在2024年如何自建梯子—实现科学上网

前言

一些国外的网站和服务在国内无法正常访问，比如 Google、YouTube、Instagram、Twitter 等。
虽然有免费的科学上网服务，但是难免对信息安全上不放心，而且质量等也不够理想，毕竟 “天下没有免费的午餐”，想要免费使用优质服务无异于做梦。索性干脆自己搭建一个，一个月最低也就三四十来块，用得舒服也放心。
本篇就详细介绍下如何使用 VPS 服务器快速安装搭建科学上网服务。图文结合，简单详细，让小白也可以自由上网。

原理

我们访问国外网站时如上图所示，访问请求和数据都会经过检测，如果检测到访问的是 Google 等网站，就会被干扰导而致无法访问。
科学上网的原理是通过将用户的网络流量加密并转发到国外服务器，再由这些服务器代为访问互联网，最终将数据返回用户端，实现用户在墙外的上网体验。

准备工作

需要用到的资料：
-注册： 邮箱
-付费： 支付宝、Paypal 或 信用卡 皆可
-一台电脑
从 VPS 注册到安装完成的使用方法每步都有截图说明，让完全不懂的小白也可以顺利完成。跟着教程一步步来，复制代码和填写信息时注意核对正确，大概需要 10 分钟即可完成。

一、注册 & 安装

注册

首先打开 Vultr官网（也可以打开下面的链接）
vultr 拉新活动，新用户注册送 $50(30天有效期）

购买VPS

充值

注册登录后会进入个人面板，左边栏选择 “Billing”，选择支付方式和金额，付款即可。Vultr 现在支持支付宝，很方便。

选择 “Products” ，按照下图所示选择




选好后点击右下角的 “Deploy Now” ，开始安装 VPS。

查看管理 VPS

可选项（添加公网IPV6地址）

此时你的VPS每月价格为8美刀一个月，与刚刚的6美刀一个月贵了2美刀，是因为你添加了公网IPv4地址，这个2美刀一个月。
如果你的环境支持IPv6，可以在规格选择IPv6和无公网IPv4地址，这样你就能省下2美刀一个月。
我的建议是不省这2美刀原因有两点：
1.目前国内大部分企业的网络环境没有启用IPv6；
2.其他网站对vultr的无公网IPv4地址有访问限制，例如github。

需要记得的信息

VPS 管理面板，这里需要记录下 IP 地址（IP Address）、用户名（Username）、密码（Password）供稍后连接时使用。

二、连接 vps

使用 ssh 工具连接我们的 VPS，Windows 可以用 xshell、PuTTY（开源免费）等，Mac 可使用自带的终端。

Windows

安装 Xshell和XFTP ，打开Xshell软件。

点击 “文件” → “新建” → “连接”，输入 “名称” 和 “主机” （即VPS ip）。

点击 “用户身份验证”，输入用户名（默认root）和密码。确认。

连接 VPS，接受并保存密匙。


出现 root@vultr:~# 即连接成功。

Mac

打开终端，输入以下代码登录 VPS。
ssh root@ip
其中 root 即用户名
将 ip 更改为 VPS 的 IP 地址，回车。

输入 yes 确认，粘贴密码，回车。需要提醒的是，密码输入时并不会显示出来，直接复制粘贴，回车即可。出现 root@vultr:~# 即连接成功
如果连接失败，请使用ufw命令开启22端口。

三、 搭建节点

连接上之后，就可以开始搭建了。

1.安装谷歌 BBR 加速

执行下面命令安装谷歌BBR：
wget --no-check-certificate https://github.com/teddysun/across/raw/master/bbr.sh && chmod +x bbr.sh && ./bbr.sh
显示 “Press any key to start…” 按回车确认。回车后会出现一列内核版本让我们选择，输入序号 61 并回车开始安装。

安装完后，按提示重启 VPS，输入 Y 回车重启。稍候 1min 等待重启完成，再重新连接 Xshell。
重启后输入：
lsmod | grep bbr
出现 tcp_bbr 即说明 BBR 已经启动。

2.安装X-UI面板

输入如下代码安装X-UI面板：
bash <(curl -Ls https://raw.githubusercontent.com/FranzKafkaYu/x-ui/956bf85bbac978d56c0e319c5fac2d6db7df9564/install.sh) 0.3.4.4
根据软件提示进行操作，记住端口号，用户名和密码。
使用ufw命令开放此端口，命令如下：
ufw allow 端口号
现在你可以在浏览器使用 ip:端口号访问面板了。（不推荐使用此方法，因为是明文访问，容易给GFW暴露访问内容）

3.HTTPS加密

通过http访问面板进行配置的方式，会导致中间人GFW看到你的节点信息。简单理解就是你访问xui面板进行的所有操作都是明文的，GFW能看到你在xui上干了啥，搭建了什么节点，包括节点的密码和私钥这些都能看到，这是一个很严重的安全风险。介绍如下方法可使用https加密
输入如下指令进行SSH端口转发（在Windows和Mac终端运行即可）：
ssh -L xui面板端口:127.0.0.1:本机任意空闲端口 root@远程主机IP地址 -p 22
例如我的VPS的IP地址为1.1.1.1，x-ui开放端口为1000，即在输入如下指令
ssh -L 1000:127.0.0.1:1000 root@1.1.1.1 -p 22
注：IPV6的同学需要将127.0.0.1改为localhost
这样你浏览器输入127.0.0.1:1000或localhost:1000即可使用SSH加密访问面板。
这样你的面板数据就已经加密了，不过每当你想安全的访问面板你就又要在终端输入以上指令来进行加密，而且终端要时常打开，有点麻烦。如果你觉得能够接受，那就可以省略如下步骤，如果你想省略这一步骤，请接着跟着我做（终端暂时保持打开，搁置一边即可）。
访问ZeroSSL,输入邮箱注册新账号。

