Xray-OneClick 1.1.2
Xray-OneClick 是基于 Xray-core 的多协议一键部署脚本,适合在 Debian / Ubuntu systemd 服务器上快速安装和维护个人 Xray 节点。
脚本支持 Shadowsocks 2022、VLESS Encryption、VLESS TCP REALITY、VLESS Encryption + XHTTP + FinalMask、SOCKS5、Tunnel 中转管理,以及高级协议组合。默认带基础安全屏蔽、配置备份、服务诊断、配置导出、Xray-core 升级和安全卸载能力。
当前版本:1.1.2
状态:正式版
说明:1.1.2 将高级协议组合直接放入主菜单,并统一 IPv6 endpoint、监听范围和链接输出判断。普通用户仍建议优先使用 VLESS TCP REALITY;高级组合需要较新的 Xray-core 和较新的客户端核心。
- 一键安装 / 更新 Xray-core
- Shadowsocks 2022
- IPv6 + Shadowsocks 2022
- VLESS Encryption
- VLESS TCP REALITY
- VLESS Encryption + XHTTP + FinalMask
- VLESS XHTTP + REALITY
- VLESS Encryption + REALITY
- VLESS Encryption + XHTTP + REALITY + FinalMask
- SOCKS5 代理
- Tunnel 中转管理
- Endpoint 显示模式
- 中国大陆直连屏蔽
- 增强安全屏蔽
- 配置备份
- 诊断 / smoke / export
keep-config/purge卸载- GitHub 下载镜像兜底
- Xray-core 指定版本升级和失败回滚
推荐环境:
- Debian 12+
- Ubuntu 22.04+
- root 权限
- systemd
- amd64 / arm64
- curl 或 wget
脚本会自动补齐常用依赖,例如 jq、unzip、tar、openssl。端口监听检查优先使用 ss,没有 ss 时会降级处理。
安装前可先执行:
ike preflight如果尚未安装 ike,先按下面的快速安装流程运行脚本。
curl -fsSL -o /root/install.sh https://raw.githubusercontent.com/ike-sh/Xray-OneClick/main/install.sh
chmod +x /root/install.sh
bash /root/install.sh安装完成后可直接运行:
ike也可以使用直接命令进行维护:
ike help
ike version
ike preflight
ike view
ike doctor all如果 GitHub 访问不稳定,可设置镜像兜底。脚本仍会优先尝试原始 GitHub 地址,然后再按顺序尝试环境变量里的镜像。
export XRAY_GITHUB_MIRRORS="https://gh.llkk.cc/,https://gh.ddlc.top/,https://gh-proxy.com/,https://ghproxy.net/"
curl -fsSL -o /root/install.sh https://raw.githubusercontent.com/ike-sh/Xray-OneClick/main/install.sh
chmod +x /root/install.sh
bash /root/install.sh指定 Xray-core 版本:
ike xray upgrade --version v26.3.27升级到最新版本:
ike xray upgrade升级后默认不重启服务,如需重启:
ike xray upgrade --restart1. 安装/更新 Xray 核心
2. 安装 Shadowsocks 2022
3. 安装 IPv6 + Shadowsocks 2022
4. 安装 VLESS Encryption
5. 安装 VLESS TCP REALITY
6. 安装 VLESS Encryption + XHTTP + FinalMask
7. 安装 VLESS XHTTP + REALITY(高级)
8. 安装 VLESS Encryption + REALITY(高级)
9. 安装 VLESS Encryption + XHTTP + REALITY + FinalMask(FullStack)
10. 安装 SOCKS5 代理
11. 查看当前配置链接
12. 设置链接显示模式 (IPv4/IPv6/双栈)
13. 重置密钥/密码(端口不变)
14. 卸载/清理
15. 开启/关闭中国大陆直连屏蔽
16. 开启/关闭增强安全屏蔽
17. 导出当前配置备份
18. Tunnel 中转管理
19. 退出
ike view
ike view reality
ike view xhttp
ike view xhttp-reality
ike view enc-reality
ike view fullstack
ike doctor proxy
ike doctor reality
ike doctor reality-key
ike doctor xhttp
ike doctor xhttp-reality
ike doctor enc-reality
ike doctor fullstack
ike smoke reality
ike smoke xhttp
ike smoke xhttp-reality
ike smoke enc-reality
ike smoke fullstack
ike export clients --output /root/xray-clients.txt
