提交工单 
+373 79 600002 
Telegram 在线聊天 
常见问题 
中文 (中国)
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
Linux 
安全 
管理如何安装3x-ui并选择正确的反审查配置
关键词
下面的快速术语表在安装开始之前保持术语清晰:
| 表情符号 + 关键词 | 简要说明 |
|---|---|
| ⚙️ 3x-ui | Xray-core 的网页控制面板 |
| 🚀 Xray-core | 实际的代理引擎 |
| 📥 inbound | 服务器上的监听入口点 |
| 🔀 transport layer | 流量流的传输方式 |
| 🎭 Reality | Xray 的隐身/安全机制 |
如何在 VPS 上安装 3x-ui 并选择合适的反审查配置
有一天你的 VPN 工作正常。第二天它就停止工作了。在限制性网络中,封锁往往不在于流量是否加密,而在于流量看起来是否容易分类。
这是许多旧 VPN 教程跳过的部分。仅加密并不能保证隐身。网络仍然可以检查握手模式、数据包行为和协议指纹,以足够的精度判断你的流量是否看起来普通。因此,问题不再是“我如何安装 VPN?”而是“我如何让流量形状看起来足够正常以通过过滤?”
本指南是基础步骤。你将在 Ubuntu VPS 上安装一个可用的 3x-ui 面板,正确地保护管理界面,并为选择在面板内接下来配置什么提供一个清晰的框架。如果你是在小型 VPS 上自托管——无论是来自 AlexHost 还是其他提供商——这就是设置开始变得可管理的地方。
3x-ui 实际是什么——以及它不是什么
最重要的误解是:3x-ui 本身不是反审查技术。 它是仪表盘。Xray 是其下的引擎。引擎内的协议、传输和安全选择决定了你的流量在网络上的表现。
3x-ui 之所以重要,是因为它将 Xray 从一堆手动编辑的 JSON 转变为普通人可以操作的东西。你可以通过网页控制面板创建入站、添加客户端、导出链接或二维码、管理限制、更新地理文件,以及处理管理员访问和面板 SSL。
下面的快速术语表在安装开始之前保持术语清晰:
| 术语 | 简单含义 | 为什么重要 |
|---|---|---|
| 3x-ui | Xray-core 的网页控制面板 | 这是你在本指南中安装的管理层 |
| Xray-core | 实际的代理引擎 | 这就是处理协议、路由和流量行为的东西 |
| inbound | 服务器上的监听入口点 | 这是你定义客户端如何连接的地方 |
| transport | 流量流的传输方式 | 例如原始 TCP、WebSocket 或 gRPC |
| Reality | Xray 的隐身/安全机制 | 它帮助流量更接近普通的 HTTPS |
📝 注意: 3x-ui 最好理解为 Xray-core 的管理层,项目本身将其框定为个人使用的软件,而不是随意对待的硬化生产基础设施。
这种区分对安全也很重要。启用 HTTPS 的面板和强大的管理员凭据保护控制界面——你登录并管理服务器的地方。它不会自动使用户流量隐身。安装给你控制权;之后选择的协议栈决定了连接在网络上的表现。
在你安装之前:服务器和访问清单
3x-ui 不需要一个巨大的服务器,但它需要一个干净的安装路径。对于本指南,基线是 Ubuntu 22.04 LTS 或 24.04 LTS,具有 root 或 sudo 权限的 SSH 访问,一个公共 IP 地址,以及适度的资源,如 1 vCPU 和 1 GB RAM。任何合适的 VPS 都可以,只要它能提供可预测的网络访问和防火墙控制。
在你执行任何命令之前,请验证以下清单:
- 操作系统: Ubuntu 22.04 LTS 或 24.04 LTS
- 访问级别: root SSH 访问,或具有完整 sudo 权限的用户
- 网络: 公共 IP 地址和打开所需端口的能力
- 流量端口: 443/tcp 用于稍后 HTTPS 风格的代理流量
- ACME 验证端口: 仅在你希望安装程序内置的 Let’s Encrypt 流程为面板提供证书时使用 80/tcp;ACME 是用于证书验证的公共可达性检查
- 面板可达性: 准备好让安装程序分配一个随机面板端口和随机化的 webBasePath
- 预期最终状态: 一个可达的面板 URL,保存的凭据,以及一个经过验证的 HTTPS 面板服务
⚠️ 警告: 如果你是第一次在远程 VPS 上启用 UFW,请在启用防火墙之前允许 SSH。否则,你可能会将自己锁在正在配置的服务器之外。
一旦这些基本条件成立,剩下的就变得简单了。接下来的两个部分将带你从“我有一个 VPS”到“我有一个可用的控制面板”而无需猜测。