在新界面点击“New Certificate”，然后“Enter Domains”中输入你的VPS IP地址，点击下一步。

在“Validity”选择90天的版本，点击下一步。

在“Add-Ons”和“CSR & Contact”两个选项当中无脑选择下一步就行，然后在“Finalize Your Order”中选择“Free”计划，点击下一步。
在“Verify Domain”中根据下图选择

接下来点击“ Download Auth File”，电脑会下载一个txt格式的文本文件，在电脑中保存。、
在VPS终端中输入以下指令创建文件夹：
mkdir -p ./.well-known/pki-validation
接下来运行如下代码：

cat << EOF | sudo tee ./.well-known/pki-validation/替换.txt

EOF

注：替换两字改为ZeroSSL中第四步txt的名称（即刚刚下载的文本文件名称），代码中间的空格需要填充刚刚下载的文本文件的内容。
输入如下代码创建临时服务器：
python3 -m http.server 80
记得开放80端口 先输入ufw allow 80再运行上面的代码。
点击下一步，点击验证，如果不出意外的话，则会出现如下界面，点击下载即可。

将下载的压缩包解压，将解压出来的三个文件“ca_bundle.crt”，“certificate.crt”，“private.key”导入到VPS中，使用Xshell搭配的Xftp即可导入。
在SSH加密的情况下浏览器访问x-ui面板，点击“面板设置”，这时面板会弹出提示，点击确定，等待面板重启完成即可。

将此时的x-ui面板的网址复制到任意文本文件中，保存。
在面板设置中的“面板证书公钥文件路径”填入刚才导入的“certificate.crt”的路径（在Xftp中右键“certificate.crt”点击复制路径即可）。
在面板设置中的“面板证书密钥文件路径”填入刚才导入的“private.key”的路径（在Xftp中右键“private.key”点击复制路径即可）。
先点击“保存配置”，再点击“重启面板”，这是浏览器会弹出警告，将127.0.0.1改为VPS的IP即可访问。

这是网站提示连接安全，即完成了HTTPS加密。这时可以把此面板添加到收藏栏中以便后续访问。

注：由于网站证书期限为90天，所以到期需要到ZeroSSL网站重新申请，重复以上代码。而且每个用户的免费额度为三张证书，不过不需要验证邮箱地址，变相等于免费证书。

4.节点制作

访问x-ui面板，点击“入站列表”,再点击“添加入站”。


在新界面按照下图操作:

最后点击“添加”，这样一个vmess+ws的节点就完成搭建了，炒鸡简单。
点击“操作”，再点击“二维码”即可搭配相关软件使用

拓展1.打开tls的方法

在VPS终端按步骤输入如下指令:

#1.安装证书工具：
curl https://get.acme.sh | sh; apt install socat -y || yum install socat -y; ~/.acme.sh/acme.sh --set-default-ca --server letsencrypt

#2.三种方式任选其中一种，申请失败则更换方式
#申请证书方式1： 
~/.acme.sh/acme.sh  --issue -d 你的域名 --standalone -k ec-256 --force --insecure
#申请证书方式2： 
~/.acme.sh/acme.sh --register-account -m "${RANDOM}@chacuo.net" --server buypass --force --insecure && ~/.acme.sh/acme.sh  --issue -d 你的域名 --standalone -k ec-256 --force --insecure --server buypass
#3.申请证书方式3： 
~/.acme.sh/acme.sh --register-account -m "${RANDOM}@chacuo.net" --server zerossl --force --insecure && ~/.acme.sh/acme.sh  --issue -d 你的域名 --standalone -k ec-256 --force --insecure --server zerossl

#安装证书：
~/.acme.sh/acme.sh --install-cert -d 你的域名 --ecc --key-file /etc/x-ui/server.key --fullchain-file /etc/x-ui/server.crt

注：你的域名需要更改为真实的域名，下面演示怎样更改
例如我的VPS域名为1.1.1.1，则我需要将其中的你的域名改为1-1-1-1.nip.io即可



在浏览器访问x-ui面板，点击“入站列表”→点击“操作” →“点击编辑”→“打开tls”，按照下图操作即可

操作完成后，点击添加即可。

拓展2.检测端口是否被封

点击网站
输入VPS的IP地址:节点端口号点击GO,鼠标往下滑动，找到国内的服务器。

显示全绿色即代表没有被封禁端口，如果全显示红色则代表端口可能被封，需要更换端口再开启tls，如果更换多个端口不顶用则需要考虑本VPS IP是否封禁。
注：如果全部显示红色即代表你的端口可能没有开启，可进一步通过这个网站进一步查验
注：本篇只演示了vmess+ws的节点搭建教程，其他协议的节点请自行谷歌查询

5.节点使用

下载以下软件：
Windows客户端使用
安卓客户端
苹果客户端：Shadowrocket
至于如何使用，由于篇幅原因，就不再一一展示，请自行谷歌。

以上就是本篇节点搭建教程的全部内容，如果觉得内容不错，请积极分享给其他人。如果其他有疑问请致电我的邮箱xbd123@xiaobudian.eu.org。