大陆出海代理：VPS选型与部署

核心观点

电信用户大陆出海代理 + 部署 Hermes Agent/OpenClaw 的 VPS 选型。核心约束：2C2G/20G SSD 最低配、必须中国优化线路。云厂商（AWS/GCP/Azure）因无中国优化线路且流量费贵（$0.09/GB）被直接排除。

线路质量是选型第一要素，性能规格其次。CN2 GIA 延迟最低但溢价明显，联通9929+CMIN2 是性价比甜区，联通4837 可用但晚高峰有波动，163 骨干在高峰期基本不可用。

候选方案对比

厂商	方案	月均价	配置	流量	带宽	线路	评价
ByteVirt	Premium-LA	`$8`	2C2G/20G	4TB	800M	联通4837	便宜试水
ByteVirt	Elite-LA	`$13`	2C2G/40G	2TB	800M	联通9929+CMIN2	性价比之选
搬瓦工	CN2 GIA-E 2G	`$25`	3C2G/40G	2TB	2.5G	CN2 GIA-E	贵但稳定
搬瓦工	CN2 GIA-E 1G	`$14.2`	2C1G/20G	1TB	2.5G	CN2 GIA-E	内存不够跑Agent
DMIT	LAX.Pro Tiny	`$9.99`	1C0.75G/10G	1TB	1G	CN2 GIA	内存/硬盘不够
HostDare	CSSD2	`~$5.2(折后)`	2C2G/50G	1TB	60M	CN2 GIA	带宽太小

已排除方案

AWS/GCP/Azure：无中国优化线路，流量费 $0.09/GB
HostDare：带宽 60Mbps 不可用
DMIT/搬瓦工低配：2G 内存档位价格偏高或内存不足
LightNode/DigitalOcean/Linode：无中国优化线路

决策

已购 ByteVirt Elite-LA $13/月（2C2G/40G/2TB/1000Mbps/联通9929+CMIN2），电信优化线路，月付灵活。

部署实施（2026-04-30）

机器信息

项目	值
主机名	***.bytevirt.com
IP	..***.LA
系统	Ubuntu 22.04.5 LTS
配置	2C / 1.9G RAM / 40G SSD

网络实测

指标	结果
Ping	170ms（深圳电信，白天非高峰）
丢包	0%
机房带宽	下载 975Mbps / 上传 707Mbps

代理服务

协议	端口	用途
VLESS + Reality（Xray v26.3.27）	443 (TCP)	日常使用，抗检测最强
Hysteria2（v2.8.2）	8443 (UDP)	低延迟首选，QUIC 协议

VLESS 伪装目标：www.microsoft.com
Hysteria2 证书：Let's Encrypt（sub.seesaw.icu）
订阅地址托管在 nginx，随机路径防扫描

架构

text

客户端
   │
   ├─ TCP :443 → nginx stream SNI 分流
   │    ├─ SNI = sub.seesaw.icu    → nginx http (10444) → 订阅文件
   │    ├─ SNI = agent.seesaw.icu  → nginx http (10444) → Agent 服务预留
   │    └─ SNI = 其他/无            → Xray (10443)       → VLESS Reality
   │
   └─ UDP :8443 → Hysteria2 (QUIC)

域名

二级域名	用途
proxy.seesaw.icu	Xray 代理（DNS Only，不过 CF 代理）
sub.seesaw.icu	订阅地址 + Hysteria2 SNI（Let's Encrypt 证书）
agent.seesaw.icu	未来部署 Agent 用

安全加固

项目	配置
UFW 防火墙	仅开放 22/80/443(TCP)/8443(UDP)
SSH	key 认证 + 密码认证（多设备需要）
fail2ban	SSH 暴力破解防护（5 次封 1 小时）
自动更新	unattended-upgrades 每日安全更新
证书续签	certbot 自动续签

