今天的这一套“起死回生”大法,技术全称叫 Cloudflare Tunnel (Argo 隧道) 穿透技术
不管是 VMISS、搬瓦工还是瓦工的新机器,只要是 Linux 系统(Debian/Ubuntu/CentOS),都能加装这套 Cloudflare Tunnel
让一台 IP 被墙、彻底“断气”的VPS服务器,不换 IP、不花钱,直接满血复活!
🚀 服务器加装这套系统的 3 大理由
主动防御,IP 永不被墙:
很多新服务器 IP 一开出来就是“干净”的。如果你直接裸奔,可能用几天就被封了。
小白策略:新机到手直接套上隧道。因为你的真实 IP 始终躲在 Cloudflare 后面,墙根本找不到你的服务器在哪,你的 IP 也就永远不会“阵亡”。
改善“晚高峰”连接:
有些新服务器虽然 IP 没被封,但到了晚上运营商会限速(QoS)。
套上隧道后,走的是 Cloudflare 的全球骨干网,往往能绕过运营商的拥堵,让你的节点在晚高峰依然丝滑。
内网穿透(针对无公网 IP):
如果你以后玩那种没有公网 IP 的“内网 VPS”或者家里的群晖、NAS,这套方法是唯一的救命稻草,能让你在外面随时随地连回家。
🛡️这套架构的安全性:
优势:真正的“隐身术”
服务器 IP 全隐藏:
安全性极高。外界(包括 GFW)根本不知道你器的真实 IP 是什么。
除非 Cloudflare 倒闭或主动泄露,否则没人能直接攻击你的服务器。这对于保护你辛辛苦苦配置的 VPS 来说,是一道坚固的物理防火墙。
流量伪装完美:
你的流量在运营商(ISP)眼里,就是一段发往 Cloudflare 机房的正常 HTTPS 加密网页流量。
因为 Cloudflare 承载了全球很大一部分网站,运营商不敢轻易劣化或封锁它的 IP,所以这种节点的**抗封锁性(安全性的一种体现)**是目前顶级的。
🛠️ 核心原理:从“裸奔拦截”到“隐身穿越”
1. 传统的裸奔连接(必死局)
路径:你的手机 ➔ 运营商 ➔ 墙 (GFW) ➔ VPS IP (被拦截 ❌)
所长点评:这就是在光天化日之下走大路。墙手里有一张“黑名单”,你的 VPS IP 就在上面。当你试图敲它门的时候,墙直接在大门口把你拦死。这种方式,IP 换多少次就死多少次。
路径:你的手机 ➔ 运营商 ➔ 墙 (GFW) ➔ VPS IP (被拦截 ❌)
所长点评:这就是在光天化日之下走大路。墙手里有一张“黑名单”,你的 VPS IP 就在上面。当你试图敲它门的时候,墙直接在大门口把你拦死。这种方式,IP 换多少次就死多少次。
2. Argo 隧道的“隐身管道”(降维打击)
路径:你的手机 ➔ 运营商 ➔ CF 边缘节点 ➔ Argo 加密隧道 ➔ VPS 内部 (成功 ✅)
原理解析:
主动出击:不再是等着外面去连 VPS,而是 VPS 内部运行程序,主动向“赛博菩萨”CF 发起连接,在墙底下挖通一条加密的“地下管道”。
身份伪装:在墙眼里,你不是在连一个被封的 IP,而是在访问一个拥有合法证书、顶级防御的正规 HTTPS 网站(例如域名 xiaobaiit.cc.cd)
降维打击:墙可以封掉一个个小 IP,但它不敢轻易封掉承载全球 20% 流量的 CF 全球大网。这就是借力打力,用全球最强防御网络给咱们挡子弹。
路径:你的手机 ➔ 运营商 ➔ CF 边缘节点 ➔ Argo 加密隧道 ➔ VPS 内部 (成功 ✅)
原理解析:
主动出击:不再是等着外面去连 VPS,而是 VPS 内部运行程序,主动向“赛博菩萨”CF 发起连接,在墙底下挖通一条加密的“地下管道”。
身份伪装:在墙眼里,你不是在连一个被封的 IP,而是在访问一个拥有合法证书、顶级防御的正规 HTTPS 网站(例如域名
xiaobaiit.cc.cd)降维打击:墙可以封掉一个个小 IP,但它不敢轻易封掉承载全球 20% 流量的 CF 全球大网。这就是借力打力,用全球最强防御网络给咱们挡子弹。
本期所需网站:
IP是否被墙测试网站:https://www.itdog.cn/ping/ (输入你的服务器IP,如果中国地区节点全显示超时就是被墙)
免费域名注册:https://my.dnshe.com/
Cloudflar官网:https://dash.cloudflare.com/
Tabby终端程序下载(中文界面):https://tabby.sh/
Bybit虚拟卡(零门槛开卡):https://www.xbiit.net/2026/02/Bybit.html
小白自用VPS推荐(性价比拉满):https://app.vmiss.com/aff.php?aff=4356
开始搭建:
新买的VPS服务器需要先在Tabby里添加一个运行配置很简单半分钟搞定,看下面这个视频(5分20秒处就是输入IP,端口,和密码那个步骤):https://www.xbiit.net/2026/02/vmiss7vps89cn2-giaas9929cmin2.html
注册域名:看视频,视频教程等一等,在制作中
域名绑定Cloudflare:看视频
运行配置
一. 更新系统并安装基础工具:粘贴回车
apt update && apt install wget curl sudo -y
二. 安装 3X-UI 面板 (核心控制台) 粘贴回车
bash <(curl -Ls https://raw.githubusercontent.com/mack-a/v2ray-agent/master/install.sh)
1. 输入数字 1 (安装) 并回车。
2. 输入 1 选择 Xray-core
3. 这里填入你刚才在 Cloudflare 激活的那个新域名并回车
4. 直接**按回车(默认 443)
5. 如果出现红色,这是因为这台 VMISS 服务器的 IP 被封锁了,导致它无法正常访问外部 DNS 服务器(如 Cloudflare 的 1.1.1.1),同时也因为你的域名并没有直接指向这个被墙的 IP,所以 vasma 脚本的“域名拨号校验”卡住了。
先修复 VPS 的 DNS 解析问题,依次输入下面代码(如果没有红色直接输入第二个代码)
echo -e "nameserver 8.8.8.8\nnameserver 8.8.4.4" > /etc/resolv.conf
bash <(wget -qO- https://raw.githubusercontent.com/fscarmen/sing-box/main/sing-box.sh)
7. 选项 7:安装 ArgoX 脚本 (argo + xray)
8. 输入 2 并回车
9. 这里直接按回车
10. 直接按回车,脚本已经自动识别到了你当前的服务器 IP
11. 在这里手动输入你刚刚在 Cloudflare 成功激活的那个专属免费域名
12. 这里暂停,登录到 Cloudflare 后台
13. 登录 Cloudflare 后台:
进入 Zero Trust:在 Cloudflare 主界面的左侧边栏,找到并点击 Zero Trust
选择网络-连接器
点击蓝色按钮添加隧道
Cloudflared,点击下一步
点完保存之后,页面会自动跳到“安装并运行连接器”。这是最容易弄错的一步,我提前给你画个重点:页面上会有一排操作系统,点一下 Debian 64-bit
删掉 (cloudflared tunnel run --token)保留后面 一串代码
14. 回到Tabby
16. 按回车
xiaobai 字样进入配置
+ 添加已发布应用程序路由 按钮按钮
为什么有红有绿?(我测试的是已经被墙的IP服务器)
我现在的节点列表里,这其实是典型的“Argo 特性”表现:
✅ 绿色的(复活成功):Shadowsocks + WS 和 Trojan + WS。
原理:Argo 隧道本质上是一个 HTTP 隧道,它和 WebSocket (WS) 协议是天生的一对。所以这两个节点能完美穿过 Cloudflare 达到你的 VPS。
❌ 为什么 Reality 节点会超时?
