VPN 代理指南
適用情境:在台灣架設伺服器,供中國朋友翻牆使用。本指南涵蓋底層協議、引擎選型、VPS 線路測試到客戶端防洩漏的完整 SOP。
名詞分類與整體架構
在開始架設之前,必須先釐清「協議、引擎、面板、客戶端」這四個名詞的層級關係與相互依賴。
- VLESS *
- VLESS+Reality+Vision *
- Hysteria2 **
- Shadowsocks
- WireGuard ** ❌
- Xray
- Sing-box
- Hysteria2 官方引擎
- WireGuard 官方引擎
- 3x-ui
- s-ui
- Shadowrocket(iOS)
- v2rayN(Windows)
- Hiddify(跨平台)
* VLESS 沒有官方獨立引擎,只能靠 Xray / Sing-box 跑。
** Hysteria2 和 WireGuard 協議本身附帶官方引擎,也可被 Xray / Sing-box 實作。
❌ WireGuard 因無流量混淆,在中國翻牆場景完全不適用。
四大引擎比較
引擎是真正跑在伺服器或客戶端上的核心程式,負責把協議規格實作出來、處理實際流量傳輸。協議只是「規格書」,需要引擎才能動起來。
🚀 Xray
XTLS 團隊開發,伺服器端代理核心,VLESS+Reality 最佳實作。
📦 Sing-box
SagerNet 團隊開發,通用代理工具鏈,支援協議最廣。
⚡ Hysteria2 官方
apernet 開發,基於 QUIC,弱網與高速推流表現極佳。
🛡️ WireGuard 官方
現代化 VPN,效能極佳但無混淆,中國翻牆不適用。
Xray
由 XTLS 團隊開發,專為抗審查設計的伺服器端代理核心。它是 VLESS + Reality + Vision 的原創與最佳實作。
雷達圖評估 核心特色- 支援協議:VLESS、VMess、Trojan、Shadowsocks、Hysteria2、WireGuard 等
- 成熟穩定,廣泛使用多年,教學與問題排查資料最多
- 通常透過
3x-ui面板管理,不需要直接碰指令
協議深度解析
協議定義了流量如何封裝與傳輸。在中國翻牆場景下,協議的「偽裝能力」與「抗封鎖能力」是首要考量。
VLESS
一種輕量、低開銷的代理協議,是 VMess 的簡化改進版。
VLESS + Reality + Vision(目前主流推薦)
這三個通常一起使用,各自扮演不同角色,是目前抗封鎖能力最強的組合:
| 名稱 | 角色 | 功能 |
|---|---|---|
| VLESS | 協議本體 | 定義如何傳輸資料 |
| Reality | 偽裝技術 | 把流量偽裝成真實網站的 TLS 流量,讓 GFW 看不出來 |
| Vision | 流量優化 | 減少特徵、提升效能(XTLS 團隊設計的優化模式) |
為什麼這個組合強?
