准备两台节点
一台作为国内 Portal,一台作为境外 Bridge。确认系统时间准确,防火墙允许管理端口和专线端口池。
- Portal:运行管理后台、Agent、入口代理与接收端。
- Bridge:运行 Agent 与反向连接出口。
仪表盘
LinePro 管理端运行概览
节点、专线、证书和部署任务状态。
最近任务
Agent 拉取的配置和证书部署任务闭环健康页
按 Redis、VPN、DNS、透明入口、Bridge 出口策略和 UDP 验收分层定位问题。
一键验收
从健康页直接触发 Redis 同步和 UDP 专项验收闭环检查项
每项包含状态、证据、最近错误和建议修复命令使用教程
从节点准备、专线创建、发布验证到故障排查的完整流程。
创建专线与 VPN 策略闭环
建议按顺序完成,每一步都能在后台看到状态新增节点
在“节点”页面分别创建 Portal 与 Bridge,复制 Agent Token 到服务器端配置,等待心跳变为 online。
- 检查 CPU、内存、出口网卡、监听端口是否上报。
- 确认 nginx、core、iptables 状态正常。
准备域名与证书
域名解析到 Portal 公网 IP;在“证书”页面配置 DNS Provider,申请覆盖入口域名的证书。
- 证书状态应为 issued。
- 站点可以手动创建,也可以发布专线时自动匹配。
创建专线
在“专线”页面选择 Portal、Bridge、入口域名,配置主备协议、端口池、入口代理账号。
- 推荐主链 TCP + TLS,备链 JXYNode KCP。
- 调试阶段可使用单端口测试模式。
发布配置
点击“发布”,后台会生成 Portal/Bridge 两端 JXYNode Core 配置、Nginx 配置和 iptables 端口跳跃脚本。
- 在“最近任务”确认 deploy_config/deploy_certificate 成功。
- 失败任务可展开错误,修复后重新发布。
验证专线
在“专线详情”查看实时链路图,确认当前实际链路、连接数、入口协议、远端地址和上下行流量。
- 用 SOCKS5/HTTP 代理访问外网,出口 IP 应为 Bridge 节点。
- 主备切换后观察连接是否切到对应链路。
配置 VPN 策略
在“VPN策略”页面创建出口链和用户,绑定 Portal、固定 IP、默认出口链、second_proxy 与 UDP 模式。
- 推荐出口链第一层使用 shadowsocks/ss,第二层按用户需要配置。
- 用户密钥只用于 VPN 认证,second_proxy 密码独立保存。
运行闭环验收
在“健康”或“VPN策略”页面运行 Redis 同步、DNS UDP、QUIC、UDP bulk 和 ss+ss/ss+socks5 验收。
- 健康页会给出证据、最近错误和建议修复命令。
- VPN 能连但打不开网站时先看 DNS 与透明入口检查项。
闭环系统流程图
控制面负责下发配置,数据面负责承载 TCP/UDP 流量系统由管理后台、Portal、Bridge、Redis、VPN 入口、GOST/JXYNode 透明转发和可选 second_proxy 组成。配置先进入控制面,发布后才影响真实数据流量。
控制面
下发
反连配置
状态回传
数据面
认证
透明转发
跨境专线
配置选项关系图
每个菜单项影响的模块和数据位置节点
定义 Portal / Bridge 机器、Agent Token、域名、区域和运行状态。
影响:配置下发目标、健康检查目标专线
绑定 Portal 与 Bridge,配置主备链路、端口池、入口代理和透明入口。
影响:JXYNode Core、Nginx、iptables/nftables证书 / 站点
入口域名证书、HTTPS 监听和站点配置,发布时自动匹配。
影响:Portal Nginx 入口VPN 出口链
配置第一层专线入口和可选第二层出口代理,推荐 UDP 优先统一到 ss。
影响:GOST/JXYNode 出口路径VPN 用户
配置账号密钥、固定 IP、限速、默认出口链、second_proxy 和 UDP 模式。
影响:Redis 认证与每用户出口选择健康 / UDP 验收
拉起探针检查 Redis、DNS、透明入口、QUIC、UDP bulk 和代理链路。
影响:只读诊断,必要时触发同步任务数据流量路径图
TCP、UDP、DNS 与 second_proxy 的实际流向普通 TCP/UDP 上网
客户端 VPNPortal 分配固定 IPnftables/TPROXY第一层 ss 专线Bridge 出口
适合网页、App、QUIC、游戏 UDP 等流量;出口 IP 应为 Bridge 或 second_proxy 所在节点。
DNS UDP 桥接
10.10.x.xVPN DNS 10.10.0.1/10.10.100.1本机 DNS 代理上游 DNS
Windows / iOS 连接后打不开网站时,优先检查 DNS 监听、策略路由和 DNS UDP 是否命中。
按用户二层出口
VPN 用户Redis egress_chain第一层 sssecond_proxy目标网站
second_proxy 可为 direct、shadowsocks 或 socks5;socks5 的 UDP 需要服务端支持 UDP Associate。
