S-UI + sing-box 节点配置教程

第 1 章：S-UI 基础概念（入站、出站、用户、TLS）

第 2 章：证书（Let’s Encrypt、Cloudflare、Origin CA、Hy2 要求）

第 3 章：VLESS + WS + TLS 节点（最常用，支持优选 IP）

第 4 章：VLESS + Reality 节点（最高隐蔽性）

第 5 章：Hy2（Hysteria2）节点（UDP 极速协议）

第 6 章：TUIC 节点（高性能 + UDP）

第 7 章：Trojan(TLS) 节点

第 8 章：Cloudflare 使用规则（优选 IP、全加密模式、伪装规则）

第 9 章：服务端 / 客户端参数映射表（最重要）

第 10 章：常见问题排查（非常实用）

---

🌈 第 1 章：S-UI 面板结构（sing-box 管理器）

⭐ S-UI 的三个核心区块：

1）入站（Inbound）

服务器“监听”的节点，客户端连接的入口。

例如：

• VLESS+WS → 443
• Reality → 443 / 8443
• Hy2 → 8443(UDP)

2）用户（Clients）

对于 VLESS 入站，每个用户包含：

• UUID
• Flow（Reality 必须 vision）

3）TLS 区域（Reality / TLS 模板）

不同协议的 TLS 配置不同：

协议	TLS 区域作用
VLESS+TLS	普通证书（Let’s Encrypt）
VLESS+Reality	生成 Reality keypair（非证书）
Hy2	必须使用证书 fullchain.pem / privkey.pem

---

🌐 第 2 章：证书系统详解（必须理解）

1）真正可用于客户端直连的证书种类：

证书类型	可用于 Hy2 / Trojan / VLESS+TLS？
Let’s Encrypt（推荐）	✔
ZeroSSL	✔
Google Trust Services	✔

---

2）不能用于客户端直连的证书：

来源	原因
Cloudflare Origin Certificate（Origin CA）	❌ 客户端不信任，仅 Cloudflare→VPS 间可用
自签证书（Self-signed）	❌ 客户端不信任

---

3）OpenSSL 查询证书

openssl x509 -in cert.crt -noout -issuer -subject

正常证书示例：

issuer=Let's Encrypt R3
subject=CN=your.domain.com

---

4）Cloudflare SSL 模式解释（很多人搞错）

模式	Cloudflare → VPS	客户端直连 VPS
Flexible	❌ 不安全	❌
Full	✔ 信任任意证书	✔
Full(strict)	✔ 要求正规证书	✔
Origin CA	✔ Cloudflare 信任	❌ 客户端不信任

Hy2 不走 Cloudflare，不受这些影响。

---

🧩 第 3 章：VLESS + WS + TLS（最兼容，支持 Cloudflare 优选 IP）

⭐ 入站设置

类型：VLESS
端口：443
启用传输：是
传输方式：ws
WebSocket 路径：/ws（自定义）

---

⭐ TLS 设置

模板：tls
证书：fullchain.pem
私钥：privkey.pem
SNI：你的域名

---

⭐ 客户端配置注意：

• server → Cloudflare 优选 IP 或 your.domain.com
• SNI → your.domain.com
• path → /ws
• port → 443

---

⭐ 必须关闭 Cloudflare 代理才能用于 Hy2，但 WebSocket 节点可以开启代理。

这意味着一个域名可以：

• WS 走 Cloudflare 优选
• Hy2 用另一个二级域名直连

---

我的配置

这里端口需要是CF支持的端口，这样才能套CF，注意用户管理->编辑->配置->把vless的flow删了

🧩 第 4 章：VLESS + Reality（无证书，高隐蔽性）

Reality 专用规则：

参数	填法
SNI	真实网站（如 www.microsoft.com）
握手服务器	同 SNI
服务器端口	443
private_key	自动生成
public_key	客户端必填
short_id	1~16 字节 hex
flow	vision（必须）
传输	reality

---

⭐ Reality 入站配置

协议：VLESS
端口：443/8443/任意
传输：Reality

---

⭐ Reality TLS 区域（重要）

SNI：www.microsoft.com
握手服务器：www.microsoft.com
端口：443

---

⭐ 用户配置：flow 必须设置为 vision

---

⭐ Reality 客户端

public_key：服务器现实公钥
short_id：从服务器选一个
server_name：与 SNI 一致
flow：vision

---

🧩 第 5 章：Hy2（Hysteria 2）—— UDP 加速协议

Hy2 的重点：

项目	说明
基于 QUIC（UDP）	❗ Cloudflare 不代理 UDP
必须直连 VPS IP	不走优选 IP
必须使用有效证书	Let’s Encrypt
端口建议使用大端口	8443 / 10443 / 30000

---

⭐ Hy2 入站配置

类型：hysteria2
端口：8443（推荐）
协议密码：任意 strong password

---

⭐ Hy2 TLS

证书：fullchain.pem
私钥：privkey.pem
server_name：证书 CN 完全一致！

---

⭐ Hy2 客户端

server_name = your.domain.com
alpn = h3

---

❗ Hy2 不通的最大原因

1）Cloudflare 代理（必须灰云）
2）SNI 与证书 CN 不一致
3）没有放行 UDP
4）端口无监听

---

我这里是没使用vps证书，因为我要套CF

🧩 第 6 章：TUIC（高性能 UDP 协议）

和 Hy2 类似，也是 UDP，需要：

• 直连 VPS
• 不走 Cloudflare
• 需要证书
• 不需要 flow
• 不需要 Reality

---

🧩 第 7 章：Trojan(TLS)

协议规则：

• 必须用证书（不能用 origin cert）
• 支持 Cloudflare（TCP）
• 与 VLESS+TLS 类似

---

🧩 第 8 章：Cloudflare 使用规则（最容易误解）

协议	能否使用优选 IP	必须满足
VLESS+WS	✔ 能用	Cloudflare Proxy ON
VLESS+TLS	✔ 能用	Cloudflare Proxy ON
Reality	✔ 能用	只能做“伪装”
Trojan	✔	443 TCP
Hy2	❌ 不能用	需要直连 VPS
TUIC	❌ 不能用	UDP 不走 CF

---

🧩 第 9 章：客户端—服务端参数映射（终极表）

服务端参数	客户端必须对应
port	server_port
uuid	uuid
flow=vision	flow=vision
public_key	reality.public_key
short_id	reality.short_id
SNI	tls.server_name
WS path	ws.path
证书 CN	client tls.server_name
握手服务器	client server_name

---

🧩 第 10 章：常见问题排查（非常实用）

❗ Reality 不通

• 没设置 flow=vision
• serverName 和 dest 不一致
• 客户端 server_name 错误
• short_id 不匹配

---

❗ Hy2 不通

• Cloudflare Proxy 开启（永远不能开启）
• SNI ≠ 证书 CN
• 防火墙没放行 UDP
• 端口被占用
• 证书是 Origin CA 或自签名

---

❗ VLESS+WS 不通

• WS 路径不一致
• Cloudflare 强制 HTTP2 → 需关闭 Brotli
• Nginx 伪装冲突

---

❗ VLESS+TLS 不通

• 证书失效
• SNI 错误
• 没开启 TLS 模板