Nginx与Sing-box配置检查与优化

Posted on

这个 VLESS 链接有问题,主要是 pbk(公钥)的值不正确。

问题分析

你的链接中:

  • pbk=RLYlyld_aOkt5ZO95GBnP0EQIdoIDEixO636KNnpRSE

但你的 Sing-box 配置中:

  • private_key: "cJ97honNXtl84f1h8MbfCrXLSmlZinevbdovk--2zmM"

pbk 应该是公钥(public key),而不是私钥(private key)!

如何获取正确的公钥

你需要从私钥生成对应的公钥。使用以下命令:

1
2
# 将你的私钥转换为公钥
echo "cJ97honNXtl84f1h8MbfCrXLSmlZinevbdovk--2zmM" | base64 -d | openssl pkey -inform DER -pubout -outform DER | base64 -w 0

或者使用 Sing-box 工具(如果已安装):

1
sing-box generate reality-keypair

正确的 VLESS 链接

假设你生成的公钥是 RLYlyld_aOkt5ZO95GBnP0EQIdoIDEixO636KNnpRSE(这只是示例,你需要用实际生成的公钥替换):

1
vless://[email protected]:443?encryption=none&security=reality&flow=xtls-rprx-vision&type=tcp&sni=www.paypal.com&pbk=正确的公钥&fp=chrome&sid=#233boy-reality-45.63.34.198

其他注意事项

  1. 添加 sid 参数:如果你的 Sing-box 配置中有 short_id,需要在链接中添加 &sid=你的short_id

  2. 检查端口:确保 Nginx 确实监听 443 端口且配置正确

  3. 协议类型:Reality 通常使用 &type=tcp&headerType=none

完整示例

假设你生成的公钥是 RLYlyld_aOkt5ZO95GBnP0EQIdoIDEixO636KNnpRSE

1
vless://[email protected]:443?encryption=none&flow=xtls-rprx-vision&security=reality&sni=www.paypal.com&fp=chrome&pbk=RLYlyld_aOkt5ZO95GBnP0EQIdoIDEixO636KNnpRSE&type=tcp&headerType=none#233boy-reality-vultr

请务必先用命令生成正确的公钥替换链接中的 pbk 值!

时间: 2025-09-09T21:34:12

👤 用户

帮我看一下这两个配置文件,有没有什么问题?

时间: 2025-09-09T21:20:43

🤖 DeepSeek (deepseek-chat)

好的,我来帮你检查这两个配置文件。

总体评价

这两个配置文件(Nginx 和 Sing-box)整体结构是正确的,它们协同工作可以实现通过 Nginx 反向代理将 TLS 流量解密后,转发给后端 Sing-box 的 VLESS Reality 服务。但有一些关键的细节需要调整和注意

1. Nginx 配置 (default.txt)

主要问题:

  1. 重复的 server: 你的配置文件中存在两个 server 块监听 80 端口的 default_server。这是不允许的,Nginx 无法确定哪个才是真正的默认服务器。
    • 第一个 server 块是原始的默认配置 (listen 80 default_server;)。
    • 第二个是由 Certbot 为 vultr.thanx.top 生成的配置,它包含将 HTTP 重定向到 HTTPS 的规则。

解决方案:
删除或注释掉第一个默认的 server 块(从 server { listen 80 default_server; ... } 开始到其对应的右大括号 } 结束)。只保留由 Certbot 管理的针对 vultr.thanx.topserver 块。

修正后的 Nginx 结构应类似于:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
# 注释或删除整个第一个 default_server 块
# server {
# 	listen 80 default_server;
# 	listen [::]:80 default_server;
#	... ...
# }

server {
    # 你的 VLESS 反向代理配置 (HTTPS 443)
    listen 443 ssl;
    server_name vultr.thanx.top;
    location / {
        proxy_pass ...;
    }
    ... # SSL 相关配置
}

server {
    # Certbot 生成的 HTTP 重定向配置
    listen 80;
    server_name vultr.thanx.top;
    return 301 https://$server_name$request_uri;
}
  1. proxy_pass 地址: 你当前的配置是 proxy_pass https://127.0.0.1:30446;
    • 这通常是正确的。Nginx 与 Sing-box 在同一台机器上,使用 127.0.0.1 (localhost) 进行通信。
    • Nginx 作为 TLS 终止代理,负责与客户端的 TLS 加密。它将解密后的纯文本流量转发给后端的 Sing-box。这里使用 https:// 协议头是因为 Sing-box 的 Reality 配置本身也开启了 TLS。Nginx 到 Sing-box 的这一段连接是 TLS-in-TLS

