搬瓦工教程Shadowsocks(SS)是很多 VPS 用户常用的代理协议之一,和 Trojan、VLESS、Hysteria2 相比,它的配置重点更集中在端口、加密方式、密码、TCP/UDP 网络和客户端兼容性上。Shadowsocks 不需要 TLS 证书,也不需要填写 SNI,适合通过 3X-UI 面板快速创建普通 SS 节点。
本文是一篇面向新手的 Shadowsocks 教程,演示如何通过 3X-UI 搭建 SS 节点:添加 Shadowsocks 入站、选择加密方式、设置端口、创建客户端,并导出可用于客户端导入的 ss:// 链接。
开始前,需要先准备一台已经安装好 3X-UI 面板、并且可以正常登录后台的 VPS。如果还没有安装面板,可以先参考 3X-UI 面板安装教程:VPS 安装 Xray 多协议管理面板,完成面板安装和登录后,再回来继续本文的 3X-UI 搭建 SS 节点流程。
一、添加 Shadowsocks 入站并设置基础参数
登录 3X-UI 面板后台后,在左侧菜单中点击“入站”,进入入站管理页面。在这里可以看到当前已有的入站配置,也可以添加新的协议节点。
点击页面中的“添加入站”按钮,打开新建入站窗口。
创建 Shadowsocks 节点时,先停留在“基础配置”标签页,确认入站处于启用状态,然后填写备注、协议和端口。
从入站页面点击添加入站创建新节点
在基础配置中,主要需要检查下面几个选项:
- 启用:保持开启状态,表示这个 Shadowsocks 入站创建后可以正常使用。
- 备注:填写一个容易识别的名称,例如
Shadowsocks-29438,后面添加客户端和导出链接时更容易区分。 - 协议:选择
shadowsocks,表示这里创建的是 Shadowsocks(SS)入站。 - 地址:保持留空即可,表示监听服务器上的所有可用 IP,适合大多数 VPS 自用场景。
- 端口:可以使用面板自动生成的随机端口,也可以自行填写一个未被占用的端口。本文示例端口为
29438。 - 总流量:填写
0表示不限制流量;如果想限制这个入站可使用的总流量,也可以按需填写。 - 流量重置:用于设置已用流量统计的重置周期。长期自用可以选择“从不”;如果希望按天、按月等周期重新计算已用流量,可以按需要设置重置规则。
- 到期时间:用于设置这个入站的使用期限。长期自用可以留空;如果只想让节点在一段时间内可用,可以设置具体到期时间。
本文截图中使用的端口是 29438。如果你的 VPS 商家后台有安全组规则,或者系统中启用了 UFW、firewalld 等防火墙,需要放行这个实际使用的端口。因为后面网络选择 TCP, UDP,所以建议同时放行 TCP 29438 和 UDP 29438。
基础配置中选择 shadowsocks 协议并设置 29438 端口
二、选择加密方式、密码和 TCP/UDP 网络
基础参数填写完成后,切换到“协议”标签页。Shadowsocks 节点能否正常使用,关键就在这一页,主要看加密方法、密码、网络和 ivCheck。
3X-UI 面板里可以选择多种 Shadowsocks 加密方式,包括 aes-256-gcm、chacha20-poly1305、chacha20-ietf-poly1305、xchacha20-ietf-poly1305,以及 2022-blake3-aes-256-gcm、2022-blake3-chacha20-poly1305 这类 Shadowsocks 2022 加密方式。
如果是新手搭建普通 SS 节点,建议选择 chacha20-ietf-poly1305。这个加密方式兼容性较好,很多常见 Shadowsocks 客户端都能识别。
密码使用 3X-UI 面板自动生成的随机字符串即可,不建议改成简单密码。
网络保持默认 TCP, UDP,这样 Shadowsocks 节点可以同时处理 TCP 和 UDP 流量。
ivCheck 保持默认关闭即可。
选择 chacha20-ietf-poly1305 加密方式并保持 TCP 和 UDP 网络
| 加密方式 | 适合情况 |
|---|---|
chacha20-ietf-poly1305 |
推荐普通用户使用,兼容性较好 |
aes-256-gcm |
常见 AEAD 加密方式,部分设备性能表现不错 |
xchacha20-ietf-poly1305 |
适合确认客户端支持后使用 |
2022-blake3-aes-256-gcm |
属于 Shadowsocks 2022,加密方式更新,但要求客户端支持 SS2022 |
2022-blake3-chacha20-poly1305 |
