写点这几天折腾遇到的坑,主要是给一些新人小白的,算是一个参考。看过很多网上的文章,有的时间比较旧,写的不符合情况,有的看不懂,终于折腾好了,把过程写出来。
前提,手里有一台国外VPS,用来翻墙。
1、装个宝塔,正常装就好,这个阶段出现的问题,宝塔上都可以找到相关答案。
2、装个wordpress,不管是自己手动装还是部署,都可以,装完以后,申请一个Let’s Encrypt证书,保存一下,开启强制https,这时候,域名就可以https访问了。
3、装个x-ui-new
github上的项目在这里,https://github.com/Cyclonekid/x-ui-new,除此之外还有个x-ui项目,但是我看这个比较新,就装这个了,在服务器里运行
bash <(curl -Ls https://raw.githubusercontent.com/FranzKafkaYu/x-ui/master/install.sh)现在新版安装的时候需要设置自己设置端口,帐号,密码;端口自己设置,如果不知道设置哪个端口,就设置54321端口吧,到这里,记得去宝塔面板上(安全——添加规则),把这个端口放行,不然等会(通过你的”ip地址:54321″是访问不了的。然后再装个BBR加速插件就可以了。
这里要说明的是,x-ui-new现在使用了随机安装路径,安装完第一次访问的时候,直接ip地址+端口就能访问,第二次就得用面板路径访问,”123.123.123.123:54321/6pxx“这样的路径访问,具体自己是哪个路径,在服务器运行x-ui指令中可以查到的。
4、证书申请
证书这一步是最难倒我的,搞了很长时间才明白怎么回事。x-ui-new提示是这么说的:
[DEG] ******使用说明******
[INF] 该脚本提供两种方式实现证书签发,证书安装路径均为/ROOT/CERT
[INF] 方式1:ACME STANDALONE MODE,需要保持端口开放
[INF] 方式2:ACME DNS API MODE,需要提供CLOUDFLARE GLOBAL API KEY
[INF] 如域名属于免费域名,则推荐使用方式1进行申请
[INF] 如域名非免费域名且使用CLOUDFLARE进行解析使用方式2进行申请
其实这里说的情况是,针对那些没有给域名签发过证书的情况,可以在这里通过这两种方式去申请证书,比如这台服务器上就没装过啥网站,域名也从来没签发过什么证书,那就在这里签发一个。但是我们之前在宝塔上给wordpress的域名申请过证书了,所以直接在x-ui-new面板里把路径填上就好了,不用再申请了。使用宝塔给wordpress的域名签发证书好处是,将来在宝塔上续签的时候,功能都是同步的,不受什么影响,
这里说的还有一种情况是,给二级域名申请证书,如果你想把自己的翻墙功能绑定到二级域名去访问,那就可以在这里填上二级域名去申请。当初我一直拿自己的一级域名去申请,总是提示证书存在申请不下来,后来才弄懂是怎么回事。
宝塔面板上申请的Let’s Encrypt证书就在 /www/server/panel/vhost/cert/itlu.xyz 这个路径,其中itlu.xyz就是你自己新建的网站。fullchain.pem就是公钥文件,privkey.pem就是密钥文件。证书填好保存完,就可以通过“域名+端口+面板路径”的方式访问了比如 abc.com:54321/6pxx/,这样访问,这时候就能看到浏览器图标已经带锁了。
5、nginx
如果你不需要nginx反代理,只是能输入个地址正常访问,那整个过程跟nginx没有任何关系,网上有的老的教程,说需要修改站点的配置文件,修改listen 80;之类的,那个教程说的是单纯装xray服务需要那样,用x-ui或者x-ui-new 跟这种方式没有关系。
如果没给域名申请过证书,不管是一级域名还是二级域名,方式1:acme standalone mode,那需要关闭80端口,避免申请是端口冲突申请不上;如果用方式2,不管是一级域名还是二级域名,用的是DNS API方式,也不用关闭nginx服务。
6、xtls设置
我就是为了用xtls那个所谓的黑科技的,其中这里的端口,记得在宝塔面板上放行,不然客户端没有流量的,xtls其实不用http伪装的,公钥文件和密钥文件链接到具体的文件,就是/www/server/panel/vhost/cert/itlu.xyz/fullchain.pem这样的填法。
至此,生成个二维码,客户端扫描一下,完事,开心翻墙。自己的wordpress正常访问都不受影响。
写的不错,非常好