THE NEXT FUTURE
Server side implementation of REALITY protocol, a fork of package tls in latest Go. For client side, please follow https://github.com/XTLS/Xray-core/blob/main/transport/internet/reality/reality.go.
TODO List: TODO
VLESS-XTLS-uTLS-REALITY example for Xray-core
中文 | English
{
"inbounds": [ // 服务端入站配置
{
"listen": "0.0.0.0",
"port": 443,
"protocol": "vless",
"settings": {
"clients": [
{
"id": "", // 必填,执行 ./xray uuid 生成,或 1-30 字节的字符串
"flow": "xtls-rprx-vision" // 选填,若有,客户端必须启用 XTLS
}
],
"decryption": "none"
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"show": false, // 选填,若为 true,输出调试信息
"dest": "example.com:443", // 必填,格式同 VLESS fallbacks 的 dest
"xver": 0, // 选填,格式同 VLESS fallbacks 的 xver
"serverNames": [ // 必填,客户端可用的 serverName 列表,暂不支持 * 通配符
"example.com",
"www.example.com"
],
"privateKey": "", // 必填,执行 ./xray x25519 生成
"minClientVer": "", // 选填,客户端 Xray 最低版本,格式为 x.y.z
"maxClientVer": "", // 选填,客户端 Xray 最高版本,格式为 x.y.z
"maxTimeDiff": 0, // 选填,允许的最大时间差,单位为毫秒
"shortIds": [ // 必填,客户端可用的 shortId 列表,可用于区分不同的客户端
"", // 若有此项,客户端 shortId 可为空
"0123456789abcdef" // 0 到 f,长度为 2 的倍数,长度上限为 16
]
}
}
}
]
}若用 REALITY 取代 TLS,可消除服务端 TLS 指纹特征,仍有前向保密性等,且证书链攻击无效,安全性超越常规 TLS
可以指向别人的网站,无需自己买域名、配置 TLS 服务端,更方便,实现向中间人呈现指定 SNI 的全程真实 TLS
通常代理用途,目标网站最低标准:国外网站,支持 TLSv1.3 与 H2,域名非跳转用(主域名可能被用于跳转到 www)
加分项:IP 相近(更像,且延迟低),Server Hello 后的握手消息一起加密(如 dl.google.com),有 OCSP Stapling
配置加分项:禁回国流量,TCP/80、UDP/443 也转发(REALITY 对外表现即为端口转发,目标 IP 冷门或许更好)
REALITY 也可以搭配 XTLS 以外的代理协议使用,但不建议这样做,因为它们存在明显且已被针对的 TLS in TLS 特征
REALITY 的下一个主要目标是“预先构建模式”,即提前采集目标网站特征,XTLS 的下一个主要目标是 0-RTT
{
"outbounds": [ // 客户端出站配置
{
"protocol": "vless",
"settings": {
"vnext": [
{
"address": "", // 服务端的域名或 IP
"port": 443,
"users": [
{
"id": "", // 与服务端一致
"flow": "xtls-rprx-vision", // 与服务端一致
"encryption": "none"
}
]
}
]
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"show": false, // 选填,若为 true,输出调试信息
"fingerprint": "chrome", // 必填,使用 uTLS 库模拟客户端 TLS 指纹
"serverName": "", // 服务端 serverNames 之一
"publicKey": "", // 服务端私钥对应的公钥
"shortId": "", // 服务端 shortIds 之一
"spiderX": "" // 爬虫初始路径与参数,建议每个客户端不同
}
}
}
]
}REALITY 客户端应当收到由“临时认证密钥”签发的“临时可信证书”,但以下三种情况会收到目标网站的真证书:
- REALITY 服务端拒绝了客户端的 Client Hello,流量被导入目标网站
- 客户端的 Client Hello 被中间人重定向至目标网站
