传统TLS代理的弱点在于加密的套娃,套的层数越多,数据特征就越明显,目前已被防火墙识别。然而,2023年3月,Xray-core 1.8.0就推出了Reality协议,用来替代TLS服务。事实是否正如传说中的目前最安全、最稳定、最方便的协议呢?让我们一探究竟。
快速浏览
Reality协议怎么样?
更高的安全性
首先,Reality消除了TLS的指纹特征,可以减少额外的加密,提高传输效率,同时也降低了被防火墙识别的风险。
同时,它还具有前向保密性,即使服务器的私钥被泄露,也不会影响之前的通信内容。
Reality协议的证书链也是攻击无效的,即使防火墙能够获取目标网站的证书,也无法伪造或篡改Reality协议的数据包。
其安全性大大地超越了常规TLS。
优秀的隐蔽性
Reality协议可以指向任意支持TLS1.3/H2的网站,无需自己购买域名和证书,也无需使用自己VPS的443端口。这样可以有效地避免域名被污染或封锁,端口被扫描或封锁,以及证书被吊销或过期等问题。
Reality协议配合Vision流控,可以让您的代理流量几乎完美地模拟原始的TLS1.3/H2数据包,从而有效地避免防火墙的识别和封锁。
Reality协议的流量特征和目标网站的流量特征是一致的,防火墙无法区分Reality协议的流量和正常的网站访问流量。
搭建方便
Reality协议的搭建和使用都非常方便,无需自己购买域名和证书,也无需使用自己VPS的443端口,只需要找到一个合适的目标网站,填写相关的参数,就可以完成Reality协议的搭建。
Reality协议的使用也非常简单,只需要扫描二维码或复制导入链接,就可以在各种客户端上使用Reality协议。
在我们测试的几个月里,Reality协议的速度和稳定性非常不错,可以满足您的各种需求。
如何搭建Reality协议?
Reality协议的搭建需要使用Xray core 1.8.0或以上的版本,以及支持Reality协议的面板或配置文件。本文以使用X-ui面板为例,介绍Reality协议的搭建过程。X-ui面板是一个基于Web的可视化面板,可以方便地管理Xray core的各种协议和设置。
X-ui面板的安装和使用方法,请参考[安装/升级X-ui面板]。
准备工作
- VPS一台,建议重置安装CentOS或Debian系统,并按照新购买VPS十个必做事项完成更新。
本期演示的VPS来自搬瓦工。 - 目标网站可以是任意支持TLS1.3/H2的网站,您可以使用[这个网站]来查找合适的目标网站,选择A+等级的网站,然后检查是否支持TLS1.3和H2,以及是否能正常访问。
您可以选择和您的VPS IP相近或比较冷门的网站,以提高速度和稳定性。 - Reality项目GitHub地址:点击访问
安装X-ui面板
原版的 X-UI 已经很久没有更新和维护了,以下的 X-UI 为改版,来自 GitHub :点击访问
bash <(curl -Ls https://raw.githubusercontent.com/FranzKafkaYu/x-ui/master/install.sh)安装过程中,您需要设置面板的用户名、密码和端口,以及面板的根路径。您可以使用默认的设置,也可以自定义您的设置。
本例我选择‘N’,让系统自动分配端口和账户密码(如下图)。
安装完成后,您可以使用以下的命令来启动、停止或重启X-ui面板:
x-ui #显示功能菜单
x-ui start # 启动
x-ui stop # 停止
x-ui restart # 重启
设置X-ui面板
在浏览器打开网址:http://vpsip:端口,输入图一所示的登陆账号和密码,进入X-ui面板。
设置Xray内核
您需要使用Xray core 1.8.0或以上的版本,才能支持Reality协议。建议直接选择最新的版本号。
设置根路径
点选面板左侧的【面板设置】,系统会弹出‘检测到当前面板根路径为空,将会生成新的根路径并自动跳转,请耐心等待…’
直接点选【确定】按钮,让系统自动生成一个根路径。
此时,X-ui自动刷新,并回到首页。我们重新回到【面板设置】,查看具体的路径名。
注:以后我们再次访问X-ui面板时,就需要vps ip地址 + :端口号 + 跟路径。
例如:我这里的X-ui访问地址是 xxxx.xxxx.xxxx.xxxx:29110/mCH4。
如果您忘记了访问端口或根路径,可以在VPS上输入:x-ui,出现图二所示的菜单,再选择7,即可显示具体配置。