同样属于 SS2022,适合进阶用户测试 |
这里要注意,加密方式主要影响客户端兼容性和节点密码,并不会改变后面“传输”“安全”“嗅探”“高级配置”的基本设置。无论选择 chacha20-ietf-poly1305、aes-256-gcm,还是 Shadowsocks 2022 加密方式,后面的标签页通常都保持默认。
如果选择 2022-blake3-aes-256-gcm 这类 Shadowsocks 2022 加密方式,就要确认客户端支持 SS2022。否则可能出现 ss:// 链接可以导入,但客户端无法连接的问题。
三、保持 RAW 传输和安全默认设置
协议参数确认后,切换到“传输”标签页。普通 Shadowsocks 入站保持默认 RAW 传输即可,不需要改成 WebSocket、gRPC、mKCP 或其它传输方式。
Proxy Protocol、HTTP 混淆、外部代理、Sockopt 等开关保持关闭,TCP Masks 也不需要添加。对于普通 Shadowsocks 节点来说,这一页保持默认即可,不需要额外修改传输参数。
Shadowsocks 传输选择 RAW,其余项目保持默认
继续切换到“安全”标签页。Shadowsocks 不像 Trojan 那样依赖 TLS 证书,所以安全类型选择“无”即可,不需要选择 TLS,也不需要填写 SNI、证书路径、uTLS 或 ALPN。
Shadowsocks 安全选择无后创建入站
嗅探和高级配置也不用修改。确认基础配置、协议参数、RAW 传输和安全设置后,点击右下角的“创建”按钮。
四、创建 Shadowsocks 入站并确认节点信息
创建完成后,页面会返回入站列表。如果顶部提示“入站连接已成功创建”,并且列表中出现刚才创建的 Shadowsocks 入站,说明 SS 入站已经创建成功。
在入站列表中可以看到该节点的备注、端口、协议和网络类型。
本文示例中,备注显示为 Shadowsocks-29438,端口为 29438,协议标签显示 shadowsocks,网络标签显示 TCP,UDP。
创建成功后入站列表显示 shadowsocks 和 TCP、UDP
刚创建完入站时,客户端数量可能显示为 0,这并不是错误,而是表示当前还没有客户端绑定到这个入站。后面需要继续添加客户端,并关联到刚才创建的 Shadowsocks 入站。
五、添加客户端并关联 Shadowsocks 入站
点击左侧菜单中的“客户端”,进入客户端管理页面,然后点击“添加客户端”按钮。这里要先创建客户端,并关联到刚才创建的 Shadowsocks 入站,后面再回到入站页面导出 ss:// 链接。
进入客户端页面后点击添加客户端按钮
在添加客户端窗口中,邮箱、订阅 ID、认证信息、密码和 UUID 等参数由 3X-UI 自动生成即可。总上传/下载保持 0 表示不限制流量,过期时间不填写表示不设置到期时间。
这里最关键的是“关联入站”。点击“关联入站”下拉框,需要把这个客户端绑定到前面创建的 Shadowsocks 入站,否则后面导出的 ss:// 链接可能无法对应到正确节点。
添加客户端时在关联入站中选择 Shadowsocks-29438
下拉框展开后,选择 Shadowsocks-29438。如果你的备注和端口不同,就选择自己刚才创建的 Shadowsocks 入站名称。确认客户端处于启用状态后,再点击右下角的“创建”按钮。
选择 Shadowsocks-29438 关联入站后点击创建
客户端创建成功后,页面会返回客户端列表。如果顶部提示“已添加入站客户端”,并且列表中出现新客户端,说明客户端已经添加完成。
在客户端列表中,可以看到新建客户端已经关联到 Shadowsocks-29438,顶部客户端数量也会从 0 变为 1。到这里,Shadowsocks 入站和客户端都已经准备好。
客户端添加成功后显示关联入站 Shadowsocks-29438
六、导出 ss:// 节点链接
客户端创建完成后,回到左侧菜单中的“入站”页面,找到刚才创建的 Shadowsocks-29438 入站。在该入站右侧点击更多菜单,然后选择“导出链接”。
在入站列表中打开更多菜单并选择导出链接
3X-UI 会弹出“导出入站链接”窗口,里面显示一条以 ss:// 开头的 Shadowsocks 节点链接。点击右下角的“复制”按钮,就可以复制这条节点链接。
导出入站链接后复制 ss:// 节点地址
这一步就是在 3X-UI 中导出 ss:// 链接的关键操作。导出的 ss:// 链接里包含服务器地址、端口、加密方式和密码等连接参数,不要公开分享完整链接。如果后续修改了端口、加密方式、密码或客户端参数,需要重新导出链接,再导入客户端测试。
