代理
代理的配置,支持协议 Shadowsocks,Snell,Trojan,AnyTLS,Hysteria2,TUIC,SOCKS5,SOCKS5 over TLS,SSH,HTTP,HTTPS,Vmess,Vless,WireGuard。所有字段中 bool 类型的可选值默认为 false。
Shadowsocks
-
name (string), 必填
代理名称,需在全局唯一。
-
method (string), 必填
加密方式。
AEAD-2022:
2022-blake3-aes-128-gcm,2022-blake3-aes-256-gcm,2022-blake3-chacha20-poly1305AEAD:
chacha20-poly1305,aes-256-gcm,aes-128-gcmStream:
none,table,rc4,rc4-md5,aes-128-cfb,aes-192-cfb,aes-256-cfb,aes-128-ctr,aes-192-ctr,aes-256-ctr,bf-cfb,camellia-128-cfb,camellia-192-cfb,camellia-256-cfb,cast5-cfb,des-cfb,idea-cfb,rc2-cfb,seed-cfb,salsa20,chacha20,chacha20-ietf -
password (string), 必填
密码。Shadowsocks 2022 协议使用 Base64 编码的密钥。
-
server (string), 必填
服务器地址,可为 IP 或域名。
-
port (integer), 必填
服务器端口。
-
udp_port (integer), 可选
UDP 专用端口。当服务器 TCP 和 UDP 监听在不同端口时使用。
-
tfo (bool), 可选
是否开启 TCP Fast Open。
-
udp_relay (bool), 可选
是否开启 UDP 转发功能。
-
obfs (string), 可选
混淆方式。可选值
http,tls。 -
obfs_host (string), 可选
混淆时用到的主机名。
-
obfs_uri (string), 可选
混淆时的 URI 路径。
-
block_quic (bool), 可选
是否阻止 QUIC 协议。设置为
true时,使用此代理的连接将不会使用 QUIC/HTTP3 协议。此设置的优先级最高,高于策略组和全局的block_quic。未设置时,依次使用策略组、全局的设置;若均未设置,Shadowsocks 协议默认为false(允许 QUIC)。 -
shadow_tls (object), 可选
ShadowTLS 传输层配置,详见 ShadowTLS。
-
prev_hop (string), 可选
前置代理名称,用于构建代理链。流量路径:本机 → 前置代理 → 当前代理 → 目标。
-
ip_version (string), 可选
当
server为需要 DNS 解析的域名时采用的 IP 版本策略;server为 IP 字面量时无效。取值之一:dual_stack(默认)、v4_only、v6_only、v4_prefer、v6_prefer。
配置示例
shadowsocks:
name: "my-ss"
method: "aes-256-gcm"
password: "mypassword"
server: "1.2.3.4"
port: 8388
tfo: true
udp_relay: false
obfs: "http"
obfs_host: "example.com"
obfs_uri: "/path"
Snell
-
name (string), 必填
代理名称,需在全局唯一。
-
server (string), 必填
服务器地址,可为 IP 或域名。
-
port (integer), 必填
服务器端口。
-
psk (string), 必填
预共享密钥(PSK)。
-
version (integer), 可选
协议版本, 取值
1/2/3/4/5。默认为1;v5 按 v4 实现。 -
udp_relay (bool), 可选
是否开启 UDP 转发功能。仅 v3/v4 可用。
-
reuse (bool), 可选
是否开启连接复用。仅 v4 生效;v2 始终复用。
-
obfs (string), 可选
混淆方式。可选值
http,tls。 -
obfs_host (string), 可选
混淆时用到的主机名。默认为
bing.com。 -
tfo (bool), 可选
是否开启 TCP Fast Open。
-
block_quic (bool), 可选
是否阻止 QUIC 协议。设置为
true时,使用此代理的连接将不会使用 QUIC/HTTP3 协议。此设置的优先级最高,高于策略组和全局的block_quic。未设置时,依次使用策略组、全局的设置;若均未设置,Snell 协议默认为false(允许 QUIC)。 -
prev_hop (string), 可选
前置代理名称,用于构建代理链。流量路径:本机 → 前置代理 → 当前代理 → 目标。
-
ip_version (string), 可选
当
server为需要 DNS 解析的域名时采用的 IP 版本策略;server为 IP 字面量时无效。取值之一:dual_stack(默认)、v4_only、v6_only、v4_prefer、v6_prefer。
配置示例
snell:
name: "my-snell"
server: "1.2.3.4"
port: 8388