LA 节点完整部署清单

基础配置：

SSH Ed25519 key（~/.ssh/id_bytevirt），~/.ssh/config 别名 bytevirt
开启 BBR — sysctl net.ipv4.tcp_congestion_control=bbr + net.core.default_qdisc=fq 写入 /etc/sysctl.conf（不开 BBR 晚高峰 Hy2 会崩，CUBIC 抗丢包能力不足）

代理服务： 2. Xray VLESS Reality v26.3.27 — 127.0.0.1:10443，伪装 www.microsoft.com 3. Hysteria2 v2.8.2 — :8443/UDP，密码认证，Let's Encrypt 证书

反向代理： 4. Nginx stream SNI 分流 — 443 端口复用，按 SNI 分发到 Xray(10443) 或 nginx http(10444) 5. Nginx http — 10444 端口，托管 sub/agent.seesaw.icu，HTTPS

域名 & 证书： 6. DNS — proxy/sub/agent.seesaw.icu → ..***.LA，Cloudflare DNS Only 7. Let's Encrypt — certbot + nginx 插件，自动续签

订阅托管（/var/www/sub//）： 8. clash.yaml — 合并 PandaFan 62 节点 + ByteVirt-LA + ByteVirt-LA-HY2 + 7915 条规则 9. base64.txt — VLESS + HY2 两条分享链接（Shadowrocket 用） 10. surge.conf — HY2 节点 + 7813 条规则（Surge iOS 用） 11. speedtest — 100MB 测速文件 12. nginx Content-Disposition 头设订阅名为 seesaw

安全加固： 13. UFW — 仅开放 22/80/443(TCP)/8443(UDP) 14. SSH — key + 密码双认证（多设备需要） 15. fail2ban — systemd backend，5 次封 1 小时 16. unattended-upgrades — 每日自动安全更新

流量统计： 17. Xray stats API — 127.0.0.1:10085，inbound tag proxy-in 18. /usr/local/bin/traffic 脚本 — ssh bytevirt traffic 查看上下行

系统软件包： nginx, ufw, fail2ban, unattended-upgrades, certbot, python3-certbot-nginx, speedtest-cli, mtr, bc, hysteria2

客户端配置

平台	客户端	备注
macOS/Windows/Linux	Clash Verge Rev（Mihomo 内核）	支持 VLESS Reality + Hysteria2
iOS	Shadowrocket 2.2.45 / Surge 5.17.1	Shadowrocket 全协议；Surge 仅 Hysteria2

Clash 订阅：https://sub.seesaw.icu//clash.yaml（合并 PandaFan 62 节点 + 自建节点 + 7915 条分流规则）
Surge 订阅：https://sub.seesaw.icu//surge.conf（HY2 + 7813 条规则）
Shadowrocket 订阅：https://sub.seesaw.icu//base64.txt
网络设置：系统代理 + TUN 同时开（双保险，系统代理管浏览器，TUN 兜底其他 App）
终端代理：TUN 不接管 macOS 终端流量（已知限制），需设置 http_proxy/https_proxy 环境变量指向 Clash 端口
DNS 覆写：必须开启，否则规则模式下被墙域名 DNS 查询失败导致无法访问

运维命令

命令	用途
`ssh bytevirt`	SSH 连接 LA 节点
`ssh bytevirt-jp`	SSH 连接 JP 节点
`ssh bytevirt traffic`	查看 Xray 流量统计（重启后清零）

性能测试（2026-04-30 ~20:00 晚高峰）

测试环境：深圳电信，CacheFly 100MB，sing-box TUN 模式。延迟用 TLS 握手时间测量（TUN 模式下 Ping/TCP 握手被本地拦截失真，只有 TLS 端到端可信）。

延迟对比（TLS 握手时间）

目标	机场 SS (CN2 GIA)	VPS SS (联通9929)	VPS + Hysteria2
baidu.com（直连）	34ms	43ms	35ms
taobao.com（直连）	23ms	32ms	22ms
google.com	395ms	525ms	182ms
github.com	223ms	578ms	227ms

