Linux翻墙指南

在 Linux 系统下科学上网的可行性依然非常高,但和 Windows/macOS 相比,用户体验上存在明显的差距,主要体现在客户端生态和配置便利性上。Linux 平台更偏向底层和命令行,缺乏完全统一且好用的图形界面(GUI)客户端。因此,理解其核心原理、掌握精细化配置,对于在 Linux 下获得高速、稳定的翻墙体验至关重要。

Linux 翻墙现状与核心痛点

  • VPN 协议分化明显:传统的安全 VPN 协议,如 OpenVPN,在中国大陆早已被防火墙(GFW)实现精准的深度包检测(DPI)并实行阻断,单独直连极不稳定;而 WireGuard 虽然精简且性能极佳,但由于其特征明显且没有内置混淆,直连也极易遭到封锁,常需配合 Warp 或混淆手段使用。
  • 现代主力协议崛起:目前在 Linux 下最抗封锁且性能卓越的主力协议,是 VLESS-XTLS-Reality(直接模拟真实国外主流网站的 TLS 握手,无特征特征)、Hysteria 2(基于自研 UDP/QUIC 协议,在恶劣网络环境下抗丢包和高延迟提速表现极其霸道)以及 TUIC v5(同样基于 QUIC 的现代高性能协议)。
  • 客户端生态大洗牌:曾经风靡一时的 Qv2ray 已经停止维护多年。现在的 Linux 客户端生态,命令行内核以 Sing-boxMihomo(原 Clash-Meta) 处于绝对统治地位;而图形化(GUI)客户端则演进为以 v2rayANekoray 以及 Clash Nyanpasu / Clash Verge Rev 为代表的现代工具。
  • “系统代理”的局限性:在 Linux 中,直接使用 export http_proxy 只能代理终端里支持该环境变量的命令(如 curl、wget)。但很多常用软件(如 git、docker、apt-get、go、npm 等)经常会绕过这些变量,且 ping(ICMP 流量)完全无法通过 SOCKS5/HTTP 代理。因此,TUN 模式(透明代理 / 虚拟网卡) 成为 Linux 用户最完美、最一劳永逸的终极方案。

总结: Linux 翻墙需要用户有一定的命令行基础,但只要选对工具并配置好 TUN 模式,你就能获得比 Windows/macOS 更加稳定、极速且可控的科学上网环境。不想动手的技术小白建议直接考虑商用VPN

2026 Linux 主流客户端及 GUI 工具推荐

针对不同需求的用户,我们梳理了目前 Linux 平台上体验最好、维护最活跃的四大客户端方案:

1. v2rayA(强烈推荐,零配置全自动系统代理)

这是目前最适合 Linux 用户的全能代理客户端,没有之一!它拥有一个精美的 Web 网页后台(默认 http://localhost:2017),无论是 Linux 桌面端用户还是无图形界面的 Headless 服务器、树莓派用户,都可以通过浏览器轻松管理。

  • 优点: 极其简单省心。原生支持一键开启“透明代理 / 系统代理”(基于 iptables / nftables 或 TUN 模式),无需手动修改系统网络配置。完美支持各种机场订阅、VMess、VLESS(支持 Reality)、TrojanShadowsocks 等主流协议,自带强大的分流规则。
  • 缺点: 二进制文件和后台服务占用内存比极简命令行稍高。
  • 适用场景: 不想折腾复杂 JSON 配置文件,想要像 Windows 一样“一键全局/分流翻墙”的普通用户和极客。

2. Nekoray(基于 Qt 的强大桌面端)

如果你在 Linux 桌面环境(Ubuntu、Arch、Fedora)下寻找类似 v2rayN 的图形客户端,Nekoray 是目前的首选。它基于 Qt 开发,内置 Sing-boxXray 两大最强内核。

  • 优点: 界面直观,功能全面;完美支持新一代协议(如 Reality、Hysteria 2);支持一键开启系统代理和 TUN 虚拟网卡模式,自带路由分流配置。
  • 缺点: Electron/Qt 应用在部分轻量级 Linux 桌面(如 XFCE)或非 X11 环境下可能存在小兼容问题。
  • 适用场景: 习惯传统 GUI 窗口式客户端的 Linux 桌面端用户。

