讲透VPN系列:(一)流量中转(链式代理)和高强度伪装(Reality-Hy2)
很多小伙伴对VPN代理是云里雾里,几天我就来探讨这个问题,在开始搭建之前,我们先来了解一些基本的常识及当前现状。
首先,“VPS-A中转 + VPS-B落地 + 现代抗封锁协议”是目前讨论最多的组合,也正是把流量中转(链式代理)和高强度伪装(Reality/Hy2)结合起来。
下面我把这个方案的技术本质、主流协议对比和完整链路配置给你梳理清楚。
一、技术本质:为什么需要“VPS中转 + 抗封锁协议”?
你之前关心的“避免直连”,核心逻辑是:
- VPS-A(中转节点):靠近你所在的地理位置(例如香港、日本),负责接收你电脑的加密流量,并通过内网转发给VPS-B
- VPS-B(落地节点):位于目标地区(例如美国、欧洲),负责最终访问目标网站
这样做的好处:
- 隐藏落地节点IP:你的电脑只连接中转节点,目标网站只能看到落地节点的IP
- 优化路由:中转节点和落地节点之间通常用内网通信(速度快、不计费),而你电脑到中转节点可以选择低延迟区域
- 叠加协议伪装:在两个节点之间的链路上部署Reality、Hysteria2等协议,进一步规避检测
二、主流抗封锁协议对比(2026年)
结合你之前关心的sing-box和VLESS+Reality,我把当前讨论最多的几种方案整理如下:
| 协议 | 传输层 | 核心特点 | 抗封锁能力 | 速度表现 | 适用场景 | |
|---|---|---|---|---|---|---|
| VLESS+Reality | TCP | 模拟真实HTTPS网站TLS指纹,无需域名证书 | ⭐⭐⭐⭐⭐ 当前最强 | ⭐⭐⭐⭐ 优秀 | 日常主力,长期稳定 | |
| Hysteria2 | UDP (QUIC) | 暴力发包拉满带宽,伪装HTTP/3流量 | ⭐⭐⭐ 中等(有争议) | ⭐⭐⭐⭐⭐ 极快 | 线路质量差、追求高峰期速度 | |
| TUICv5 | UDP (QUIC) | 0-RTT握手,行为比Hy2“温柔” | ⭐⭐⭐⭐ 较好 | ⭐⭐⭐⭐ 优秀 | 低延迟敏感场景 | |
| ShadowTLS v3 | TCP | 作为插件伪装TLS流量 | ⭐⭐⭐⭐ 较好 | ⭐⭐⭐ 良好 | 需要TLS伪装但不想用Reality | |
| VLESS+WS+TLS | TCP+WebSocket | 可套CDN隐藏VPS IP | ⭐⭐⭐⭐ 较好 | ⭐⭐⭐ 一般 | 必须套CDN的场景 | |
综合结论(从搜索结果归纳):
- 日常主力:VLESS+Reality,抗封锁能力最强,经得起长期稳定使用
- 备用加速:Hysteria2 或 TUICv5,在线路差的VPS上能大幅提升速度
- 需要CDN:VLESS+WebSocket+TLS,配合Cloudflare隐藏真实IP
⚠️ 关于Hysteria2的争议:它基于UDP/QUIC,虽然速度极快,但有观点认为2025年起GFW能更精准识别其流量特征,且UDP大包可能被本地运营商QoS限制。建议作为备用而非主力。
三、VPS中转 + Reality + Hysteria2 完整链路
推荐的组合(两台VPS + 避免直连),我画一下完整链路:
你的电脑
↓(连接中转节点,使用Reality或Hy2协议)
VPS-A(中转节点,如香港)
↓(内网转发,使用iptables/nginx/frp)
VPS-B(落地节点,如美国)
↓(访问目标网站)
Internet方案A:中转节点只做端口转发(纯四层)
这种方式下,VPS-A只负责流量搬运,不部署代理协议。协议配置在电脑客户端和VPS-B之间。
优点:中转效率最高,资源配置最简单 缺点:VPS-A到VPS-B之间的流量是“明文转发”,如果这段链路被监控,可能暴露特征
配置步骤:
- 在VPS-B上部署sing-box,开启Reality或Hysteria2服务
- 在VPS-A上使用iptables或nginx做四层端口转发,将外网端口转发到VPS-B的内网IP+端口
- 电脑客户端配置连接VPS-A的公网IP,协议和VPS-B完全一致
方案B:每台VPS都部署sing-box(链式代理)
这种方式下,VPS-A也运行sing-box,作为“下一跳节点”,电脑流量经过两级代理转发。
sing-box链式代理配置示例(在VPS-A的出站配置中):