带宽对比

方案	单连接	4 并发	稳定性
直连境外	5~9 MB/s (~50 Mbps)	—	差
机场 SS (CN2)	11.3 MB/s	~17 MB/s (135 Mbps)	稳
VPS + SS/VLESS	12.9 MB/s	~37 MB/s (293 Mbps)	稳
VPS + Hysteria2	26.0 MB/s (208 Mbps)	~38 MB/s (306 Mbps)	最稳

Hysteria2 为什么快

同一条 9929 线路，TCP 协议 525ms vs QUIC 协议 182ms，差距近 3 倍。原因：

TCP（SS/VLESS）每次请求需要 2 RTT：

客户端 ↔ VPS 建立 TCP outbound（~170ms）
客户端 ↔ 目标站建立 TLS 1.3（~170ms）

QUIC（Hysteria2）只需 1 RTT：

QUIC 隧道一次建立后长期保持，每次请求直接在隧道上做 TLS（~170ms）
省掉"客户端到 VPS 握手"的 1 个 RTT

叠加优势：

BBR 拥塞控制：TCP 默认 CUBIC 在高 RTT + 轻微丢包场景崩溃，BBR 不受影响
无队头阻塞：QUIC 多流独立，单流丢包不影响其他流
0-RTT 恢复：重连几乎瞬时

线路验证（mtr 回程）

TCP 和 UDP 回程路径完全一致，均走 AS9929 联通精品网：

text

ByteVirt LA (***.***.***.LA)
 ↓ +136ms 跨太平洋海缆
 ↓ 218.105.2.201  ← AS9929 联通精品入境
 ↓ 218.105.131.x  ← 联通骨干
 ↓ +30ms 联通→电信跨网（关键瓶颈）
 ↓ 14.147.x       ← 电信广东/深圳
总单程 ~164ms

Hy2 快不是因为走了不同线路，而是纯协议优势。

TUN 协议栈选择（sing-box）

栈	实现	4 并发带宽	推荐度
System	内核栈	293 Mbps	最快
Mixed	TCP=gVisor, UDP=内核	278 Mbps	综合最佳
gVisor	纯用户态	~250 Mbps	兼容性最好

差距 5~10%，默认用 Mixed。

TUN 模式测量陷阱

Ping 完全失真：ICMP 被本地 sing-box 响应成 fake-IP (198.18.0.x)，显示 0.2~0.4ms
TCP 握手也失真：sing-box 本地完成 SYN-ACK，固定 ~3ms
只有 TLS 握手时间可信：TLS 端到端，必须真的往返服务器
黄金公式：真实单程 RTT ≈ TLS 握手时间 / 2

最终结论

方案	Google 延迟	4 并发带宽	定位
VPS + Hysteria2	182ms	306 Mbps	全能王，日常首选
机场 CN2 + SS	395ms	135 Mbps	备用，特殊分流场景
VPS + SS/VLESS	525ms	293 Mbps	仅带宽场景，延迟劣势明显

核心收获：

协议比线路更关键 — 同一条 VPS 线路，TCP 525ms、QUIC 182ms，差距近 3 倍
CN2 GIA 不是万能 — Hy2 协议下普通联通9929 线路延迟能反超 CN2
BBR + QUIC 是跨境黄金组合 — 高 RTT 场景对 CUBIC 的碾压
机场测速拦截是普遍现象 — 低倍率节点主动 REJECT 测速站以省流量

后续优化方向

国内中转：低价深圳电信小鸡做中转，VPS 延迟可再降 30~50ms
TCP mux：SS/VLESS 开启 mux 后延迟能从 525ms → ~290ms（仍不如 Hy2）
IPv6 劫持：sing-box 配 inet6_address + auto_route，防止 IPv6 绕过 TUN
0-RTT 复用：确保 QUIC 0-RTT 启用，重连延迟可到 ~100ms

JP 节点测试（2026-05-01 凌晨）

节点信息

项目	值
套餐	VPS-512-KVM-Premium-JP
配置	1C / 512MB / 15GB / 500GB@500Mbps
价格	$16.88/半年` = `$2.81/月
位置	Japan 北海道 Shikaoi
IP	..***.JP
线路	电信 163 普通线路（AS4134）— 商家名义"Premium Network"，实为普通公网

