V2ray+WS+TCP+TLS配置

  1. v2ray+WS+TCP+TLS
  2. 安全级别不错
  3. 稳定性不错
  4. 推荐部署

centos7系统配置和Debian系统配置,acme.sh脚本所有证书将每60天自动更新一次(如果你非要手动更新随意)

第一步.V2RAY官方脚本搭建

centos7更新服务器 yum update -y (部分系统提示NO packages marked for update则无需更新)
设置硬件时钟调整为与本地时钟一致, 设置时区为上海 date -R 是查看服务器当前时间

1
2
3
date -R
timedatectl set-local-rtc 1
timedatectl set-timezone Asia/Shanghai

Debian系统同步时间如下:

1
2
3
date -R
rm -rf /etc/localtime
cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

第二步.安装bbr

1
#centos7 复制这条代码安装bbr加速如下:

yum -y install wget
wget “https://raw.githubusercontent.com/ComeBey/rootfw-bbr/master/tcp.sh" && chmod +x tcp.sh && ./tcp.sh

1
2
3
4
5
6
7
8
9
10


#debian9 复制这条代码安装bbr加速如下:
#方法一如下:
apt-get install wget
wget -N --no-check-certificate https://bit.ly/2VWUksq && chmod + hasan.sh && bash hasan.sh

#备用代码
apt-get install wget
wget -N --no-check-certificate https://raw.githubusercontent.com/ComeBey/bbr/master/hasan.sh && chmod + hasan.sh && bash hasan.sh

第三步.安装v2ray官方代码

1
2
3
bash <(curl -L -s https://install.direct/go.sh) 
vim /etc/v2ray/config.json #v2ray配置文件
ervice v2ray start|stop|status|reload|restart|force-reload 控制 V2Ray 的运行

第四步.安装acme.sh

https://my.freenom.com/免费注册地址 当然我们也可以自行购买付费域名
证书生成工具 (温馨提示您还可以启用自动升级acme.sh在root下输入 acme.sh upgrade)
以下提供3种方法选其中任意一种方法安装证书工具

1
2
3
4
5
6
7
8
9
10
curl  https://get.acme.sh | sh  
#如提示安装失败 请先安装curl 输入 yum -y install curl 或者 apt-get install curl

wget -O - https://get.acme.sh | sh
#如提示安装失败请(先安装wget)输入 yum -y install wget 或者 apt-get install wget 已经安装了忽略

git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install      
#如提示安装失败 先安装git 已经安装了的忽略 输入 yum install git 或者 apt-get install git

谷歌云直接安装(如果其他品牌vps也提示 install socat firt也请安装socat)centos7系统执行 yum install socat
debian系统执行 apt-get install openssl cron socat curl
socat为80端口必须用的依赖来申请证书用,如果您使用443端口申请证书则无需安装socat

执行这条命令source ~/.bashrc

安装过程中如果报错请查看面板提示信息,尝试安装acme.sh相关依赖项,比如安装 netcat 或 socat 如果提示报错才安装,不提示报错忽略
acme.sh 会安装到 ~/.acme.sh 目录下 (可通过root命令下 输入cd ~/.acme.sh查看,不懂的朋友请忽略继续下一步)

第五步.acme.sh 生成证书

以下的命令会临时监听 80 端口,请确保执行该命令前 80 端口没有占用 (80是http端口)
不推荐使用80端口生成证书 推荐使用443端口生成证书
centos7系统 执行

1
sudo ~/.acme.sh/acme.sh --issue -d 域名 --standalone -k ec-256

Debian系统 执行

1
bash ~/.acme.sh/acme.sh --issue -d 域名 --standalone -k ec-256

以下的命令会临时监听 443 端口,请确保执行该命令前 443 端口没有被占用且服务器443端口已经打开 (443是https端口)

centos7系统 执行

1
sudo ~/.acme.sh/acme.sh --issue -d 域名 --alpn -k ec-256

如果您443在反向代理或负载均衡器后面使用非标准端口,则可以--tlsport用来指定端口

centos7系统 执行

1
sudo ~/.acme.sh/acme.sh --issue -d 域名 --alpn --tlsport 端口 -k ec-256

Debian系统 执行

1
bash ~/.acme.sh/acme.sh --issue -d 域名 --alpn -k ec-256

如果您443在反向代理或负载均衡器后面使用非标准端口,则可以–tlsport用来指定端口

Debian系统 执行

1
bash ~/.acme.sh/acme.sh --issue -d 域名 --alpn --tlsport 端口 -k ec-256

-k 表示密钥长度,后面的值可以是 ec-256 、ec-384、2048、3072、4096、8192,带有 ec 表示生成的是 ECC 证书,没有则是 RSA 证书。在安全性上 256 位的 ECC 证书等同于 3072 位的 RSA 证书

第六步.证书和密钥安装到指定目录

/etc/v2ray目录(路径可以自定义,当然也可以默认)

1
2
sudo ~/.acme.sh/acme.sh --installcert -d 域名 --fullchainpath /etc/v2ray/v2ray.crt --keypath /etc/v2ray/v2ray.key --ecc   # ecc 安装代码 
sudo ~/.acme.sh/acme.sh --installcert -d 域名 --fullchainpath /etc/v2ray/v2ray.crt --keypath /etc/v2ray/v2ray.key #rsa 安装代码

第七步.配置文件 config.json

vim /etc/v2ray/config.json

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
{
"inbounds": [
{
"port": 443, // 服务器端口
"protocol": "vmess",
"settings": {
"clients": [
{
"id": "23ad6b10-8d1a-40f7-8ad0-e3e35cd38297",
"alterId": 64
}
]
},
"streamSettings": {
"network": "tcp",
"security": "tls", // security 要设置为 tls 才会启用 TLS
"tlsSettings": {
"certificates": [
{
"certificateFile": "/etc/v2ray/v2ray.crt", // 证书文件
"keyFile": "/etc/v2ray/v2ray.key" // 密钥文件
}
]
}
}
}
],
"outbounds": [
{
"protocol": "freedom",
"settings": {}
}
]
}

service v2ray start|stop|status|reload|restart|force-reload 控制 V2Ray 的运行

第八步.验证是否正常开启

TLS https://www.ssllabs.com/ssltest/index.html

手动更新证书密钥生成到 /etc/v2ray (温馨提示:视频中我讲错了acme.sh脚本所有证书将每60天自动更新一次,大家无需担心证书到期无法使用)
ecc sudo ~/.acme.sh/acme.sh –renew -d 域名 –force –ecc
rsa sudo ~/.acme.sh/acme.sh –renew -d 域名 –force –rsa

温馨提示:V2Ray 的 TLS 不是伪装或混淆,这是真正的 TLS。因此才需要域名和证书。 WS(WebSocket) 也不是伪装
注意:使用 Qualys SSL Labs’s SSL Server Test 要求使用 443 端口,意味着你服务器配置的 inbound.port 应当是 443


 

评论

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×