3. Clash Nyanpasu / Clash Verge Rev(主流机场首选)

在原 Clash 删库后,社区迅速推出了基于 Mihomo (Clash Meta) 内核的全新客户端。其中,Clash Nyanpasu 和 Clash Verge Rev 依旧维持着极高频的更新,完美适配 Linux 桌面环境。

  • 优点: 完美兼容旧版的 Clash 配置格式,支持通过拖拽或复制一键导入各大机场订阅;界面极其华丽,内置强大的 Mihomo 新协议支持,TUN 模式开启极为顺畅。
  • 缺点: 作为 Electron 应用,体积较大,运行内存消耗偏高。
  • 适用场景: 手里有多个机场订阅、平时主要在桌面版 Linux 使用的日常翻墙用户。

4. Sing-box / Mihomo 命令行核心(极客与自建首选)

直接在终端下运行二进制文件,通过 Systemd 进行守护进程管理,这是最能发挥 Linux 极致性能与安全性的翻墙方式。

  • 优点: 极度轻量,内存占用常常只有十几 MB;无任何 GUI 冗余包,运行稳定性长达数月乃至数年不中断;对协议的底层定制性达到极致。
  • 缺点: 没有图形界面,用户必须手动编写 JSON / YAML 配置文件,学习曲线陡峭。
  • 适用场景: 追求极致精简、有长期无人值守运行需求的 Linux 服务器或 Linux 高级技术玩家。

Linux 常见翻墙方案安装与保姆级配置

接下来,我们将提供三种在 Linux 下最推荐的实操部署方案。你可根据自身偏好选择其一即可:

方案 A:v2rayA —— 零配置透明代理(小白及懒人神器)

v2rayA 最大的魅力在于无需手写配置,只需一行命令安装,就可以通过网页后台进行全自动透明代理和国内直连。以下是 Debian/Ubuntu 系统的安装方式:

# 1. 导入 apt 证书及安装源
sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://apt.v2raya.org/key/public-key.asc | sudo gpg --dearmor -o /etc/apt/keyrings/v2raya.gpg
echo "deb [signed-by=/etc/apt/keyrings/v2raya.gpg] https://apt.v2raya.org/ v2raya main" | sudo tee /etc/apt/sources.list.d/v2raya.list

# 2. 更新列表并安装 v2rayA 以及优秀的 Xray 核心
sudo apt update
sudo apt install v2raya xray

# 3. 启动并开启开机自启
sudo systemctl enable --now v2raya

使用步骤:

  1. 打开浏览器,访问 http://localhost:2017
  2. 首次进入会提示创建管理员账号和密码。
  3. 点击左上角的“Import”按钮,输入你的机场订阅链接,或者点击“Create”手动添加你的自建节点(如 Reality 链接)。
  4. 导入成功后,在节点列表中,选中想要连接的节点(可以多选,右键设置为负载均衡或备用)。
  5. 点击右上角的“Setting”设置,进行关键分流配置:
    • Address Selection (地址选择):推荐选择“Rules (分流规则)”或“Routing (智能路由)”,这样国内流量和 IP 会直连,国外流量走代理,省流且国内访问不减速。
    • Transparent Proxy (透明代理):勾选“Enabled (启用)”。这样 v2rayA 将自动接管整个 Linux 系统的全部网络流量(无需浏览器插件,git、curl、docker 一键即通)。
  6. 设置完成后,点击左上角醒目的“Start”启动代理,即可开始完美上网!