七、Shadowsocks 客户端导入建议
复制 ss:// 链接后,就可以将它导入到支持 Shadowsocks 协议的客户端中。不同客户端的导入入口不一样,但核心参数都是服务器地址、端口、加密方式和密码。
Windows 用户可以参考 Windows Shadowsocks 客户端配置教程,导入本文生成的 ss:// 链接后,重点核对服务器地址、端口、加密方式和密码是否识别正常。
Android 用户导入时,要确认客户端支持本文使用的 chacha20-ietf-poly1305 加密方式。可以参考 Android Shadowsocks 客户端配置教程,在手机端添加 3X-UI 导出的 SS 节点链接。
iOS 用户可以使用支持 Shadowsocks 的客户端导入 ss:// 链接。相关操作可以参考 iOS Shadowsocks 客户端配置教程,导入后如果无法连接,优先检查端口、加密方式和密码是否一致。
如果想在 iPhone 上使用免费 Shadowsocks 客户端,也可以参考 Potatso 配置教程。导入前同样需要确认服务器地址、端口、加密方式和密码是否识别正确。
如果习惯使用 Stash 管理代理配置,可以参考 Stash iOS 详细配置教程。Stash 更适合已经熟悉 Clash 配置或订阅导入的用户,新手导入前先确认当前配置是否支持 Shadowsocks 节点。
macOS 用户同样需要使用支持 Shadowsocks 的客户端。可以参考 macOS Shadowsocks 客户端配置教程,用于在苹果电脑上导入 SS 节点并测试连接。
如果使用 Clash Verge Rev 手动添加单条节点,或者需要把 ss:// 链接转换成 YAML 配置,可以参考 Clash Verge Rev 手动添加节点教程,按客户端要求核对服务器地址、端口、加密方式和密码。
本文主要讲 3X-UI 面板内的 SS 节点创建和链接导出流程,不展开每个客户端的详细配置。后续可以根据设备系统,继续参考本站对应的 Shadowsocks 客户端导入教程。
八、常见问题
下面整理的是 3X-UI 搭建 Shadowsocks 节点时更容易遇到的问题,重点看端口、加密方式、客户端关联和 ss:// 链接导入。
1. Shadowsocks 端口必须使用面板默认生成的吗?
不必须。端口可以使用 3X-UI 面板自动生成的随机可用端口,也可以自行填写其它未被占用的端口。无论使用哪个端口,都要确保 VPS 商家后台安全组和系统防火墙已经放行对应端口。
如果网络选择 TCP, UDP,建议同时放行 TCP 和 UDP。比如本文使用 29438 端口,就需要放行 TCP 29438 和 UDP 29438。
2. Shadowsocks 加密方式怎么选?
新手可以优先选择 chacha20-ietf-poly1305,兼容性较好,很多常见 Shadowsocks 客户端都能识别。如果你的客户端支持 aes-256-gcm,也可以根据设备和客户端情况选择。
2022-blake3-aes-256-gcm 这类 Shadowsocks 2022 加密方式对客户端要求更高。只有确认客户端支持 SS2022 时,才建议选择这类加密方式。
3. 为什么创建入站后还要添加客户端?
在 3X-UI 中,仅创建 Shadowsocks 入站还不够,还需要到“客户端”页面添加客户端,并将客户端关联到对应入站。完成后再回到入站页面导出 ss:// 链接,客户端数量也会从 0 变为 1。
4. 导出的 ss:// 链接无法导入客户端怎么办?
先确认客户端是否支持 Shadowsocks 协议,以及是否支持当前选择的加密方式。有些旧客户端可能无法识别较新的加密方式,尤其是 Shadowsocks 2022 相关配置。
如果导入失败,可以先更新客户端版本,或换用支持 Shadowsocks 的客户端测试。不要把 ss:// 链接当成 VLESS、VMess、Trojan 或 Hysteria2 节点手动填写。
5. Shadowsocks 需要配置 TLS 证书吗?
普通 Shadowsocks 节点不需要配置 TLS 证书。本文在 3X-UI 中创建的是普通 SS 节点,安全类型选择“无”即可,不需要填写 SNI,也不需要从面板读取证书路径。
需要在 3X-UI 里创建带 TLS 证书的 Trojan 节点时,可以参考 3X-UI 面板 Trojan TLS 节点搭建教程,按教程添加 Trojan 入站并导出对应节点链接。
6. 修改端口、密码或加密方式后需要重新导出链接吗?