其他建议:

  • 可以考虑添加 proxy_redirect off;location / 块中,以防止 Sing-box 可能返回的重定向头被错误地修改。

2. Sing-box 配置 (VLESS-REALITY-30446.json)

主要问题:

  1. short_id 为空: 你的 "short_id": [ "" ] 配置是一个空字符串的数组。虽然在某些实现中可能允许,但更标准的做法是生成一个有效的 Short ID完全移除该配置行(使用空字符串可能被视为未设置)。

    • 建议: 使用一个随机生成的 8 字符十六进制字符串(例如 01234567, 89abcdef),或者如果你不确定,可以暂时移除整个 "short_id": [ "" ]。Sing-box 应该会正常处理。

  2. users 配置: 你只配置了一个用户。确保这个 UUID (d231faea-f47e-4622-bb9e-27861ee385c4) 和你的客户端配置完全一致,包括连字符。

  3. outbounds 配置: 第二个 outbound (tagpublic_key_RLYlyld_aOkt5ZO95GBnP0EQIdoIDEixO636KNnpRSE) 看起来像是一个未被任何路由规则引用的配置。如果你的客户端不需要通过这个出口连接,它可以被安全地删除,只保留 "type": "direct" 的那个 outbound 即可。

总结与最终检查清单

  1. 【重要】修复 Nginx: 解决 default_server 冲突问题,确保只有一个 server 块监听 80 端口的 default_server。最佳实践是只保留 Certbot 为你域名生成的那些 server 块。

  2. 检查 Sing-box Short ID: 建议为 short_id 提供一个有效的值(如 "short_id": ["01234567"])或直接移除该行。

  3. 清理 Sing-box Outbounds: 删除未使用的第二个 outbound 以保持配置简洁。

  4. 验证连接信息: 确保你的客户端使用以下信息:

    • 地址 (Address):你的域名 (vultr.thanx.top)
    • 端口 (Port)443 (Nginx 的端口)
    • UUIDd231faea-f47e-4622-bb9e-27861ee385c4
    • Flowxtls-rprx-vision
    • TLSreality
    • SNIwww.paypal.com (应与 Sing-box 配置中的 server_namehandshake.server 一致)
    • Public KeycJ97honNXtl84f1h8MbfCrXLSmlZinevbdovk--2zmM
    • Short ID:你最终在 Sing-box 配置里设置的 Short ID(如果没设置则为空)

  5. 重启服务

    1
    2
    3
    4
    5
    6
    7
    8
    # 检查 Nginx 配置是否正确
    sudo nginx -t

    # 如果测试成功,重新加载 Nginx
    sudo systemctl reload nginx

    # 重启 Sing-box 服务(根据你的实际服务名调整)
    sudo systemctl restart sing-box

完成这些修改后,你的配置应该就没有问题了。

时间: 2025-09-09T21:20:43

👤 用户

2025/09/09 21:29:01 [Warning] [298582355] app/proxyman/outbound: failed to process outbound traffic > proxy/vless/outbound: failed to find an available destination > common/retry: [x509: certificate is valid for vultr.thanx.top, not www.paypal.com] > common/retry: all retry attempts failed

时间: 2025-09-09T21:29:12

🤖 DeepSeek (deepseek-chat)

这个错误非常明确,它指出了问题的核心:证书域名不匹配

错误原因分析

错误信息:

1
x509: certificate is valid for vultr.thanx.top, not www.paypal.com

意思是:证书只对 vultr.thanx.top 有效,但对 www.paypal.com 无效

这是因为你的配置中存在矛盾:

  1. Nginx 使用 Certbot 为 vultr.thanx.top 签发的 TLS 证书
  2. Sing-box 配置中要求 TLS 握手时使用 www.paypal.com 作为 SNI
  3. 当 Nginx 作为客户端去连接 Sing-box 时,会验证证书域名,发现不匹配

解决方案

方案一:禁用 Nginx 到 Sing-box 的证书验证(推荐)

修改 Nginx 配置,在 location / 块中添加 proxy_ssl_verify off

1
2
3
4
5
6
7
8
9
10
11
12
13
14
location / {
    proxy_pass https://127.0.0.1:30446;
    proxy_ssl_server_name on;
    proxy_set_header Host $http_host;

