1. 系统环境与网络基础
- 脚本执行顺序:必须先执行 WARP 脚本(
menu.sh 4)为服务器添加 IPv4 出口能力,再安装 3X-UI 面板。 - WARP 冲突规避:在申请证书时,WARP 的随机 IPv4 会干扰域名解析验证。如果使用脚本申请证书失败,应果断放弃,转为手动配置。
2. SSL/TLS 证书的最佳实践
- 摒弃自动申请:由于纯 IPv6 环境下 Let’s Encrypt 验证成功率低,建议使用 Cloudflare Origin Certificate(来源证书)。
- 手动部署路径:
- 在 Cloudflare 后台生成 15 年长效证书。
- 将公钥和私钥手动上传至服务器(如
/root/cert/server.crt),并确保权限为755。
- 面板设置:在 TLS 配置中,手动填入证书的绝对路径,而非通过脚本自动获取。
3. 面板入站设置要点
- 端口选择:建议使用 Cloudflare 支持的标准 HTTPS 端口(如
2053,8443,2096等)。 - 传输协议:目前“德鸡”最稳的组合是 VLESS + WebSocket (WS) + TLS。
- 监听地址:监听地址留空,确保面板能同时监听 IPv6 流量。
4. 防火墙与回源链路“四位一体”
- 核心一致性:以下四个端口必须完全相同,任何一处粗心(如将 21048 误记为 20148)都会导致连接断开:
- 面板入站端口。
- 服务器系统防火墙 (Iptables/UFW) 放行端口。
- Cloudflare Origin Rules (回源规则) 转发端口。
- 客户端连接端口。
5. 客户端 (v2rayN) 关键微调
- 跳过验证:由于使用的是 CF 来源证书,必须将
allowInsecure(跳过证书验证) 设为true,否则 TLS 握手会失败。 - 优选 IP 配置:
- 地址填入优选域名/IP(如
www.shopify.com)。 - 端口填入
443。 - SNI 填入你的真实域名。
- 地址填入优选域名/IP(如
- 状态判定:列表显示
-1不代表节点坏了,应以实时日志中是否出现accepted tcp:www.google.com:443为准。
💡 寄语: 对于纯 IPv6 服务器,手动搬运 Cloudflare 证书 + 严格核对端口号是找回“以前正常感觉”的最短路径。配置完成后,记得备份证书文件和 UUID,未来重装只需几分钟即可复原。
发表回复