- GFW 看到的是「某台灣 IP 連到 Google、Apple 等大網站的正常 HTTPS 流量」,完全無法與真實流量區分。
- 不需要買域名、不需要申請 SSL 憑證。
- 沒有官方獨立引擎,需靠 Xray 或 Sing-box 跑。
- 適合情境:長期穩定翻牆、看 YouTube / Twitch / Discord。
Hysteria2
基於 QUIC(UDP)的代理協議,有自己的官方引擎。
- 特色:速度快、弱網環境表現好(內建 BBR 擁塞控制);對推流(上傳)友善,UDP 比 TCP 更不容易卡頓。
- 偽裝:有流量混淆,有一定抗封鎖能力。
- 缺點:UDP 在某些中國 ISP 環境會被 QoS 限速。
- 適合情境:對速度要求高的場景,例如推流到 Twitch、大檔案下載。
WireGuard
現代化 VPN 協議,程式碼極簡、效能優秀。
協議選擇建議
| 使用情境 | 推薦協議 | 備註 |
|---|---|---|
| 一般翻牆(看影片、Discord) | VLESS + Reality + Vision | 最穩定,偽裝性最強 |
| 高速推流 / 弱網環境 | Hysteria2 | UDP 特性,需注意 ISP QoS |
| 中國翻牆 | ❌ 不要用 WireGuard | 特徵明顯,秒封 |
面板與客戶端選擇
面板是伺服器端的網頁管理介面,讓你不用打指令就能管理代理伺服器;客戶端則是朋友那端安裝的 App,用來連線到你架的伺服器。
面板:3x-ui vs s-ui
| 比較項目 | 3x-ui (⭐ 推薦) | s-ui |
|---|---|---|
| 底層引擎 | Xray | Sing-box |
| 社群資源 | 非常豐富,教學最多 | 較少 |
| 穩定性 | 成熟,廣泛使用多年 | 相對新 |
| 特色功能 | 多用戶管理、流量統計、QR Code、Telegram Bot | 支援 Sing-box 特有協議 (Tuic, NaïveProxy) |
| 推薦度 | ⭐⭐⭐⭐⭐ (一般使用首選) | ⭐⭐⭐ (進階用戶) |
3x-ui 一鍵安裝指令:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)客戶端選擇
客戶端 = 朋友那端裝的 App,用來連線到你架的伺服器。
主流推薦客戶端
- Shadowrocket(iOS 專用):iOS 翻牆最主流選擇。付費 App(約 $2.99 美金),需非中國區 Apple ID 購買。支援 VLESS+Reality、Hysteria2,掃 QR Code 即可連線。
- v2rayN(Windows 專用):Windows 最主流的免費開源代理客戶端。支援訂閱連結一鍵更新、Xray/Sing-box 雙引擎、系統代理與 TUN 模式。
其他常用客戶端一覽
| 客戶端 | 平台 | 底層引擎 | 費用 | 特色 |
|---|---|---|---|---|
| Hiddify | Win / Mac / Linux / iOS / Android | Sing-box | 免費 | 跨平台支援最廣,適合多裝置用戶 |
| v2rayNG | Android | Xray | 免費 | Android 最主流選擇,與 3x-ui 搭配體驗佳 |
| Clash Verge | Win / Mac / Linux | Clash Meta | 免費 | 規則路由靈活,熟悉 Clash 生態用戶首選 |
| NekoBox | Android | Sing-box | 免費 | 支援 Tuic / NaïveProxy 等 Sing-box 特有協議 |
VPS 選購指南
真正決定 VPS 使用體驗的不是「地區」,而是線路、距離與 IP 信譽的綜合表現。地區是門牌號,線路是路況,IP 信譽是入場券,協議特徵決定這張票能用多久。
核心選購框架(三要素)
| 要素 | 決定什麼 | 說明 |
|---|---|---|
| 運營商 × 回程線路 | 晚高峰體驗 | 同樣是香港 VPS,電信走 CN2 GIA vs 走普通 163,體驗天差地別 |
| 地區(物理距離) | 基礎延遲下限 | 地理位置決定延遲的物理下限,任何線路優化都無法突破 |
| IP 類型與信譽 | 平台認不認你 | 機房 IP / 住宅 IP / ISP IP 決定流媒體、帳號、支付系統的可用性 |
三大運營商回程線路
📡 電信(China Telecom):追求穩定優先選 CN2 GIA,預算有限選 CN2 GT 或普通 163。
