JovisDreams The Trusted Kernel

Appearance

从一条 VLESS 隧道开始:我如何搭建一套"可伪装、可扩展、可长期存活"的个人网络服务体系

一条加密隧道,多种服务伪装,长期稳定的个人网络服务架构搭建实录

目录

前言:为什么需要这套体系

  • 痛点引入:单一代理服务的脆弱性
  • 设计理念:伪装 + 扩展 + 存活
  • 本文涵盖的内容概览

一、代理协议演进史:从 Shadowsocks 到 Xray

1.1 早期方案:SOCKS5 与 WireGuard

  • SOCKS5:简单直接,但明文传输风险
  • WireGuard:VPN 级别的加密,但特征明显

1.2 Shadowsocks 时代

  • 诞生背景与核心思想
  • 优缺点分析
  • 被主动探测的风险

1.3 V2Ray 的兴起

  • VMess 协议的设计
  • 动态端口、时间验证等防检测特性
  • 但依然存在的问题

1.4 Xray-core 的进化

  • 为什么从 V2Ray 分支出来
  • VLESS 协议的诞生:轻量、无状态
  • Xray 的核心优势

二、VLESS+TLS+WS:现代加密隧道的最佳实践

2.1 什么是 VLESS

  • 轻量级无状态协议
  • 与 VMess 的对比
  • 为什么选择 VLESS

2.2 为什么需要 TLS + WebSocket 三层包裹

层级协议作用
内层VLESS真实流量代理
中层WebSocket模拟正常 Web 流量
外层TLS加密 + 模拟 HTTPS

2.3 Fallback 机制:伪装的最后一道防线

  • 回落请求的原理
  • 如何让异常流量看起来像正常访问

三、云服务器安全加固与基础环境

3.1 服务器选择策略

  • VPS 提供商考量
  • 地理位置选择

3.2 系统安全加固

bash
# SSH 端口修改
# 禁用密码登录
# 防火墙配置 (ufw/iptables)
# fail2ban 防暴力破解

3.3 基础软件安装

  • Docker & Docker Compose
  • Nginx
  • Xray-core
  • Git

四、证书申请:HTTPS 的基石

4.1 为什么证书申请要单独重点讲

  • 免费证书的兴起(Let's Encrypt)
  • ACME 协议简介
  • 通配符证书 vs 单域名证书

4.2 使用 acme.sh 申请证书

方案一:HTTP-01 验证(适用于单域名)

bash
# 安装 acme.sh
curl https://get.acme.sh | sh

# 申请证书
acme.sh --issue -d yourdomain.com --nginx /path/to/nginx

方案二:DNS-01 验证(适用于通配符证书)

bash
# Cloudflare API 验证
export CF_Token="your_api_token"
acme.sh --issue --dns dns_cf -d "*.yourdomain.com" -d "yourdomain.com"

4.3 证书自动续期

bash
# acme.sh 自动续期机制
# 添加到 crontab

4.4 证书部署到指定路径

bash
acme.sh --install-cert -d yourdomain.com \
  --key-file /path/to/key.pem \
  --fullchain-file /path/to/cert.pem \
  --reloadcmd "systemctl force-reload nginx"

4.5 常见问题排查

  • 验证失败的原因
  • 防火墙端口问题
  • DNS 解析延迟

五、Xray-core 服务端部署

5.1 安装 Xray-core

bash
# 官方脚本一键安装
bash <(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)

# 手动安装

5.2 服务端配置详解

json
{
  "log": {},
  "inbounds": [],
  "outbounds": [],
  "routing": {}
}

5.3 客户端配置

  • Windows/Mac/Linux 客户端选择
  • V2RayN / Qv2ray / Clash 配置

5.4 测试连接

bash
# 检查服务状态
# 查看日志

六、Nginx 多服务路由:统一入口与流量分发

6.1 架构设计思路 

用户请求 → Nginx (443) → 路由规则 → 各个后端服务
                              ├─ /xray* → Xray (WS)
                              ├─ /mcs → MCSM 面板
                              ├─ /panel → 1Panel
                              ├─ /qbit → qBittorrent
                              ├─ /frp → FRP 服务端
                              └─ / → VitePress 博客 (Fallback)

