在上一篇教程中，小白教大家白嫖了 Cloudflare 的免费节点。

但很多小伙伴在后台跟我抱怨：“白天挺好，一到晚高峰看 4K 视频就卡成 PPT，还动不动就断联！”

其实，免费的午餐虽然香，但它就像是一个“免费的公共停车场”。用的人少时很爽，一旦到了高峰期，不仅堵得水泄不通，万一里面有个别违规用户，整个停车场都会被平台“连坐”查封。

如果你追求的是“生产力级别”的稳定，不想在搞跨境电商、看视频或用 ChatGPT 时频繁跳出验证码，那咱们必须得自己搞一套！

今天，小白带大家从零开始，构建一套“纯净度高、隐身性强”的私有专属节点。我们将打出一套组合拳：

1. 独享大带宽：租用海外专属 VPS，你的网速你做主。
2. 流量完美隐身：部署抗封锁极强的 Reality 协议，给数据穿上“合法外衣”。
3. 终极安全加固：一招封死 WebRTC 后门，彻底隐藏本地真实 IP。

就算你完全不懂代码，只要跟着下面的步骤复制粘贴，10 分钟也能实现网络自由。直接开整！

1.前期准备（你需要用到的工具）

在正式动手前，请准备好以下几样东西：

• 必备：DigitalOcean 账号。我们的海外云服务器提供商，按秒计费，支持支付宝，对新手极其友好。（预算充足追求极致速度的，也可选 DMIT）。
• 必备：Spaceship 账号。用于购买便宜的独立域名。
• 必备：Termius 软件。免费好用的 SSH 远程连接工具（支持 Win/Mac）。
• 必备：Cloudflare 账号。用于免费托管并解析我们的域名。
• 可选：代理客户端。如 v2rayN（Windows）或 Clash，用于最后导入节点测试。

2. 核心搭建步骤：10分钟零基础实操

在海外找一个绝对忠诚的“接应员”（VPS），让它 24 小时为你代收代发网络包裹，这就是我们接下来要干的事。

步骤 1：雇佣海外“接应员”（选购 VPS）

首先，我们要去云服务商那里买一台专属的“云电脑”。

1. 打开 DigitalOcean 官网，用 Google 或 GitHub 账号一键登录。
2. 在主页点击 「Create」，选择 「Droplets」（也就是创建云服务器）。
3. 位置 (Region)：推荐选美国纽约，或者旧金山、新加坡。
4. 系统 (Image)：强烈推荐选 Ubuntu，版本保持默认（兼容性最好，最稳）。
5. 配置 (Size)：对于个人节点，选最低配的 Basic 即可（1核/512MB内存/500GB流量），一个月只要 4 美金（约一杯奶茶钱）。
6. 设置密码（接头暗号）：在下方 Authentication Method 选择 Password，输入一个包含大小写字母和数字的复杂密码。⚠️务必牢记这个密码，后面登录全靠它！
7. 绑定支付宝扫码付款，点击底部的 「Create Droplet」。

恭喜，你的专属海外服务器正式上线！请在后台把它的公网 IP 地址复制下来。

步骤 2：远程连接云电脑并做“体检”

服务器买好了，接下来我们要跨过大海连上它，给它做个系统更新。

1. 打开下载好的远程软件 Termius，点击新建 SSH 连接（New Host）。
2. Address (地址)：填入你刚才复制的 VPS 公网 IP。
3. Username (用户名)：统一填小写的 root。
4. Password (密码)：输入你刚才设置的“接头暗号”。
5. 点击连接（Connect）。看到满屏的英文字符出现，就说明登录成功了。
6. 复制下方这行代码，粘贴进去并回车（如果中间弹窗提示，一路回车即可）： apt update && apt upgrade -y
7. 让它在后台自己跑着更新，我们去干下一步。

步骤 3：花 5 块钱买个伪装外壳（域名购买与托管）

为了让我们的私有流量看起来像是在访问正常的网站，我们需要一个独立域名。

1. 打开 Spaceship 官网 注册账号。
2. 在首页随便搜索 6 位数字加上 .xyz 后缀（例如 135600.xyz），加入购物车。一年不到 5 块钱，用支付宝结账买下。
3. 避坑指南：买完后去“域名管理器”，把 自动续费关闭。
4. 打开 Cloudflare 官网，点击添加站点，输入你刚买的域名，选择免费计划。
5. 一路点继续，直到 CF 给你分配两个 名称服务器（NS 地址）。
6. 把这两个 NS 地址复制，回到 Spaceship 的域名设置里，选择 「自定义名称服务器」 并粘贴进去保存。
7. 回到 Cloudflare，点击左侧 「DNS」 -> 「记录」，添加一条 A 记录：
   • 名称填 fast（那么你的完整域名就是 fast.你的域名.xyz）。
   • IPv4 地址填你那台 VPS 的公网 IP。
   • ⚠️超级避坑指南：必须把“代理状态”那个橙色的小云朵点成灰色（仅 DNS）！ 然后保存。

