---
created: "2026-03-15"
type: project
status: active
deadline: ""
---

# VLESS-Reality 翻墙回国

## 目标

从瑞典通过阿里云国内服务器代理，访问国内地区限制内容（B站、腾讯视频、抖音、小红书等）。

## 架构

```
光猫(拨号) → iStoreOS(192.168.68.63, 主网关) → Deco BE65(AP) → 所有设备
                ├── dnsmasq(:53) → 内网DNS + 转发到 OpenClash
                ├── OpenClash(:7874) → fake-ip + TUN → 翻墙回国 + 广告拦截
                └── 端口映射 (2200, 443, 51888)
```

## 关键组件

| 组件 | 位置 | 版本 |
|------|------|------|
| Xray-core | `8.138.1.192` (阿里云广州) | v26.2.6 |
| OpenClash | iStoreOS `192.168.68.63` | v0.47.071 |
| mihomo | iStoreOS | v1.19.21 |
| dnsmasq | iStoreOS | 内置 |

## 详细文档

- [[VLESS-REALITY-Setup-Guide|总览文档]]
- [[VLESS-REALITY-Router-iStoreOS|主网关配置]]
- [[VLESS-REALITY-Client-macOS|macOS 客户端（外出用）]]

## 核心踩坑

1. **DNS 环路**：OpenClash nameserver 不能用国内 DNS，否则匹配 GEOIP,CN → 走代理 → 代理需要 DNS → 死循环
2. **OpenClash + AdGuard Home 冲突**：fake-ip 模式的 DNS 劫持与 AGH 抢 53 端口，最终去掉 AGH，由 OpenClash + dnsmasq 接管
3. **OpenClash 配置覆盖**：自定义 hosts/fake-ip-filter 必须放在 `/etc/openclash/custom/` 专用文件里，直接改 yaml 会被覆盖
4. **区域绕过必须停用**：翻墙回国场景下 "大陆" 和 "海外" 都不对，选 "停用"
5. **Deco BE65 限制**：不支持自定义 DHCP 网关/DNS，必须切 AP 模式让 iStoreOS 接管

## 服务器连接信息

| 参数 | 值 |
|------|-----|
| 协议 | VLESS |
| 地址 | `8.138.1.192` |
| 端口 | `443` |
| UUID | `04a7cfe3-10f6-4e38-8319-22a604e24018` |
| Public Key | `RTO_UOk5ncr3DAAYR08g08L0fo5ax9pmGFj8c8lXWgk` |
| 伪装目标 | `www.microsoft.com` |
| Flow | `xtls-rprx-vision` |

## 相关

- [[PVE Security Scanner]]