部署Reality节点
3 – 备注名可以随便起
4 – 协议一定要选vless
5 – 端口号可以直接用默认值,不一定使用443端口
6 – 添加用户,支持多用户,且可以设置到期时间和流量
7 – 点选Reality
8 – 点选7之后,该选项才会显示,选择vision流
9 – 可以直接选择系统默认的目标网站,也可以按自动选取,每按一次,自动换一个目标网站(不需要加上https或端口号)
寻找 TLS1.3/H2 的网站
如果您不想使用系统推荐的目标网站(上面第9),则可以使用ssllabs网站自己寻找。
目标网站最低标准:国外网站,支持 TLSv1.3 与 H2,域名非跳转用
加分项:IP 相近(更像,且延迟低)
需要选择A+的目标网站,如没有显示A+网站,可以刷新网页重新获取。
点击进入选中的目标网站后,找到图七所示的位置,确认支持TLS1.3。
用浏览器打开网站,按‘F12’进入,选择【安全】,确认该网站已使用TLS 1.3、X25519、AES_128_GCM进行加密和身份验证。
继续选择【网络】,‘协议’那里有出现h2。
部署完之后,点击【添加】按钮,生成Reality节点。
将Reality节点导入V2rayN客户端
进入【入站列表】~【操作】~【二维码】,点击【复制】,打开V2rayN客户端,Ctrl+V粘帖进客户端,在该节点鼠标右键,选择【编辑服务器】,最后点击【确定】退出。
此时,您应该就可以看到成功配置代理。
Reality协议的注意事项
Reality协议虽然是一种非常优秀的代理协议,但是也有一些注意事项,您需要了解和遵守:
- Reality协议是基于VLESS协议的一种扩展,所以您需要使用支持Reality协议的客户端和服务端,比如Xray core 1.8.0或以上的版本,以及支持Reality协议的面板或配置文件。如果您使用不支持Reality协议的客户端或服务端,可能会导致代理失败或出现错误。
- Reality协议需要指向一个支持TLS1.3/H2的目标网站,这个目标网站可以是任意的,但是需要能正常访问,证书有效,且没有被防火墙封锁。如果您指向的目标网站无法访问,证书过期,或者被防火墙封锁,可能会导致代理失败或出现错误。
- Reality协议需要使用Vision流控,这个流控可以让您的代理流量几乎完美地模拟原始的TLS1.3/H2数据包,从而有效地避免防火墙的识别和封锁。如果您使用其他的流控,可能会导致代理失败或出现错误。
- Reality协议不需要自己购买域名和证书,也无需使用自己VPS的443端口,只需要找到一个合适的目标网站,填写相关的参数,就可以完成Reality协议的搭建。Reality协议的使用也非常简单,只需要扫描二维码或复制导入链接,就可以在各种客户端上使用Reality协议。Reality协议的速度和稳定性也非常不错,可以满足您的各种需求。
开启BBR加速
如果已按照新购买VPS十个必做事项完成更新,就已经打开BBR加速了。
或者您也可以使用以下的一键管理脚本
wget -N --no-check-certificate "https://raw.githubusercontent.com/chiakge/Linux-NetSpeed/master/tcp.sh" && chmod +x tcp.sh && ./tcp.sh支持Reality协议的客户端
根据XTLS官方推荐,有以下客户端支持,请自行尝试,我们并没有全部进行测试。
Oepnwrt
Windows
Android
iOS & macOS arm64
macOS arm64 & x64
Linux
结论
Reality协议是目前最安全、最稳定、最方便的代理协议之一,值得您尝试和使用。Reality协议可以让您在不需要自己购买域名和证书的情况下,使用别人的网站作为目标网站,实现安全、高效和隐蔽的TLS代理。Reality协议配合Vision流控,可以让您的代理流量几乎完美地模拟原始的TLS1.3/H2数据包,从而有效地避免防火墙的识别和封锁。
必读文章:
👉 VPN翻墙软件及科学上网攻略
👉 VPN排行及推荐(VPN最新情况将更新在此页面)
👉 VPN翻墙回国-海外华人留学生轻松解锁BiliBili等区域限制
👉 购物消费绑卡的正确姿势
👉 虚拟信用卡推荐-申请Visa/Mastercard虚拟卡
👉 如何选择最好的中国VPN服务