6.2 Nginx 核心配置

nginx
# 主配置文件结构
http {
    # 基础配置
    include mime.types;
    sendfile on;

    # SSL 配置
    ssl_certificate /path/to/fullchain.pem;
    ssl_certificate_key /path/to/key.pem;
    ssl_protocols TLSv1.2 TLSv1.3;

    # Xray WebSocket 配置
    location /xray {
        proxy_pass http://127.0.0.1:10000;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }

    # MCSM 面板
    location /mcs {
        proxy_pass http://127.0.0.1:23333;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }

    # 1Panel
    location /panel {
        proxy_pass http://127.0.0.1:10086;
        # WebSocket 支持
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }

    # qBittorrent
    location /qbit {
        proxy_pass http://127.0.0.1:8080;
        # 特殊头处理
        proxy_set_header X-Forwarded-Host $host;
    }

    # FRP
    location /frp {
        proxy_pass http://127.0.0.1:7500;
    }

    # ThingsBoard
    location /tb {
        proxy_pass http://127.0.0.1:9090;
    }

    # Fallback:根路径返回静态博客
    location / {
        root /var/www/vitepress/dist;
        try_files $uri $uri/ /index.html;
    }
}

6.3 WebSocket 代理注意事项

  • Upgrade 头处理
  • 超时配置
  • 缓冲区设置

6.4 各服务配置要点

服务端口特殊配置
MCSM23333WebSocket 支持
1Panel10086API 路由前缀
qBittorrent8080X-Forwarded 头
FRP7500长连接支持

七、FRP 双向认证:安全的内网穿透

7.1 为什么需要双向认证

  • 单向认证的安全风险
  • 防止未授权客户端连接

7.2 生成 CA 与证书

bash
# 生成 CA 私钥和证书
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=frp-ca" -days 3650 -out ca.crt

# 生成服务端证书
openssl genrsa -out server.key 2048
openssl req -new -key server.key -subj "/CN=frp-server" -out server.csr
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650

# 生成客户端证书
openssl genrsa -out client.key 2048
openssl req -new -key client.key -subj "/CN=frp-client" -out client.csr
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 3650

7.3 FRP 服务端配置

toml
[common]
bind_port = 7000
dashboard_port = 7500
token = "your_token"

# 开启 TLS
tls_enable = true
tls_only = true

# 双向认证配置
tls_cert_file = "/etc/frp/server.crt"
tls_key_file = "/etc/frp/server.key"
tls_trusted_ca_file = "/etc/frp/ca.crt"

7.4 FRP 客户端配置

toml
[common]
server_addr = "yourdomain.com"
server_port = 7000
token = "your_token"

# TLS 配置
tls_enable = true

# 客户端证书
tls_client_cert_file = "/etc/frp/client.crt"
tls_client_key_file = "/etc/frp/client.key"
tls_trusted_ca_file = "/etc/frp/ca.crt"

# 服务映射示例
[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000

八、静态博客 + Fallback 伪装:大隐隐于市

8.1 为什么选择 VitePress

  • 相比 VuePress/Hugo 的优势
  • 构建速度与开发体验
  • 与 Vue 生态的契合

8.2 VitePress 快速上手

bash
# 初始化项目
npm create vitepress@latest blog

# 目录结构
blog/
├── docs/
   ├── .vitepress/
   └── config.ts
   ├── guide/
   └── index.md
└── package.json

8.3 配置文件详解

typescript
// .vitepress/config.ts
export default defineConfig({
  title: "我的博客",
  description: "技术博客与随笔",

  themeConfig: {
    nav: [
      { text: "首页", link: "/" },
      { text: "文章", link: "/guide/" },
    ],

    sidebar: [
      {
        text: "指南",
        items: [
          { text: "开始", link: "/guide/getting-started" },
        ]
      }
    ]
  }
})

