3X-UI 面板 Tunnel 中转教程：通过端口转发连接后端节点

3X-UI 面板里的 Tunnel 入站可以用来做 VPS 端口转发，把服务器本机监听端口收到的流量转发到指定后端节点。这个功能常用于中转场景：客户端连接自己的 VPS，VPS 再把流量转到远程节点，从而形成“入口服务器 + 后端节点”的连接方式。本文以一台已安装 3X-UI 面板的 VPS 为例，演示如何创建 3X-UI Tunnel 入站、填写后端节点地址和端口，并通过 Clash Verge 导入本地配置，验证 Tunnel 中转是否可以正常连接。

开始配置前，需要先准备一台已经安装 3X-UI 面板的 VPS。如果还没有安装面板，可以先参考 3X-UI 面板安装教程：VPS 安装 Xray 多协议管理面板 完成安装，再继续本文的 Tunnel 中转配置。

如果还没有可用的后端节点，也可以先搭建一个 VLESS Reality 节点，再把它作为 Tunnel 的转发目标，具体可以参考 3X-UI 面板 VLESS Reality 搭建教程。

这篇教程采用“一台 3X-UI VPS + 一个已有后端节点”的配置方式，后端节点不要求安装 3X-UI 面板。只要后端节点地址和端口能被 VPS 访问，就可以通过 Tunnel / Dokodemo-door 做后端节点转发。

一、3X-UI Tunnel 是什么，为什么要做端口转发

3X-UI Tunnel 是 3X-UI 入站里的一种转发功能，也可以理解为 Xray-core 的 Tunnel / Dokodemo-door 入站功能在面板里的可视化配置。

它不会像 VLESS、Trojan、VMess 那样生成一个完整代理节点，而是在 VPS 上监听一个端口，然后把进入这个端口的流量转发到指定的后端地址和端口。

常见连接链路如下：

客户端 → 3X-UI VPS 的 Tunnel 端口 → 后端节点地址和端口

比如 3X-UI VPS 监听 52693 端口，Tunnel 入站把流量转发到后端节点的 443 端口。客户端连接的是 VPS 的 52693 端口，实际流量会继续转到后端节点。

不使用 Tunnel 时，客户端会直接连接后端节点地址和端口。使用 3X-UI Tunnel 后，客户端连接的是自己的 VPS 入口端口，再由 VPS 把流量转发到后端节点。

这种方式适合已经有远程节点，但想通过自己的 VPS 做统一入口的用户。例如后端节点不方便直接暴露给多个客户端，或者想把客户端配置统一成自己的 VPS 地址，就可以使用 3X-UI 端口转发做一层中转。

需要注意的是，Tunnel 本身不是普通节点。它不需要填写 UUID、密码、Reality 公钥、WebSocket Path 等节点认证参数。

3X-UI 面板 Tunnel 只负责“把流量送到哪里”，真正的协议认证仍然由后端节点处理。

二、配置 3X-UI Tunnel 前的准备工作

开始配置 3X-UI 面板 Tunnel 前，需要准备以下信息：

下文中的 node.example.com 仅为示例域名，实际配置时请替换成自己的后端节点域名或 IP。

这里的后端节点可以是自建节点，也可以是已经可用的远程节点。后端服务器不需要安装 3X-UI 面板，只要节点端口能被 3X-UI VPS 访问即可。

如果后端节点是 VMess + WebSocket + TLS，需要准备下面这些信息：

如果还没有现成的 VMess 后端节点，可以先参考 3X-UI 面板搭建 VMess 节点教程：添加入站、客户端并导出链接 创建一个可用节点，再回到本文把它作为 Tunnel 的转发目标。

如果后端是 Shadowsocks 节点，客户端只需要保留原来的加密方式和密码，再把 server 和 port 改成 3X-UI VPS 的 Tunnel 信息。