psk: "mypassword"
version: 4
udp_relay: true
obfs: "http"
obfs_host: "example.com"
Trojan
-
name (string), 必填
代理名称,需在全局唯一。
-
server (string), 必填
服务器地址,可为 IP 或域名。
-
port (integer), 必填
服务器端口。
-
sni (string), 可选
用于 TLS 的服务器名称指示(SNI)。默认使用
server字段的值。 -
password (string), 必填
Trojan 协议的密码。
-
tfo (bool), 可选
是否开启 TCP Fast Open。
-
udp_relay (bool), 可选
是否开启 UDP 转发功能。
-
skip_tls_verify (bool), 可选
是否跳过 TLS 证书验证。
-
fingerprint_sha256 (string), 可选
服务端叶子证书 SHA-256 指纹(hex,大小写不敏感,可使用
:或-分隔符)。配置后将固定校验对端叶子证书的 DER 摘要,跳过 CA 链验证;与skip_tls_verify互斥,配置指纹时其值被忽略。 -
reality (object), 可选
Reality 配置(与普通 TLS 互斥)。配置后底层用 REALITY 取代普通 TLS:借用真实站点证书完成握手并自带认证,此时
skip_tls_verify与fingerprint_sha256均被忽略。-
public_key (string), 必填
服务器 Reality 公钥(Base64 URL-safe 编码)。
-
short_id (string), 可选
短 ID(十六进制字符串)。
-
-
websocket (object), 可选
Trojan 的 WebSocket 配置:
-
path (string), 必填
WebSocket 路径。
-
host (string), 可选
WebSocket 头部的 Host。
-
-
block_quic (bool), 可选
是否阻止 QUIC 协议。设置为
true时,使用此代理的连接将不会使用 QUIC/HTTP3 协议。此设置的优先级最高,高于策略组和全局的block_quic。未设置时,依次使用策略组、全局的设置;若均未设置,Trojan 协议默认为true(阻止 QUIC)。 -
shadow_tls (object), 可选
ShadowTLS 传输层配置,详见 ShadowTLS。
-
prev_hop (string), 可选
前置代理名称 ,用于构建代理链。流量路径:本机 → 前置代理 → 当前代理 → 目标。
-
ip_version (string), 可选
当
server为需要 DNS 解析的域名时采用的 IP 版本策略;server为 IP 字面量时无效。取值之一:dual_stack(默认)、v4_only、v6_only、v4_prefer、v6_prefer。
配置示例
trojan:
name: "my-trojan"
server: "trojan.example.com"
port: 443
sni: "trojan.example.com"
password: "trojanpass"
tfo: true
udp_relay: true
skip_tls_verify: true
websocket:
path: "/ws"
host: "trojan.example.com"
AnyTLS
-
name (string), 必填
代理名称,需在全局唯一。
-
server (string), 必填
服务器地址,可为 IP 或域名。
-
port (integer), 必填
服务器端口。
-
password (string), 必填
认证密码。
-
sni (string), 可选
用于 TLS 的服务器名称指示(SNI)。默认使用
server字段的值。 -
tfo (bool), 可选
是否开启 TCP Fast Open。
-
udp_relay (bool), 可选
是否开启 UDP 转发功能(基于 UDP over TCP)。
-
fingerprint_sha256 (string), 可选
服务端叶子证书 SHA-256 指纹(hex,大小写不敏感,可使用
:或-分隔符)。配置后将固定校验对端叶子证书的 DER 摘要,以验证服务端身份。 -
reality (object), 可选
Reality 配置(与普通 TLS 互斥)。配置后底层用 REALITY 取代普通 TLS:借用真实站点证书完成握手并自带认证,此时
fingerprint_sha256被忽略。-
public_key (string), 必填
服务器 Reality 公钥(Base64 URL-safe 编码)。
-
short_id (string), 可选
短 ID(十六进制字符串)。
-
-
block_quic (bool), 可选
是否阻止 QUIC 协议。设置为
true时,使用此代理的连接将不会使用 QUIC/HTTP3 协议。此设置的优先级最高,高于策略组和全局的block_quic。未设置时,依次使用策略组、全局的设置;若均未设置,AnyTLS 协议默认为true(阻止 QUIC)。 -
shadow_tls (object), 可选
ShadowTLS 传输层配置,详见 ShadowTLS。
-
prev_hop (string), 可选
前置代理名称,用于构建代理链。流量路径:本机 → 前置代理 → 当前代理 → 目标。
-
