2026 稳定派最终答案：Debian 搭建 VLESS + TCP(RAW) + REALITY + Vision 节点教程

摘要

如果把优先级明确设为“稳定第一、兼容第二、前沿第三”，那么截至 2026 年 4 月 18 日，最值得长期使用的默认基线，依然是：

VLESS + TCP(RAW) + REALITY + xtls-rprx-vision

这套方案不是概念最新的一套，但它仍然是当前 Xray 体系里最成熟、最少变量、最容易长期稳定运行的组合。相比 XHTTP + ECH + 后量子 这类更前沿的路线，它更适合日常主力节点。

为什么现在仍然推荐这套方案

原因很简单：变量越少，稳定性越高。

不叠加 WebSocket、XHTTP、ECH、后量子等新变量，故障点更少
REALITY + Vision 仍然是官方长期维护、文档明确支持的成熟组合
客户端兼容面更广，导入订阅后更不容易出兼容问题
排障更简单，节点异常时更容易定位问题来源

如果你的目标是“长期稳定不死”，那就不要先追求参数花样，而要先追求链路干净。

一、底层环境准备

如果你当前就是 root 登录，推荐直接用 apt-get，不需要再额外写 sudo。

1. 先更新系统

1 2	apt-get update apt-get full-upgrade -y

2. 安装基础工具

1	apt-get install -y curl wget vim socat ca-certificates lsb-release gnupg ufw

3. 设置时区

1	timedatectl set-timezone Asia/Shanghai

这样拆开执行更好，因为：

如果第一步更新失败，你能马上知道
不会一串命令里前面报错，后面还继续跑
更方便排查到底卡在哪一步

4. 开启 BBR

sh -c 'echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf'
sh -c 'echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf'
sysctl -p
lsmod | grep bbr

如果 lsmod | grep bbr 有返回值，就说明 BBR 已启用。

注意：前两行是追加写入，重复执行会在 /etc/sysctl.conf 里留下重复配置，因此正常执行一次即可。

二、安装 3x-ui 面板

1. 执行官方安装脚本

1	bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

2. 安装时记住这三项

面板用户名
面板密码
面板端口

建议避开 80、443、8080，例如使用 54321。

面板端口只是给管理后台用，不要和你后面节点入站端口混在一起。

截至我核对到的官方发布页，Xray-core 最新为 v26.1.13（2026-01-13），3x-ui 最新为 v2.8.9（2026-02-01）。安装后建议在面板中再确认并更新到可用最新核心版本。

安装完成后立即开启防火墙

面板装好后，不要急着直接裸奔使用，先把系统防火墙开起来。

如果你是 root 登录，直接执行下面这组命令即可：

ufw default deny incoming
ufw default allow outgoing

ufw allow 22/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw allow 你的面板端口/tcp

ufw enable
ufw status

这几条规则分别对应：

22/tcp 是 SSH 远程登录端口
80/tcp 是给 Let’s Encrypt 申请和续签证书用的
443/tcp 是后面节点常见使用端口
你的面板端口/tcp 指的是你安装 3x-ui 时自己设置的管理面板端口，例如 54321/tcp

如果你的 SSH 端口不是 22，这里也要改成真实端口，否则可能把自己锁在服务器外面。

另外，除了系统里的 ufw，云厂商后台的安全组也要同步放行对应端口。很多人以为自己已经开了防火墙，结果其实是被安全组挡住了。

首次登录后怎么修改面板密码并开启 2FA

第一次打开面板后，建议立刻把认证信息处理好，再去建入站。

面板里按这个顺序操作

登录 3x-ui 面板
进入 Panel Settings
找到 Authentication
修改用户名和密码
开启 Two-Factor Authentication