- 中间人攻击,可能是目标网站帮忙,也可能是证书链攻击
REALITY 客户端可以完美区分临时可信证书、真证书、无效证书,并决定下一步动作:
- 收到临时可信证书时,连接可用,一切如常
- 收到真证书时,进入爬虫模式
- 收到无效证书时,TLS alert,断开连接
from https://github.com/XTLS/REALITY
-------
搭建Xray的Reality协议
若用 REALITY 取代 TLS,可消除服务端 TLS 指纹特征,仍有前向保密性等,且证书链攻击无效,安全性超越常规 TLS,
可以指向别人的网站,无需自己买域名、配置 TLS 服务端,更方便,实现向中间人呈现指定 SNI 的全程真实 TLS。
安装Xray:
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install --beta
生成uuid
cd /usr/local/bin/
./xray uuid
生成公钥私钥
./xray x25519
配置Xray:
配置文件示例如下(可以复制到电脑文本文件里修改)
{
"inbounds": [ // 服务端入站配置
{
"listen": "0.0.0.0",
"port": 443,
"protocol": "vless",
"settings": {
"clients": [
{
"id": "刚才生产的uuid", //必填,执行 ./xray uuid 生成,或 1-30 字节的字符串
"flow": "xtls-rprx-vision" // 选填,若有,客户端必须启用 XTLS
}
],
"decryption": "none"
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"show": false, // 选填,若为 true,输出调试信息
"dest": "www.amazon.com:443", // 必填,格式同 VLESS fallbacks 的 dest
"xver": 0, // 选填,格式同 VLESS fallbacks 的 xver
"serverNames": [ // 必填,客户端可用的 serverName 列表,暂不支持 * 通配符
"amazon.com",
"www.amazon.com"
],
"privateKey": "刚才生成的私钥Private key", // 必填,执行 ./xray x25519 生成,
"minClientVer": "", // 选填,客户端 Xray 最低版本,格式为 x.y.z
"maxClientVer": "", // 选填,客户端 Xray 最高版本,格式为 x.y.z
"maxTimeDiff": 0, // 选填,允许的最大时间差
"shortIds": [ // 必填,客户端可用的 shortId 列表,可用于区分不同的客户端
"", // 若有此项,客户端 shortId 可为空,openssl rand -hex 8生成
"0123456789abcdef" // 0 到 f,长度为 2 的倍数,长度上限为 16
]
}
}
}
],
"outbounds": [
{
"protocol": "freedom",
"tag": "direct"
},
{
"protocol": "blackhole",
"tag": "blocked"
}
]
}
设置配置文件
nano /usr/local/etc/xray/config.json
把刚才的配置文件黏贴进去,Ctrl X 退出,按y确认。
配置完成后,运行下列命令执行
systemctl restart xray
客户端配置
微软安卓客户端可以用v2rayN,v2rayNG,苹果客户端可以用Shadowrocket、FoXray
通常代理用途,目标网站最低标准:国外网站,支持 TLSv1.3 与 H2,域名非跳转用(主域名可能被用于跳转到 www)
加分项:IP 相近(更像,且延迟低),Server Hello 后的握手消息一起加密(如 dl.google.com),有 OCSP Stapling
配置加分项:禁回国流量,TCP/80、UDP/443 也转发(REALITY 对外表现即为端口转发,目标 IP 冷门或许更好).
------------------------
The script supports multiple users and custom ports; supports the construction of vless+vision+reality and vless+h2/grpc+reality
The script supports CentOS 8+, Debian 10+, Ubuntu 20+ operating systems.
All codes are from official documentation;The script is completely open source,you can use it with confidence!