线路追踪

回程（JP → 深圳电信）：

text

ByteVirt JP → ??? (多跳黑洞)
  → 202.97.22.150  ← AS4134 电信 163 骨干 ⚠️
  → 183.56.65.x    ← 电信广东
  → 14.147.200.4   ← 电信深圳 (~85ms)

去程（深圳 → JP）同样走 163 骨干。 去回程均未见 CN2（59.43.x.x）或 9929（218.105.x.x）等精品线路。

与 LA 对比：

	LA	JP
主干线路	AS9929 联通精品网	AS4134 电信 163 骨干
入境方式	联通精品 → 末端跨网电信	全程 163 直入

iperf3 裸线路测试

TCP：

节点	带宽	重传
LA	95 Mbps	470
JP	96 Mbps	524

TCP 均被本地上行限速在 ~95Mbps。

UDP 带宽天花板：

节点	上限	丢包起点
LA	~127 Mbps	>130 Mbps
JP	~5 Mbps	>5 Mbps

JP 的 163 骨干对 UDP 有严格限速/QoS，裸 UDP 仅 5Mbps。Hy2 的 QUIC 通过重传和纠错将 5Mbps 裸 UDP 拉到 70Mbps+，已是极限。

Hy2 隧道内实测

凌晨（首次测试）

目标	JP Hy2
google.com	~120ms（最佳 91ms，QUIC 1-RTT 复用）
youtube.com	133ms
github.com	139ms

测试方法	速度
裸直连 iperf3 单流 TCP	134 Mbps
裸直连 iperf3 4 并发	307 Mbps
Hy2 隧道 curl 单线程	59 Mbps
Hy2 隧道 aria2 -x 8	130 Mbps
YouTube 1080p60	41 Mbps（零丢帧）
YouTube 4K60	61 Mbps（零丢帧）

白天多次采样（2026-05-02，重装系统后）

延迟（Google TLS 握手 × 20 次）：

指标	值
均值	95ms
标准差	±19ms
最小	88ms
最大	177ms

**带宽（单线程 curl × 5 次）：**49.9 / 51.3 / 51.7 / 63.8 / 65.0 Mbps，均值 56 Mbps

**带宽（aria2 -x 8 × 5 次）：**76 / 80 / 52 / 51 / 51 Mbps，均值 62 Mbps

并发数扫描（各 1 次）：

并发	Mbps
1	68
2	55
4	58
8	41
16	55

关键发现：

延迟真实值 95ms，20 次采样排除噪声，之前单次测到的极端值不可信
带宽存在两档状态：首次连接 76-80Mbps，后续稳态 50-65Mbps，疑似运营商限速
并发数无用：堆并发反而触发更严格限速，单线程反而最快（68Mbps）
白天带宽是凌晨的一半：凌晨 130Mbps → 白天 60-80Mbps

带宽瓶颈分层（修订）：

text

VPS ↔ 东京本地:     593 / 407 Mbps    ← 机房带宽（重装后改善）
VPS ↔ 深圳 凌晨:    307 Mbps (并发)   ← 凌晨 163 能跑的
VPS ↔ 深圳 白天:    60-80 Mbps        ← 白天 163 限速
Hy2 隧道 白天:      56-68 Mbps (单流) ← 实际代理上限
YouTube CDN 限速:   41-61 Mbps        ← CDN 对 VPS IP 给的

JP 节点分时段总结

时段	Google TLS	带宽
凌晨	120ms ±15	130 Mbps (aria2)
白天	95ms ±19	60-80 Mbps
晚高峰	未测	未测

JP 节点结论

延迟是真优势：白天 95ms，LA 的一半，20 次采样确认稳定
带宽够用但不富裕：白天 60-80Mbps，浏览/API/1080p 无压力，4K 可能偶尔卡
并发堆不上去：163 骨干限速特征，单线程反而最优
163 线路时段依赖性强：凌晨 130Mbps → 白天 60Mbps，晚高峰可能更差
性价比高：$34/年，月 500GB 流量够日常
重装系统后机房带宽改善：200Mbps → 593Mbps，之前可能是系统层面有问题

