首页动漫笔记友链关于

2026 自建节点实战:Mihomo AnyTLS 服务端部署指南

发布于 2026-06-20 14:20 1391 字 7 min read

饭饭 avatar

饭饭

饭饭的小窝,动漫评论与随笔分享

164 文章

7 分类

0 标签
首页 动漫 笔记
分类 归档
友链 关于
2026 FRP 反向代理搭建指南:SNI 分流与内网穿透实战2026 自建节点实战:Mihomo AnyTLS 服务端部署指南2026 自建节点实战:AnyTLS-Go 轻量服务端部署指南服务器自动部署Astro博客指南2026进阶443端口复用实战:Xray VLESS-Vision-REALITY 偷自己 + 反向代理回家指南使用 Cloudflare Workers 搭建安全的 Clash Proxy ProviderXray VLESS-Vision-REALITY 反向代理示例:远程端口映射,将公网入口端口映射到内网 Web 服务从零开始玩转 OpenWrt 2026:进阶网络架构与 Nikki 极速配置指南2026 自建节点实战:Xray VLESS-Vision-REALITY 部署指南AI 角色扮演进阶指南:从 SillyTavern 部署到 Telegram 接入从 WordPress 到 Astro 迁移记录ImmortalWrt固件overlay扩容安装指南基于mihomo内核的OpenWrt插件Nikki推荐yaml配置OpenWrt 插件 Passwall 推荐设置指南Cloudflare简易使用指南WordPress 网站向 Jekyll 静态博客迁移全记录OpenWrt 插件 OpenClash 推荐配置指南OpenWrt插件Passwall开启ipv6推荐配置OpenWrt插件Passwall推荐配置指南OpenWrt桥接后访问光猫方法PVE下快速更新OpenWrt固件方法群晖 Docker 容器版 Emby 添加弹弹 play 弹幕实战群晖 NAS 常用 Docker Compose 项目部署汇总群晖 Docker 开启 IPv6 双栈与 OpenWrt 协同配置指南群晖开启 macvlan 网络并通过 compose 命令安装 docker 指定 ip软路由刷 PVE 并安装 OpenWrt 折腾记录家庭网络布局:玩转 PT 与 Docker macvlan 避坑指南在本地运行 docker 连接 api 更稳定使用 chatGPT 服务网站添加石蒜模拟器OpenWrt建议设置(个人备份)家庭网络布局:群晖 VMM 虚拟机安装 OpenWrt 旁路由实战群晖种草教程——从玩机到佛系(自用备份版)一加3T手机刷机及安卓必备系统优化软件推荐利用 phpMyAdmin 指令将 WordPress 网站快速 HTTPS 化利用 Docker 快速安装 Aria2 + AriaNg 教程给 WordPress、Typecho、Emlog 等博客网站添加鼠标点击文字特效Windows 10 快捷方式小箭头去除与恢复指南自动化备份指南:利用 Dropbox Uploader 实现网站数据与 SQL 数据库同步Linux学习笔记(一)Linux学习笔记(二)建站之旅其一:一些想法建站之旅其二:从 VPS 科学上网到自建站的萌芽建站之旅其三:多次尝试与一次挫败建站之旅其四:常用命令与参考资料汇总
本文记录使用 Mihomo (Clash Meta) 内核自建 AnyTLS 私有代理的全流程。从下载二进制、ACME 自动申请 ECC 证书、到编写 AnyTLS 配置文件并注册为系统服务。整套方案兼顾高性能与简单维护,适合希望在单节点上快速搭建轻量魔法通道的用户。

一、 安装 Mihomo 内核

Mihomo 是 Clash Meta 内核的继任者,原生支持多种代理协议。本文选用 AnyTLS 协议进行部署——它是一个基于 TLS 的轻量隧道,配置直观,非常适合搭配自签或受信证书使用。

1.1 检查系统架构

首先确认你的 Linux 机器架构,以便下载对应的二进制文件:

uname -m

通常 VPS 输出为 x86_64,对应 amd64。若为 aarch64 请选择 arm64 版本。本文以 amd64 为例。

1.2 下载并安装二进制

进入临时目录,下载最新版 Mihomo(此处以 v1.19.27 为例,请自行替换为最新版本):

cd /tmp

# 下载 amd64 v3 版本(性能最优)
wget https://github.com/MetaCubeX/mihomo/releases/download/v1.19.27/mihomo-linux-amd64-v1.19.27.gz

# 解压
gzip -d mihomo-linux-amd64-v1.19.27.gz

# 重命名并移动到系统路径
sudo mv mihomo-linux-amd64-v1.19.27 /usr/local/bin/mihomo

# 赋予可执行权限
sudo chmod +x /usr/local/bin/mihomo

随后创建配置目录:

sudo mkdir -p /etc/mihomo

如果你的 VPS 缺少 wget,先执行 sudo apt install -y wget(Debian/Ubuntu)或 sudo yum install -y wget(CentOS)。

二、 申请 TLS 证书

AnyTLS 需要一对有效的证书与私钥。这里使用 acme.sh 通过 Cloudflare DNS 自动申请 Let’s Encrypt 泛域名证书,并直接安装到 /etc/mihomo

2.1 安装 acme.sh 并设置默认 CA

wget -O - https://get.acme.sh | sh
source ~/.bashrc
acme.sh --set-default-ca --server letsencrypt

2.2 使用 Cloudflare DNS 签发证书

先获取你的 Cloudflare API Token(需具备 Zone DNS Edit 权限),然后设置环境变量并签发:

export CF_Token="你的Cloudflare_API_Token"
acme.sh --issue -d example.com -d '*.example.com' --dns dns_cf --keylength ec-384 --force