服务器准备:BBR 和基础
在验证先决条件后,让我们准备服务器。这个阶段在安装任何 VPN 软件之前优化你的 VPS,确保从一开始就获得最大性能。
💡 提示: 在部署之前使用 BBR——它通常可以改善受限或高延迟链接的吞吐量和延迟。
首先,更新你的系统包。这可以确保你拥有最新的安全更新和所需的依赖项:
apt update && apt upgrade -y根据你的 VPS 提供商和网络速度,这一步可能需要 1-5 分钟。像 Vultr 这样的提供商在部署期间预先更新他们的镜像,所以在某些系统上可能会很快完成。
接下来,启用 Google BBR 拥塞控制。BBR(瓶颈带宽和往返传播时间)是 Google 的拥塞控制算法。它不是主要依赖于数据包丢失作为信号,而是尝试更直接地建模可用带宽和往返时间,这可以在某些 VPS 链接上提高吞吐量和响应速度。
# Verify BBR module is available
lsmod | grep tcp_bbr如果没有出现任何内容,请手动加载模块:
modprobe tcp_bbr
现在创建 sysctl 配置以持久启用 BBR:
cat >> /etc/sysctl.d/99-bbr.conf << 'EOF'
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
EOF
应用配置:
sysctl -p /etc/sysctl.d/99-bbr.conf验证 BBR 是否激活:
sysctl net.ipv4.tcp_congestion_control
sysctl net.ipv4.tcp_available_congestion_control你应该看到 bbr 作为活动算法。
在启用 BBR 后,一些系统可能需要重启——这可以确保模块正确加载并且所有网络优化生效:
reboot现在确保端口 443 可达。如果你计划使用 3x-ui 安装程序内置的 Let’s Encrypt 流程为面板提供证书,也允许 80/tcp——该端口用于 ACME 证书验证,而不是面板本身。如果你的 VPS 提供商还有云防火墙或安全组层,也在那里允许相同的端口。在 Ubuntu 上,通常最安全的路径是 UFW:
# If this is a remote VPS and you're enabling UFW for the first time, allow SSH before enabling the firewall
ufw allow OpenSSH
# Allow HTTPS-style Reality traffic
ufw allow 443/tcp
# Allow ACME validation for the 3x-ui panel's built-in Let's Encrypt setup
ufw allow 80/tcp
# Review rules, then enable only if UFW is not already active
ufw status
ufw enable⚠️ 警告: 强烈建议使用端口 443,因为它与普通 HTTPS 流量相匹配。其他端口在技术上可能有效,但它们不太自然地融合在一起,并使设置更容易被标记。
你的服务器现在已优化并准备好进行 3x-ui 安装。
安装 3x-ui 面板
我们将使用 MHSanaei 分支,它是积极维护的并支持当前协议。再次重要提醒:项目本身将 3x-ui 框定为个人使用的面板,因此将其视为管理员便利层,并仔细保护面板。
在运行安装程序之前,请注意一个容易被忽略的要求:如果你希望安装程序内置的 Let’s Encrypt 设置为面板颁发 SSL 证书,80/tcp 必须是开放的并且可以从公共互联网访问。此 ACME 验证端口与设置期间选择的面板端口是分开的。
运行安装命令:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)当前版本的安装程序不以许多教程仍然显示的旧编号 安装 / 更新 / 卸载 菜单开头。相反,脚本立即开始安装,安装任何缺失的依赖项,下载最新版本,然后引导你完成面板设置提示。
一个典型的安装流程现在看起来像这样:
- 选择是设置自定义面板端口还是让安装程序生成一个随机端口。
- 让安装程序生成一个随机用户名、密码和 webBasePath。
- 选择如何配置面板 SSL:
- 1 = 为域使用 Let’s Encrypt
- 2 = 为服务器 IP 使用 Let’s Encrypt
- 3 = 使用现有证书
- 如果使用内置的 Let’s Encrypt 流程,完成证书提示。