ike export report --output /root/xray-report.txtdoctor 用于检查环境、配置和状态;smoke 用于服务侧快速排障。smoke 默认不会重启服务,只有加 --restart 时才会重启:
ike smoke reality --restart
ike smoke xhttp --restart
ike smoke fullstack --restart通过菜单安装:
2. 安装 Shadowsocks 2022
脚本支持:
2022-blake3-aes-128-gcm2022-blake3-aes-256-gcm2022-blake3-chacha20-poly1305
菜单第 2 项安装普通 SS2022,默认按 IPv4 入站监听;菜单第 3 项安装 IPv6 + SS2022,需要服务器存在可用的全局 IPv6 地址。脚本只会在协议实际监听 IPv6/双栈,并且系统检测到全局 IPv6 地址时输出 IPv6 链接。普通 IPv4-only 入站不会因为服务器有 IPv6 地址而强行输出 IPv6 链接。
如果 sysctl 显示 disable_ipv6=1,但脚本通过网卡检测到了全局 IPv6 地址,会给出 warning 并按实际地址继续;如果没有全局 IPv6 地址,则 IPv6 + SS2022 会拒绝安装。
通过菜单安装:
4. 安装 VLESS Encryption
或使用:
ike view脚本会调用 xray vlessenc 生成服务端 decryption 和客户端 encryption,并将客户端需要的字段写入 installer-state.json。服务端 decryption 属于敏感字段,默认导出报告会脱敏。
主力推荐优先级:1。如果你只想部署一个相对稳妥的 VLESS 节点,建议优先选择本模式。
通过菜单安装:
5. 安装 VLESS TCP REALITY
直接命令:
ike reality install
ike reality install --port 30004 --defender-port 40004 --sni www.abmindustriesgroup.com
ike reality show
ike reality remove默认行为:
- 主入口端口随机范围:
20000-50000 - defender 本地端口随机范围:
39000-49999 - 主 inbound:
vless+tcp+reality - defender inbound:
reality-defender - defender 监听:
127.0.0.1 - defender 目标:
SNI:443 - Flow:
xtls-rprx-vision - Fingerprint:
chrome - 默认生成 8 个 shortId
Reality 使用 xray x25519 生成密钥。新版 Xray 可能输出 PrivateKey、Password、Password (PublicKey)、Hash32 等字段;脚本会将 PrivateKey 写入服务端配置,将 PublicKey / Password / Password (PublicKey) 作为客户端 pbk。
privateKey 是服务端敏感字段,不需要填到客户端;客户端需要的是 publicKey/pbk。
排障命令:
ike doctor reality
ike doctor reality-key
ike smoke reality主力推荐优先级:3。它属于高级备用方案,服务端可一键写入,但客户端兼容性仍取决于客户端核心。
通过菜单安装:
6. 安装 VLESS Encryption + XHTTP + FinalMask
直接命令:
ike xhttp install
ike xhttp install --port 30005 --path /api/demo --finalmask off
ike xhttp install --port 30005 --path /api/demo --finalmask on
ike xhttp show
ike xhttp remove说明:
- 默认
security=none - 传输层使用
xhttp - 继续复用 VLESS Encryption 的
encryption/decryption生成逻辑 - 用户指定 path 必须以
/开头 - path 不允许空格、
?、#或反斜杠 - FinalMask 可通过
--finalmask on/off控制
FinalMask 属于高级兼容功能。开启后分享链接会包含 URL 编码后的 fm= 参数,链接可能较长;部分客户端可能需要手动填写 path、encryption、finalmask 参数。如果服务端配置应用失败或客户端导入异常,请优先使用:
ike xhttp install --finalmask off排障命令:
ike doctor xhttp
ike smoke xhttp高级协议组合已直接放在主菜单第 7、8、9 项:
7. 安装 VLESS XHTTP + REALITY(高级)
8. 安装 VLESS Encryption + REALITY(高级)
9. 安装 VLESS Encryption + XHTTP + REALITY + FinalMask(FullStack)
高级组合适合已经确认普通节点可用、并且想测试更前沿组合的用户。普通用户建议优先使用普通 Reality。高级组合不使用 TLS 证书,默认都是 security=reality,不是 security=tls。
推荐顺序:
- 主力推荐:VLESS TCP REALITY
- 高级备用:VLESS XHTTP + REALITY
- 高级备用:VLESS Encryption + XHTTP + FinalMask
- 实验组合:VLESS Encryption + REALITY
