Proxies zh - FrankoonG/hy2scale GitHub Wiki
代理
HY2 SCALE 在单一标签页界面中集中暴露七种代理 / VPN 协议。所有协议共享同一用户数据库进行认证,并统一遵循按用户 exit_via 路由。
协议概览
| 协议 | 默认端口 | 认证方式 | 原生客户端 | 是否需要 Host 网络 |
|---|---|---|---|---|
| Hysteria 2 | 5565/udp+tcp | 共享 / 按用户 | Hysteria 2 客户端 | 否 |
| SOCKS5 | 可配置(1080) | RFC 1929 用户名/密码 | 任意 SOCKS5 客户端 | 否 |
| HTTP | 可配置(8080) | Basic 认证 | 任意 HTTP(S) 代理客户端 | 否 |
| Shadowsocks | 可配置(8388) | 按用户 AEAD 密钥 | SS 客户端 | 否 |
| L2TP/IPsec | 1701+500+4500/udp | MSCHAPv2 | 系统内置 VPN | 是(或使用兼容模式) |
| IKEv2/IPsec | 500+4500/udp | EAP-MSCHAPv2 或 PSK | 系统内置 VPN | 是(或使用兼容模式) |
| WireGuard | 51820/udp | 公钥 | WireGuard / 二维码导入 | 否 |
Hysteria 2
核心协议。每个节点在 5565 端口运行一个 Hysteria 2 QUIC 服务器,同时处理网状中继流量和 Web UI。
配置
服务器监听地址和 TLS 证书在 节点 页面的 编辑自身 对话框中配置;代理 → Hysteria 2 标签页仅暴露 允许用户认证 开关。
- 关闭(默认):使用单一共享服务器密码对所有 QUIC 客户端进行认证。
- 启用:Hysteria 2 客户端使用各自的用户名 / 密码认证。每个用户的流量按其出口路由转发,流量计数按用户累加。
SOCKS5
标准 SOCKS5 代理,支持 RFC 1929 用户名/密码认证。
| 字段 | 说明 |
|---|---|
| 监听 | 绑定地址(例如 0.0.0.0:1080) |
| 启用 | 开关 |
| TLS 证书 | 可选 — 用 TLS 封装 SOCKS5(SOCKS5-over-TLS) |
- 支持 IPv4、IPv6 和主机名目标。
- 活跃连接可在 用户 页面的 活跃设备 面板中查看。
HTTP
同时提供 HTTP 正向代理和 CONNECT 隧道,两者均使用 HTTP Basic 认证。
| 字段 | 说明 |
|---|---|
| 监听 | 绑定地址(例如 0.0.0.0:8080) |
| 启用 | 开关 |
| TLS 证书 | 可选 — 将监听器转为 HTTPS-proxy-over-TLS |
任何支持 HTTP 代理的客户端(浏览器、curl、各大操作系统)均可使用 HY2 SCALE 用户进行认证,随后其请求会通过该用户的出口路由转发。
Shadowsocks
AEAD 加密的 SS 服务器。用户通过成功解密进行认证 — 服务器逐个尝试每个启用用户的密钥。
| 加密方法 | 说明 |
|---|---|
aes-128-gcm |
AES-128 GCM |
aes-256-gcm |
AES-256 GCM |
chacha20-ietf-poly1305 |
ChaCha20-Poly1305 |
none |
未加密(仅用于测试) |
热重载:配置变更时会干净地重启,活跃连接会被断开。
L2TP/IPsec
基于系统内置 VPN 客户端的 L2TP/IPsec VPN — 无需第三方应用。Linux 上需要 --network host,或在 iKuai / OpenWrt 上使用 兼容模式。
| 字段 | 默认值 | 说明 |
|---|---|---|
| 启用 | false |
开关 |
| 监听端口 | 1701 |
L2TP UDP 端口 |
| 地址池 | 192.168.25.1/24 |
客户端 IP 范围 |
| PSK | (自动生成) | IPsec 预共享密钥 |
| MTU | 1280 |
PPP MTU |
架构
VPN 客户端 (iOS / macOS / Windows / Android)
↓ L2TP/IPsec (UDP 500 + 4500 + 1701)
strongSwan (IKEv1 IPsec) + xl2tpd
↓ PPP / MSCHAPv2
pppd 从地址池分配 IP
↓
透明代理 (iptables DNAT) → 网状出口路由
每个 L2TP 用户的流量通过其指定的 exit_via 路由。PPP ip-up 钩子将新分配的 PPP IP 映射回用户名。