⚠️ 重要: 面板端口不是 ACME 验证端口。你可能在随机端口如 13525 上运行面板,但仍需开放公共 80/tcp 以便 Let’s Encrypt 验证证书。
重要的规则很简单:使用你自己的安装程序打印的确切凭据、路径和 URL,而不是从旧教程复制的假设。
你的最终输出将更像这样:
Username: GENERATED_USERNAME Password: GENERATED_PASSWORD Port: 13525 WebBasePath: RANDOM_PATH Access URL: https://YOUR_SERVER_IP:13525/RANDOM_PATH
验证服务是否正在运行:
systemctl status x-ui
这个检查很重要。特别注意状态输出中的网络服务器行:
- 如果你看到 Web server running HTTPS …,面板 SSL 工作正常。
- 如果你看到 Web server running HTTP …,面板安装成功但 SSL 设置未完成。
使用你自己的安装生成的确切 URL、用户名和密码访问面板。不要假设路径是 /panel,并且不要假设凭据是 admin/admin,除非你的安装明确说明如此。
💡 提示 1: 要再次查看当前面板设置并打印访问 URL,在 CLI 中运行 “x-ui” 命令,并从菜单输出中选择编号 10 “查看当前设置”。
💡 提示 2: 如果访问 URL 无法加载,请确保 3x-ui 面板端口在你的 VPS 防火墙上是开放的。例如,如果你的面板运行在端口 “13525”,允许它: ” ufw allow 13525/tcp “。将 13525 替换为你为 3x-ui 面板配置的实际端口。
如果安装程序完成但 systemctl status x-ui 显示 HTTP 而不是 HTTPS
最常见的原因是 80/tcp 在 Let’s Encrypt 验证期间无法从公共互联网访问。在这种情况下,面板可能仍会安装和启动,但证书颁发失败。
首先修复防火墙:
ufw allow 80/tcp
ufw status如果你的 VPS 提供商有云防火墙或安全组层,也在那里允许 80/tcp。然后从 3x-ui 管理脚本重新运行面板证书设置:
x-ui对于基于 IP 的面板证书,选择:
- 19 → 6 (为 IP 地址获取 SSL)
对于基于域的面板证书,选择:
- 19 → 1 (获取 SSL(域))
证书颁发后,再次验证:
systemctl status x-ui你希望状态输出显示 Web server running HTTPS … 才能继续。
💡 提示: 立即保存生成的凭据和面板 URL。还要注意,如果证书颁发失败,安装程序摘要可能会误导——如果最终块打印了 HTTPS URL,但 systemctl status x-ui 仍显示 HTTP,请相信服务状态输出并在继续之前修复 SSL。
决策思维导图:“绕过审查”实际上从哪里开始
一旦面板安装完成,问题就变了。你不再试图正确安装软件。你在决定客户端流量应该如何呈现给网络。这就是“配置以绕过审查”实际开始的地方。
减少术语混乱的最简单方法是考虑三个层次:客户端和服务器如何通信、流量流如何传输、以及该流量对外部观察者看起来如何。否则,如果你将这些扁平化为一个术语列表,3x-ui 看起来会比实际更复杂。
| 层次 | 它回答了什么问题 | 常见示例 |
|---|---|---|
| 协议 | 客户端和服务器如何识别和通信? | VLESS、Trojan、VMess、Shadowsocks |
| 传输 | 流量流如何传输? | TCP (RAW)、WebSocket、gRPC、QUIC |
| 安全/混淆 | 流量对网络看起来如何? | Reality、TLS、类似浏览器的指纹、域前置样式的堆栈 |
以一个锚点示例:VLESS + TCP/RAW + Reality on 443。VLESS 是协议。TCP/RAW 传输流。Reality 使连接更接近普通的 HTTPS 行为。而 443 很重要,因为伪装效果最好时,它也匹配普通加密网页流量的默认端口。在某些地方,Xray 文档中说 raw,而面板 UI 说 TCP;对于本文,将它们视为相同的概念传输选择。
⚠️ 警告: 没有普遍的赢家,也没有永久无法阻挡的组合。网络变化,过滤器演变,在一条路径上很好地融合的东西可能在另一条路径上显得突出。目标不是魔法。目标是为你的环境选择最合理的堆栈。
这就是为什么本文止步于地图,而不是假装一页可以涵盖每一个完整构建。下一步是选择适合你的网络和目标的配置系列。
哪个 3x-ui 路径适合你的用例?