    # 关键配置:禁用 SSL 证书验证
    proxy_ssl_verify off;
    proxy_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;

    # 传递客户端信息
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
}

方案二:为 Sing-box 配置有效证书(复杂)

如果你希望保持证书验证,需要:

  1. www.paypal.com 获取有效证书(几乎不可能)
  2. 或者使用自签名证书并配置 Nginx 信任它

方案三:调整 Sing-box 配置

修改 Sing-box 配置,使用你自己的域名:

1
2
3
4
5
6
7
8
9
10
11
12
13
"tls": {
  "enabled": true,
  "server_name": "vultr.thanx.top",  // 改为你自己的域名
  "reality": {
    "enabled": true,
    "handshake": {
      "server": "vultr.thanx.top",   // 改为你自己的域名
      "server_port": 443
    },
    "private_key": "cJ97honNXtl84f1h8MbfCrXLSmlZinevbdovk--2zmM",
    "short_id": [""]
  }
}

注意:方案三会改变 Reality 协议的工作方式,可能影响隐蔽性。

推荐方案

使用方案一(禁用证书验证),因为:

  1. 简单安全:Nginx 和 Sing-box 在同一服务器,内部通信不需要严格证书验证
  2. 保持功能:不影响 Reality 协议的原有设计和隐蔽性
  3. 易于维护:不需要额外证书管理

修改后重启服务

1
2
3
4
5
6
7
8
# 检查 Nginx 配置
sudo nginx -t

# 重新加载 Nginx
sudo systemctl reload nginx

# 重启 Sing-box
sudo systemctl restart sing-box

这样修改后,Nginx 就不会验证到 Sing-box 的证书,错误应该就能解决。

时间: 2025-09-09T21:29:12

👤 用户

vless://[email protected]:443?encryption=none&security=reality&flow=xtls-rprx-vision&type=tcp&sni=www.paypal.com&pbk=RLYlyld_aOkt5ZO95GBnP0EQIdoIDEixO636KNnpRSE&fp=chrome#233boy-reality-45.63.34.198

这个对吗?

时间: 2025-09-09T21:34:12

🤖 DeepSeek (deepseek-chat)

这个 VLESS 链接有问题,主要是 pbk(公钥)的值不正确。

问题分析

你的链接中:

  • pbk=RLYlyld_aOkt5ZO95GBnP0EQIdoIDEixO636KNnpRSE

但你的 Sing-box 配置中:

  • private_key: "cJ97honNXtl84f1h8MbfCrXLSmlZinevbdovk--2zmM"

pbk 应该是公钥(public key),而不是私钥(private key)!

如何获取正确的公钥

你需要从私钥生成对应的公钥。使用以下命令:

1
2
# 将你的私钥转换为公钥
echo "cJ97honNXtl84f1h8MbfCrXLSmlZinevbdovk--2zmM" | base64 -d | openssl pkey -inform DER -pubout -outform DER | base64 -w 0

或者使用 Sing-box 工具(如果已安装):

1
sing-box generate reality-keypair

正确的 VLESS 链接

假设你生成的公钥是 RLYlyld_aOkt5ZO95GBnP0EQIdoIDEixO636KNnpRSE(这只是示例,你需要用实际生成的公钥替换):

1
vless://[email protected]:443?encryption=none&security=reality&flow=xtls-rprx-vision&type=tcp&sni=www.paypal.com&pbk=正确的公钥&fp=chrome&sid=#233boy-reality-45.63.34.198

其他注意事项

  1. 添加 sid 参数:如果你的 Sing-box 配置中有 short_id,需要在链接中添加 &sid=你的short_id

  2. 检查端口:确保 Nginx 确实监听 443 端口且配置正确

  3. 协议类型:Reality 通常使用 &type=tcp&headerType=none

完整示例

假设你生成的公钥是 RLYlyld_aOkt5ZO95GBnP0EQIdoIDEixO636KNnpRSE

1
vless://[email protected]:443?encryption=none&flow=xtls-rprx-vision&security=reality&sni=www.paypal.com&fp=chrome&pbk=RLYlyld_aOkt5ZO95GBnP0EQIdoIDEixO636KNnpRSE&type=tcp&headerType=none#233boy-reality-vultr

请务必先用命令生成正确的公钥替换链接中的 pbk 值!

时间: 2025-09-09T21:34:12

对话统计

  • 消息总数: 6 条
  • 处理状态: 成功转换