- 实验组合:VLESS Encryption + XHTTP + REALITY + FinalMask
- 兼容兜底:VLESS Encryption
- 兼容兜底:SS2022
- 兼容兜底:SOCKS5
FullStack 不作为普通用户默认推荐。如果 FullStack 不兼容,建议按下面顺序降级:
ike fullstack install --finalmask offike xhttp-reality installike enc-reality installike reality installike xhttp install --finalmask off- 菜单第 4 项安装 VLESS Encryption
- SS2022 / SOCKS5
推荐定位:高级备用。它比 FullStack 更轻,适合先验证 XHTTP 与 REALITY 组合。
ike xhttp-reality install
ike xhttp-reality install --port 30006 --path /api/test --sni www.abmindustriesgroup.com
ike xhttp-reality show
ike doctor xhttp-reality
ike smoke xhttp-reality --restart
ike xhttp-reality remove说明:
- Transport = XHTTP
- Security = REALITY
- REALITY target =
SNI:443 - 默认不写 Vision flow,减少 XHTTP + REALITY 的兼容风险
- 适合想测试 XHTTP 与 Reality 组合的用户
推荐定位:实验组合。它叠加 VLESS Encryption 与 REALITY,客户端兼容性要求较高。
ike enc-reality install
ike enc-reality install --port 30007 --sni www.abmindustriesgroup.com
ike enc-reality show
ike doctor enc-reality
ike smoke enc-reality --restart
ike enc-reality remove说明:
- Transport = TCP
- Security = REALITY
- 复用
xray vlessenc生成 VLESS Encryption - 默认不写 Vision flow
- 客户端需要同时支持 VLESS Encryption 与 REALITY
- 不建议把它作为唯一节点,建议保留普通 Reality 作为备用
推荐定位:最高级实验组合,不作为普通用户默认推荐。
ike fullstack install
ike fullstack install --port 30008 --path /api/test --sni www.abmindustriesgroup.com --finalmask on
ike fullstack install --port 30008 --path /api/test --sni www.abmindustriesgroup.com --finalmask off
ike fullstack show
ike doctor fullstack
ike smoke fullstack --restart
ike fullstack remove说明:
- Transport = XHTTP
- Security = REALITY
- 复用 VLESS Encryption
- 可选 FinalMask
- 不使用 TLS 证书
- 兼容性最挑客户端
如果 FullStack 导入或连接失败,先尝试:
ike fullstack install --finalmask off仍不兼容时,请按上面的降级路径切换到 XHTTP + REALITY、Encryption + REALITY、普通 Reality、XHTTP FinalMask off、VLESS Encryption 或 SS2022 / SOCKS5。
高级组合同样遵守敏感字段策略:privateKey 是服务端字段,不要泄露;客户端需要的是 publicKey/pbk。服务端 decryption 默认不会在脱敏报告中输出,客户端 encryption 会在客户端导出里显示。
通过菜单安装:
10. 安装 SOCKS5 代理
SOCKS5 适合临时代理或内网调试。安装后可通过 ike view 查看连接参数。脚本只会在 SOCKS5 入站实际监听 IPv6/双栈时输出 IPv6 链接;默认 IPv4-only 监听不会输出不可用的 IPv6 链接。
通过菜单进入:
15. Tunnel 中转管理
常用命令:
ike tunnel list
ike tunnel add
ike tunnel add safe
ike tunnel add relay
ike tunnel add map
ike tunnel edit
ike tunnel enable
ike tunnel disable
ike tunnel del
ike tunnel doctor
ike tunnel ports
ike tunnel export
ike tunnel import /path/to/tunnels.json --yes兼容旧命令:
ike forward list
ike forward add新用户建议使用 ike tunnel ...。
Endpoint 用于控制分享链接里的地址,适合 NAT、DDNS、小鸡端口映射和多公网 IP 场景。
ike endpoint show
ike endpoint set
ike endpoint clear
ike endpoint detect显示模式可在菜单第 9 项切换,也可通过:
ike view ipv4