Reality 的脾气:它追求的是“极致直连”,它模拟的是你和目标服务器之间直接的 TLS 握手。
Argo 的逻辑:它是一个“Web 代理”,它只认 HTTP/WebSocket (WS) 这种标准的网页流量。
结论:Reality 就像是一辆越野车,非要跑在 Argo 这条“地铁轨道”上,那是肯定跑不通的。
✅ 顶级解决方案:全员“WS 化”
要把剩下的节点变绿,你得在服务器端把它们的传输协议全部改为 WebSocket (WS)。
1. 协议转换清单
原协议 (超时) 建议改为 (复活) 关键配置 VLESS-Reality VLESS + WS + TLS 路径(Path)填 /,端口填 443 VMess-Reality VMess + WS + TLS 路径(Path)填 /,端口填 443 Reality-gRPC 改为 WS 协议 Argo 对 gRPC 支持有限,WS 最稳
2. 客户端(小火箭/v2rayN)的保命设置
即使你改成了 WS,如果这三个地方没填对,依然会显示 -1 或超时:
地址 (Address):填你的域名 例如xiaobaiit.cc.cd
端口 (Port):填 443。
伪装域名 (Host) / SNI:必须填你的域名 例如 xiaobaiit.cc.cd
第一种方式:如果是最主流的 3X-ui 网页面板(其他面板逻辑通用):
第一步:在 VPS 面板修改(服务端)
这是把“越野车”换成“地铁轮子”的关键。
进入后台:登录你的 3X-ui 面板,点击左侧的 “入站列表”。
找到超时节点:点击那个红色的 Reality 节点右边的 “操作” -> “编辑”。
核心修改项:
端口 (Port):改成
8080(必须跟你在 Cloudflare Tunnel 里填的那个localhost:8080一致!)。传输配置 (Transport):在下拉菜单里,把
tcp或grpc改为ws(WebSocket)。路径 (Path):填入一个简单的斜杠
/。Reality 开关:彻底 关闭 (Off)。
保存并重启:点击底部的保存。
第二步:在 Cloudflare 确认(桥梁端)
所长,请回看你之前的截图。
确保你的 已发布应用程序路由 指向的是
http://localhost:8080。只要面板里的端口是 8080,Cloudflare 这边就不用动了。
第三步:在小火箭/v2rayN 修改(客户端)
这是解决你电脑端 -1 延迟的关键!:
设置项 修改内容 备注 地址 (Address) 例如 xiaobaiit.cc.cd 千万别填 IP! 填你的域名 端口 (Port) 443 走 CF 隧道必须填 443 传输方式 ws 必须跟服务端一致 路径 (Path) / 跟服务端一致 TLS/SSL 开启 (ON) 必须开启,不然隧道不通 SNI / Host 例如 xiaobaiit.cc.cd 最重要! 没这个域名,CF 不认你
后电脑端的 v2rayN如果还显示 -1,大概率是 SNI 那个框没填域名
第二种方式:直接在终端里修改,本质上就是修改 JSON 配置文件
🛠️ 终端“动手术”三部曲
无论你用的是 sing-box 还是 Xray,逻辑都是一样的:找到文件 ➔ 改掉参数 ➔ 重启服务。
第一步:定位并备份首先,你得找到那个配置文件。通常它躲在这里:
Xray/3X-ui: /usr/local/x-ui/bin/config.json 或 /etc/x-ui/x-ui.db (如果是面板)
Sing-box: /etc/sing-box/config.json
方案 A:如果你用的是 3X-ui (Xray)
cp /usr/local/x-ui/bin/config.json /usr/local/x-ui/bin/config.json.bak
方案 B:如果你用的是 sing-box
cp /etc/sing-box/config.json /etc/sing-box/config.json.bak
第二步:用 nano 编辑器进入“黑客模式”
输入命令:
nano /etc/sing-box/config.json
在那个密密麻麻的黑窗口里,找到你超时的那个入站节点(Inbound),把下面的代码替换:
修改前(Reality 状态):
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": { ... }
}修改后(Argo 顶级 WS 状态):
"streamSettings": { "network": "ws", // 核心:改成 ws "security": "none", // 隧道内部可以不套 TLS,CF 会在外面帮你套 "wsSettings": { "path": "/" // 路径记得跟客户端对上 } }
第三步:重启并见证绿灯
改完后,按 Ctrl+O 保存,Ctrl+X 退出
然后重启服务:(x-ui)
x-ui restart 或者(sing-box)
systemctl restart sing-box 测试全球主流网站是否跑通,输入代码回车
bash <(curl -L -s https://raw.githubusercontent.com/lmc999/RegionRestrictionCheck/main/check.sh)