| 線路 | ASN | IP 特徵 | 定位 |
|---|---|---|---|
| 163 ChinaNet | AS4134 | 202.97.x.x | 覆蓋廣,成本低,晚高峰易擁塞 |
| CN2 GT | AS4809 | 59.43.x.x | 中階,比普通線路好,晚高峰有波動 |
| CN2 GIA | AS4809 | 59.43.x.x | 最高品質,晚高峰最穩,但最貴 |
📡 聯通(China Unicom):一般使用選 AS4837,重視晚高峰選 AS9929。
| 線路 | ASN | 定位 |
|---|---|---|
| 普通骨幹 | AS4837 | 常見,性價比好,美西/日本 VPS 多走此路 |
| 精品線路 | AS9929 | 用戶少、擁塞少,穩定性更高 |
📡 移動(China Mobile):注意「移動優化」不代表就是 CMIN2,要看 ASN 編號。
| 線路 | ASN | 定位 |
|---|---|---|
| CMI | AS58453 | 香港/日本/美西表現不差,性價比好 |
| CMIN2 | AS58807 | 「移動版 CN2 GIA」,更高端,晚高峰更穩 |
線路測試指令(雙向完整版)
商家宣傳的線路不可盡信,必須自己測。測試分兩個方向:去程(你的電腦 → VPS)與回程(VPS → 中國用戶)。
Step 1:在 VPS 上安裝工具並確認出口 IP
# Debian / Ubuntu 安裝工具
apt update && apt install -y mtr-tiny traceroute iputils-ping curl
# 確認 VPS 的出口 IP 與地理位置
curl ip.sb
curl ip-api.com/jsonStep 2:回程測試(在 VPS 上執行,測 VPS → 中國方向)
# 分別測三大運營商方向(各跑 100 次取樣)
mtr -rwzbc 100 223.5.5.5 # 電信(阿里 DNS,AS4134)
mtr -rwzbc 100 114.114.114.114 # 聯通(114 DNS,AS4837)
mtr -rwzbc 100 180.76.76.76 # 移動(百度 DNS,AS58461)
# 參數說明:
# -r 報告模式 -w 寬格式 -z 顯示 ASN (最關鍵)
# -b 顯示 IP/hostname -c 取樣次數地區選擇指南
| 地區 | 優點 | 缺點 / 注意事項 | 適合情境 |
|---|---|---|---|
| 🇭🇰 香港 | 延遲最低,華南用戶體驗佳 | IP 信譽問題嚴重,風控嚴 | 追求極致低延遲 |
| 🇯🇵 日本 | 亞洲均衡,比香港便宜,聯通/移動性價比高 | 部分 NTT 晚高峰繞路 | 多數用戶的首選 |
| 🇺🇸 美西 | 便宜大碗,帶寬大,IP 多 | 物理距離大,延遲較高 | 建站、下載、預算有限 |
| 🇹🇼 台灣 | 對台灣回程路由最友好,IP 被封風險低 | VPS 選擇較少,價格略高 | 台灣用戶架設首選 |
IP 類型與信譽查詢
流媒體能不能看、帳號會不會被封,核心是 IP 被平台怎麼看。
| IP 類型 | 說明 | 優缺點 |
|---|---|---|
| 機房 IP (Datacenter) | 常見 VPS/雲主機 | 便宜穩定,但易被識別為代理,驗證碼多 |
| 住宅 IP (Residential) | 運營商分配給家庭寬頻 | 風控友好,但貴、帶寬小、市場水深 |
| ISP IP (靜態住宅) | 兼顧住宅 ASN + 機房穩定 | 折衷方案,但需驗證真實性 |
常用 IP 信譽查詢工具:
- IPQS (ipqualityscore.com):查 Fraud Score、是否被標記為 Proxy/VPN
- Scamalytics (scamalytics.com):詐騙風險評分
- ip-api / ipinfo:查 ASN、組織名稱、GeoIP 是否準確
部署方式比較
翻牆服務大致分三種取得方式,各有不同的適用情境、成本與風險。自架的成本是「你的時間與維護精力」,機場的成本是「你對服務商的信任」。
三種方式一覽
| 比較項目 | 住宅 IP 自架 | 自架 VPS (⭐ 推薦) | 機場(訂閱服務) |
|---|---|---|---|
| IP 類型 | 家用住宅 IP | 機房 IP (Datacenter) | 機房 IP 為主 |