三、在 3X-UI 面板添加 Tunnel 入站

登录 3X-UI 面板后，点击左侧菜单中的“入站”，然后点击“添加入站”。这一步是创建 3X-UI 入站的入口。

在 3X-UI 面板入站页面点击添加入站，开始创建 Tunnel 转发配置

在基础配置页面，主要填写下面几项：

在 3X-UI 添加入站页面选择 tunnel 协议，并设置监听端口、流量和到期时间

端口可以使用 3X-UI 面板自动生成的监听端口。教程示例使用 52693，实际配置时可以换成自己的端口。配置完成后，先不要急着创建，继续点击顶部的“协议”标签。

在“协议”页面，需要填写后端节点地址和端口，这里是 3X-UI Tunnel 中转的核心配置。

在 3X-UI Tunnel 协议页面填写后端节点地址、端口和允许的网络类型

这里不要填写后端节点的 UUID、密码、加密方式、SNI、Host 或 Path。Tunnel 入站只负责端口转发，后端协议认证由客户端和后端节点完成。

首次配置建议先选择 TCP。等 TCP 跑通后，如果后端服务确实需要 UDP，再改成 TCP、UDP。这样排查时少一个变量。

确认基础配置和协议配置无误后，点击“创建”。创建成功后，可以在 3X-UI 入站列表中看到刚才添加的 Tunnel 入站。

Tunnel 入站创建后会显示在 3X-UI 入站列表中，可查看协议、端口和启用状态

创建完成后，建议通过 SSH 检查 VPS 是否已经监听对应端口。假设 Tunnel 监听端口为 52693，可以执行：

ss -lntup | grep 52693

如果看到类似下面的结果，说明 Xray 已经开始监听该端口：

tcp   LISTEN 0      4096               *:52693            *:*    users:(("xray-linux-amd6",pid=15758,fd=9))

如果 VPS 有系统防火墙或云服务器安全组，还需要放行对应端口。例如使用 UFW 的服务器可以执行：

ufw allow 52693/tcp

如果服务器没有启用防火墙，并且云厂商安全组没有限制入站端口，可以跳过放行命令。关键是客户端所在设备必须能访问 3X-UI VPS 的 Tunnel 端口。

在 Windows PowerShell 里可以这样测试入口端口：

Test-NetConnection 你的3X-UI服务器IP -Port 52693

如果返回下面结果，说明电脑到 VPS 的 Tunnel 端口可以连通：

TcpTestSucceeded : True

入口端口确认可达后，再进入 Clash Verge 测试节点配置。

四、在 Clash Verge 中导入本地 YAML 配置

接下来在 Clash Verge 中添加本地 YAML 配置。配置时需要把节点连接地址改成 3X-UI VPS 的 IP，把端口改成 Tunnel 入站监听端口，UUID、TLS、servername、Host、Path 等参数继续使用后端节点原来的配置。

在 Clash Verge 订阅页面点击新建，用于导入 Tunnel 本地 YAML 配置

新建配置时，类型选择 Local，然后选择本地 YAML 文件并保存。

在 Clash Verge 中选择 Local 类型，导入 3X-UI Tunnel 本地 YAML 配置文件

如果不熟悉 Clash Verge Rev 的单条节点转换和 YAML 写法，可以先看 Clash Verge Rev 手动添加节点教程，再回到本文修改 server、port、Host、Path 等字段。

下面是 VMess + WebSocket + TLS 的 YAML 示例，请把占位内容替换成自己的实际信息：

mixed-port: 7890
allow-lan: false
mode: rule
log-level: info
ipv6: false

proxies:
  - name: "3X-UI-Tunnel-VMess-Test"
    type: vmess
    server: 你的3X-UI服务器IP
    port: 52693
    uuid: 后端节点UUID
    alterId: 0
    cipher: auto
    tls: true
    servername: 后端节点域名
    network: ws
    ws-opts:
      path: /ray
      headers:
        Host: 后端节点域名

proxy-groups:
  - name: "PROXY"
    type: select
    proxies:
      - "3X-UI-Tunnel-VMess-Test"
      - DIRECT

rules:
  - MATCH,PROXY

这段配置里最容易填错的是 server 和 port。server 不是后端节点地址，而是 3X-UI VPS 的公网 IP 或域名；port 不是后端节点端口，而是 3X-UI Tunnel 入站监听端口。

