搬瓦工教程Trojan 是 3X-UI 面板中比较常见的代理协议,常用于搭配 TLS 证书创建 TCP 节点。Trojan 节点配置的重点主要集中在入站端口、TLS 证书和客户端密码这几个地方,不需要额外配置复杂的传输参数。
本文是一篇 3X-UI Trojan 教程,演示如何在 VPS 中通过 3X-UI 面板添加 Trojan 入站,使用 RAW 传输,读取面板中的 TLS 证书,添加客户端并导出 trojan:// 节点链接。适合已经安装好 3X-UI 面板、准备搭建 Trojan TLS 节点的新手用户参考。
开始前,需要准备一台已经安装好 3X-UI 面板、并且可以正常登录后台的 VPS。还没有安装 3X-UI 面板的用户,可以先参考 3X-UI 面板安装教程:VPS 安装 Xray 多协议管理面板,完成面板登录和基础设置后,再回来继续本文的 Trojan TLS 教程。
一、添加 Trojan 入站并设置基础参数
登录 3X-UI 后台后,从左侧菜单进入“入站”页面,点击“添加入站”按钮,打开入站创建窗口。
从入站页面点击添加入站创建 Trojan 节点
在基础配置页面中,先确认入站处于启用状态。协议选择 trojan,备注填写为 Trojan-39271,方便后面在入站列表和客户端关联时识别;地址留空,端口使用面板生成的 39271。
地址留空表示监听所有 IP,适合大多数 VPS 自用场景。总流量保持 0 表示不限制流量,流量重置选择“从不”,长期自用时到期时间可以不填写。
基础配置中选择 trojan 协议并使用 39271 端口
| 字段 | 填写建议 |
|---|---|
| 备注 | Trojan-39271 |
| 协议 | trojan |
| 地址 | 留空,表示监听所有 IP |
| 端口 | 39271 |
| 总流量 | 0 或按需设置 |
| 流量重置 | 从不 |
| 到期时间 | 长期自用可以留空 |
Trojan TLS 节点主要走 TCP 连接。端口确定后,需要在 VPS 商家后台安全组中放行对应的 TCP 端口。以本文的 39271 端口为例,需要放行 TCP 39271;如果系统里启用了 UFW、firewalld 或其它防火墙,也要同步放行这个 Trojan TCP 端口。
后面如果修改了入站端口,安全组规则和客户端导入参数也要同步修改,避免服务端端口和客户端链接中的端口不一致。
二、配置 RAW 传输参数
基础配置填好后,切换到“传输”标签页。3X-UI Trojan 入站默认使用 RAW 传输,这里不需要改成 WebSocket、gRPC 或其它传输方式。
Proxy Protocol、HTTP 混淆、外部代理、Sockopt 和 TCP Masks 都保持默认关闭即可。普通 Trojan TLS 节点不需要额外添加 TCP Mask,也不需要开启混淆选项。
Trojan 传输页保持 RAW,相关开关保持默认关闭
| 字段 | 配置说明 |
|---|---|
| 传输 | 保持 RAW |
| Proxy Protocol | 保持关闭 |
| HTTP 混淆 | 保持关闭 |
| 外部代理 | 保持关闭 |
| Sockopt | 保持关闭 |
| TCP Masks | 不需要添加 |
三、配置 TLS 证书并创建入站
传输参数确认后,切换到“安全”标签页。Trojan 的常规配置是 trojan 协议、RAW 传输和 TLS 安全方式,所以这里选择 TLS,不要选择“无”,也不要选择 Reality。
如果没有域名,或者不想单独处理 TLS 证书,也可以改用 VLESS Reality 方案,参考 3X-UI 面板 VLESS Reality 搭建教程:VPS 免域名配置 Reality 节点。下面本文继续演示 Trojan TLS 节点,因此这里仍然选择 TLS。
选择 TLS 后,点击“从面板设置证书”,让 3X-UI 自动读取面板证书路径。
本文实测中,公钥路径为 /root/cert/ip/fullchain.pem,私钥路径为 /root/cert/ip/privkey.pem。
安全页选择 TLS 后自动填入证书路径
| 字段 | 配置说明 |
|---|---|
| 安全 | 选择 TLS |
| SNI | 留空或按证书域名设置 |
| Cipher Suites | 自动 |
| 最小/最大版本 | 1.2 / 1.3 |
| uTLS | chrome |
| ALPN | h2、http/1.1 |
| 公钥 | 从面板证书自动填入 |
| 私钥 | 从面板证书自动填入 |
如果点击“从面板设置证书”后,公钥和私钥路径没有自动填入,说明 3X-UI 面板证书可能还没有配置好。需要先处理面板证书,再回来继续 Trojan 节点配置。
嗅探和高级配置保持默认即可,不需要手动开启嗅探,也不需要修改高级配置里的 JSON。