定位修订：不再是"备用"，而是延迟敏感场景的首选（浏览、API 调用、IM、网页交互），大带宽下载切 LA。建议规则分流：默认走 JP，YouTube/大文件切 LA。

双节点最终对比

	LA	JP
线路	AS9929 联通精品网	AS4134 电信 163 骨干
Google TLS	182ms	95ms
Hy2 带宽（白天）	300+ Mbps	60-80 Mbps
稳定性	±2.5ms	±19ms
丢包	0%	10%
价格	$13/月` \| `$2.81/月
优势	带宽大、稳定	延迟低
适合	大下载、YouTube 4K、稳定性要求高	浏览、API、IM、网页交互
建议	大文件/视频场景	日常默认

Hy2 晚高峰 UDP 封杀与应对（2026-05-09）

现象

晚高峰时段（~20:00-23:00），宽带（深圳电信）的 Hy2 全部节点阵亡，手机 5G 正常。确认是宽带运营商层面封 UDP，非全网封杀。

端口跳跃（Port Hopping）

服务端 iptables 将端口范围转发到 Hy2 监听端口，客户端连接时随机选端口并定期跳转，运营商难以精准封杀。

JP 节点已部署（Hy2 监听 8443）：

bash

iptables -t nat -A PREROUTING -p udp --dport 65000:65442 -j REDIRECT --to-ports 8443
iptables-save > /etc/iptables.rules
# 持久化：/etc/network/if-pre-up.d/iptables 开机恢复

Surge 客户端端口字段写 65000-65442。

Trojan TCP 回落

Hy2 全挂时的 TCP 保底方案。LA 节点已部署 Trojan（Xray inbound）：

端口：8444/TCP
密码：seesaw-trojan-2026
TLS 证书：复用 sub.seesaw.icu（Let's Encrypt）
UFW 已放行 8444/tcp

当前订阅节点

text

ByteVirt-JP-HY2    = hysteria2, JP-IP, 65000-65442  (端口跳跃)
ByteVirt-LA-HY2    = hysteria2, LA-IP, 8443         (固定端口)
TC-SV-HY2          = hysteria2, SV-IP, 8443         (固定端口)
ByteVirt-LA-Trojan = trojan, LA-IP, 8444            (TCP回落)

策略组：Proxy = select, ByteVirt-LA-HY2, ByteVirt-JP-HY2, TC-SV-HY2, ByteVirt-LA-Trojan, DIRECT

后续可选

LA / TC-SV 也加端口跳跃
改为 url-test 策略组自动切换（interval=300, tolerance=50）
IP 被封终极方案：VLESS + WebSocket + Cloudflare CDN（套 CF 续命，速度慢但能用）

VPS选购简报-大陆出海代理

大陆出海代理：VPS选型与部署

核心观点

候选方案对比

已排除方案

决策

部署实施（2026-04-30）

机器信息

网络实测

代理服务

架构

域名

安全加固

LA 节点完整部署清单

客户端配置

运维命令

性能测试（2026-04-30 ~20:00 晚高峰）

延迟对比（TLS 握手时间）

带宽对比

Hysteria2 为什么快

线路验证（mtr 回程）

TUN 协议栈选择（sing-box）

TUN 模式测量陷阱

最终结论

后续优化方向

JP 节点测试（2026-05-01 凌晨）

节点信息

线路追踪

iperf3 裸线路测试

Hy2 隧道内实测

凌晨（首次测试）

白天多次采样（2026-05-02，重装系统后）

JP 节点分时段总结

JP 节点结论

双节点最终对比

Hy2 晚高峰 UDP 封杀与应对（2026-05-09）

现象

端口跳跃（Port Hopping）

Trojan TCP 回落

当前订阅节点

后续可选

监控方案

关键概念

关联页面