如果你想要最清晰的默认答案,首先就是:对于限制性、DPI 密集的环境,从 VLESS + Reality 开始。 它清晰地将协议与隐身分开,在端口 443 上效果很好,并且不强迫你从域或反向代理开始。
这并不意味着它是每种情况的答案。如果你已经运行一个域或更喜欢更传统的 TLS 和反向代理工作流,那么 VLESS 或 Trojan over TLS with WebSocket or gRPC 通常是更好的选择。当你已经管理域和证书时,这条路径更有意义。
如果你的优先事项是吞吐量,并且你的网络很好地处理 UDP,那么 Hysteria 2 值得关注。它是这里的专业路径,因为它的吸引力不在于“看起来像最普通的浏览器会话”,而在于“从基于 QUIC/UDP 的设计中获得强大的性能。”它很有吸引力,但不是隐身优先设置的默认初学者推荐。
Shadowsocks 2022、VMess 和类似的兼容性路径 仍然有一席之地,但主要用于迁移、旧客户端支持或狭窄的兼容性约束。特别是 VMess 不是最好的平等优先选择初学者推荐,因为它的时间依赖性——当更简单的选项已经存在时,这是一个容易出错的操作细节。
| 路径 | 最佳适用 | 需要域名吗? | 为什么选择它 | 为什么它不是普遍默认 |
|---|---|---|---|---|
| VLESS + Reality | 限制性或过滤严重的网络 | 否 | 强大的初学者隐身自托管心智模型在 443 上 | 仍然不是未来的保证,一些网络或客户端可能会将你推向其他地方 |
| VLESS/Trojan + TLS + WebSocket/gRPC | 基于域的堆栈、反向代理、网站加代理设置 | 通常是 | 适合已经对域、证书和网络堆栈分层感到舒适的读者 | 比无域 Reality 路径有更多的活动部件 |
| Hysteria 2 | 速度优先的设置,其中 UDP 表现良好 | 否 | 当吞吐量和 QUIC/UDP 性能是主要目标时表现出色 | 不是最像浏览器的伪装故事,并且 UDP 条件各异 |
| Shadowsocks 2022 / VMess / 兼容性路径 | 迁移、旧客户端支持、狭窄的约束 | 取决于 | 当兼容性是真正的要求时有用 | 当更清晰的现代选择可用时,不是最强的初学者默认 |
💡 快速决策清单
- 被审查的网络:从 VLESS + Reality 开始
- 域/反向代理设置:评估 TLS + WS/gRPC 或 Trojan
- 高速 UDP:测试 Hysteria 2
- 兼容性边缘情况:考虑 Shadowsocks 2022 或 VMess
WireGuard 和 OpenVPN 在这里是有用的对比示例,而不是推荐的下一步,因为普通 VPN 协议形状通常是限制性网络首先学会识别的。选择与你的环境匹配的路径,然后在添加更多选项之前构建该路径。
选择路径后,你可以在 3x-ui 内做什么
一旦你选择了路径,3x-ui 就成为操作层。这是你创建入站、添加客户端、导出共享链接或二维码、设置流量限制或到期日期,并随着时间的推移保持服务器可管理的地方,而不是挖掘原始 Xray 文件。
📝 注意: 面板不仅仅是“登录屏幕”。它是协议决策变成运行中的入站、客户端凭据、使用控制和可见性的管理界面。
在实际操作中,顺序通常很简单:创建入站,添加客户端身份,导出连接详细信息,将它们导入客户端应用程序,然后在需要时返回以进行限制、续订、日志、流量统计和路由或地理文件更新。这种操作可见性是面板值得使用的重要原因之一。
如果你将此设置作为系列继续,第一个后续指南应该是针对限制性网络读者的 VLESS + Reality 构建。这是最自然的下一篇文章,因为它将这个心智模型转化为一个具体的配置。
结论
安装 3x-ui 不是最终的反审查解决方案。它是控制室。真正的结果来自你接下来在其中配置的内容。保持简单的分割:仪表盘使 Xray 可管理,但引擎和路由——协议、传输和安全选择——决定了连接在过滤中生存的效果。
所以采取诚实的下一步,选择最符合你目标的实际路径。一旦你认真对待自托管的选择,稳定的 VPS 基础设施也很重要——无论是指 AlexHost 还是其他提供商,给你可预测的网络控制和干净的防火墙访问。