让 AI 帮你搭梯子:全程脱手,比商业的还稳
最近这波封禁的强度明显升级,X 上一片生灵涂炭。看到有好多朋友在求教程,就写一下自己的搭建经验。
自建 梯子 的门槛现在低得不行。有了 AI 工具之后,从买服务器到能用,全程不到 2 小时。我最近用 Trojan + sing-box 搭了一套,大部分配置都是 Codex 生成的。
不想看理论的可以直接跳到第四部分。
成本:
- VPS: $5-10/月(Vultr/DO/Linode)
- 域名:$10-15/年(.com/.net,推荐 Cloudflare / GoDaddy)
- 时间:1-2 小时(首次搭建)
1. 加密流量为什么反而更容易被识别
我最早用的是 sing-box 默认配置,当时想的是“数据都加密了,应该安全”。用了半个月,IP 被运营商封了。换了台 VPS,同样配置,又是半个月,再次被封。
这时候才意识到问题不在服务器,而在协议本身。
审查系统不需要解密你的数据,只需要看流量模式。
正常浏览网页的流量是“一问一答”式的:你点一下,服务器返回一堆数据(HTML、图片、CSS),然后停顿,再点再返回。数据包大小不均匀,有明显的节奏。
加密代理的流量完全不同:持续双向传输,数据包大小相对均匀,没有明显的“请求-响应”模式。即使外层套了 TLS,但 TLS 握手时的加密套件选择、扩展字段等细节,和主流浏览器的行为对不上。
深度包检测(DPI)一扫就能识别出“这是代理流量”,然后直接封 IP。我那两台服务器就是这么没的。
这里的核心矛盾是: 加密是为了隐藏内容,但加密本身成了最明显的特征。传统 梯子 协议(WireGuard、Shadowsocks)都有这个问题——它们试图“隐藏”,但“隐藏”这个动作本身就暴露了意图。
2. Trojan 的对抗逻辑:不隐藏,而是伪装
Trojan 的设计思路不是“让审查系统看不到”,而是“让审查系统看到的东西和正常 HTTPS 完全一样”。
具体做法:
- 用真实的 TLS 证书 不是自签名证书,而是 Let‘s Encrypt 这种正规 CA 签发的。从外部看,就是个有 HTTPS 的正经网站。
- 443 端口 + 标准握手 和你访问银行网站、购物网站用的完全一样的端口和协议。
- 回落机制(Fallback) Trojan 客户端连接(带正确密码)→ 正常代理 普通浏览器访问(没密码)→ 显示一个正常网页审查系统直接访问你的服务器时,看到的就是个普通网站,而不是“连接被拒绝”或者异常响应。
- 流量特征一致 因为外层就是标准 HTTPS,所以流量模式、TLS 指纹、证书链,和访问任何正规网站没有区别。
这个逻辑的关键在于: 审查系统要封锁 Trojan,就得把所有“看起来像正常 HTTPS”的流量都封掉——这基本不可能,因为那会把半个互联网都封了。
换个角度说,传统加密代理是“穿着黑衣服戴墨镜”,虽然看不清脸,但一眼就知道你在隐藏什么。Trojan 是“穿西装打领带拿公文包”,混在上班人群里,完全看不出异常。
我换成 Trojan 之后,到现在用了几个月,一直稳定。
3. AI 工具改变了什么
以前自建 梯子 的门槛很高:你得懂 Linux 命令、会写配置文件、知道怎么申请证书、能排查网络问题。听了就脑壳疼。
现在的情况是:你只需要会写 Prompt。
部署门槛的降低
整个搭建流程可以拆成几个明确的步骤:服务器初始化、证书申请、sing-box 配置、伪装网站、客户端配置。每一步都可以用一个 Prompt 让 AI 生成完整的脚本或配置文件。
比如配置 sing-box,你只需要告诉 AI:
“生成 sing-box 服务端配置:Trojan 协议、443 端口、证书路径 /etc/letsencrypt/live/your-domain.com/、密码【你的强密码】、回落到 127.0.0.1:80。同时生成客户端配置,智能分流规则(国内直连、国外走代理)。”
AI 会给你一个完整的 JSON 配置文件,包括服务端、客户端、systemd service 文件。你不需要理解每个参数的含义,只需要知道“我想要什么效果”。
4. 实际搭建流程
如果你决定动手,核心流程是这样的:
1. 服务器初始化
问 AI:
“Ubuntu 22.04 VPS 初始化脚本:系统更新、非 root 用户、SSH 密钥登录、防火墙开 22/80/443、安装 curl/wget/git/nginx/certbot”
2. 域名 + 证书
买个普通域名,解析到服务器 IP。
问 AI:
“用 certbot 申请 Let‘s Encrypt 证书,域名
,standalone 模式,配置自动续期“
3. 配置 sing-box
问 AI:
“生成 sing-box 完整配置:服务端(Trojan、443 端口、证书路径 xxx、密码 xxx、回落到 127.0.0.1:80)+ 客户端(智能分流规则)+ systemd service 文件”
4. 伪装网站
问 AI:
“nginx 配置,80 端口提供简单静态页面,看起来像个人博客”
5. 客户端
不同平台用不同软件:
- Windows/iOS: Clash Verge
- Android: Clash Meta
- Mac: Clash Verge / ClashX
问 AI:
“生成 Clash 客户端配置:服务器地址
、端口 443、Trojan 协议、密码 xxx、智能分流规则(国内直连、国外走代理)“
导入配置后,客户端一般都自带连接测试,测一下延迟和可用性就行。
5. 一个建议
搞定后,让 AI 生成一份维护文档:
“生成维护文档:服务器信息、域名、密码、常用命令(启动/停止/查看日志/更新证书)、故障排查步骤”
这份文档以后维护时会很有用。
6. 进阶:Cloudflare CDN (可选)
如果担心 VPS IP 被墙,可以加一层 Cloudflare CDN。
原理:
- 流量先到 Cloudflare 的 CDN 节点(几百个 IP,很难全封)
- 再从 CDN 转到你的真实服务器
- 即使 IP 被探测到,暴露的也是 CDN IP
需要改动:
Trojan 改用 WebSocket 传输(让流量能走 HTTP/HTTPS, Cloudflare 才能代理)。
问 AI:
“修改 sing-box 配置,Trojan over WebSocket,路径 /your-secret-path。给出服务端和客户端的完整配置。”
然后在 Cloudflare 设置:
- 域名托管到 Cloudflare
- 添加 A 记录指向服务器 IP
- 开启橙色云朵(Proxied)
- SSL/TLS 模式选 “Full (strict)”
- Network 设置里开启 “WebSockets”
权衡:
✅ 真实服务器 IP 不会暴露 ✅ 可以“复活”被墙的 VPS ✅ 即使被探测,封的也是 CDN IP
⚠️ 速度会比直连慢 20-30% ⚠️ Cloudflare 免费版有流量限制 ⚠️ WebSocket 模式下性能略低于原生 TLS
这个方案适合对稳定性要求高、不在意速度损失的场景。对于日常使用,直连 Trojan 已经足够稳定。
7. 几个要注意的点
安全:
- 密码用 openssl rand -base64 32 生成,至少 20 位
- 定期 apt update && apt upgrade
稳定性:
- 准备 2-3 台不同地区的服务器作为备用
成本控制:
- 别分享给太多人,流量暴涨会被盯上
- 需要多用户?让 AI 生成多用户配置 + 流量限制规则