{
"outbounds": [
{
"type": "vless",
"tag": "proxy-to-vpsb",
"server": "VPS-B的内网IP",
"server_port": 443,
"uuid": "your-uuid",
"flow": "xtls-rprx-vision",
"security": "reality",
"tls": {
"enabled": true,
"server_name": "www.microsoft.com",
"reality": {
"enabled": true,
"public_key": "VPS-B的公钥",
"short_id": "your-short-id"
}
}
}
]
}电脑客户端配置连接VPS-A,协议不限。VPS-A收到流量后,根据路由规则转发到VPS-B。
四、协议选择决策表(基于你的网络环境)
| 你的情况 | 推荐方案 | 说明 |
|---|---|---|
| 电信网络 + 追求稳定 | VLESS+Reality(主力) | 抗封锁最强,不易被封 |
| 移动网络 + 追求速度 | Hysteria2 或 TUIC(备用) | 移动对UDP QoS较宽松,速度优势明显 |
| 线路质量差(如RackNerd普通线路) | Hysteria2 或 TUIC | 能大幅提升高峰期速度 |
| 必须隐藏VPS IP(如被DDoS) | VLESS+WS+TLS + Cloudflare | 套CDN隐藏真实IP |
| 长期稳定 + 不想折腾 | 只部署Reality | 一个协议够了,多协议反而增加维护成本 |
五、实际配置(sing-box + VLESS+Reality + 中转)
如果你决定用sing-box统一管理(支持Reality、TUIC、Hysteria2等全部协议),以下是精简版配置要点:
VPS-B(落地节点)服务端配置
{
"inbounds": [
{
"type": "vless",
"tag": "reality-in",
"listen": "0.0.0.0",
"listen_port": 443,
"users": [
{
"uuid": "你的uuid",
"flow": "xtls-rprx-vision"
}
],
"tls": {
"enabled": true,
"server_name": "www.microsoft.com",
"reality": {
"enabled": true,
"handshake": {
"server": "www.microsoft.com",
"server_port": 443
},
"private_key": "你的私钥",
"short_id": ["任意8位hex"]
}
}
}
]
}VPS-A(中转节点)iptables转发规则
如果选择纯四层转发(方案A),在VPS-A上执行:
# 开启IP转发
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p
# 将发往VPS-A:8443的流量转发到VPS-B内网IP:443
iptables -t nat -A PREROUTING -p tcp --dport 8443 -j DNAT --to-destination VPS-B内网IP:443
iptables -t nat -A POSTROUTING -d VPS-B内网IP -j MASQUERADE电脑客户端连接:VPS-A公网IP:8443,协议Reality,其他参数与VPS-B配置一致。
六、总结
| 层级 | 推荐方案 | 一句话理由 |
|---|---|---|
| 协议主力 | VLESS+Reality | 抗封锁最强,经得起长期考验 |
| 协议备用 | Hysteria2 或 TUIC | 高峰期拉满带宽,弱网救星 |
| 管理工具 | sing-box | 一个核心支持所有协议,轻量统一 |
| 中转方式 | iptables四层转发 | 性能最高,零额外开销 |
| 回退方案 | VLESS+WS+TLS + CDN | 万一IP被墙,还能套CDN救急 |
这样就有一个既避免直连、又多层伪装、还能灵活切换协议的完整方案了。完整的sing-box配置文件模板,我们在下一期讲解。