后端节点域名仍然要保留在 servername 和 Host 里，Path 也要保持后端节点原来的配置。不要因为客户端连接的是 VPS，就把 Host、servername、Path 全部改成 VPS 的域名。

本地 YAML 配置导入成功后，会显示在 Clash Verge 的订阅配置列表中

如果使用 Shadowsocks 后端节点，本地 YAML 可以参考下面这种结构：

mixed-port: 7890
allow-lan: false
mode: rule
log-level: info
ipv6: false

proxies:
  - name: "3X-UI-Tunnel-SS-Test"
    type: ss
    server: 你的3X-UI服务器IP
    port: 52693
    cipher: 后端SS节点加密方式
    password: "后端SS节点密码"
    udp: false

proxy-groups:
  - name: "PROXY"
    type: select
    proxies:
      - "3X-UI-Tunnel-SS-Test"
      - DIRECT

rules:
  - MATCH,PROXY

导入本地配置后，进入“代理”页面选择刚才添加的测试节点。

如果你还没有配置过 Clash Verge Rev，可以先参考 Clash Verge Rev 详细配置教程，完成基础设置、订阅导入和代理模式配置后，再继续测试本文的 Tunnel 本地节点。

五、验证 Tunnel 中转是否成功

进入 Clash Verge 的“代理”页面后，选择刚才导入的本地节点，然后测试延迟。

Clash Verge 返回节点延迟，说明客户端已经可以通过 3X-UI Tunnel 连接后端节点

如果能够正常返回延迟，例如 300ms、400ms 这类结果，说明客户端已经可以通过 VPS 的 Tunnel 端口连接到后端节点。

同时可以回到 3X-UI 入站列表，查看 Tunnel 入站的流量是否变化。只要流量不再是 0 B，就说明客户端流量已经进入 3X-UI Tunnel 入站。

3X-UI Tunnel 入站出现流量变化，说明客户端连接已经进入中转端口

测试成功后的链路可以这样理解：

Clash Verge 客户端 → 3X-UI VPS:52693 → Tunnel 入站 → 后端节点:443

完成以上配置后，客户端会先连接自己的 3X-UI VPS，再由 Tunnel 入站把流量转发到后端节点。后续正常使用时，继续选择这个本地配置即可。

六、常见问题和排查方法

如果 Clash Verge 测试延迟显示 Timeout，可以按下面顺序排查，不要一开始就乱改协议参数。

如果入口端口不通，先在 Windows PowerShell 测试：

Test-NetConnection 你的3X-UI服务器IP -Port 52693

如果返回 False，说明本地电脑到 VPS 的 Tunnel 端口没有连通，需要检查 VPS 公网 IP、端口、防火墙和云服务器安全组。

如果返回 True，但 Clash Verge 仍然 Timeout，可以在 VPS 上测试后端节点端口：

nc -vz node.example.com 443

如果 VPS 无法连接后端端口，Tunnel 配置正确也无法使用。这时可以更换一个后端节点重新测试。

最后再检查客户端配置。3X-UI Tunnel 中转不改变后端节点的认证参数。客户端里的连接入口改成 VPS，但后端节点的 UUID、密码、TLS、servername、Host、Path 等字段不要改错。

七、总结

3X-UI 面板 Tunnel 的核心用途是端口转发。它可以让一台 VPS 作为入口，把客户端流量转发到后端节点，实现简单的 VPS 中转节点效果。

这类 3X-UI Tunnel 中转不要求后端服务器也安装 3X-UI。只要有一个可用的后端节点，并且 VPS 能访问这个后端地址和端口，就可以在 3X-UI 入站里创建 Tunnel 入站，再通过 Clash Verge 导入本地配置连接使用。

配置时记住一个原则：Tunnel 页面只填后端地址和端口；客户端只改连接入口的 server 和 port；后端节点原来的 UUID、密码、SNI、Host、Path 等协议参数不要乱改。这样配置后，3X-UI 端口转发和远程节点中转的排查方向也更清楚。