| 月費 | 無額外費用 (用自家寬頻) | $5–30 USD/月 | ¥30–200+/月 |
| 技術門檻 | 高 (需處理 DDNS、NAT) | 中 (裝 3x-ui 面板即可) | 無 (買了直接用) |
| 控制權與隱私 | 最高 (IP 是你家住址) | 完整 (VPS 商技術上可見流量) | 最低 (機場商看得到一切) |
| 穩定性 | 依家庭寬頻而定 | 穩定,IP 固定 | 依機場品質而定,晚高峰易波動 |
住宅 IP 自架
在自己家裡的電腦或 NAS 上跑 Xray,讓中國朋友連線到你家的 IP。
- 優點:IP 是真實住宅 IP,平台風控極度友好;無額外 VPS 費用;流量特徵最低。
- 缺點:需處理浮動 IP (DDNS) 與 NAT (Port Forwarding);家用寬頻上行通常僅 10-30Mbps,多人使用易成瓶頸;真實住家 IP 暴露給使用者,有隱私與連帶責任風險。
- 適合誰:技術能力強、已有長期開機設備 (NAS)、只供少數親近朋友使用。
自架 VPS(本文主要推薦方案)
租用雲端虛擬主機 (VPS),自己安裝 3x-ui 面板,完全自行控制節點。
- 優點:固定 IP,設定一次後穩定運行;多用戶管理方便;IP 與住家無關聯,隱私較好;可選擇對中國大陸友好的線路 (CN2 GIA、CMIN2)。
- 缺點:機房 IP 大量被用於代理,GFW 可能主動封鎖 (台灣 VPS 風險相對較低);需自行維護系統與面板更新。
- 適合誰:想供多位朋友使用、希望穩定低維護成本、有基礎 Linux 操作能力。
機場(訂閱式翻牆服務)
購買他人架設的代理節點訂閱,直接在客戶端使用。
- 優點:零技術門檻;節點多、地區多;一條被封自動換下一條。
- 缺點:隱私風險最高 (機場商可看所有流量與 DNS);小機場有跑路風險;節點共享導致晚高峰品質不穩;無法自訂協議與線路。
- 適合誰:完全不想碰技術的朋友自用 (非你幫他們架設的場景)。
綜合建議
- 你幫朋友架、朋友自己用 ➡️ 自架 VPS + 3x-ui(優先考慮台灣 VPS,IP 被封風險低)。
- 你自己用、不想付 VPS 費用 ➡️ 住宅 IP 自架(需注意上行頻寬和隱私)。
- 朋友自己搞定、你不想管 ➡️ 推薦他買機場(按月付費、可隨時換)。
快速架設 SOP
以下為使用 3x-ui 面板 + VLESS+Reality 在台灣/海外 VPS 架設翻牆節點的標準流程。
Step 1:安裝 3x-ui 面板
SSH 連線到你的 VPS,執行以下一鍵安裝腳本(包含 Xray 核心):
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)Step 2:登入面板
安裝完成後,終端機會顯示面板的存取資訊。請開啟瀏覽器登入,並立即修改預設密碼。
-
預設網址:
http://你的IP:2053/面板路徑 - 預設帳號:
admin - 預設密碼:
admin
Step 3:新增 Inbound (VLESS + Reality)
在左側選單點選「入站列表 (Inbounds)」→「添加 Inbound」,按照以下參數設定:
| 設定項目 | 建議值 / 說明 |
|---|---|
| 協議 (Protocol) | vless |
| 端口 (Port) | 443 |
| 傳輸 (Network) | tcp |
| 安全性 (Security) | reality |
| Flow | xtls-rprx-vision (必填,消除內層 TLS 特徵) |
| Public / Private Key | 點擊「Get New Cert」或系統自動生成 |
| SNI (偽裝網域) | 見下方「SNI / dest 選擇策略」 |
Reality 的設計是當 GFW 主動探測時,將連線轉發給真實的偽裝目標。核心原則是選擇支援 TLS 1.3 + H2、且在 VPS 所在地區訪問穩定的知名站點。
-
日本 VPS:
www.sony.com,www.samsung.com,www.cloudflare.com -
香港 VPS:香港本地銀行官網、
www.cloudflare.com -
台灣 VPS:台灣大型企業官網、
www.cloudflare.com -
美西 VPS:
www.cloudflare.com, 美國大型企業官網
www.apple.com、www.google.com(在中國有合法 CDN
或不可訪問,路由行為不自然)。
Step 4:產生客戶端連結
儲存 Inbound 後,回到列表頁面:
