3X-UI 面板

第一章：认识 3X-UI

支持多协议多用户的 xray 面板。有以下常见分支：

• x-ui

  原版。

• x-ui

  维护版。原作者已经很久未更新了，这个人还继续更新。不过目前也不在更新了，该仓库已存档。

• x-ui-yg

  精简修改版。目前还在维护。

• 3x-ui

  增强版。在原版添加了很多功能，目前使用这个来搭建节点。

第二章：安装 3X-UI

一、安装步骤

1. 更新 VPS 服务器

# Debian/Ubuntu
apt update -y && apt install -y curl && apt install -y socat

# CentOS
yum update -y && yum update -y && yum install -y socat

2. 脚本一键安装

bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

3. 检查防火墙与端口

建议防火墙关闭。

4. 申请证书

记得先把域名解析成功在申请证书。

sudo apt-get update
sudo apt-get install cron

x-ui

Please enter your selection [0-25]: 18
	1. Get SSL
	2. Revoke
	3. Force Renew
	4. Show Existing Domains
	5. Set Cert paths for the panel
	0. Back to Main Menu
Choose an option: 1

Please enter your domain name: ok.xxx.me
Please choose which port to use (default is 80): 回车
Would you like to modify --reloadcmd for ACME? (y/n): y

Would you like to set this certificate for the panel? (y/n): y
[INF] Panel paths set for domain: ok.xxx.me
[INF] Certificate File: /root/cert/ok.xxx.me/fullchain.pem
[INF] Private Key File: /root/cert/ok.xxx.me/privkey.pem
Access URL: https://ok.xxx.me:52413/NRyWIwDGls0OAdo/

二、添加节点

1. vmess

1）vmess+tcp

不推荐使用这个。但好处是不用任何证书与域名。

2）vmess+ws

2. vless

1）vless+ws+tls

适合：长期使用、速度稳定、多端设备兼容、伪装站点等场景。

2）vless+tcp+reality

推荐 vless + tcp + reality，抗封锁能力强。

3）vless+tcp+reality+vision / vless+reality+vision

只需在 vless+tcp+reality 基础上添加客户的 Flow 就行。

3）vless+grpc+reality

4）vless+tcp+tls

5）vless+tcp+tls+vision / vless+tls+vision

只需在 vless+tcp+tls 基础上添加 Flow 就行。

6）vless+xhttp+reality-直连

访问 IP 显示 VPS IP，表明为直连模式。

相比普通 reality 节点，XHTTP 提供字节填充、多路复用等功能，但普通 reality 已足够稳定，可根据需求选择。

7）vless+xhttp+tls-CDN

3. shadowsocks

1）ss+tcp

4. trojan

1）trojan+tcp+tls

三、开启 BBR

BBR 是谷歌开发的拥塞控制算法，能优化 TCP 传输，特别适合跨国网络，提升下载和视频流畅度！

x-ui

Please enter your selection [0-25]: 23

Choose an option: 1
BBR is already enabled!

验证 BBR 是否开启成功。

// 查看当前系统支持的拥塞控制算法有哪些
# sysctl net.ipv4.tcp_available_congestion_control
net.ipv4.tcp_available_congestion_control = reno cubic bbr

// 目前使用的拥塞控制算法是什么
# sysctl net.ipv4.tcp_congestion_control
net.ipv4.tcp_congestion_control = bbr

// 设置拥塞控制算法为 bbr
## 设置默认队列调度器为 fq
# echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
## 设置默认 TCP 拥塞控制算法为 bbr
# echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
## 重新加载配置, 使上述更改立即生效
# sysctl -p

四、常见问题

1. 常用命令

┌───────────────────────────────────────────────────────┐
│  x-ui control menu usages (subcommands):              │
│                                                       │
│  x-ui              - Admin Management Script          │
│  x-ui start        - Start                            │
│  x-ui stop         - Stop                             │
│  x-ui restart      - Restart                          │
│  x-ui status       - Current Status                   │
│  x-ui settings     - Current Settings                 │
│  x-ui enable       - Enable Autostart on OS Startup   │
│  x-ui disable      - Disable Autostart on OS Startup  │
│  x-ui log          - Check logs                       │
│  x-ui banlog       - Check Fail2ban ban logs          │
│  x-ui update       - Update                           │
│  x-ui legacy       - legacy version                   │
│  x-ui install      - Install                          │
│  x-ui uninstall    - Uninstall                        │
└───────────────────────────────────────────────────────┘

