Nginx SNI分流（端口复用）使用Xray+VLESS+XTLS

 

前言

Xray已经出来一段时间了，之前一直使用VLESS+tls+ws方式科学上网。但是了解了下XTLS黑科技，再看看Xray性能测试，这货简直爆炸，性能是TLS的数倍。但是Xray要监听443端口（不监听也行，但是不够完美），影响做站。虽然有解决方法，可是不够完整，一不小心就跳坑里面去了。Xray已经带了SNI回落功能，Nginx也带SNI功能，我还是觉得用Nginx的比较好，免得折腾Xray影响网站运行。

问题

因为服务器上有几个站点，装完Xray后实现SNI分流，过程非常顺利，但是chrome上有问题，几个二级域名访问的内容全部和第一个访问的域名一样。

例如：我先访问a.example.com然后在访问b.example.com，b.example.com响应内容和a.example.com一模一样，然后再访问c.example.com还是和a.example.com一样。开chrome隐身模式直接访问c.example.com正常，然后访问a.example.com或b.example.com内容又全是c.example.com 的（不一定会每次都这样，要看浏览器是否使用现有连接或服务器是否断开了之前的连接）。

这个问题折腾我很长时间，最后发现和HTTP/2有关，我所有站点不使用HTTP/2就会正常，只要有一个站点使用了HTTP/2，你先访问HTTP/2站点，那么后面的其他子域名都会变成它的内容。

最开始我使用Xray的SNI也是这样，我还以为是Xray SNI的问题，之后换成Nginx使用SNI还是这样。chrome中有这个问题，用手机safari浏览器完全正常。

经过网上一番搜刮，终于找到了问题根源：通配符域名证书。

由于原始服务器10.0.3.2使用的TLS证书具有通配符名称*.example.com，因此Web浏览器可以建立服务器名称为b.example.com的TLS连接，并对HTTP/2请求使用相同的连接到a.example.com。这可能会在网站和应用程序中导致未定义的行为。

因为HTTP/2会保持TCP连接，导致你访问了a.example.com后，在访问b.example.com的时候使用的同一个连接，SNI跟失效了一样，直接使用该连接访问之前的服务。

解决办法有两种：

1. 不使用HTTP/2。
2. 不使用通配符域名证书，站点域名证书一个个申请。

配置Nginx SNI

由于默认安装的Nginx不会构建http_realip及stream_ssl_preread模块，需手动添加--with-http_realip_module --with-stream_ssl_preread_module两个参数再编译安装Nginx，使用nginx -V命令可查看已安装的模块。

在主配置文件nginx.conf的events和http之间插入stream_ssl_preread模块，插入后的配置文件如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

user www; events { use epoll; worker_connections 51200; multi_accept on; } stream { map $ssl_preread_server_name $name { x.example.com xray; example.com blog; } upstream xray { server 127.0.0.1:6004; # xray xtls伪装站点 } upstream xtls { server 127.0.0.1:6443; # Xray端口 } upstream blog { server 127.0.0.1:6003; # 业务站点 } server { listen 443 reuseport; listen [::]:443 reuseport; proxy_pass $name; ssl_preread on; proxy_protocol on; } server { # Xray XTLS listen 127.0.0.1:6004 proxy_protocol; proxy_pass xtls; } } http { ... }

伪装站点及业务站点的配置:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56

http { set_real_ip_from 127.0.0.1; # 获取真实客户IP，不然全是127.0.0.1 real_ip_header proxy_protocol; port_in_redirect off; # 重定向去掉端口号 fastcgi_connect_timeout 300; fastcgi_send_timeout 300; fastcgi_read_timeout 300; fastcgi_buffer_size 64k; fastcgi_buffers 4 64k; fastcgi_busy_buffers_size 128k; fastcgi_temp_file_write_size 256k; server { listen 80; server_name x.example.com; return 301 https://x.example.com$request_uri; } server { # 伪装站点由Xray处理SSL listen 127.0.0.1:6001 proxy_protocol; # xray http/1.1 listen 127.0.0.1:6002 proxy_protocol http2; # xray http/2 server_name x.example.com; index index.html index.htm index.php; root /home/wwwroot/default; } server { listen 80; server_name example.com; return 301 https://example.com$request_uri; } server { listen 127.0.0.1:6003 proxy_protocol ssl http2; server_name example.com; root /home/wwwroot/example.com; index index.html index.htm index.php; ssl_certificate /etc/ssl/nginx/example.com.pem; ssl_certificate_key /etc/ssl/nginx/example.com.key; include enable-php-pathinfo.conf; location ~ \.php$ { # fastcgi_pass unix:/var/run/php/php7.0-fpm.sock; fastcgi_pass 127.0.0.1:9000; # fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } } }

配置Xray

服务端配置：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77

{ "log": { "loglevel": "warning" }, "inbounds": [ { "port": 6443, "listen": "127.0.0.1", "protocol": "vless", "settings": { "clients": [ { "id": "UUID", "flow": "xtls-rprx-direct" } ], "decryption": "none", "fallbacks": [ { "dest": 6001, "xver": 1 }, { "alpn": "h2", "dest": 6002, "xver": 1 }, { "path": "/vmessws", "dest": 6000, "xver": 1 } ] }, "streamSettings": { "network": "tcp", "security": "xtls", "xtlsSettings": { "alpn": [ "h2", "http/1.1" ], "certificates": [ { "certificateFile": "/usr/local/ssl/xray/example.com.pem", "keyFile": "/usr/local/ssl/xray/example.com.key" } ] } } }, { "port": 6000, "listen": "127.0.0.1", "protocol": "vmess", "settings": { "clients": [ { "id": "UUID" } ] }, "streamSettings": { "network": "ws", "wsSettings": { "acceptProxyProtocol": true, "path": "/vmessws" } } } ], "outbounds": [ { "protocol": "freedom" } ] }

最后开启服务端防火墙的443和80端口，如果有另外的软件限制服务器内部端口之间的访问，也要打开相应的端口。

Linux客户端使用VLESS+TCP+XTLS配置：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

{ "inbounds": [ { "port": 1080, "listen": "127.0.0.1", "protocol": "socks", "settings": { "udp": true } } ], "outbounds": [ { "protocol": "vless", "settings": { "vnext": [ { "address": "example.com", "port": 443, "users": [ { "id": "UUID", "flow": "xtls-rprx-splice", "encryption": "none" } ] } ] }, "streamSettings": { "network": "tcp", "security": "xtls", "xtlsSettings": { "serverName": "example.com" } } } ] }

Linux客户端使用VMESS+WS+TLS配置：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

{ "inbounds": [ { "port": 1080, "listen": "127.0.0.1", "protocol": "socks", "settings": { "udp": true } } ], "outbounds": [ { "protocol": "vmess", "settings": { "vnext": [ { "address": "x.example.com", "port": 443, "users": [ { "id": "UUID", "security": "none" } ] } ] }, "streamSettings": { "network": "ws", "security": "tls", "tlsSettings": { "serverName": "x.example.com" }, "wsSettings": { "path": "/vmessws" } } } ] }

• 原文作者：百年孤独
• 原文链接：https://qoanty.github.io/2021/05/xray-nginx-sni/
• 版权声明：本作品采用知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议进行许可，非商业转载请注明出处（作者，原文链接），商业转载请联系作者获得授权。

Nginx 443端口复用分流

因为我们转发的是TCP流，因此nginx需要安装ngx_stream_core_module模块(以下简称stream模块)；我们还需要做一个SSL证书前置，需要ngx_stream_ssl_preread_module 模块。要查看这些模块是否被编译进了Nginx，可以使用Nginx -V命令进行查看。

如果返回的结果中含有 --with-stream和--with-stream_ssl_preread_module，就说明这两个模块已经被编译进了Nginx；否则则需要自己重新编译Nginx。

1. 修改 Ngnix 默认配置

vi /etc/nginx/nginx.conf

2. 加入转发模块

在配置文件底部加上如下转发模块（他人的）：

# stream模块设置
stream {
    # SNI识别，将一个个域名映射成一个配置名
    map $ssl_preread_server_name $stream_map {
        website.example.com web;
        xtls.example.com beforextls;# 注意这里修改了
    }
 
    # upstream,也就是流量上游的配置
    upstream beforextls {
        server 127.0.0.1:7999;
    }
    upstream xtls {
        server 127.0.0.1:9000;
    }
    upstream web {
        server 127.0.0.1:443;
    }
    # stream模块监听服务器公网IP443端口，并进行端口复用
    server {
        listen [服务器公网IP]:443 reuseport;
        proxy_pass $stream_map;
        ssl_preread on;
        proxy_protocol on; # 开启Proxy protocol
    }
    server {
        listen 127.0.0.1:7999 proxy_protocol;# 开启Proxy protocol
        proxy_pass xtls; # 以真实的XTLS作为上游，这一层是与XTLS交互的“媒人”
    }
}

自定义：

stream {
    map $ssl_preread_server_name $stream_map {
        bore.vip web;
        www.bore.vip web1;
        p.bore.vip beforextls;
    }
 
    upstream beforextls {
        server 127.0.0.1:7999;
    }
    upstream xtls {
        server 127.0.0.1:9000;
    }
    upstream web {
        server 127.0.0.1:443;
    }
    upstream web1 {
        server 127.0.0.1:443;
    }
    server {
        listen [服务器公网IP]:443 reuseport;
        proxy_pass $stream_map;
        ssl_preread on;
        proxy_protocol on; 
    }
    server {
        listen 127.0.0.1:7999 proxy_protocol;
        proxy_pass xtls; 
    }
}