ike view ipv6
ike view dual脚本默认写入基础安全屏蔽规则,用于阻断 BT/PT、私网地址、SMTP、SMB/NetBIOS 等高风险目标。
中国大陆直连屏蔽:
ike cnblock
ike cnblock basic
ike cnblock enhanced
ike cnblock off增强安全屏蔽:
ike safety enhanced on
ike safety enhanced off增强安全屏蔽会额外限制部分常见高风险端口。开启前请确认不会影响你的业务场景。
诊断:
ike preflight
ike doctor all
ike doctor proxy
ike doctor reality
ike doctor reality-key
ike doctor xhttp服务侧检查:
ike smoke reality
ike smoke xhttp
ike smoke all导出客户端配置:
ike export clients --output /root/xray-clients.txt导出脱敏诊断报告:
ike export report --output /root/xray-report.txt导出文件会尝试设置为 600 权限。export report 会脱敏 privateKey、decryption、password、token、secret 等敏感字段;export clients 只输出客户端需要的链接和参数。
查看版本:
ike xray version升级到最新版本:
ike xray upgrade指定版本:
ike xray upgrade --version v26.3.27升级成功后默认不重启服务。需要重启时:
ike xray upgrade --restart升级失败时脚本会尝试回滚旧二进制,不会自动修改现有协议配置。
ike service install
ike service status
ike service restart
ike service logs
ike service repair服务文件路径:
/etc/systemd/system/xray.service
service repair 会重新写入本项目的 service 文件,不会删除协议配置或 state。
| 用途 | 路径 |
|---|---|
| 配置目录 | /etc/xray |
| 配置文件 | /etc/xray/config.json |
| 安装器状态 | /etc/xray/installer-state.json |
| Xray 二进制 | /usr/local/bin/xray |
| Xray 资源目录 | /usr/local/share/xray |
| 安装器副本 | /usr/local/share/ike/install.sh |
| systemd 服务 | /etc/systemd/system/xray.service |
| 主快捷命令 | /usr/local/bin/ike |
| 兼容快捷命令 | /usr/local/bin/sb |
installer-state.json 保存客户端链接所需字段和最近变更信息,应像配置文件一样保护。
导出当前配置备份:
ike backup迁移旧配置:
ike migrate --dry-run
ike migrate同协议重复部署会覆盖同 tag 配置,不同协议互不影响。写入配置前脚本会自动备份,配置应用失败时会尝试回滚。
主菜单第 14 项进入卸载/清理菜单:
1. 删除 SS2022 配置
2. 删除 VLESS Encryption 配置
3. 删除 VLESS TCP REALITY 配置
4. 删除 VLESS Encryption + XHTTP + FinalMask 配置
5. 删除 VLESS XHTTP + REALITY 配置
6. 删除 VLESS Encryption + REALITY 配置
7. 删除 VLESS Encryption + XHTTP + REALITY + FinalMask 配置
8. 删除 SOCKS5 配置
9. 卸载全部 Xray
10. 清理旧 sing-box 残留
11. 返回主菜单
保留配置卸载:
ike uninstall --keep-config仅预览将删除的内容:
ike uninstall --dry-run彻底清理:
ike uninstall --purge --yes区别:
--keep-config:删除二进制、快捷命令和 service,保留/etc/xray/config.json与installer-state.json--purge:先创建最终备份包,再删除配置、state、日志、service、二进制和快捷命令
卸载后如果当前 shell 仍缓存旧命令路径,可执行:
hash -rReality 的 SNI 可以写 https://domain/path 吗?
不可以,只写域名,例如 www.example.com,不要带协议、路径、端口或空格。
Reality 的 privateKey 要填到客户端吗?
不要。privateKey 是服务端字段,客户端填写 publicKey/pbk。
FinalMask 导入失败怎么办? 先关闭 FinalMask:
ike xhttp install --finalmask off然后重新查看 ike xhttp show 输出。FinalMask 的客户端兼容性取决于客户端内核版本。
国内 GitHub 下载失败怎么办?
设置 XRAY_GITHUB_MIRRORS,或使用 ike xray upgrade --version vX.Y.Z 指定版本。
重复安装会怎样? 同协议 tag 会被覆盖,不同协议互不影响,写入前自动备份。
本项目仅供学习、研究和合法网络用途。请遵守所在地法律法规、服务商条款和网络使用规范。使用本脚本产生的任何后果由使用者自行承担。