添加TLS

  • SNI、ACME 域名完全一致
    • 均为你的 DDNS 域名,证书和域名强匹配,确保不会出现证书校验失败的问题。
  • 版本控制在1.3
    • 仅保留最新的 TLS 1.3 协议,和国内主流网站的 HTTPS 流量特征完全一致,安全性拉满,无老旧协议的异常特征。
  • 「禁用 SNI」「允许不安全」全部关闭
    • 杜绝了证书绕过的安全风险,TLS 握手完全符合标准规范。
  • 证书可以使用本地或者acme自动申请
    • 开启 ACME 自动签发证书,选用正规 CA 机构 Let’s Encrypt,实现证书自动续期,无需手动维护。
  • ECH 功能保持关闭
    • 国内环境开启 ECH 反而会产生异常流量特征,无任何实用价值。
  • ALPN 配置需清空 / 改为「无」
    • ALPN 下拉框选择「无」,清空所有 ALPN 配置,纯 TCP 的 VLESS+TLS 无需额外 ALPN 声明,流量特征更干净
  • 开启 ACME 后,s-ui 会自动管理证书的存储、续期,无需手动填写文件路径-证书 / 私钥路径。
  • utls也不开启 2026-04-04-sing-box打造homelab之vless节点配置-20260405050013-2026-04-05-05-00-17
  • ACME证书设置注意事项:
    • ACME 选项 » 数据目录,如果不设置数据目录,最终的证书地址是:/app/.local/share/certmagic/certificates/acme-v02.api.letsencrypt.org-directory/yourdomain/
      • yourdomain.crt:这是您的公钥证书文件(也叫完整证书链 fullchain)。客户端(如 V2rayN, Clash 等)连接时会验证这个文件。
      • yourdomain.key:这是您的私钥文件。这个文件非常重要且必须保密,它是用来解密数据的。
      • yourdomain.json:这是 certmagic 自动生成的配置文件,里面记录了这本证书的申请时间、到期时间等元数据,以便系统在临近过期(通常是 90 天到期前 30 天)时自动续期。
      • 公钥 (Certificate File Path):/app/.local/share/certmagic/certificates/acme-v02.api.letsencrypt.org-directory/yourdomain/yourdomain.crt
      • 私钥 (Key File Path):/app/.local/share/certmagic/certificates/acme-v02.api.letsencrypt.org-directory/yourdomain/yourdomain.key
    • 证书申请过程中涉及到的地址:

      • 对接的证书颁发机构 (CA) 的接口域名:

      • 配合 DNS 验证对接的服务商域名(Cloudflare API):

          INFO - dns exchanged A api.cloudflare.com. ...
  INFO - inbound/tun[tun-in] inbound connection to 104.19.192.176:443
  INFO - outbound/direct[direct] outbound connection to 104.19.192.176:443

      • 对于涉及到的地址,进行直连处理

        • route直连
        • dns直连,设置dns-rules
        • 使用 “domain_suffix” “domain_suffix”:[ “letsencrypt.org”, “cloudflare.com” ],

设置vless节点

  • 服务端设置
    • 入站>vless类型
    • 设置端口
      • 49152-65535 区间的高位随机端口,避开了 80/443/8080 等运营商重点监控的常用端口,符合防误判要求
    • 设置TCP Fast Open 开启,TCP Multi PathUDP Fragment、禁用 TCP Keep Alive 全部关闭
    • 选择用户
    • 选择一个TLS模版
    • 「启用多路复用」设置为开启,「启用 TCP Brutal」「仅允许填充连接」全部关闭 2026-04-04-sing-box打造homelab之vless节点配置-20260405050112-2026-04-05-05-01-16

客户端设置页面参数解释

目标满足 “境内合规、高性能、防 PCDN 误判”

2026-04-04-sing-box打造homelab之vless节点配置-20260405050402-2026-04-05-05-04-06

一、 基础信息与多路复用 (Multiplexing)

  1. 网络 (Network): TCP/UDP
    • 意义:告诉客户端通过这个隧道可以传输两种流量。
    • 建议保持 TCP/UDP。这是实现 DNS 解析和正常网页访问的基础。
  2. UDP 数据包编码: none
    • 意义:UDP 包的封装方式。
    • 建议保持 none。VLESS 标准下通常不需要额外编码。
  3. 启用多路复用 (Multiplexing): 开启 ✅
    • 意义:核心优化项。让手机端与家里的所有请求(图片、脚本、数据)共用一条 TCP 连接。
    • 协议:建议选 smux
      • h2mux 是 HTTP/2 多路复用
        • 长得像 网站流量
        • 走非 443 端口会非常奇怪
        • 容易被标记、限流、误判 PCDN
      • smux 是轻量二进制隧道协议
        • 流量特征 干净、低调
        • 不像网页,也不像 P2P
        • 个人远程接入 最安全、最不显眼
        • 性能开销相比h2mux更小
    • 最大连接数/流数:全部保持 0。这代表使用系统默认值,通常最稳。
    • 建议开启。它能显著提升访问家里的 NAS 网页、PVE 后台的“秒开”感。

二、 拥塞控制与性能优化

  1. 启用 TCP Brutal: 关闭 ❌
    • 意义:这是一个暴力抢占带宽的算法,无视网络拥塞。
    • 建议绝对不要开启。在境内网络使用它,流量特征极其嚣张,极易被运营商识别为 PCDN 流量或恶意攻击,轻则限速,重则封号。

三、 拨号选项 (Dialing Options) —— 决定客户端如何连接你

这些选项决定了你手机发出的第一个连接包长什么样:

  1. TCP Fast Open (TFO): 开启 ✅
    • 意义:在 TCP 三次握手的第一步就带上 TLS 数据。
    • 建议开启。它能减少 1 个往返时间(RTT)的延迟。只要你的手机和家里的 PVE 内核支持,它是百利而无一害的。
  2. TCP Multi Path (MPTCP): 关闭 ❌
    • 意义:同时利用 WiFi 和 5G 建立连接。
    • 建议关闭。国内运营商环境对 MPTCP 支持极差,开启后可能导致在切换网络时频繁掉线。
  3. 禁用 TCP Keep Alive: 不要勾选 ❌
    • 意义:保持 TCP 保活机制。
    • 建议不勾选(即保持 Keep Alive 运行)。下方参数 5m / 75s 非常合理,能保证你的连接不会被运营商的 NAT 强行掐断。
  4. UDP Fragment: 关闭 ❌
    • 意义:UDP 分片。
    • 建议关闭(虽然你图中开启了,建议关掉)。因为你底层是 VLESS+TLS (TCP),你的所有 UDP 流量已经被封装在 TCP 管道里了。在这个层级再开 UDP 分片是多此一举,反而会增加手机端的 CPU 开销。
  5. 连接超时: 5 秒
    • 建议保持默认。如果 5 秒都连不上你家的公网 IP,基本就是网络断了,没必要等太久。

四、 最终配置建议总结

选项名称建议设置原因
网络TCP/UDP保证功能完整性
启用多路复用开启显著提升网页/App 加载体验
协议 (Mux)smux干净轻量
TCP Brutal关闭保号要紧,严防 PCDN 误判
TCP Fast Open开启降低首包延迟
UDP Fragment关闭TCP 隧道内不需要分片
TCP Keep Alive开启 (不禁用)维持长连接,防止掉线

问题

  • 即便在入站的客户端里设置了多路复用等信息,但是在最终生成的vless://节点信息地址中,依旧没有这类信息,还是需要去客户端的outbound里手动设置