Script installation
Debian && Ubuntu
apt update && apt -y install curl
CentOS
yum update && yum -y install curl
Install
bash <(curl -L https://raw.githubusercontent.com/TinrLin/Reality--build-tutorial/main/Install.sh)
Manual installation
Install the sing-box program
- Debian && Ubuntu
- AMD
apt -y update && apt -y install wget && wget -c "https://github.com/SagerNet/sing-box/releases/download/v1.3.0/sing-box-1.3.0-linux-amd64.tar.gz" -O - | tar -xz -C /usr/local/bin --strip-components=1 && chmod +x /usr/local/bin/sing-box
- ARM
apt -y update && apt -y install wget && wget -c "https://github.com/SagerNet/sing-box/releases/download/v1.3.0/sing-box-1.3.0-linux-arm64.tar.gz" -O - | tar -xz -C /usr/local/bin --strip-components=1 && chmod +x /usr/local/bin/sing-box
- CentOS
- AMD
yum update && yum -y install wget && wget -c "https://github.com/SagerNet/sing-box/releases/download/v1.3.0/sing-box-1.3.0-linux-amd64.tar.gz" -O - | tar -xz -C /usr/local/bin --strip-components=1 && chmod +x /usr/local/bin/sing-box
- ARM
yum update && yum -y install wget && wget -c "https://github.com/SagerNet/sing-box/releases/download/v1.3.0/sing-box-1.3.0-linux-arm64.tar.gz" -O - | tar -xz -C /usr/local/bin --strip-components=1 && chmod +x /usr/local/bin/sing-box
Configure the systemd service of sing-box
wget -P /etc/systemd/system https://raw.githubusercontent.com/TinrLin/Reality--build-tutorial/main/sing-box.service
Download and modify the sing-box configuration file
- Vless+vision+Reality
mkdir -p /usr/local/etc/sing-box/ && wget -O /usr/local/etc/sing-box/config.json https://raw.githubusercontent.com/TinrLin/Reality--build-tutorial/main/vless_vision_reality_config.json
- Vless+h2+Reality
mkdir -p /usr/local/etc/sing-box/ && wget -O /usr/local/etc/sing-box/config.json https://raw.githubusercontent.com/TinrLin/Reality--build-tutorial/main/vless_h2_reality_config.json
- Vless+gRPC+Reality
mkdir -p /usr/local/etc/sing-box/ && wget -O /usr/local/etc/sing-box/config.json https://raw.githubusercontent.com/TinrLin/Reality--build-tutorial/main/vless_grpc_reality_config.json
Start and run sing-box
systemctl daemon-reload && systemctl enable --now sing-box && systemctl status sing-box
from https://github.com/dasunpamod/Reality--build-tutorial
----------------------------------------------------------------------------
基于 Sing-box 内核的 VLESS Reality 协议脚本.
sbox-reality
基于 Sing-box 内核的 VLESS Reality 协议脚本
wget -N --no-check-certificate https://raw.githubusercontent.com/Misaka-blog/sbox-reality/main/reality.sh && bash reality.sh鸣谢
- BoxXt 的 Sing-box Reality 项目:https://github.com/BoxXt/installReality
from https://github.com/Misaka-blog/sbox-reality
----------------------------------------------------------
Reality 小白一键安装脚本.
Reality 小白一键安装脚本(目前仅提供meta客户端使用的配置文件)
English‘s Readme
如何使用脚本
- 系统仅支持: Ubuntu
- 登录vps
- 输入以下指令,并按照指令提示操作即可
sudo curl -o installReality.sh https://raw.githubusercontent.com/BoxXt/installReality/main/installReality.sh && sh ./installReality.sh
- 最终得到 Meta 的客户端配置文件,选用支持 Clash.meta 的客户端导入使用即可
- 脚本内已自动开启BBR加速
调试
#启动
systemctl start sing-box
#停止
systemctl stop sing-box
#强制停止
systemctl kill sing-box
#重启
systemctl restart sing-box
#实时日志
journalctl -u sing-box --output cat -f客户端
能力有限目前暂时支持输出clash.meta客户端配置给到meta客户端使用,可使用客户端列表(待测试补充):
-
macOS: ClashX.Meta
- 需要更新内核版本为alpha最新版本。
-
Windows: Clash Verage
- 需要更新内核版本为alpha最新版本。
-
iOS:
-
Android: ClashMetaForAndroid
- 需要更新至最新版本。
from https://github.com/BoxXt/installReality
No comments:
Post a Comment