ip_version (string), 可选
当
server为需要 DNS 解析的域名时采用的 IP 版本策略;server为 IP 字面量时无效。取值之一:dual_stack(默认)、v4_only、v6_only、v4_prefer、v6_prefer。
配置示例
anytls:
name: "my-anytls"
server: "anytls.example.com"
port: 443
password: "mypassword"
sni: "anytls.example.com"
udp_relay: true
Hysteria2
-
name (string), 必填
代理名称,需在全局唯一。
-
server (string), 必填
服务器地址,可为 IP 或域名。
-
port (integer), 必填
服务器端口。
-
auth (string), 必填
用于 Hysteria2 的验证密码或令牌。
-
sni (string), 可选
用于 TLS 的服务器名称指示(SNI)。
-
obfs (string), 可选
混淆方式。可选值
salamander。 -
obfs_password (string), 可选
混淆密码。
-
skip_tls_verify (bool), 可选
是否跳过 TLS 证书验证。
-
fingerprint_sha256 (string), 可选
服务端叶子证书 SHA-256 指纹(hex,大小写不敏感,可使用
:或-分隔符)。配置后将固定校验对端叶子证书的 DER 摘要,跳过 CA 链验证;与skip_tls_verify互斥 ,配置指纹时其值被忽略。 -
port_hopping (string), 可选
端口跳跃配置字符串。支持单个端口
8080、端口范围20000-30000、混合格式1234,5000-6000,8080。客户端会从指定的端口集合中随机选择端口进行连接。 -
port_hopping_interval (integer), 可选
端口跳跃间隔(秒)。连接建立后,每隔指定秒数切换到新的随机端口。
-
bandwidth (integer), 可选
上行带宽(Mbps)。配置后将启用 Brutal 拥塞控制算法,以目标带宽发送数据。建议设置为实际可用带宽的 80%-90%。
-
block_quic (bool), 可选
是否阻止 QUIC 协议。设置为
true时,使用此代理的连接将不会使用 QUIC/HTTP3 协议。此设置的优先级最高,高于策略组和全局的block_quic。未设置时,依次使用策略组、全局的设置;若均未设置,Hysteria2 协议默认为false(允许 QUIC)。 -
prev_hop (string), 可选
前置代理名称,用于构建代理链。流量路径:本机 → 前置代理 → 当前代理 → 目标。
-
ip_version (string), 可选
当
server为需要 DNS 解析的域名时采用的 IP 版本策略;server为 IP 字面量时无效。取值之一:dual_stack(默认)、v4_only、v6_only、v4_prefer、v6_prefer。
配置示例
hysteria2:
name: "my-hysteria2"
server: "hysteria.example.com"
port: 443
auth: "my_auth_token"
sni: "hysteria.example.com"
obfs: "salamander"
obfs_password: "myobfspass"
skip_tls_verify: true
port_hopping: "20000-30000"
port_hopping_interval: 30
bandwidth: 100
TUIC
-
name (string), 必填
代理名称,需在全局唯一。
-
server (string), 必填
服务器地址,可为 IP 或域名。
-
port (integer), 必填
服务器端口。
-
uuid (string), 必填
UUID。
-
password (string), 必填
密码。
-
udp_relay_mode (string), 可选
UDP 转发模式。
native(原生 UDP 转发,默认),quic(通过 QUIC 流传输 UDP 数据报)。 -
alpn (array of string), 可选
TLS 的 ALPN 列表。常用值:
h3。 -
sni (string), 可选
用于 TLS 的服务器名称指示(SNI)。
-
skip_tls_verify (bool), 可选
是否跳过 TLS 证书验证。
-
fingerprint_sha256 (string), 可选
服务端叶子证书 SHA-256 指纹(hex,大小写不敏感,可使用
:或-分隔符)。配置后将固定校验对端叶子证书的 DER 摘要,跳过 CA 链验证;与skip_tls_verify互斥,配置指纹时其值被忽略。 -
port_hopping (string), 可选
端口跳跃配置字符串。支持单个端口
8080、端口范围20000-30000、混合格式1234,5000-6000,8080。 -
port_hopping_interval (integer), 可选
端口跳跃间隔(秒)。
-
block_quic (bool), 可选
是否阻止 QUIC 协议。设置为
true时,使用此代理的连接将不会使用 QUIC/HTTP3 协议。此设置的优先级最高,高于策略组和全局的block_quic。未设置时,依次使用策略组、全局的设置;若均未设置,TUIC 协议默认为false(允许 QUIC)。 -