步骤 4：注入灵魂，安装 3X-UI 可视化面板

回到我们刚才的 Termius 终端，系统已经更新完毕，接下来把复杂的代码变成看得见的图形面板。

1. 复制下方这行一键安装脚本，粘贴到终端并回车： bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
2. 脚本运行中会问你几个问题：
   • 是否自定义端口？输入 Y，回车。输入 8443，回车。
   • SSL 证书选项？输入 1（针对域名），然后输入你刚才解析的完整域名（如 fast.135600.xyz），其余一路回车。
3. 安装完成后，屏幕会打印出一个方框，里面包含你的 Username、Password 和 Access URL（访问链接）。⚠️一定要把这堆信息复制保存下来！
4. 顺手给服务器打个“兴奋剂”：在终端输入 x-ui 调出菜单，输入 24（BBR 加速），再输入 1（开启 BBR），看到开启成功提示即可退出。

步骤 5：穿上隐身衣，配置 Reality 节点

现在抛弃满屏代码，进入图形化后台操作！

1. 在浏览器输入你刚才保存的 Access URL，用系统生成的账号密码登录 3X-UI 面板。
2. （为了防探测更加安全）点击左侧 「面板设置」 -> 「订阅设置」，把默认的订阅路径改成一段只有你知道的英文字符（如 my-nodes），保存并重启面板。
3. 点击左侧 「入站列表」 -> 「添加入站」。
   • 备注：随便填（如 reality-main）。
   • 协议：选择 vless。
   • 端口：改为经典的 443。
   • 安全（Security）：选择本场主角 reality。
   • 目标域名：点击旁边的重置小图标，随便选一个大厂域名（比如 tesla.com，这就是我们的伪装外壳）。
   • Short IDs：删掉多余的只留一个。
   • 点击 「获取新证书 (Get New Cert)」。
   • ⚠️一定要把底部的“流量嗅探 (Sniffing)”开关打开变成蓝色！
4. 点击建立。恭喜，顶级隐身节点制作完成！点击它旁边的三个点导出链接，导入你的 v2rayN 或 Clash 就可以起飞了！

步骤 6：终极防御，封死 WebRTC“内鬼”

节点虽然建好了，但现代浏览器有一个叫 WebRTC 的特性，会绕过代理偷偷把你的“国内真实 IP”泄露给目标网站。

1. 打开 Chrome 浏览器的应用商店，搜索 WebRTC Control 插件。
2. 点击安装，把它固定在浏览器顶部的工具栏。
3. 关键动作：点一下那个插件图标，确保它变成了蓝色！
4. 再次去专业检测网站测试，如果 WebRTC 泄露检测显示“未检测到泄露”，这套 100% 隐身的安全私有网络才算彻底竣工！

📷 [配图建议：两张图对比。左边是 Chrome 插件栏 WebRTC Control 图标变蓝的特写；右边是检测网站显示 WebRTC 栏目为“未检测到泄露”的绿色安全状态。]

3. 常见问题与避坑指南 (FAQ)

Q1：Cloudflare 解析完域名后，节点一直连不上？

新手踩坑重灾区！请立刻回到 Cloudflare 的 DNS 设置页面，检查你刚才添加的 A 记录旁边，那朵“橙色的云”（Proxy status）是不是亮着的。如果是，请点击编辑把它关掉变成灰色（DNS Only）。开启代理会导致 Reality 协议握手失败。

Q2：Termius 远程连接一直超时连不上服务器？

两个原因：

一是密码（接头暗号）输入错误，注意大小写和特殊字符；

二是运气不好，开出来的服务器 IP 刚好是被封锁的。DigitalOcean 的好处是按秒计费，连不上直接在后台把这个 Droplet 删除（Destroy），重新新建一个换个新 IP 即可，一分钱不浪费。

Q3：面板里的账号密码搞丢了进不去怎么办？

回到 Termius 重新连接服务器，输入 x-ui 调出控制台菜单，选择“重置用户名和密码”或者“查看当前面板设置”，就可以重新找回你的登录信息了。