。

5.3 VLESS + WS + Cloudflare CDN (保命备份节点)

该方案的逻辑是：您的流量被包装为普通的 WebSocket 请求，套上了域名 b 并由 Cloudflare 全球 CDN 服务器进行转发。即使您的 VPS IP 被 GFW 强行封锁了，由于 CDN Anycast IP 还活着，您的节点就不会断。

步骤一：开启 CDN 小云朵

在 Cloudflare 后台，将子域名 b.yourdomain.com 的代理状态正式切换为开启（Proxy 状态变成橙色小云朵）。

步骤二：添加入站配置参数：

• 备注：自定义命名（如 VLESS-WS-CDN）。
• 协议：选择 vless。
• 端口：必须选择 Cloudflare 支持的 HTTPS 非标端口（如 2053）。
• 传输：选择 ws (WebSocket)。
• 主机 (Host)：填入开启了小云朵的子域名 b.yourdomain.com。
• 路径 (Path)：自定义混淆路径，例如 /www-zoio-net。
• 安全：选择 tls。
• SNI：填写子域名 b.yourdomain.com。
• Reject Unknown SNI：启用。
• 公钥绝对路径：填写为子域名 b 申请证书时的公钥位置（例如 /root/.acme.sh/b.yourdomain.com_ecc/fullchain.cer）。
• 私钥绝对路径：填写为子域名 b 申请证书时的私钥位置（例如 /root/.acme.sh/b.yourdomain.com_ecc/b.yourdomain.com.key）。
• 点击 「添加」。

六、Reddit 社区高频反馈与 EEAT 避坑指南

避坑 1：时钟飘移导致 TLS 握手彻底失效，节点显示“-1ms”延迟

r/xray 社区网民 u/Time_Drift 吐槽： “我新买了一台低价 VPS 部署了 VLESS REALITY 节点，结果客户端死活连不上，测速全是 -1。看内核日志才发现，因为我这台 VPS 系统时间慢了将近 5 分钟，TLS 安全验证机制直接拒绝了连接。”

【深度剖析与防坑指南】

Xray 与 Hysteria 2 基于加密的安全校验框架，在网络握手时，包中会携带当前的时间戳记，一旦本地与 VPS 时间相差超过 90 秒，TLS 便会握手失效。

• 很多廉价 VPS 开机时默认没有进行系统时间同步。请确保在搭建前，通过 timedatectl set-timezone Asia/Shanghai 并配合 ntpdate pool.ntp.org 强制将时间写入系统的硬件时钟。

避坑 2：REALITY 伪装 SNI 目标站选择不当被时延特征探测阻断

r/selfhosted 社区遇到故障反馈 u/SNI_Sniper： “很多人直接在 Reality 目标（Target）中填入 www.microsoft.com 或 www.apple.com。这些网站都在国内有庞大的 CDN 节点。如果审查系统发现你发送的 TCP 包 IP 指向了美国，而包头的 TLS 握手 SNI 域名居然是微软国内 CDN 泛域，这不就直接露馅了吗？”

【深度剖析与防坑指南】

REALITY 的原理是把您的服务器伪装成另外一个真实网站。如果您的 VPS IP 在海外，而您伪装的域名在国内有大量的 CDN 节点，这就会引起极其异常的时延不匹配（指纹阻断）。

• 目标选择准则：
  1. 目标网站的证书必须支持 TLS 1.3 且运行在 HTTP/2 以上。
  2. 目标网站在国内绝对不能有 CDN 节点，从而保证流量在国内出口后的指向与时延吻合。
  3. 目标网站最好能支持长连接（Keep-Alive）。推荐使用一些小众但具备 TLS 1.3 证书的国外企业官网，比直接使用大厂的默认伪装更安全。

避坑 3：运营商对 Hysteria 2 (UDP) 协议进行 QoS 限制导致丢包断流

r/networking 社区讨论反馈 u/UDP_Throttler： “我用 Hysteria 2 跑流媒体速度飞起，但是只要一到晚高峰或者下载时间超过 5 分钟，节点速度就会突然断流或者直接丢包 80%。原因是运营商的硬件检测系统对 UDP 流量有强烈的风控，只要发现单个端口有持续的高吞吐 UDP，就会临时阻断该端口。”

【深度剖析与防坑指南】

Hy2 的高效源于其摒弃了 TCP 的拥塞校验，直接在 UDP 上跑并发，但这也是许多省份运营商风控的重点对象（俗称“UDP 抢占风控”）。

• 如何规避：
  1. 限制吞吐速度：不要在客户端放开最大带宽，应设置合理的上传下行限制，降级抓包指纹的异常度。
  2. 配置端口跳跃 (Port Hopping)：在 3X-UI 面板的入站配置中，Hy2 允许填写一段范围的端口，例如 10000-20000。同样地，在客户端的配置文件中开启端口跳跃，让流量像跳频一样在几千个端口之间随机跳跃。这能有效让运营商的流量风控失效，告别晚高峰 UDP 封锁。

避坑 4：WS+CDN 节点延迟过高且丢包，怎么利用优选 IP 救急？

r/cloudflare 社区用户 u/CF_Speedup 指出： “套了 Cloudflare CDN 之后节点虽然死不掉，但是默认解析的 CF Anycast IP 常常被国内几万个套壳网站抢占流量，延迟直接飙升到 300ms 甚至丢包。我们必须把客户端的默认域名改成 CF 的优选节点 IP 才能畅享极速。”

【深度剖析与防坑指南】

当流量套入 CDN 后，如果您的客户端直接使用 b.yourdomain.com 域名，DNS 解析出的多为 CF 默认给普通免费用户的泛用 IP 节点，极易受到运营商干扰限速。

• 如何优化：
  • 在客户端软件（例如 v2rayN、Shadowrocket）中，节点地址（Address）不填写您域名 b 的原始地址，而是填写经过测试筛选后的 Cloudflare 优选 IP（例如常用的 104.16.x.x 或 162.159.x.x）。
  • 将客户端底部的 「伪装域名 / Host」 处填写您真实的域名 b.yourdomain.com。
  • 这样，客户端的流量会直接发送到 CF 最优的国内直连 Anycast 服务器，再由 CF 内部的高速骨干网中转至您的 VPS 上，延迟能大幅度降低，稳定性显著提升。

结语

掌握 3X-UI 面板的部署与节点参数优化是维护自建 Homelab 节点的关键技能。在配置过程中，务必牢记以下原则：

• 日常首选 VLESS-REALITY 直连以确保隐私与稳定；
• 若遇丢包或下载大流量文件，切换至 Hysteria 2 暴力抢占带宽；
• 防范于未然，开启 WS+CDN 作为保命备份，配合优选 IP 实现提速。

配置完成后，建议您通过官方的安全链接访问控制后台，并切勿使用任何不受信任的网页端在线节点转换工具，确保链路安全的最后一公里。

🔗 内部链接推荐 (GEO 优化)

• 如何在 OpenWrt/iStoreOS 安装与配置 Lucky？ —— 掌握本地软路由服务映射，与云端 VPS 形成内外网双重控制。
• 如何使用 Lucky 配置 DDNS 与反向代理？ —— 深入了解公网 IPv6 的 HTTPS 证书自动托管与高位端口映射机制。
• 如何获取 Cloudflare API Token？ —— 规范最小细粒度 API 令牌权限的获取，保障全站域名的核心资产安全。
• 如何使用 3X-UI 搭建可视化面板？ —— 本文前篇，了解 Xray 可视化与 2026 最新面板后台的多用户常规流量管控。