- 點擊該 Inbound 右側的「二維碼 (QR Code)」圖示。
- 將 QR Code 截圖或點擊「複製連結」。
- 傳給朋友,使用 Shadowrocket (iOS) 或 v2rayN (Windows) 掃碼 / 貼上即可連線。
timedatectl set-ntp true 啟用 NTP 自動同步。
設定範本
以下提供 Xray (VLESS+Reality) 與 Hysteria2 的伺服器端核心設定範本。範本已移除所有敏感資訊,需自行替換佔位符。
Xray (VLESS + Reality + Vision)
適用於 3x-ui 面板底層或手動部署的 Xray-core。核心重點在於
xtls-rprx-vision 與
realitySettings 的偽裝目標配置。
{
"log": { "loglevel": "warning" },
"inbounds": [
{
"port": 443,
"protocol": "vless",
"settings": {
"clients": [
{
"id": "<YOUR_UUID_1>",
"email": "user-self",
"flow": "xtls-rprx-vision"
}
],
"decryption": "none"
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"dest": "www.cloudflare.com:443",
"serverNames": ["www.cloudflare.com"],
"privateKey": "<YOUR_PRIVATE_KEY>",
"shortIds": ["", "0123456789abcdef"]
}
}
}
],
"routing": {
"domainStrategy": "IPIfNonMatch",
"rules": [
{ "type": "field", "ip": ["geoip:private"], "outboundTag": "block" },
{ "type": "field", "protocol": ["bittorrent"], "outboundTag": "block" }
]
},
"outbounds": [
{ "protocol": "freedom", "tag": "direct" },
{ "protocol": "blackhole", "tag": "block" }
]
}•
shortIds:可設定多個,讓不同客戶端使用不同 ID
互不干擾。•
dest 與 serverNames:必須一致,且選擇
VPS 所在地區訪問穩定的知名 TLS 1.3 站點(如 Cloudflare、Sony 等)。
Hysteria2 (UDP/QUIC)
適用於需要高速推流或弱網環境的備用協議。內建 BBR 擁塞控制與流量偽裝。
listen: :443
# TLS 憑證 (使用 ACME 自動簽發)
acme:
domains:
- "<YOUR_DOMAIN>"
email: "<YOUR_EMAIL>"
# 身份驗證
auth:
type: userpass
userpass:
"user1": "<STRONG_PASSWORD_1>"
"user2": "<STRONG_PASSWORD_2>"
# 封鎖 QUIC 放大攻擊向量
acl:
inline:
- reject(all, udp/443)
# QUIC 效能調整 (針對直播長連接優化)
quic:
initStreamReceiveWindow: 4194304
maxStreamReceiveWindow: 8388608
initConnReceiveWindow: 10485760
maxConnReceiveWindow: 20971520
maxIdleTimeout: 120s
# 頻寬上限 (依 VPS 實際頻寬調整)
bandwidth:
up: 100 mbps
down: 100 mbps
# 偽裝網站 (有人掃描 IP 時顯示)
masquerade:
type: proxy
proxy:
url: https://www.bing.com
rewriteHost: true使用者指南
翻牆不僅是「連上伺服器」,更重要的是「防止本機洩漏」。以下提供 Windows 與 iOS 的標準防洩漏設定 SOP,確保 DNS、WebRTC 與系統流量不會繞過代理暴露真實 IP。