8.4 部署到 GitHub Pages

bash
# 构建静态文件
npm run build

# 推送到 GitHub
# 配置 GitHub Actions 自动部署

8.5 Cloudflare 加速与保护

  • 接入 Cloudflare
  • DNS 配置
  • CDN 缓存策略
  • 防火墙规则

8.6 与 Xray Fallback 的联动

json
// Xray 配置中的 Fallback
{
  "fallbacks": [
    {
      "path": "/",
      "dest": "/var/www/vitepress/dist",
      "xver": 1
    }
  ]
}

8.7 完整流量伪装效果

  • 异常流量 → 返回博客页面
  • 正常用户访问 → 看到正常博客
  • 审查/探测 → 无异常特征

九、完整架构图与配置速查

9.1 整体架构图 

┌─────────────────────────────────────────────────────────────────┐
│                          外部世界                                 │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                    Cloudflare CDN (可选)                         │
│                    - DDoS 防护                                   │
│                    - CDN 加速                                    │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                     Nginx (443端口)                              │
│                  SSL/TLS 终结                                    │
│                  流量路由与分发                                   │
└─────────────────────────────────────────────────────────────────┘
          │               │               │               │
          ▼               ▼               ▼               ▼
    ┌──────────┐    ┌──────────┐    ┌──────────┐    ┌──────────┐
    │  Xray    │    │  MCSM    │    │  1Panel  │    │   FRP    │
    │ (10000)  │    │ (23333)  │    │ (10086)  │    │  (7500)  │
    │          │    │          │    │          │    │          │
    │ VLESS+WS │    │ MC服务器 │    │ 服务器   │    │ 内网穿透 │
    └──────────┘    └──────────┘    └──────────┘    └──────────┘


    ┌──────────────────────────────────────────────────┐
    │               VitePress 静态博客                  │
    │              (Fallback 伪装)                     │
    └──────────────────────────────────────────────────┘

9.2 端口映射表

服务内部端口外部访问路径用途
Nginx443/80-统一入口
Xray10000/xray加密代理
MCSM23333/mcsMC 面板
1Panel10086/panel服务器管理
qBittorrent8080/qbit下载管理
FRP7000/7500/frp内网穿透
ThingsBoard9090/tbIoT 平台

9.3 关键配置文件清单 

/etc/nginx/
├── nginx.conf                 # 主配置
├── ssl/
│   ├── fullchain.pem         # 证书链
│   └── key.pem               # 私钥
└── conf.d/
    └── services.conf         # 各服务路由配置

/usr/local/etc/xray/
├── config.json               # Xray 配置
└── geosite.dat               # GEO 数据

/etc/frp/
├── frps.toml                 # 服务端配置
├── frpc.toml                 # 客户端配置
└── ssl/                      # 双向认证证书

十、折腾心得与未来展望

10.1 这一路踩过的坑

  • 证书续期失败导致的宕机
  • Nginx 配置语法错误排查
  • FRP 双向认证的踩坑经历
  • WebSocket 连接不稳定问题

10.2 成功后的喜悦

  • 访问速度的提升
  • 稳定性大幅改善
  • 维护成本降低
  • 一台服务器多种用途

10.3 成本与收益

项目月成本说明
VPS$X主要开销
域名$Y/年按年计算
Cloudflare免费可选
证书免费Let's Encrypt

10.4 未来优化方向

  • [ ] 多节点负载均衡
  • [ ] 自动化部署脚本
  • [ ] 监控告警系统
  • [ ] IPv6 支持
  • [ ] WireGuard 作为备用隧道

10.5 给新手的建议

  • 循序渐进,不要一次性部署所有服务
  • 做好备份,记录配置变更
  • 多看日志,遇到问题先查 log
  • 加入社区,善用搜索引擎

10.6 写在最后

"技术的魅力在于,它能让平凡的人,做出不平凡的事。"

这套架构或许不是最优解,但它是我在无数次试错后找到的、适合自己的方案。希望这篇文章能为同样在折腾的你,提供一些参考和启发。

参考资源

文章信息

  • 写作日期:2025-02-10
  • 适用环境:Ubuntu 22.04 / Debian 12
  • Xray 版本:v1.8.x
  • Nginx 版本:1.24+

如果本文对你有帮助,欢迎分享给更多人。有问题可以在评论区讨论,或者在 GitHub 提 Issue。