prev_hop (string), 可选
前置代理名称,用于构建代理链。流量路径:本机 → 前置代理 → 当前代理 → 目标。
-
ip_version (string), 可选
当
server为需要 DNS 解析的域名时采用的 IP 版本策略;server为 IP 字面量时无效。取值之一:dual_stack(默认)、v4_only、v6_only、v4_prefer、v6_prefer。
配置示例
tuic:
name: "my-tuic"
server: "tuic.example.com"
port: 443
uuid: "22222222-2222-2222-2222-222222222222"
password: "tuicpass"
udp_relay_mode: "native"
alpn:
- "h3"
sni: "tuic.example.com"
skip_tls_verify: true
port_hopping: "443,445,447"
port_hopping_interval: 30
SOCKS5
-
name (string), 必填
代理名称,需在全局唯一。
-
server (string), 必填
服务器地址,可为 IP 或域名。
-
port (integer), 必填
服务器端口。
-
username (string), 可选
用户名。
-
password (string), 可选
密码。
-
tfo (bool), 可选
是否开启 TCP Fast Open。
-
udp_relay (bool), 可选
是否开启 UDP 转发功能。
-
block_quic (bool), 可选
是否阻止 QUIC 协议。设置为
true时,使用此代理的连接将不会使用 QUIC/HTTP3 协议。此设置的优先级最高,高于策略组和全局的block_quic。未设置时,依次使用策略组、全局的设置;若均未设置,SOCKS5 协议默认为false(允许 QUIC)。 -
shadow_tls (object), 可选
ShadowTLS 传输层配置,详见 ShadowTLS。
-
prev_hop (string), 可选
前置代理名称,用于构建代理链。流量路径:本机 → 前置代理 → 当前代理 → 目标。
-
ip_version (string), 可选
当
server为需要 DNS 解析的域名时采用的 IP 版本策略;server为 IP 字面量时无效。取值之一:dual_stack(默认)、v4_only、v6_only、v4_prefer、v6_prefer。
配置示例
socks5:
name: "my-socks5"
server: "1.2.3.4"
port: 1080
username: "user"
password: "pass"
tfo: false
udp_relay: true
SOCKS5 over TLS
在标准 SOCKS5 之上叠加一层 TLS:客户端先与服务器完成 TLS 握手,再在加密通道内进行 SOCKS5 握手与数据转发。相当于 socks5 的 TLS 版本,正如 https 之于 http。
-
name (string), 必填
代理名称,需在全局唯一。
-
server (string), 必填
服务器地址,可为 IP 或域名。
-
port (integer), 必填
服务器端口。
-
username (string), 可选
用户名。
-
password (string), 可选
密码。
-
sni (string), 可选
TLS SNI (Server Name Indication)。默认使用
server字段的值。 -
tfo (bool), 可选
是否开启 TCP Fast Open。
-
udp_relay (bool), 可选
是否开启 UDP 转发功能。
-
skip_tls_verify (bool), 可选
是否跳过 TLS 证书验证。
-
fingerprint_sha256 (string), 可选
服务端叶子证书 SHA-256 指纹(hex,大小写不敏感,可使用
:或-分隔符)。配置后将固定校验对端叶子证书的 DER 摘要,跳过 CA 链验证;与skip_tls_verify互斥,配置指纹时其值被忽略。 -
reality (object), 可选
Reality 配置(与普通 TLS 互斥)。配置后底层用 REALITY 取代普通 TLS:借用真实站点证书完成握手并自带认证,此时
skip_tls_verify与fingerprint_sha256均被忽略。-
public_key (string), 必填
服务器 Reality 公钥(Base64 URL-safe 编码)。
-
short_id (string), 可选
短 ID(十六进制字符串)。
-
-
block_quic (bool), 可选
是否阻止 QUIC 协议。设置为
true时,使用此代理的连接将不会使用 QUIC/HTTP3 协议。此设置的优先级最高,高于策略组和全局的block_quic。未设置时,依次使用策略组、全局的设置;若均未设置,SOCKS5 over TLS 协议默认为false(允许 QUIC)。 -
shadow_tls (object), 可选
ShadowTLS 传输层配置,详见 ShadowTLS。
-
prev_hop (string), 可选
前置代理名称,用于构建代理链。流量路径 :本机 → 前置代理 → 当前代理 → 目标。
-
ip_version (string), 可选