确认基础配置、RAW 传输和 TLS 证书都设置完成后,点击“创建”按钮。
创建成功后,3X-UI 会返回入站列表。列表中可以看到新建的 Trojan 入站,端口为 39271,协议标签显示 trojan、TCP 和 TLS,说明这个 3X-UI Trojan 节点已经创建完成。
创建成功后入站列表显示 trojan、TCP 和 TLS 标签
四、添加客户端并绑定 Trojan 入站
入站创建完成后,还需要添加客户端。Trojan 客户端的核心是密码认证,3X-UI 添加客户端时会自动生成邮箱、订阅 ID、客户端认证、密码和 UUID 等参数,单人自用时保持默认即可。
点击左侧菜单中的“客户端”,进入客户端管理页面,然后点击“添加客户端”按钮。
进入客户端页面后点击添加客户端按钮
进入添加客户端窗口后,总上传/下载保持 0 表示不限制流量,过期时间不填写表示不设置到期时间。这里最关键的是“关联入站”,需要把客户端绑定到刚才创建的 Trojan-39271 入站。
添加客户端时在关联入站中选择 Trojan-39271
在关联入站下拉框中选择 Trojan-39271,确认客户端处于启用状态,然后点击右下角的“创建”按钮。
选择 Trojan-39271 关联入站后点击创建
客户端创建成功后,页面会返回客户端列表。列表中可以看到新创建的客户端,关联入站显示为 Trojan-39271,说明客户端已经绑定到这个 Trojan 入站。
客户端创建成功后显示关联入站 Trojan-39271
到这里,服务端入站和客户端参数都已经准备好。后面导出 trojan 节点链接时,会使用这里生成的客户端密码和认证信息。
五、导出 Trojan 节点链接
客户端添加完成后,回到左侧菜单的“入站”页面,在 Trojan 入站右侧点击更多菜单,然后选择“导出链接”。
在入站列表中打开更多菜单并选择导出链接
点击“导出链接”后,3X-UI 会弹出入站链接窗口。复制窗口中的 trojan:// 链接,就可以导入到支持 Trojan 的客户端中使用。
导出入站链接后复制 trojan 节点地址
复制完成后,先保存好这条 trojan:// 链接。后面导入客户端时,客户端会根据链接读取服务器地址、端口、密码和 TLS 参数。
六、Trojan 客户端导入方法
导出 trojan:// 节点链接后,需要使用支持 Trojan 协议的客户端导入。不同客户端的导入入口不一样,优先选择能够直接识别 Trojan 链接的客户端,减少手动填写参数的步骤。
Windows 用户可以参考 Windows 系统 Trojan 客户端使用教程,导入本文生成的 trojan:// 节点链接,并核对端口、密码和 TLS 参数是否识别正常。
安卓用户可以参考 Android 系统 Clash for 客户端配置 Trojan 使用教程,适合在手机端导入本文生成的 trojan:// 节点地址。
macOS 用户可以参考 Mac OS X 系统下 ClashX 客户端 Trojan 配置使用教程,用于在苹果电脑上添加 Trojan 节点并开启代理连接。
如果想使用更新一些的桌面客户端,也可以参考 NekoRay 详细图文配置使用教程。导入前先确认客户端版本支持 Trojan,并核对服务器地址、端口、密码和 TLS 设置。
需要多平台统一使用的用户,可以参考 Hiddify 配置教程。Hiddify 适合直接导入节点或订阅,能减少手动填写 Trojan 参数的步骤。
如果使用 Clash Verge Rev 时需要手动添加单条节点,或者需要把 Trojan 链接转换成 YAML 配置,可以参考 Clash Verge Rev 手动添加节点教程,按客户端要求填写 Trojan 节点参数。
七、常见问题
下面整理的是 VPS 搭建 Trojan 时更容易遇到的问题,重点看 TCP 端口、TLS 证书、SNI、客户端密码和 trojan 节点链接导入。
1. Trojan 入站创建成功后无法连接怎么办?
先检查 39271 端口是否放行了 TCP。Trojan TLS 节点主要走 TCP 连接,如果 VPS 商家后台安全组没有放行 TCP 39271,客户端通常无法连接。
可以在 SSH 中检查端口监听情况:
ss -tulnp | grep 39271如果端口监听正常,再检查系统防火墙、客户端版本、导入参数、TLS 证书、SNI 和密码是否一致。
2. Trojan 客户端提示 TLS 或证书错误怎么办?
先检查客户端里的 TLS 开关、SNI 和证书校验设置。本文使用的是 3X-UI 面板证书,如果客户端要求填写 SNI,可以按证书对应的域名填写。
不同客户端对证书校验的叫法不一样,可能会写成 allowInsecure、跳过证书验证、允许不安全连接或关闭 TLS 验证。如果使用的是 IP 证书或自签证书,部分客户端可能需要调整证书校验相关选项。