这一步会在后台等待 DNS 验证,通常 30 秒内完成。泛域名证书会同时覆盖 example.com*.example.com

2.3 安装证书到指定目录

切换至 root 身份,将证书与私钥复制到 Mihomo 配置目录:

sudo -i
acme.sh --installcert -d example.com -d '*.example.com' --ecc --fullchain-file /etc/mihomo/fullchain.pem --key-file /etc/mihomo/privkey.key
acme.sh --upgrade   # 可选:升级 acme.sh 到最新版

完成后,证书路径为(由于 mihomo 权限限制,这里的路径必须为/etc/mihomo或其下子文件夹内):

  • 证书:/etc/mihomo/fullchain.pem
  • 私钥:/etc/mihomo/privkey.key

三、 编写 Mihomo 配置

3.1 基础配置文件

使用编辑器创建配置文件:

sudo nano /etc/mihomo/config.yaml

填入以下内容(请务必修改密码及域名):

ipv6: true
log-level: warning

rules:
  - MATCH,DIRECT

listeners:
  - name: JP-oracle
    type: anytls
    port: 65443
    listen: "::"
    users:
      你的用户名: 你的强密码
    certificate: /etc/mihomo/fullchain.pem
    private-key: /etc/mihomo/privkey.key

3.2 注册 Systemd 服务

为了让 Mihomo 持久化运行,需要创建一个 systemd 单元文件:

sudo nano /etc/systemd/system/mihomo.service

粘贴以下配置:

[Unit]
Description=mihomo Daemon, Another Clash Kernel.
After=network.target NetworkManager.service systemd-networkd.service iwd.service

[Service]
Type=simple
LimitNPROC=500
LimitNOFILE=1000000
CapabilityBoundingSet=CAP_NET_ADMIN CAP_NET_RAW CAP_NET_BIND_SERVICE CAP_SYS_TIME CAP_SYS_PTRACE CAP_DAC_READ_SEARCH CAP_DAC_OVERRIDE
AmbientCapabilities=CAP_NET_ADMIN CAP_NET_RAW CAP_NET_BIND_SERVICE CAP_SYS_TIME CAP_SYS_PTRACE CAP_DAC_READ_SEARCH CAP_DAC_OVERRIDE
Restart=always
ExecStartPre=/usr/bin/sleep 1s
ExecStart=/usr/local/bin/mihomo -d /etc/mihomo
ExecReload=/bin/kill -HUP $MAINPID

[Install]
WantedBy=multi-user.target

保存后重载配置并启动服务:

sudo systemctl daemon-reload
sudo systemctl enable mihomo
sudo systemctl start mihomo

3.3 检查运行状态

确认服务正常运行:

sudo systemctl status mihomo

若看到 active (running) 且无报错,说明启动成功。查看最新日志可用:

journalctl -u mihomo -n 20 --no-pager

如需修改配置,只需 sudo systemctl reload mihomo 即可热重载。

四、 防火墙与客户端

4.1 防火墙放行端口

如果开启了 ufw,执行:

sudo ufw allow 65443/tcp

同时记得确保云服务商的安全组/防火墙也已放行该端口。

4.2 客户端连接示例

在支持 AnyTLS 的客户端(如 Mihomo 自身、FlClash、某些 Clash Meta 分支)中,节点配置格式如下:

anytls://你的密码@mihomo.example.com:65443?skip-cert-verify=false#日本-oracle

参数解释:

  • 你的密码:必须与配置文件中 users 的密码一致。
  • mihomo.example.com:替换为你的域名,必须与证书匹配,且 DNS 解析到服务器。
  • 65443:监听端口。
  • skip-cert-verify=false:因为是受信 Let’s Encrypt 证书,建议保持为 false 以验证证书有效性。

4.3 优化小贴士

  • 开启 BBR 加速:跨国连接时,BBR 能显著提升吞吐量:
# 添加参数配置文件并指定开启 BBR
sudo nano /etc/sysctl.d/99-bbr.conf
# 把下面的内容添加进去
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
# 读取配置,使 BBR 设置生效
sudo sysctl --system
# 确认BBR开启,此时应该返回这样的结果:net.ipv4.tcp_congestion_control = bbr
sysctl net.ipv4.tcp_congestion_control
# 如果你在疑惑这个 ipv4,无需在意,只是历史命名遗留,实际上对 ipv6 也是生效的。
# 如果你想确认 fq 算法是否正确开启,可以使用下面的命令,此时应该返回这样的结果:net.core.default_qdisc = fq
sysctl net.core.default_qdisc
  • 自动续签证书:acme.sh 默认会添加 cron 任务自动续签,可使用 crontab -l 查看。续签后需要手动 reload mihomo 来加载新证书,可在 /etc/mihomo/ 下写一个续签钩子脚本,但最简单的方式是定期重启服务。

4.4 停止服务并卸载

如果将来不再需要该节点,可以干净地移除所有相关文件:

  1. 停止并禁用服务 
    sudo systemctl stop mihomo
sudo systemctl disable mihomo
  2. 删除 systemd 单元文件并重载 
    sudo rm /etc/systemd/system/mihomo.service
sudo systemctl daemon-reload
  3. 移除二进制程序 
    sudo rm /usr/local/bin/mihomo
  4. 删除配置与证书目录(若不再需要证书可一并清除) 
    sudo rm -rf /etc/mihomo
  5. (可选)卸载 acme.sh 如果不再使用 acme.sh 管理其他证书,可彻底移除: 
    acme.sh --uninstall
rm -rf ~/.acme.sh
    注意执行卸载后会提示删除相关 cron 任务。

安全建议:在执行删除前,建议备份 /etc/mihomo/config.yaml 与证书,以备日后恢复或迁移。

希望这篇博文能帮到同样在折腾的小伙伴!欢迎在评论区交流。

喜欢的话,留下你的评论吧~