方案 B:Mihomo(原 Clash-Meta)—— 极客命令行与机场订阅首选

Clash-Meta 已正式更名为 Mihomo。它支持 VLESS + Reality 握手,并且对旧的 Clash 配置保持完美向下兼容。以下是在 Linux 命令行下最安全、最高效地部署 Mihomo 内核的方法:

1. 安全化安装

为了保障 Linux 系统的网络安全,我们强烈建议不要以 root 权限运行代理进程。我们创建一个受限的 mihomo 用户,只给予其必要的网络管理权限(Capability):

# 创建受限系统用户和配置文件夹
sudo useradd -r -s /usr/sbin/nologin mihomo
sudo mkdir -p /etc/mihomo

# 下载 Mihomo 官方最新二进制包(以 AMD64 兼容版为例)
wget https://github.com/MetaCubeX/mihomo/releases/latest/download/mihomo-linux-amd64-compatible -O mihomo
chmod +x mihomo
sudo mv mihomo /usr/local/bin/mihomo

# 将配置目录所有权转给该受限用户
sudo chown -R mihomo:mihomo /etc/mihomo

2. 精巧的 Systemd 服务守护配置

我们配置 Systemd 守护进程。通过 AmbientCapabilities 关键字,即便 mihomo 用户不是 root 权限,系统也将破例授予其操作 TUN 虚拟网卡(CAP_NET_ADMIN)和绑定特权端口(CAP_NET_BIND_SERVICE)的特殊权力:

sudo nano /etc/systemd/system/mihomo.service

写入以下标准 Systemd 守护配置:

[Unit]
Description=Mihomo Daemon - Rule-based Tunnel in Go
After=network.target network-online.target nss-lookup.target

[Service]
Type=simple
User=mihomo
Group=mihomo
WorkingDirectory=/etc/mihomo
ExecStart=/usr/local/bin/mihomo -d /etc/mihomo
Restart=always

# 授予网络特权,避免直接以 Root 运行
AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
Capabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE

[Install]
WantedBy=multi-user.target

3. 配置文件准备

你只需将你机场订阅下载下来的 Clash YAML 格式配置文件重命名为 config.yaml 并放置在 /etc/mihomo/config.yaml 中即可。你可以通过设置其 TUN 模块参数:

tun:
  enable: true
  stack: system
  auto-route: true
  auto-detect-interface: true

配置放置好后,修改所有者权限,即可开机自启并启动它:

sudo chown mihomo:mihomo /etc/mihomo/config.yaml
sudo systemctl enable --now mihomo

方案 C:Sing-box —— 全协议覆盖与超强极客自建方案

Sing-box 是当下最先进、抗丢包表现最好的科学上网内核,对 Reality、Hysteria 2、TUIC v5 的集成度达到极境。以下是安装及极客 TUN 模式配置:

1. 极简安装(APT 官方源方式)

# 导入 Sing-box 官方源证书
sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://sing-box.pages.dev/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/sing-box.gpg
echo "deb [signed-by=/etc/apt/keyrings/sing-box.gpg] https://deb.sagernet.org/ sing-box main" | sudo tee /etc/apt/sources.list.d/sing-box.list

# 安装并启动
sudo apt update
sudo apt install sing-box

2. 精美、防泄露的客户端 JSON 完美模板

在 Linux 下使用 Sing-box 最头疼的莫过于复杂的 JSON 结构。为此,我们设计了一个集成了 TUN 透明代理、防止 DNS 环路与 DNS 污染泄露、国内直连分流、屏蔽网页广告的终极客户端模板。将以下内容修改后保存至 /etc/sing-box/config.json

