Vultr 东京 VPS 自建稳定科学梯子完整方案(2026 版)
Vultr 东京 VPS 自建稳定梯子完整方案(2026 版)
服务器:88.43.42.182(Vultr 东京)
目标:Windows / Mac / iPhone 三端稳定翻墙,抗 GFW 封锁
一、方案选型(结论先行)
推荐方案:sing-box 内核 + 双协议共存(VLESS-Reality + Hysteria2)
| 协议 | 角色 | 抗封锁 | 速度 | 用途 |
|---|---|---|---|---|
| VLESS-Reality | 主用 | ★★★★★ | ★★★★ | 日常浏览、办公、稳定不掉线 |
| Hysteria2 | 备用/高速 | ★★★★ | ★★★★★ | 4K 视频、大文件下载 |
为什么是这个组合(而不是 SS / V2Ray-WS-TLS / WireGuard / OpenVPN):
- VLESS-Reality 是当前 GFW 几乎无法识别的协议。它”偷”一个真实大站(如
www.microsoft.com、www.apple.com)的 TLS 证书指纹,GFW 主动探测时返回的就是真站点响应,从协议特征上无法与正常 HTTPS 流量区分,且完全不需要域名,省去备案/购买域名步骤。 - Hysteria2 基于 QUIC/UDP,自带 Salamander 混淆,速度极快(接近物理带宽),适合看视频。两者并存,一个被针对时切另一个。
- WireGuard / OpenVPN / IKEv2 / L2TP 这类传统 VPN 协议特征明显,GFW 用 DPI 一抓一个准,不要用。
- 原始 Shadowsocks 已被深度研究,特征明显,2026 年已不稳定,不推荐。
- sing-box 是目前最活跃的代理内核(V2Ray 系演进而来),单一进程跑所有协议,配置统一,性能最好。
二、关于 Vultr 东京 IP 被墙的现实
这是必须先说清楚的问题:Vultr 的 IP 段被中国大陆”重点照顾”已经多年。你 IP 66.42.42.182 属于 Vultr 常规 IP 池,可能出现的情况:
- 能 ping 通但延迟高:基本可用
- 能 ping 通但 TCP 443 不通:端口被封,换非标端口
- 完全 ping 不通:IP 被封,需要在 Vultr 控制台销毁实例重建(按小时计费,删掉不再扣钱),分配到新 IP
应对策略:
- 部署前先在 ping.chinaz.com 测试 IP 在国内的连通性
- 一旦 IP 被墙,删除实例 → 重建(同区域),可能要重试 3-5 次才能拿到干净 IP
- 强烈建议同时使用 Hysteria2 端口跳跃功能(脚本支持),让 GFW 难以针对单端口封锁
- 如果 Vultr 东京 IP 池实在污染严重,备选商家:搬瓦工 CN2 GIA、Just My Socks(同搬瓦工)、RackNerd(便宜但走普通线路)
三、服务端部署(一条命令搞定)
3.1 准备工作
SSH 登录服务器:
ssh root@66.42.42.182确认系统(推荐 Ubuntu 22.04 / 24.04):
cat /etc/os-release更新系统:
apt update && apt upgrade -y3.2 开启 BBR 加速(必做,提速 30%+)
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p
# 验证
sysctl net.ipv4.tcp_congestion_control
# 输出应为:net.ipv4.tcp_congestion_control = bbr3.3 一键安装 sing-box(推荐 fscarmen 脚本)
这是目前更新最勤、功能最全的脚本(2026 年 4 月仍在更新):
bash <(wget -qO- https://raw.githubusercontent.com/fscarmen/sing-box/main/sing-box.sh)安装时的关键选择:
- 协议选择:选
XTLS Reality和Hysteria2(多选用空格切换,回车确认) - Reality SNI 域名:默认会让你输入”偷取证书的网站”
- 推荐填:
www.microsoft.com或www.apple.com或addons.mozilla.org - 要求该站支持 TLS 1.3 和 HTTP/2,脚本会自动验证
- 推荐填:
- 端口:
- Reality 用