当
server为需要 DNS 解析的域名时采用的 IP 版本策略;server为 IP 字面量时无效。取值之一:dual_stack(默认)、v4_only、v6_only、v4_prefer、v6_prefer。
配置示例
socks5_tls:
name: "my-socks5-tls"
server: "1.2.3.4"
port: 443
username: "user"
password: "pass"
sni: "example.com"
udp_relay: true
SSH
通过 SSH 服务器的 direct-tcpip 通道转发 TCP 连接(类似 ssh -L),所有连接复用同一条 SSH 会话。SSH 没有数据报通道,因此不转发 UDP 流量。
-
name (string), 必填
代理名称,需在全局唯一。
-
server (string), 必填
服务器地址,可为 IP 或域名。
-
port (integer), 必填
服务器端口(SSH 默认为 22)。
-
username (string), 必填
SSH 登录用户名。
-
password (string), 可选
登录密码。密码与私钥可二选一或同时提供;同时提供时优先尝试私钥。
-
private_key (string), 可选
内联私钥内容,PEM/OpenSSH 格式(私钥本身,而非文件路径)。
-
host_keys (array of string), 可选
接受的服务端 host key 列表。每一项为
known_hosts中的完整公钥行,即<类型> <base64 公钥>(如ssh-ed25519 AAAAC3Nza...,可带尾部注释)。配置后将固定校验服务端 host key,不匹配则拒绝连接;留空表示不校验。 -
tfo (bool), 可选
是否开启 TCP Fast Open。
-
block_quic (bool), 可选
是否阻止 QUIC 协议。设置为
true时,使用此代理的连接将不会使用 QUIC/HTTP3 协议。此设置的优先级最高,高于策略组和全局的block_quic。未设置时,依次使用策略组、全局的设置;若均未设置,SSH 协议默认为true(阻止 QUIC),因为 SSH 无法转发 UDP。 -
shadow_tls (object), 可选
ShadowTLS 传输层配置,详见 ShadowTLS。
-
prev_hop (string), 可选
前置代理名称,用于构建代理链。流量路径:本机 → 前置代理 → 当前代理 → 目标。
-
ip_version (string), 可选
当
server为需要 DNS 解析的域名时采用的 IP 版本策略;server为 IP 字面量时无效。取值之一:dual_stack(默认)、v4_only、v6_only、v4_prefer、v6_prefer。
配置示例
ssh:
name: "my-ssh"
server: "ssh.example.com"
port: 22
username: "root"
# 使用内联私钥认证(PEM/OpenSSH 格式)……
private_key: |
-----BEGIN OPENSSH PRIVATE KEY-----
...
-----END OPENSSH PRIVATE KEY-----
# ……和/或使用密码
password: "mypassword"
# 可选:固定服务端 host key(known_hosts 里的完整公钥行)
host_keys:
- "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIOMqqnkVzrm0SdG6UOoqKLsabgH5C9okWi0dh2l9GKJl"
HTTP
-
name (string), 必填
代理名称,需在全局唯一。
-
server (string), 必填
服务器地址,可为 IP 或域名。
-
port (integer), 必填
服务器端口。
-
username (string), 可选
HTTP 代理的用户名。
-
password (string), 可选
HTTP 代理的密码。
-
headers (object), 可选
自定义 HTTP 请求头。
-
tfo (bool), 可选
是否开启 TCP Fast Open。
-
shadow_tls (object), 可选
ShadowTLS 传输层配置,详见 ShadowTLS。
-
prev_hop (string), 可选
前置代理名称,用于构建代理链。流量路径:本机 → 前置代理 → 当前代理 → 目标。
-
ip_version (string), 可选
当
server为需要 DNS 解析的域名时采用的 IP 版本策略;server为 IP 字面量时无效。取值之一:dual_stack(默认)、v4_only、v6_only、v4_prefer、v6_prefer。
配置示例
http:
name: "my-http"
server: "5.6.7.8"
port: 8080
username: "user"
password: "pass"
tfo: false
HTTPS
-
name (string), 必填
代理名称,需在全局唯一。
-
server (string), 必填
服务器地址,可为 IP 或域名。
-
port (integer), 必填
服务器端口。
-
username (string), 可选
HTTPS 代理的用户名。
-
password (string), 可选
HTTPS 代理的密码。
-