{
  "log": {
    "level": "info",
    "timestamp": true
  },
  "dns": {
    "servers": [
      {
        "tag": "dns_proxy",
        "address": "https://8.8.8.8/dns-query",
        "detour": "proxy"
      },
      {
        "tag": "dns_direct",
        "address": "223.5.5.5",
        "detour": "direct"
      },
      {
        "tag": "dns_block",
        "address": "rcode://success"
      }
    ],
    "rules": [
      { "outbound": "any", "server": "dns_direct" },
      { "clash_mode": "Direct", "server": "dns_direct" },
      { "clash_mode": "Global", "server": "dns_proxy" },
      { "geosite": "category-ads-all", "server": "dns_block" },
      { "geosite": "cn", "server": "dns_direct" }
    ],
    "final": "dns_proxy",
    "independent_cache": true
  },
  "inbounds": [
    {
      "type": "tun",
      "tag": "tun-in",
      "interface_name": "singtun0",
      "inet4_address": "172.19.0.1/30",
      "auto_route": true,
      "strict_route": true,
      "stack": "system",
      "sniff": true,
      "sniff_override_destination": true
    }
  ],
  "outbounds": [
    {
      "type": "vless",
      "tag": "proxy",
      "server": "YOUR_SERVER_IP_OR_DOMAIN",
      "server_port": 443,
      "uuid": "YOUR-UUID-KEY-HERE",
      "flow": "xtls-rprx-vision",
      "tls": {
        "enabled": true,
        "server_name": "images-assets.nasa.gov",
        "utls": { "enabled": true, "fingerprint": "chrome" },
        "reality": { "enabled": true, "public_key": "YOUR_PUBLIC_KEY", "short_id": "YOUR_SHORT_ID" }
      }
    },
    {
      "type": "hysteria2",
      "tag": "hysteria-proxy",
      "server": "YOUR_SERVER_IP_OR_DOMAIN",
      "server_port": 8443,
      "password": "YOUR_HYSTERIA_PASSWORD",
      "tls": { "enabled": true, "server_name": "www.bing.com", "utls": { "enabled": true, "fingerprint": "chrome" } }
    },
    { "type": "direct", "tag": "direct" },
    { "type": "block", "tag": "block" },
    { "type": "dns", "tag": "dns-out" }
  ],
  "route": {
    "geoip": { "download_url": "https://github.com/SagerNet/sing-geoip/releases/latest/download/geoip.db" },
    "geosite": { "download_url": "https://github.com/SagerNet/sing-geosite/releases/latest/download/geosite.db" },
    "rules": [
      { "protocol": "dns", "outbound": "dns-out" },
      { "geosite": "category-ads-all", "outbound": "block" },
      { "geoip": "private", "outbound": "direct" },
      { "geoip": "cn", "outbound": "direct" },
      { "geosite": "cn", "outbound": "direct" }
    ],
    "final": "proxy",
    "auto_detect_interface": true
  }
}

注意项: 将模板中的 YOUR_SERVER_IP_OR_DOMAIN 等参数替换为你自己的实际节点参数,不使用的出站节点(例如不需要 Hysteria 2 节点)可以直接将大括号段落删除。

启动并让 Sing-box 开机自动加载运行:

sudo systemctl enable --now sing-box

常见踩坑 FAQ 与终极网络调优

1. 启用 TUN 模式后无法解析域名、断网怎么办?

这是 Linux 下使用透明代理最常见的痛点。通常是由 DNS 环路 造成的(例如代理程序为了发送节点流量,必须要解析代理节点的域名;而域名解析请求由于被系统拦截再次塞入代理,导致无限循环断网)。
完美解法:
在 Mihomo 或 Sing-box 客户端配置中,必须将真实物理网卡检测打开,即 auto_detect_interface: true,这样内核在发送节点流量时,代理程序能够自主穿透 TUN 直接与宿主机外部物理网口通信,跳出死循环。

2. 如何解决 systemd-resolved 占领 53 端口的冲突?

现代 Ubuntu 和 Fedora 会默认启动 systemd-resolved 监听 127.0.0.53:53 端口。如果你想将系统的 DNS 请求全部交由 Sing-box 或 Mihomo 接管分流,防止 DNS 泄露,请在 Sing-box 的 TUN inbound 配置里确保:
"strict_route": true 选项已开启,同时把它的 DNS 服务地址绑定为虚拟网卡的 DNS IP 即可。Sing-box 将会自动在系统全局修改 /etc/resolv.conf 以完美引导 DNS 流量。

2026年 Linux 商用 VPN 选项深度评测

若你觉得手动部署和配置命令行、Web GUI 客户端依旧过于繁琐,希望得到专门团队维护、无需担心配置的技术支持,选择商用 VPN 选项是最简单、省心的路线:

1. Astrill

  • 深度点评: 长期以来针对中国复杂网络环境进行深度优化的绝对王者。它提供专用的 StealthVPN 以及 OpenWeb 等纯自研防检测协议。而且难能可贵的是,Astrill 提供了专门的 Linux 图形界面(GUI)客户端,极其美观稳定。
  • 优点: 抗封锁能力无解,针对中国敏感时期表现极稳,提供系统全局代理和应用分流。
  • 缺点: 售价相当昂贵,基本是商用 VPN 里最贵的。
  • 适用人群: 预算充足、需要极高稳定性的重度 Linux 开发者。
  • 直达链接: Astrill 官网

2. 12VPN / 12VPX

  • 深度点评: 一家由香港背景团队运营的老牌高口碑服务商,专注于中国大陆市场。它不仅提供自己轻量的客户端,还专门为 Linux 用户提供了极度友好的裸配置文件(如 OpenVPN、WireGuard、Shadowsocks 甚至 VMess 配置),可以直接无缝导入到 Linux 自身的 NetworkManager 或我们上述的 Sing-box、Mihomo 内核中。
  • 优点: 兼容性奇佳,可以直接当作“节点供应商”导入到我们常用的 Linux 开源客户端,抗敏感时期能力良好。
  • 缺点: 纯节点和路线数量相比国际大厂偏少,价格属于中高端。
  • 适用人群: 想要稳定保障,同时又希望能利用 Linux 裸配置深度定制自己网络结构的极客。
  • 直达链接: 12VPN / 12VPX 官网

3. ExpressVPN

  • 深度点评: 享誉世界的超级老牌 VPN 大厂。虽然在中国的可用性相较于前两者要经历更多波折,但其全球节点储备无敌,并提供了一个专门的 Linux CLI(命令行)客户端。该客户端支持 Network Lock(网络锁定 / 杀手开关),能确保在 VPN 意外断开时彻底封锁出站流量,绝不暴露你的真实 Linux IP 地址。
  • 优点: 全球服务器遍布,其自主研发的 Lightway 协议速度较快,CLI 交互体验极佳。
  • 缺点: 在中国容易受到敏感时期的干扰,波动相对频繁。
  • 适用人群: 经常需要连接小众国家节点,或临时来华出差的外国开发者。
  • 直达链接: ExpressVPN 官网

4. NordVPN

  • 深度点评: 主打极致隐私和军工级安全保护的国际头部 VPN。拥有体验出色的 Linux CLI 原生命令行程序。需要注意的是,其默认的原生 NordLynx 协议直接连中国防火墙很容易被阻断,国内用户需要手动切换至它的“Obfuscated Servers(混淆服务器)”模式才能保障连接。
  • 优点: 安全属性极高,支持双重 VPN。
  • 缺点: 在国内直连可用性中等,敏感时期需要花心思手动找可用节点。
  • 直达链接: NordVPN 官网

5. Surfshark

  • 深度点评: 国际知名的超高性价比首选,支持不限量的设备数量同时在线。但在 Linux 系统下的中国大陆可用度偏低,且连接步骤较多,比较适合有境外服务器连接需求、或本身在国外使用的 Linux 用户。
  • 直达链接: Surfshark 官网

总结推荐:Linux 商用 VPN 实用度推荐排行

  • 极致稳定首选: Astrill(针对国内优化最好、提供极佳的 Linux GUI 图形应用,缺点是贵)。
  • 裸配置自由度最高: 12VPN / 12VPX(高度适配开源内核与系统原生 NetworkManager,客服技术力强)。
  • 大厂应急备用: ExpressVPN(全球网络覆盖广,Linux 命令行客户端稳定,但容易抽风)。
  • 补充: NordVPN / Surfshark(适合主要在国外、偶尔回国或作备用防护的用户)。
本文作者

墙妈妈

墙妈妈编辑部由一群资深网络安全工程师、前网络运营商(ISP)运维专家和数字隐私倡导者组成。自2019年成立以来,我们专注于全球VPN、网络安全及防封锁代理工具的深度实测。我们恪守‘独立客观、真机实地测试’的执业准则,竭诚为读者提供最可信赖的网络安全、个人隐私及科学上网指南。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注


Scroll to Top