3. 修改xr端口为9000

4. 修改web服务器配置：

vi /etc/nginx/conf.d/halo.conf

他人的：

# Web服务器的配置
server {
    listen 80;# 我们只对443端口进行SNI分流，80端口依旧做Web服务；SNI分流也只能在443端口上跑TLS流量才能分流
    listen 127.0.0.1:443 ssl http2 proxy_protocol;# 监听本地443端口，要和上面的stream模块配置中的upstream配置对的上，开启Proxy protocol
    ......
    if ($ssl_protocol = "") {
        return 301 https://$host$request_uri;
    }
    index index.html index.htm index.php;
    try_files $uri $uri/ /index.php?$args;
 
    set_real_ip_from 127.0.0.1;# 从Proxy protocol获取真实IP
    real_ip_header proxy_protocol;
    ......
}

自定义：

​
upstream halo {
  server 127.0.0.1:8090;
}
server {
  listen 80;
  listen [::]:80;
  listen 127.0.0.1:443 ssl http2 proxy_protocol;
  listen [::]:443 ssl http2;
  server_name bore.vip www.bore.vip;
  if ($host != 'bore.vip' ) {
      rewrite ^/(.*)$ https://bore.vip/$1 permanent;
  } 
  client_max_body_size 1024m;
  ssl_certificate /etc/nginx/cert/bore.vip.pem;
  ssl_certificate_key /etc/nginx/cert/bore.vip.key;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
  ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
  ssl_prefer_server_ciphers on;
  ssl_session_timeout 10m;
  ssl_session_cache builtin:1000 shared:SSL:10m;
  ssl_buffer_size 1400;
  add_header Strict-Transport-Security max-age=15768000;
  ssl_stapling on;
  ssl_stapling_verify on;
  access_log /data/wwwlogs/bore.vip_nginx.log combined;
  index index.html index.htm index.php;
  root /data/wwwroot/bore.vip;
  if ($ssl_protocol = "") { return 301 https://$host$request_uri; }
  #error_page 404 /404.html;
  #error_page 502 /502.html;
  location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|mp4|ico)$ {
    proxy_pass http://halo;
    expires 30d;
    access_log off;
  }
  location ~ .*\.(js|css)?$ {
    proxy_pass http://halo;
    expires 7d;
    access_log off;
  }
  location ~ /(\.user\.ini|\.ht|\.git|\.svn|\.project|LICENSE|README\.md) {
    deny all;
  }
  location / {
    proxy_set_header HOST $host;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://halo;
  }
  location ^~ /.well-known/acme-challenge/ {
    default_type "text/plain";
    allow all;
    root /data/wwwroot/bore.vip/;
  } 
}

5. 重启nginx、xr

systemctl restart nginx

重启xr省略

参考链接

• 使用Nginx进行SNI分流并完美和网站共存

BBR2内核替换

 本文转自：https://d.ybfl.xyz/?dir=BBR2%E5%86%85%E6%A0%B8%E6%9B%BF%E6%8D%A2

1、新建文件夹，上传内核

mkdir -p /home/bbr

cd /home

cd bbr

解压上传内核文件到这里，上传后bbr这个文件夹及子目录和里面的文件都授权

2、执行以下指令

sudo dpkg -i linux-headers-5.10.0_5.10.0-1_amd64.deb

sudo dpkg -i linux-image-5.10.0_5.10.0-1_amd64.deb

sudo dpkg -l|grep linux-headers  | awk '{print $2}'

如果报错，修改vi /etc/hosts 在localhost 后面加上你的主机名字

sudo dpkg -l|grep linux-image   | awk '{print $2}'

echo "net.core.default_qdisc = fq" >> /etc/sysctl.conf

echo "net.ipv4.tcp_congestion_control = bbr2" >> /etc/sysctl.conf
sysctl -p
uname -r

第一次重启

（例如，得到原内核 4.19.0-8-cloud-amd64 ，下面重启删掉）

reboot

继续输入

apt purge "linux-image-4.19.0-8-cloud-amd64"
update-grub

第二次重启

reboot

继续输入

sysctl net.ipv4.tcp_available_congestion_control

开启ECN

echo "net.ipv4.tcp_ecn = 1" >> /etc/sysctl.conf

echo "net.ipv4.tcp_ecn_fallback = 1" >> /etc/sysctl.conf

检查是否开启了bbr2

sysctl -p