headers (object), 可选
自定义 HTTP 请求头。
-
sni (string), 可选
TLS SNI (Server Name Indication)。默认使用
server字段的值。 -
tfo (bool), 可选
是否开启 TCP Fast Open。
-
skip_tls_verify (bool), 可选
是否跳过 TLS 证书验证。
-
fingerprint_sha256 (string), 可选
服务端叶子证书 SHA-256 指纹(hex,大小写不敏感,可使用
:或-分隔符)。配置后将固定校验对端叶子证书的 DER 摘要,跳过 CA 链验证;与skip_tls_verify互斥,配置指纹时其值被忽略。 -
reality (object), 可选
Reality 配置(与普通 TLS 互斥)。配置后底层用 REALITY 取代普通 TLS:借用真实站点证书完成握手并自带认证,此时
skip_tls_verify与fingerprint_sha256均被忽略。-
public_key (string), 必填
服务器 Reality 公钥(Base64 URL-safe 编码)。
-
short_id (string), 可选
短 ID(十六进制字符串)。
-
-
shadow_tls (object), 可选
ShadowTLS 传输层配置,详见 ShadowTLS。
-
prev_hop (string), 可选
前置代理名称,用于构建代理链。流量路径:本机 → 前置代理 → 当前代理 → 目标。
-
ip_version (string), 可选
当
server为需要 DNS 解析的域名时采用的 IP 版本策略;server为 IP 字面量时无效。取值之一:dual_stack(默认)、v4_only、v6_only、v4_prefer、v6_prefer。
配置示例
https:
name: "my-https"
server: "proxy.example.com"
port: 443
username: "user"
password: "pass"
sni: "proxy.example.com"
Vmess
-
name (string), 必填
代理名称,需在全局唯一。
-
server (string), 必填
服务器地址,可为 IP 或域名。
-
port (integer), 必填
服务器端口。
-
user_id (string), 必填
Vmess 用户 ID(UUID)。
-
security (string), 必填
加密方式。
auto(自动选择,默认),aes-128-gcm,chacha20-poly1305,none,zero -
legacy (bool), 可选
是否使用旧格式的 Vmess 协议(不推荐)。
-
tfo (bool), 可选
是否开启 TCP Fast Open。
-
udp_relay (bool), 可选
是否开启 UDP 转发功能。
-
transport (object), 可选
传输协议配置,详见 Vmess Transport。
-
block_quic (bool), 可选
是否阻止 QUIC 协议。设置为
true时,使用此代理的连接将不会使用 QUIC/HTTP3 协议。此设置的优先级最高,高于策略组和全局的block_quic。未设置时,依次使用策略组、全局的设置;若均未设置,Vmess 协议默认为true(阻止 QUIC)。 -
shadow_tls (object), 可选
ShadowTLS 传输层配置,详见 ShadowTLS。
-
prev_hop (string), 可选
前置代理名称,用于构建代理链。流量路径:本机 → 前置代理 → 当前代理 → 目标。
-
ip_version (string), 可选
当
server为需要 DNS 解析的域名时采用的 IP 版本策略;server为 IP 字面量时无效。取值之一:dual_stack(默认)、v4_only、v6_only、v4_prefer、v6_prefer。
配置示例
vmess:
name: "my-vmess"
server: "vmess.example.com"
port: 443
user_id: "00000000-0000-0000-0000-000000000000"
security: "auto"
legacy: false
tfo: true
udp_relay: true
transport:
ws:
path: "/myws"
headers:
Host: "vmess.example.com"
Vless
-
name (string), 必填
代理名称,需在全局唯一。
-
server (string), 必填
服务器地址,可为 IP 或域名。
-
port (integer), 必填
服务器端口。
-
user_id (string), 必填
Vless 用户 ID(UUID)。
-
tfo (bool), 可选
是否开启 TCP Fast Open。
-
udp_relay (bool), 可选
是否开启 UDP 转发功能。
-
flow (string), 可选
流控模式。支持
xtls-rprx-vision。 -
transport (object), 可选
传输协议配置,详见 Vmess Transport。
-
block_quic (bool), 可选
是否阻止 QUIC 协议。设置为
true时,使用此代理的连接将不会使用 QUIC/HTTP3 协议。此设置的优先级最高,高于策略组和全局的block_quic。未设置时,依次使用策略组、全局的设置;若均未设置,Vless 协议默认为true(阻止 QUIC)。 -