Windows 架構:v2rayN + Chrome + ZeroOmega
此方案不開啟 TUN 模式,僅代理 Chrome 瀏覽器流量。微信、QQ 等系統軟體全程直連,不在系統層面留下代理痕跡,是目前最安全的低調方案。
Step 1:v2rayN 核心設定
- 匯入節點後,右鍵設為活動伺服器。
- 底部狀態列選擇 「清除系統代理」(絕對不要選「自動配置系統代理」)。
-
路由設定選擇
V4-绕过大陆(Whitelist),確保僅境外流量走代理。 - 確認狀態列顯示本地監聽:
[mixed:10808]。
Step 2:Chrome 瀏覽器加固 (防洩漏必做)
| 設定項目 | 操作路徑 / 指令 | 目的 |
|---|---|---|
| 關閉安全 DNS (DoH) | 設定 → 隱私權和安全性 → 安全性 → 使用安全 DNS → 關閉 | 防止 DNS 查詢繞過代理洩漏 |
| 停用 QUIC 協議 |
網址列輸入 chrome://flags/#enable-quic →
Disabled
|
強制走 TCP,避免 UDP 流量繞過 ZeroOmega |
| WebRTC 防洩漏 |
網址列輸入
chrome://flags/#enable-webrtc-hide-local-ips-with-mdns
→ Enabled
|
將本機真實 IP 替換為 mDNS 假名 |
Step 3:ZeroOmega (代理規則)
- 離線安裝 ZeroOmega (Manifest V3 版本)。
-
新建情境模式
VLESS_Proxy:協議選 SOCKS5,伺服器127.0.0.1,連接埠10808。 -
新建
Auto_Switch模式:規則列表網址填入gfwlist.txt的 raw URL,情境模式選VLESS_Proxy,預設選「直接連線」。 - 點擊「立即更新情境模式」並套用。
ip.sb (應顯示台灣 IP)、dnsleaktest.com
(不應出現中國電信/聯通 DNS)、browserleaks.com/webrtc
(Local IP 不應顯示 192.168.x.x)。
管理員維護
此章節供管理員(伺服器架設者)使用,一般用戶不需要閱讀。涵蓋日常維護、DDNS 設定、時間同步與日誌查看。
DDNS 自動更新(浮動 IP 環境必讀)
若使用住宅 IP 自架(非 VPS),ISP 分配的是浮動 IP,需設定 DDNS 讓域名始終指向最新 IP。
- 購買一個便宜域名(Namecheap 或 Cloudflare Registrar,約 $1–10 USD/年)
- 將域名 DNS 交由 Cloudflare 管理,建立 A Record 指向目前 IP
-
在伺服器上部署自動更新腳本(如
ddns-go或 Cloudflare DDNS 腳本)
伺服器時間同步
Reality 握手過程會校驗時間戳。若伺服器與客戶端時差超過數分鐘,極易導致 TLS 握手靜默失敗(不會有明顯錯誤訊息,連線就是建不起來)。
# Linux 伺服器確認時間同步狀態
timedatectl status
# 若未同步,啟用 NTP
sudo timedatectl set-ntp trueXray 核心版本更新
定期更新核心以確保安全性和效能。
| 環境 | 更新方式 |
|---|---|
| 3x-ui 面板 | 面板內「Xray 設定」→「更新核心」,最簡便 |
| 手動部署 (Linux) | 重新執行安裝腳本,或手動下載 GitHub releases 替換 binary |
| 手動部署 (Windows) |
下載 Xray-windows-64.zip → 關閉 Xray → 覆蓋
xray.exe → 重新執行 start.bat
|
查看連線日誌
若需排查連線問題或確認用戶流量,可在設定檔中開啟日誌記錄。
// 在 config.json 的 log 區塊加入:
"log": {
"loglevel": "warning",
"access": "access.log",
"error": "error.log"
}
儲存後重啟 Xray 服務,日誌檔案會出現在
xray 執行檔同一個資料夾(或指定的絕對路徑)。
新增或移除用戶
- 3x-ui 面板:直接在網頁介面「入站列表」中新增或刪除用戶,無需手動編輯 JSON。
-
手動編輯:用文字編輯器開啟
config.json,在clients陣列中新增或刪除用戶物件,隨後重啟服務。
# 產生新 UUID 的指令
xray uuid
# 或
uuidgen