443(标准 HTTPS 端口,最不易被怀疑) - Hysteria2 用一个高位 UDP 端口,例如
34567,并开启端口跳跃(hopping),范围如20000-50000
- Reality 用
- UUID / 密码:直接回车让脚本自动生成
安装完成后,脚本会输出:
- 节点订阅链接
- 二维码
- 各客户端配置文件
一定把这些信息保存好(脚本也会存到 /root 下)。
3.4 防火墙配置
Vultr 默认没启 ufw,但要确认安全规则:
# 如果用 ufw
ufw allow 22/tcp # SSH
ufw allow 443/tcp # Reality
ufw allow 20000:50000/udp # Hysteria2 端口跳跃范围
ufw enable
# 如果用 iptables(直接放行所有)
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT同时检查 Vultr 控制台的 Firewall Group:默认所有端口开放,但若你设置过规则,需要在 web 面板添加对应端口放行。
3.5 常用管理命令
sb # 进入管理面板
sb -d # 修改配置(端口/UUID/SNI/带宽/端口跳跃)
sb -n # 查看节点信息
systemctl status sing-box # 查看运行状态
systemctl restart sing-box # 重启
journalctl -u sing-box -f # 查看日志四、客户端配置
4.1 Windows 端
首选:Hiddify Next(开源、免费、原生支持所有现代协议、有图形化路由规则)
或者:v2rayN(GitHub,老牌、社区大)
导入方式(任选):
- 复制服务端输出的订阅链接 → 客户端 → “添加订阅” → 粘贴 → 更新
- 或扫服务端生成的二维码
关键设置:
- 路由模式:选 “全局” 或 “规则模式”
- 规则模式可让国内站点直连,国外走代理(推荐,速度更快)
- Hiddify 内置 GeoIP 规则,开箱即用
- TUN 模式:开启后所有应用流量自动走代理(包括微信桌面端、Steam 等)
4.2 macOS 端
首选:Hiddify Next(跨平台一致体验)
进阶选择(付费但最强):Stash(Mac App Store, ¥68)或 Surge(专业级,¥350+)
mac端下载:
# https://hiddify.com/
https://github.com/hiddify/hiddify-appmac 端下载安装后要执行如下命令:
sudo xattr -rd com.apple.quarantine /Applications/Hiddify.app
配置方式:
- 同 Windows,导入订阅链接即可
- macOS 需要在”系统设置 → 网络”里允许 TUN 虚拟网卡
4.3 iPhone / iPad 端
App Store 中国区已经下架所有翻墙类应用,需要海外 Apple ID。
主流选择:
| App | 价格 | 评价 |
|---|---|---|
| Shadowrocket(小火箭) | $2.99 | 老牌经典,配置灵活 |
| Stash | $3.99 | 现代化界面,sing-box 内核兼容性最好 |
| Loon | $6.99 | 功能最全,脚本化能力强 |
| Hiddify | 免费 | 开源,跨平台一致 |
获取海外 Apple ID 的办法:
- 借用朋友的美区/港区/日区 Apple ID 登录 App Store(不要登 iCloud,只登 App Store)
- 自己注册:去苹果官网创建账号时选择”美国”等地区,地址用 fakenamegenerator.com 生成,付款方式选 “None”
导入配置:
- 服务端订阅链接复制出来
- 客户端打开 → 右上角 “+” → “类型选择 URL” → 粘贴 → 下载
- 选中节点 → 点连接
移动数据网络下的注意事项:中国移动/联通/电信对国际流量的干扰程度不同,移动通常最容易封 Reality 的 443。如果手机数据连不上,切到 Hysteria2 试试。
五、长期稳定运营的关键技巧
5.1 IP 被墙的应急预案
症状:原本好用的节点突然无法连接,但 SSH 通过浏览器(Vultr 控制台 → View Console)能进。
处理流程:
- 先用国内 IP 检测网站测试:
http://ping.chinaz.com/66.42.42.182 - 全国都丢包 → IP 被封,去 Vultr 控制台 → 实例 → Settings → Server → Destroy,然后立即重建(选东京),多重建几次直到拿到干净 IP
- 节点配置中的 IP 地址需要更新,所有客户端要重新导入订阅
- 进阶方案:服务端部署时绑定一个域名(如 namesilo 上买个 1 美元/年的 .xyz 域名),DNS 解析到 IP,IP 变了只改 DNS,客户端不用动
5.2 端口被封的应急预案
症状:IP 能 ping 通,但 443 端口连不上。
处理:
sb -d # 修改 Reality 端口为另一个,比如 8443、2053(Cloudflare 推荐端口)Hysteria2 的端口跳跃机制本身就抗这种封锁。
5.3 监控与备份
自动监控脚本(可选):在国内某台机器上跑 cron,每 5 分钟 ping 一次 VPS,连续 3 次失败发邮件/Telegram 通知。
配置备份:
# 备份 sing-box 配置
cp -r /root/sbox /root/sbox.backup.$(date +%Y%m%d)5.4 多设备共享
一个 sing-box 实例可以同时服务多个客户端(电脑+手机+平板),无连接数限制(取决于带宽)。Vultr 东京基础套餐通常给到 1Gbps 带宽,正常 2-5 台设备绰绰有余。
5.5 不要做的事
- 不要把节点分享到任何公开渠道(包括朋友圈、微博、Telegram 公开群)。GFW 会扫描这些渠道获取 IP 然后封锁
- 不要用脚本测速狂跑流量:Vultr 基础套餐月流量是 1-2TB,超出按量付费很贵
- 不要在国内服务器(阿里云/腾讯云)上做中转:违反 ICP 备案规定,账号会被封
- 不要在客户端开”全局代理”看国内视频:B 站、爱奇艺会因为日本 IP 触发反爬虫
六、成本预估
| 项目 | 费用 |
|---|---|
| Vultr 东京 1C1G | $6/月(约 ¥45) |
| 域名(可选) | $1-10/年 |
| iPhone 客户端(一次性) | ¥20-50 |
| 总计 | 约 ¥50/月 |
按月销毁重建 IP 的次数收费可能略高(每实例每小时 $0.009),但通常一次重建几次就稳定了。
七、常见问题排查
| 现象 | 可能原因 | 解决 |
|---|---|---|
| 客户端显示”已连接”但打不开 Google | 路由规则未生效 | 检查路由模式,开启 TUN |
| 速度很慢 | 默认拥塞控制算法 | 确认服务端 BBR 已开启 |
| 偶尔掉线 | UDP 路径质量波动 | 用 Reality(TCP)而非 Hysteria2 |
| 手机能用电脑不能用 | 本地代理软件冲突 | 关闭其他 VPN 软件、Clash X 等 |
| 完全连不上 | IP/端口被封 | 见 5.1、5.2 |
| YouTube 4K 卡 | 服务端带宽达上限 | 升级到 2C2G 套餐($12/月) |
八、推荐执行顺序
- 第 1 步:测试当前 IP 在国内的可达性(chinaz)→ 不通就先重建
- 第 2 步:SSH 登录 → 开启 BBR
- 第 3 步:跑 fscarmen sing-box 一键脚本,选 Reality + Hysteria2,端口分别用 443 / 端口跳跃 20000-50000
- 第 4 步:保存订阅链接和二维码
- 第 5 步:电脑装 Hiddify Next,手机装 Shadowrocket,导入订阅
- 第 6 步:分别测试 Reality 节点和 Hysteria2 节点的速度,挑表现好的设为默认
- 第 7 步:把订阅链接备份到自己的网盘/笔记里(不要公开)
附:参考资源
- fscarmen sing-box 脚本:https://github.com/fscarmen/sing-box
- 233boy sing-box 脚本(备选):https://github.com/233boy/sing-box
- Hiddify 客户端:https://github.com/hiddify/hiddify-next
- v2rayN(Windows):https://github.com/2dust/v2rayN
- sing-box 官方文档:https://sing-box.sagernet.org/
最后强调:自建梯子有一定法律灰色地带,仅作个人科研学习用途,不传播、不分享、不商用。
为者常成,行者常至
自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)