客户端
- 启用 L2TP,记录 PSK。
- 在设备上新建一个 L2TP VPN 连接;服务器 = 节点的 IP/主机名,账户 = HY2 SCALE 用户名,密钥/PSK = 生成的值。
- 连接。
热重载:支持。
IKEv2/IPsec
基于 strongSwan 的 IKEv2 VPN。两种认证模式:
| 模式 | 认证方式 | 证书 | 客户端设置 |
|---|---|---|---|
| MSCHAPv2 | EAP-MSCHAPv2 + 服务器证书 | 是(推荐使用 CA) | 在客户端安装 CA 证书 |
| PSK | 预共享密钥 | 否 | 在 VPN 配置中输入 PSK |
配置
| 字段 | 默认值 | 说明 |
|---|---|---|
| 启用 | false |
开关 |
| 模式 | psk |
mschapv2 或 psk |
| 本地 ID | (节点名称) | 服务器身份(leftid) |
| 地址池 | 192.168.26.1/24 |
客户端 IP 范围 |
| MTU | 1400 |
隧道 MTU |
| 服务器证书 | — | mschapv2 模式下必填 |
| PSK | (自动生成) | psk 模式下必填 |
| PSK 用户模式 | false |
PSK 模式下是否同时要求用户认证 |
MSCHAPv2(推荐)
- 在 TLS 页面 生成或导入 CA。
- 以 MSCHAPv2 模式启用 IKEv2 并选择 CA。HY2 SCALE 会自动从 CA 签发 CN/SAN 与
local_id匹配的服务器证书。 - 导出 CA 证书并安装到每个客户端设备。
- 客户端使用其 HY2 SCALE 用户名 + 密码认证。
PSK 模式
更简单。客户端仅需 PSK 即可连接;启用 PSK 用户模式 后还会额外要求用户名。
客户端(iOS / macOS)
- 通过邮件 / AirDrop 安装 CA 证书(仅 MSCHAPv2) → 设置 → 描述文件。
- 新建 IKEv2 VPN 连接;服务器 = 节点,远端 ID =
local_id,用户名 = HY2 SCALE 用户。
热重载:支持。
WireGuard
用户空间 WireGuard(wireguard-go + gvisor netstack)— 无需内核模块,适用于所有操作系统。
服务器
| 字段 | 默认值 | 说明 |
|---|---|---|
| 启用 | false |
开关 |
| 监听端口 | 51820 |
UDP 端口 |
| 私钥 | (自动生成) | 服务器的 WireGuard 私钥 |
| 地址 | 10.0.0.1/24 |
服务器 IP + 子网 |
| MTU | 1420 |
隧道 MTU |
Peer
WireGuard 使用按 Peer 的公钥认证,而非共享的用户数据库。每个 Peer 对应一台客户端设备。
| 字段 | 说明 |
|---|---|
| 名称 | 显示名称 |
| 公钥 | 客户端公钥 — 留空可生成一对密钥 |
| 允许的 IP | 客户端隧道 IP,通常为 10.0.0.N/32 |
| 保活间隔 | 持久保活间隔(秒,0 = 禁用) |
| 出口路由 | 通过网状节点链路转发该 Peer 的流量 |
密钥生成
点击 公钥 字段旁的 钥匙 按钮生成新的密钥对。公钥保存在服务端;私钥包含在下载的客户端配置中(仅显示一次 — 请妥善保存)。
客户端配置
- 下载 —
.conf文件,兼容所有 WireGuard 客户端。 - 二维码 — 用于移动端 WireGuard 应用的二维码。
导出的配置包含服务器端点、DNS、允许的 IP、MTU 以及 Peer 私钥。
Peer 的选择与编辑
Peer 表格遵循与 Nodes / Users / Rules / TLS 相同的「先选中再操作」模式:
- 单击某条 Peer 行即可选中 — 当恰好一行被选中时,卡片操作区中 Import 与 + Add Peer 之间会出现绿色 Edit 按钮。
- 行首的 复选框单元格 是整片加宽的 padding 区域,不只是小输入框本身;在其上点击会叠加进入多选。
- 卡片体之外的任意空白处点击都会清掉单行选中。多选保持粘性;按钮 / 输入框 / 已打开的模态框上的点击永远不会清掉选中。
- 当勾选了一个或多个 Peer 时,Import 旁会出现 Bulk Delete 按钮。
Peer 名称 列依旧是打开按 Peer 配置 / 二维码详情模态框的链接 — 点击它不会切换行的选中状态。
热重载
- 配置变更 → 完全重启 WireGuard(短暂断连)
- Peer 添加 / 移除 → 热管理 Peer,无需重启服务器