在跨国长距离传输(特别是晚高峰国际骨干网拥堵)的场景下,基于传统 TCP 握手的协议(如原版 VLESS、Trojan 等)一旦遇到严重丢包,其速度便会雪崩式降速。这是因为 TCP 的拥塞控制算法默认会判定“线路堵塞,我得慢点发”。
为了打破这一物理限制,开源社区诞生了基于 UDP / QUIC 协议栈开发的两大“性能猛兽” —— Hysteria 2 与 TUIC v5。它们采用主动暴力发包和极速丢包重传策略,能在掉线率高达 30% 的恶劣网络下硬生生跑满你的物理宽带上限!
今天这篇极客指南,将手把手带你在一台海外 VPS 上,使用单个 Sing-box 服务端进程同时开通这两个顶级 UDP 协议入站,并共享同一个 TLS 证书,实现双协议并存与加速互补!
🧐 为什么选用 “TUIC v5 + Hysteria 2” 的黄金组合?
- Hysteria 2(残暴发包):自带自主研发的 BBR 拥塞控制,不讲道理地吃满宽带。最适合大流量下片、4K 蓝光流媒体看剧。
- TUIC v5(0-RTT 极低延迟):基于标准的 QUIC 协议重构,专注极速建连握手。最适合高频打开海量国外网页、日常聊天与低延迟打游戏。
把两者同时部署在 VPS 上,你可以在客户端(如 Sing-box 客户端)中混合加入这两个出站策略,根据具体使用场景进行精细化分流调度。
🛠️ 第一步:准备工作与 VPS 防火墙放行
- 放行 UDP 端口:
TUIC 与 Hysteria 2 全程基于 UDP 传输。登录你的云服务商控制台后台防火墙,必须开启 UDP 协议的相应大端口。本教程以放行
8443和8444的 UDP 与 TCP 端口为例。 - 准备一个解析好的域名:
准备一个二级域名(如
node.yourdomain.com),将其A 记录解析到你的 VPS 真实 IP。由于这两种协议都是基于合法的 TLS 进行连接握手的,它们必须加载一个真实合规的证书,否则会遭遇阻断。
🔒 第二步:使用 acme.sh 快速申请免费 SSL 证书
在你的 VPS 服务器上,我们使用非常简单且全自动的 acme.sh 工具来为我们的解析域名申请一张免费的 Let’s Encrypt 证书:
# 1. 安装 acme.sh 并注册邮箱
curl https://get.acme.sh | sh -s [email protected]
source ~/.bashrc
# 2. 停止 VPS 原有监听 80 端口的服务(如 Nginx),释放端口
# 3. 使用独立模式一键申请证书
acme.sh --issue -d node.yourdomain.com --standalone
# 4. 创建专用存放目录,并将证书安装复制过去
mkdir -p /etc/sing-box/certs/
acme.sh --install-cert -d node.yourdomain.com \
--key-file /etc/sing-box/certs/private.key \
--fullchain-file /etc/sing-box/certs/cert.pem大功告成!现在你的 VPS 的 /etc/sing-box/certs/ 目录下已经生成了私钥 private.key 和证书链 cert.pem。
🚀 第三步:配置 Sing-box 服务端实现“双协议监听”
编辑服务端的 /etc/sing-box/config.json 配置文件。我们将同时声明两个 UDP 监听入站,共用刚才申请的 TLS 证书:
{
"log": {
"level": "info",
"timestamp": true
},
"inbounds": [
{
"type": "hysteria2",
"tag": "hy2-in",
"listen": "::",
"listen_port": 8443,
"users": [
{
"password": "your-strong-password-for-hy2"
}
],
"tls": {
"enabled": true,
"key_path": "/etc/sing-box/certs/private.key",
"cert_path": "/etc/sing-box/certs/cert.pem"
}
},
{
"type": "tuic",
"tag": "tuic-in",
"listen": "::",
"listen_port": 8444,
"users": [
{
"uuid": "your-uuid-goes-here-for-tuic",
"password": "your-password-for-tuic"
}
],
"congestion_control": "bbr",
"udp_relay_mode": "native",
"tls": {
"enabled": true,
"key_path": "/etc/sing-box/certs/private.key",
"cert_path": "/etc/sing-box/certs/cert.pem"
}
}
],
"outbounds": [
{
"type": "direct",
"tag": "direct"
}
]
}配置写入后,重启服务端的 Sing-box 进程:
systemctl restart sing-box通过 systemctl status sing-box 确认服务运行正常。
🛠️ 第四步:编写客户端出站配置
在你的本地 Sing-box 客户端配置文件中,写入以下两个出站策略。把它们装进你的 selector 或是 urltest 策略组中,即可享用这两颗超级钢炮:
1. Hysteria 2 客户端配置:
{
"type": "hysteria2",
"tag": "out-hy2",
"server": "node.yourdomain.com",
"server_port": 8443,
"password": "与服务端一致的密码",
"up_mbps": 50, // 推荐如实填写你当地宽带的物理上传带宽,便于BBR精准拥塞调优
"down_mbps": 100, // 物理下载带宽上限
"tls": {
"enabled": true,
"server_name": "node.yourdomain.com"
}
}2. TUIC v5 客户端配置:
{
"type": "tuic",
"tag": "out-tuic",
"server": "node.yourdomain.com",
"server_port": 8444,
"uuid": "与服务端一致的 UUID",
"password": "与服务端一致的密码",
"congestion_control": "bbr",
"udp_relay_mode": "native",
"tls": {
"enabled": true,
"server_name": "node.yourdomain.com"
}
}⚠️ 终极警惕:UDP QoS 流量掐断与专线救赎
既然这两大协议残暴暴力,是否就能彻底代替 TCP 协议节点呢?现实往往给您泼冷水:
由于这俩兄弟在 UDP 上疯狂抢占和发送网络包,国内大部分省级运营商(特别是中国联通和中国电信)在发现您的 IP 端口有大流量且高并发的加密 UDP 包通过时,会触发运营商层面的 UDP QoS (网络服务质量流量限速)。
具体表现为:连接刚开启的头 1 分钟速度逆天,随后网速突然断流成 0、延迟爆表,过几分钟又恢复。这代表你的 UDP 已经被当地运营商“掐脖子”了。
💡 解决 UDP QoS 的终极闭环方案: 如果您在自建 UDP 节点时遭遇了高频的 QoS 限速,或者您当地宽带对 UDP 进行直接阻断。那么最好的变现互补出路就是购买走国内 IEPL/IPLC 内网专线的商业机场节点。
内网专线在公网不走传统的 UDP 路径,而是走局域网内网光纤传输,不仅能彻底免疫国内运营商的 UDP 流量限制,还能获得极限
20ms以内的极致延迟。推荐阅读本站对老牌性价比厂商的深度评测文章:《“饿饭CC云”怎么样?2026 最新饿饭CC云机场深度评测与 Sing-box 订阅配置指南》。
饿饭CC云所带的超稳定专线节点能完美在您的软路由和客户端中作为主/副线,与自建的 Hys2 形成最无敌的网络互补保障。
🏁 结语
TUIC v5 和 Hysteria 2 双协议联合部署,是极客探索海外主机极限性能的最高体现。只要避开运营商限速的大坑,这两个“物理外挂”绝对会给你的观影和娱乐体验带来最深刻的震撼。
快动起手来,释放你的 VPS 全部 UDP 战斗力吧!
(相关工具导航:如果您在配置过程中需要寻找低至几美元一年的练手机器、免费小火箭账号或最新的代理工具,欢迎访问我们的 《YGJC•BEST 极客精选资源导航》,一站式搞定你所需要的所有极客工具!)