2. 证书已签发，无法再次签发

系统已经为域名 ok.xxx.me 生成了证书，因此无法再次签发。

Please enter your domain name: ok.nhsj.me
[DEG] Your domain is: ok.xxx.me, checking it... 
[ERR] System already has certificates for this domain. Cannot issue again. Current certificate details: 
[INF] Main_Domain  KeyLength  SAN_Domains  CA           Created               Renew
ok.xxx.me   "ec-256"   no           ZeroSSL.com  2025-01-26T02:53:59Z  2025-03-26T02:53:59Z

在 /root/.acme.sh 目录下删除本次要申请域名的文件夹即可。

rm -ef /root/.acme.sh/ok.xxx.me_ecc

3. Reality 寻找适合的目标网站

查询ASN：https://tools.ipip.net/as.php

寻找目标：https://fofa.info

asn=="25820" && country=="US" && port=="443" && cert!="Let's Encrypt" && cert.issuer!="ZeroSSL" && status_code="200"

4. 检查端口是否被封

检测工具：ping.pe

• 输入 IP：检查 ping 是否正常。
• 输入 IP:端口：看结果是否绿色（绿色 = 畅通）。

附加

一、免费证书

1. Let’s Encrypt 证书（3 个月自动续期）

1）输入命令 x-ui，打开脚本菜单。

2）选择 18 进入 SSL 证书菜单。

3）选择 1 安装证书。

4）输入域名（需 A 记录解析到本机 IP）。

5）安装成功后，选择 5 导入证书路径。

6）后台 → 页面设置 → 配置证书域名路径，保存并重启面板。

⚠️ Cloudflare 加速下需启用“DNS 仅解析”模式进行证书申请，否则申请失败（403）。

2. Cloudflare 自签证书（15 年有效）

适用于已托管在 Cloudflare 的域名。

1）登录 Cloudflare → SSL/TLS → 源服务器证书 → 创建证书。

2）使用默认选项，点击“创建”。

3）下载生成的 origin.pem 与 origin.key。

4）上传到 VPS，保存至如 /root/certs/ 路径下。

5）后台 → 页面设置 → 填入证书路径，保存并重启面板。

3. 自己申请

#安装证书工具：
curl https://get.acme.sh | sh; apt install socat -y || yum install socat -y; ~/.acme.sh/acme.sh --set-default-ca --server letsencrypt

#三种方式任选其中一种，申请失败则更换方式
#申请证书方式1： 
~/.acme.sh/acme.sh  --issue -d 你的域名 --standalone -k ec-256 --force --insecure
#申请证书方式2： 
~/.acme.sh/acme.sh --register-account -m "${RANDOM}@chacuo.net" --server buypass --force --insecure && ~/.acme.sh/acme.sh  --issue -d 你的域名 --standalone -k ec-256 --force --insecure --server buypass
#申请证书方式3： 
~/.acme.sh/acme.sh --register-account -m "${RANDOM}@chacuo.net" --server zerossl --force --insecure && ~/.acme.sh/acme.sh  --issue -d 你的域名 --standalone -k ec-256 --force --insecure --server zerossl

#安装证书：
~/.acme.sh/acme.sh --install-cert -d 你的域名 --ecc --key-file /etc/x-ui/server.key --fullchain-file /etc/x-ui/server.crt

二、IP纯净度检测：伪装到极致！🕵️‍♂️

• whoer.net：检查伪装度，时区和 DNS 泄漏，目标 100% 原生！
• ipinfo.io：确认 IP 类型和归属地。
• bgp.he.net：查看 WHOIS 信息，与机房位置对比。

三、协议对比

协议	无需注册域名	解决 TLS in TLS	自带多路复用	通过 CDN 访问
VLESS-XTLS-Vision	❌	✅	❌	❌
VLESS-XTLS-uTLS-REALITY	✅	✅	❌	❌
VLESS-gRPC-uTLS-REALITY	✅	❌	✅	❌
VLESS-H2-uTLS-REALITY	✅	❌	❌	❌

参考文章

博客

• https://amcbbs.com/