如果你安装时已经让脚本生成了一组随机用户名和随机密码，也可以先不改用户名，但密码一定要确保足够强。

开启 2FA 时，一般会看到二维码或一串密钥。
这时用手机上的验证器 App 扫码即可，例如：

Google Authenticator
Microsoft Authenticator
Aegis

扫码后，App 会每 30 秒生成一个新的 6 位验证码。把当前验证码填回 3x-ui 面板并保存，之后你登录面板时就会多一道动态验证码校验。

这里有两个细节一定别省

把 2FA 的密钥或恢复信息单独保存好，不要只留在手机里
开完 2FA 后，退出面板重新登录一次，确认用户名、密码和动态验证码都正常

如果你后面忘了面板密码，或者 2FA 配错导致进不去，可以在服务器里执行：

x-ui

然后走重置账号密码流程。新版菜单里也会问你是否禁用当前已经配置好的 2FA，到时按提示操作即可。

三、添加 VLESS + REALITY + Vision 入站

在 3x-ui 面板中进入“入站列表”，点击“添加入站”，按下面填写：

基础设置

协议：vless
监听 IP：留空
端口：443
客户端 ID：随机 UUID
Email：随意填写
Flow：必须选择 xtls-rprx-vision

传输设置

网络：tcp 或 raw
安全：reality

说明一下：新版 Xray 文档中，TCP 的主名已改成 RAW，但在很多面板和客户端里仍然会显示成 TCP，两者本质上是同一类传输。

四、REALITY 核心参数怎么填

REALITY 开启后，重点只看这几项：

target / dest：伪装目标站，例如 gateway.icloud.com:443
serverNames：对应 SNI，例如 gateway.icloud.com
privateKey：点击生成 X25519 密钥
shortIds：随机生成
fingerprint / uTLS：chrome
spiderX：留空或填 /

这里有几个稳定派原则：

目标站优先选 同地区、同 ASN、支持 TLS 1.3 和 H2、证书干净 的站点
不要优先选已被广泛滥用的热门域名
不要优先选明显依赖免费 CDN 的公共站点
uTLS 用 chrome 就够了，不建议乱改
spiderX 保持简单即可，没必要过度设计

五、保存并重启核心

配置完成后保存入站，然后重启 Xray 核心。
接着在入站列表中复制节点链接或二维码，导入客户端。

导入客户端后重点确认这几项

Security：reality
Network：tcp / raw
Flow：xtls-rprx-vision
SNI：与你填写的伪装域名一致
Public Key：服务端生成的公钥
Short ID：与你分配的一致
Fingerprint：chrome

六、为什么不把 XHTTP / ECH / 后量子当默认主力

这些技术并不差，但它们更适合进阶用户，而不是所有人的默认首选。

XHTTP 参数空间更大，配置复杂度更高
ECH 在部分网络环境下可用性仍不稳定
后量子签名会增加握手材料体积，提高排障难度
新特性常常要求更高版本的客户端和更完整的兼容链路

所以更现实的策略是：

主力节点：VLESS + TCP(RAW) + REALITY + Vision
实验节点：XHTTP + REALITY 或 TLS + ECH
不要让实验方案直接替代主力方案

FAQ

1. 现在最稳的方案到底是不是 VLESS + TCP + REALITY + Vision？

如果你的目标是“长期稳定、尽量少折腾、兼容尽可能广”，那截至 2026-04-18，它依然是最稳妥的默认基线。

2. TCP 和 RAW 有什么区别？

没有本质区别。新版 Xray 文档把原来的 TCP 主名改成了 RAW，旧写法仍兼容。

3. Flow 为什么必须开 `xtls-rprx-vision`？

因为 Vision 才是这套稳定派方案的核心之一。不开它，你得到的只是普通 VLESS + REALITY，而不是默认推荐的 Vision 组合。

4. `spiderX` 一定要精细配置吗？

不一定。日常求稳可以直接留空或写 /。对大多数用户来说，这不是决定节点生死的关键项。

5. 要不要直接上 XHTTP + REALITY + 后量子？

如果你追求的是实验性增强和进阶玩法，可以单独开一条测试节点；如果你追求的是主力稳定性，不建议它直接取代 TCP(RAW) + REALITY + Vision。

结尾总结

截至 2026 年 4 月 18 日，如果只看“长期稳定不死、少踩坑、兼容更广”这三个指标，那么最值得作为默认基线的仍然是：