shadow_tls (object), 可选
ShadowTLS 传输层配置,详见 ShadowTLS。
-
prev_hop (string), 可选
前置代理名称,用于构建代理链。流量路径:本机 → 前置代理 → 当前代理 → 目标。
-
ip_version (string), 可选
当
server为需要 DNS 解析的域名时采用的 IP 版本策略;server为 IP 字面量时无效。取值之一:dual_stack(默认)、v4_only、v6_only、v4_prefer、v6_prefer。
配置示例
vless:
name: "my-vless"
server: "vless.example.com"
port: 443
user_id: "11111111-1111-1111-1111-111111111111"
flow: xtls-rprx-vision
tfo: true
udp_relay: false
transport:
tls:
sni: www.microsoft.com
reality:
public_key: "base64_encoded_public_key"
short_id: "abc123"
WireGuard
-
name (string), 必填
代理名称,需在全局唯一。
-
server (string), 必填
服务器地址,可为 IP 或域名。
-
port (integer), 必填
服务器端口。
-
private_key (string), 必填
本机私钥(Base64 编码,32 字节 X25519 密钥)。
-
peer_public_key (string), 必填
对端公钥(Base64 编码,32 字节 X25519 公钥)。
-
preshared_key (string), 可选
预共享密钥(Base64 编码)。
-
reserved (array of integer), 可选
Reserved 字段(3 字节数组)。用于 Cloudflare WARP 等服务的客户端标识。格式:
[byte1, byte2, byte3]。 -
local_ipv4 (string), 可选
本地 IPv4 地址。支持 CIDR 格式(如
172.16.0.2/32)或纯 IP。至少需要设置local_ipv4或local_ipv6中的一个。 -
local_ipv6 (string), 可选
本地 IPv6 地址。支持 CIDR 格式(如
fd01:5ca1:ab1e::2/128)或纯 IP。 -
dns_servers (array of string), 可选
WireGuard 内部 DNS 服务器列表。
-
mtu (integer), 可选
MTU (Maximum Transmission Unit)。
-
keepalive (integer), 可选
保活间隔(秒)。
-
block_quic (bool), 可选
是否阻止 QUIC 协议。设置为
true时,使用此代理的连接将不会使用 QUIC/HTTP3 协议。此设置的优先级最高,高于策略组和全局的block_quic。未设置时,依次使用策略组、全局的设置;若均未设置,WireGuard 协议默认为false(允许 QUIC)。 -
prev_hop (string), 可选
前置代理名称,用于构建代理链。流量路径:本机 → 前置代理 → 当前代理 → 目标。
-
ip_version (string), 可选
当
server为需要 DNS 解析的域名时采用的 IP 版本策略;server为 IP 字面量时无效。取值之一:dual_stack(默认)、v4_only、v6_only、v4_prefer、v6_prefer。
配置示例
wireguard:
name: "WARP"
server: engage.cloudflareclient.com
port: 2408
private_key: "base64_encoded_private_key"
peer_public_key: "base64_encoded_public_key"
local_ipv4: 172.16.0.2/32
local_ipv6: "fd01:5ca1:ab1e::2/128"
reserved: [1, 2, 3]
mtu: 1280
keepalive: 25
Vmess Transport
在 Vmess、Vless 代理类型的 transport 字段中使用。可选值及示例配置如下:
HTTP 1
将代理流量伪装成 HTTP/1.1 请求。
transport:
http1:
method: "GET"
path: "/"
headers:
User-Agent: "curl/7.77.0"
Accept: "*/*"
HTTP 2
通 过 HTTP/2 多路复用传输代理流量。
transport:
http2:
method: "GET"
path: "/"
headers:
User-Agent: "curl/7.77.0"
Accept: "*/*"
sni: "example.com"
skip_tls_verify: true
fingerprint_sha256: "aa:bb:cc:..."
fingerprint_sha256 为服务端叶子证书 SHA-256 指纹(hex,大小写不敏感,可使用 : 或 - 分隔符)。配置后将固定校验对端叶子证书的 DER 摘要,skip_tls_verify 被忽略。