3. Trojan 客户端提示密码错误或认证失败怎么办?
回到 3X-UI 的客户端页面,确认客户端没有被禁用,并核对导出的 trojan:// 链接是否来自当前客户端。
如果修改过客户端密码、认证信息,或者删除后重新添加过客户端,需要重新导出 Trojan 节点链接,再导入客户端测试。旧链接里的密码不会自动更新。
4. Trojan 节点需要填写 SNI 吗?
是否填写 SNI,要看证书和客户端要求。如果使用的是域名证书,客户端通常可以填写证书对应的域名作为 SNI;如果本文这种面板证书路径已经由 3X-UI 自动读取,服务端按当前配置创建即可。
客户端导入后如果出现 TLS 握手失败、证书不匹配或连接超时,可以优先检查 SNI 是否和证书域名一致,再检查是否需要开启或关闭证书校验相关选项。
5. Trojan 节点链接无法导入客户端怎么办?
先确认客户端是否支持 Trojan 协议。有些客户端需要选择 Trojan 节点类型后再导入链接,也有些旧版本客户端可能无法正确识别 trojan:// 链接。
如果导入失败,可以先更新客户端版本,或换用支持 Trojan TLS 的客户端测试。不要把 trojan:// 链接当成 VLESS、VMess、Shadowsocks 或 Hysteria2 节点手动填写。
6. 修改端口、密码或 TLS 证书后需要重新导出链接吗?
需要。只要修改了 Trojan TCP 端口、TLS 证书、客户端密码、SNI 或其它连接参数,旧链接就可能和服务端配置不一致。
修改并保存配置后,应重新导出 trojan:// 节点链接,再导入客户端测试。客户端里继续使用旧链接,容易出现端口不一致、密码错误或 TLS 参数不匹配的问题。
八、总结
这篇 3X-UI Trojan 教程演示了 Trojan TLS 节点的创建过程:添加 trojan 入站、保持 RAW 传输、读取 TLS 证书、添加客户端并导出 trojan:// 节点链接。
如果还想在同一个 3X-UI 面板里创建其它协议节点,可以继续参考 3X-UI 面板 Hysteria2 搭建教程:VPS 创建 Hy2 节点并导出链接,适合需要另外配置 Hy2 节点的用户。
如果不想使用 3X-UI 面板创建节点,也可以参考 搬瓦工 VPS 搭建 Trojan 详细教程,通过脚本方式完成 Trojan 服务端安装、SSL 证书续签和伪装网站配置。
实际使用时,重点核对 39271 端口是否放行 TCP、客户端密码是否正确、TLS 证书和 SNI 是否匹配。只要这几项没有问题,Trojan 客户端导入后一般就能正常连接。
| 机房位置 | 带宽 | 流量 | 设备 | 价格 | 购买 |
|---|---|---|---|---|---|
| 洛杉矶 500 | 2.5Gbit | 500GB/月 | 5台 | $5.88/月-$58.88/年 | 购买 |
| 洛杉矶 1000 | 5Gbit | 1T/月 | 无限 | $9.88/月-$98.88/年 | 购买 |
| 洛杉矶 5000 | 5Gbit | 5T/月 | 无限 | $48.99/月-$489.99/年 | 购买 |
| 洛杉矶 10000 | 5Gbit | 10T/月 | 无限 | $93.99/月-$948.99/年 | 购买 |
| 香港 CMI+NTT | 2.5Gbps | 500GB/月 | 5台 | $8.99/月-$89.99/年 | 购买 |
| 香港 CMI+NTT | 5Gbps | 1T/月 | 无限 | $14.90/月-$113.99/年 | 购买 |
| 香港 CMI+NTT | 5Gbps | 5T/月 | 无限 | $59.99/月-$599.99/年 | 购买 |
| 香港 IPLC 专线 | 300MB 独享 | 300GB/月 | 3台 | $21.00/月-$210.00/年 | 购买 |
| 香港 IPLC 专线 | 1G 独享 | 1T/月 | 无限 | $59.00/月-$589.00/年 | 购买 |
| 香港 CN2 GIA | 100MB 独享 | 100GB/月 | 3台 | $34.99/月-$349.99/年 | 购买 |
| 香港 CN2 GIA | 500MB 独享 | 500GB/月 | 5台 | $149.99/月-$1499.99/年 | 购买 |
| 香港 CN2 GIA | 1G 独享 | 1T/月 | 无限 | $279.99/月-$2799.99/年 | 购买 |
| 日本 CN2 GIA | 100MB 独享 | 100GB/月 | 3台 | $29.99/月-$299.99/年 | 购买 |
| 日本 CN2 GIA | 200MB 独享 | 500GB月 | 5台 | $135.99/月-$1349.99/年 | 购买 |
| 日本 CN2 GIA | 500MB 独享 | 1T/月 | 无限 | $239.00/月-$2399.00/年 | 购买 |
| 日本 CN2 GIA | 700MB 独享 | 5T/月 | 无限 | $1135.00/月-$11395.00/年 | 购买 |
| 伦敦 500 | 2.5Gbps | 500GB/月 | 5台 | $6.8/月-$67.99/年 | 购买 |
| 伦敦 1000 | 5Gbps | 1T/月 | 无限 | $11.29/月-$113.99/年 | 购买 |
| 伦敦 5000 | 5Gbps | 5T/月 | 无限 | $59.99/月-$559.99/年 | 购买 |
需要 VPS 服务器?Just My Socks 更适合直接使用代理服务;如果您需要建站、部署项目、搭建环境或学习 Linux,可以选择搬瓦工 VPS,参考 搬瓦工在售 VPS 套餐整理与购买推荐。 |
|||||
