导读:
iOS 小火箭(Shadowrocket)手动添加节点完全指南:从入门到精通
Shadowrocket(俗称"小火箭")作为 iOS 平台最成熟的网络代理工具之一,虽然支持订阅链接一键导入,但手动添加节点在特定场景下具有不可替代的优势:
- 隐私安全:避免订阅链接泄露使用记录
- 精细调优:针对特殊网络环境优化传输参数
- 应急备用:当订阅服务失效时快速恢复连接
- 学习理解:深入掌握代理协议的工作原理
本指南将系统讲解 Shadowsocks(SS)、VMess(V2Ray)、Trojan 等主流协议的手动配置全流程。
准备工作:节点信息解码
在开始前,请确保已从服务提供商处获取完整的节点参数,不同协议所需信息如下:
| 协议类型 | 必需参数 | 可选高级参数 |
|---|---|---|
| Shadowsocks | 服务器地址、端口、密码、加密方法 | 插件(obfs/simple-obfs)、插件参数 |
| VMess(V2Ray) | 地址、端口、UUID、AlterID、加密方式 | 传输协议(ws/tcp/http2)、TLS、路径、Host |
| Trojan | 地址、端口、密码 | SNI、ALPN、AllowInsecure |
| HTTP/SOCKS5 | 地址、端口 | 认证用户名/密码 |
⚠️ 安全提示:务必通过可信渠道获取节点信息,避免使用来路不明的免费节点。
基础配置:Shadowsocks 节点添加
作为最轻量级的协议,SS 配置相对简单,适合新手入门。
步骤详解:
-
进入配置界面
- 打开 Shadowrocket → 底部"配置"标签 → 右上角"+"号
- 或直接在"首页"点击右上角"+" → 选择"手动添加"
-
选择协议类型
- 类型(Type) → 选择 Shadowsocks
-
填写基础参数
- 服务器:输入 IP 地址或域名(如
example.com或168.1.1) - 端口:数字端口号(如
8388) - 密码:节点认证密码(注意区分大小写)
- 加密方法:与服务端匹配(推荐
aes-256-gcm或chacha20-ietf-poly1305)
- 服务器:输入 IP 地址或域名(如
-
混淆插件配置(可选)
- 若服务端启用了混淆,点击"插件" → 选择对应插件:
simple-obfs:适合轻度混淆,参数填obfs=http;obfs-host=www.bing.comv2ray-plugin:需配合 WebSocket 模式,参数较复杂
- 若服务端启用了混淆,点击"插件" → 选择对应插件:
-
保存并测试
- 点击右上角"完成" → 返回首页 → 点击节点右侧开关连接
- 观察顶部状态栏是否出现 VPN 图标
进阶配置:VMess 与 Trojan 详解
1 VMess(V2Ray) 配置要点
VMess 协议灵活性高,但参数复杂,需特别注意传输层设置。
标准配置流程:
- 类型选择 VMess
- UUID:填入 32 位用户 ID(格式如
12345678-1234-1234-1234-123456789abc) - AlterID:根据服务端设置(通常为 0 或 64,目前主流为 0)
- 加密方式:通常选
auto或aes-128-gcm
传输层关键设置:
-
网络(Network):
tcp:基础模式,速度快但特征明显ws(WebSocket):穿透性强,适合 CDN 中转h2(HTTP/2):需 TLS 支持,抗检测能力强
-
WebSocket 特有参数(当 Network 选 ws 时):
- 路径(Path):如
/v2ray或/ws - Host:伪装域名,通常与 SNI 一致
- 路径(Path):如
-
TLS 设置:
- 开启"安全"选项 → 选择
tls - SNI:填入证书对应的域名(关键!留空可能导致连接失败)
- AllowInsecure:仅测试时使用,生产环境务必关闭
- 开启"安全"选项 → 选择
2 Trojan 配置精要
Trojan 以伪装成 HTTPS 流量著称,配置相对简洁:
- 类型选择 Trojan
- 密码:填入 Trojan 协议密码(非 UUID)
- SNI (Server Name Indication):填入伪装域名,必须与证书域名完全一致
- ALPN:通常保持默认或填入
h2,http/1.1 - Allow insecure certificate:建议关闭,除非使用自签名证书
高级优化技巧
1 多路复用与传输优化
在节点详情页底部"高级"选项中:
- Mux(多路复用):开启可减少 TCP 连接数,提升并发性能,建议 concurrency 设为 8-16
- TCP Fast Open:iOS 端效果有限,建议保持默认
- UDP 转发:游戏或视频通话需求建议开启
2 路由规则联动
手动添加节点后,建议配置分流规则:
- 首页 → "配置" → 默认配置 → "编辑配置"
- 添加规则:
- DOMAIN-SUFFIX,apple.com,DIRECT(苹果服务直连)
- GEOIP,CN,DIRECT(国内 IP 直连)
- FINAL,PROXY(其余走代理)
3 故障排查 checklist
若配置后无法连接,按以下顺序检查:
- 基础连通性:ping 服务器 IP 确认网络可达
- 端口检查:使用在线工具确认端口开放状态
- 时间同步:VMess 对时间敏感,确保 iOS 时间自动同步(误差需 < 90 秒)
- 证书问题:Trojan/VMess+TLS 检查 SNI 是否正确,尝试开启 AllowInsecure 测试
- 日志诊断:设置 → 诊断 → 开启日志记录,查看具体错误代码
特殊场景配置示例
场景 A:WebSocket + TLS + CDN 中转
适用于 IP 被封锁的情况:
类型:VMess
地址:cdn.example.com(CF 域名)
端口:443
UUID:xxx
网络:ws
路径:/ray
TLS:开启
SNI:cdn.example.com场景 B:Shadowsocks + simple-obfs
适用于轻度干扰环境:
插件:simple-obfs
插件选项:obfs=tls;obfs-host=www.bing.com安全与维护建议
- 定期更换密码:建议每 3 个月更新一次节点密码
- 证书 pinning:对自建节点,可在"证书"选项中导入公钥 pinning 防止中间人攻击
- 分应用代理:利用 Shadowrocket 的"按应用分流"功能,仅对必要应用开启代理
- 备份配置:设置 → 导出配置 → 保存到 iCloud,防止误删后重新配置
手动配置节点虽然初期学习成本较高,但掌握后能让你在任何网络环境下都能建立稳定连接,建议先从一个简单的 Shadowsocks 节点练手,逐步尝试 VMess 的 WebSocket 模式,最终掌握 Trojan 的 TLS 伪装技术。
网络安全的第一道防线是配置的正确性,务必仔细核对每一个参数,特别是端口、UUID 和 TLS 相关设置,遇到问题时,善用日志功能定位错误,90% 的连接问题都源于 SNI 不匹配或时间不同步。
本文基于 Shadowrocket 2.2.45 版本撰写,不同版本界面可能略有差异。