需要。只要修改了 Shadowsocks 端口、密码、加密方式、客户端参数或其它连接信息,旧的 ss:// 链接就可能和服务端配置不一致。
修改并保存配置后,应重新导出 Shadowsocks 节点链接,再导入客户端测试。继续使用旧链接,容易出现端口不一致、密码错误或加密方式不兼容的问题。
九、总结
以上就是使用 3X-UI 面板搭建 Shadowsocks(SS)节点并导出 ss:// 链接的完整流程。整体步骤可以概括为:添加 Shadowsocks 入站、设置端口和加密方式、保持 RAW 传输和安全默认设置、创建客户端、关联入站,最后导出节点链接。
VLESS Reality 节点也可以通过 3X-UI 面板创建,可以参考 3X-UI 面板 VLESS Reality 搭建教程,按教程创建 Reality 入站并导出对应节点链接。
如果不想通过 3X-UI 面板创建 Shadowsocks 节点,也可以参考 Ubuntu 系统 Shadowsocks 安装教程,通过 apt 安装 shadowsocks-libev,自行配置 Shadowsocks 服务端。
计划继续测试基于 UDP 的 Hy2 节点,可以参考 3X-UI 面板 Hysteria2 搭建教程,按教程创建 Hysteria2 入站并导出对应节点链接。
对于已经安装好 3X-UI 面板的用户来说,这种方式不需要手动编辑 Xray 配置文件,直接在网页后台完成入站、客户端和链接导出设置。实际使用时,重点检查端口是否放行、客户端是否关联入站、加密方式是否被客户端支持,以及修改配置后是否重新导出并导入 ss:// 链接。
| 机房位置 | 带宽 | 流量 | 设备 | 价格 | 购买 |
|---|---|---|---|---|---|
| 洛杉矶 500 | 2.5Gbit | 500GB/月 | 5台 | $5.88/月-$58.88/年 | 购买 |
| 洛杉矶 1000 | 5Gbit | 1T/月 | 无限 | $9.88/月-$98.88/年 | 购买 |
| 洛杉矶 5000 | 5Gbit | 5T/月 | 无限 | $48.99/月-$489.99/年 | 购买 |
| 洛杉矶 10000 | 5Gbit | 10T/月 | 无限 | $93.99/月-$948.99/年 | 购买 |
| 香港 CMI+NTT | 2.5Gbps | 500GB/月 | 5台 | $8.99/月-$89.99/年 | 购买 |
| 香港 CMI+NTT | 5Gbps | 1T/月 | 无限 | $14.90/月-$113.99/年 | 购买 |
| 香港 CMI+NTT | 5Gbps | 5T/月 | 无限 | $59.99/月-$599.99/年 | 购买 |
| 香港 IPLC 专线 | 300MB 独享 | 300GB/月 | 3台 | $21.00/月-$210.00/年 | 购买 |
| 香港 IPLC 专线 | 1G 独享 | 1T/月 | 无限 | $59.00/月-$589.00/年 | 购买 |
| 香港 CN2 GIA | 100MB 独享 | 100GB/月 | 3台 | $34.99/月-$349.99/年 | 购买 |
| 香港 CN2 GIA | 500MB 独享 | 500GB/月 | 5台 | $149.99/月-$1499.99/年 | 购买 |
| 香港 CN2 GIA | 1G 独享 | 1T/月 | 无限 | $279.99/月-$2799.99/年 | 购买 |
| 日本 CN2 GIA | 100MB 独享 | 100GB/月 | 3台 | $29.99/月-$299.99/年 | 购买 |
| 日本 CN2 GIA | 200MB 独享 | 500GB月 | 5台 | $135.99/月-$1349.99/年 | 购买 |
| 日本 CN2 GIA | 500MB 独享 | 1T/月 | 无限 | $239.00/月-$2399.00/年 | 购买 |
| 日本 CN2 GIA | 700MB 独享 | 5T/月 | 无限 | $1135.00/月-$11395.00/年 | 购买 |
| 伦敦 500 | 2.5Gbps | 500GB/月 | 5台 | $6.8/月-$67.99/年 | 购买 |
| 伦敦 1000 | 5Gbps | 1T/月 | 无限 | $11.29/月-$113.99/年 | 购买 |
| 伦敦 5000 | 5Gbps | 5T/月 | 无限 | $59.99/月-$559.99/年 | 购买 |
需要 VPS 服务器?Just My Socks 更适合直接使用代理服务;如果您需要建站、部署项目、搭建环境或学习 Linux,可以选择搬瓦工 VPS,参考 搬瓦工在售 VPS 套餐整理与购买推荐。 |
|||||