控制任务与状态
保存配置发布任务Agent 执行服务重载健康上报
配置保存不等于生效;需要发布或同步 Redis 后,等待 Agent 心跳和健康页刷新。
发布前检查
减少上线后排查时间节点在线Portal 与 Bridge Agent 均为 online,最后心跳时间持续刷新。
端口放行Portal 放行 TCP+TLS TCP 端口池与 JXYNode KCP UDP 端口池,云安全组和系统防火墙都要一致。
证书有效入口域名证书为 issued,Nginx 能监听 HTTPS 端口。
Core 配置发布后两端 jxynode-core 服务 active,配置版本记录里能看到 Portal/Bridge 文件。
Redis 同步VPN 用户、出口链和 second_proxy 已同步到 Redis,认证测试能通过。
透明入口Portal 的 TCP/UDP 透明入口、DNS 桥接和策略路由都为 active。
UDP 验收DNS UDP 已通后,再验证 QUIC / DoH3 / UDP bulk 和 ss+ss/ss+socks5 链路。
出口证据健康页能看到实际出口结果,确认是否直出 Bridge 或进入二层代理。
推荐优化项
上线前按需启用,先灰度后全量启用 BBRBBR 可改善长距离 TCP 拥塞控制表现,适合 Portal/Bridge 节点的 TCP+TLS 主链和代理入口。建议 Linux 内核 4.9+,Rocky、CentOS、Ubuntu 均可先检查再启用。
验证效果启用后观察 TCP 下载、丢包、RTT、重传和主链吞吐。JXYNode KCP 走 UDP,不直接使用 TCP BBR,但节点整体网络栈优化仍有参考价值。
检查并启用 BBR
uname -r sysctl net.ipv4.tcp_available_congestion_control modprobe tcp_bbr 2>/dev/null || true printf '%s\n' 'net.core.default_qdisc=fq' 'net.ipv4.tcp_congestion_control=bbr' | tee /etc/sysctl.d/99-linepro-bbr.conf sysctl --system
验证与回滚
sysctl net.core.default_qdisc sysctl net.ipv4.tcp_congestion_control lsmod | grep bbr # 如需回滚 mv -f /etc/sysctl.d/99-linepro-bbr.conf /etc/sysctl.d/99-linepro-bbr.conf.disabled sysctl -w net.ipv4.tcp_congestion_control=cubic sysctl -w net.core.default_qdisc=fq_codel
故障排查
按现象快速定位Agent 离线
检查服务器时间、Agent Token、管理后台地址、系统服务状态和出站网络。
发布任务失败
先看“最近任务”的错误列;Nginx reload 失败通常是旧进程 PID、配置语法或端口占用。
Core 启不来
检查 jxynode-core 日志里的 connector/listener 错误;端口被占用时先查 `ss -lntup`。
代理不通
确认入口账号、监听地址、Portal 到 Bridge 反连状态、Bridge 出口是否能访问目标网站。
VPN 能连但打不开网站
优先检查 DNS 桥接、透明入口端口、策略路由和 GOST/JXYNode 入口是否 active,再看出口链健康。
DNS 超时
确认客户端拿到的 DNS 为 10.10.0.1 或 10.10.100.1,服务器本机 DNS 代理监听 UDP 53 并能访问上游 DNS。
QUIC 不通
检查 UDP 端口池是否到达 Portal、iptables REDIRECT 是否命中、云厂商安全组是否放行 UDP。
second_proxy 未生效
检查用户是否启用 second_proxy、默认出口链是否存在、二层代理地址是否可达,socks5 UDP 还要确认 UDP Associate。
KCP 不通
检查 JXYNode KCP UDP 端口池、安全组、防火墙和 iptables REDIRECT;确认两端配置里的 kcp.config 参数一致。
页面状态不一致
等待 Agent 下一次心跳,或重新发布。后台会过滤旧协议运行态,显示“等待新配置上报”时说明两端还未完成切换。
通用:系统与服务
cat /etc/os-release timedatectl systemctl status linepro-agent linepro-server nginx --no-pager journalctl -u linepro-agent -n 200 --no-pager journalctl -u linepro-server -n 200 --no-pager
通用:端口与 Core
ss -lntup | grep -E '18878|8443|9443|1081|1082' ss -lnup | grep -E '8443|40000|40031' ss -ntup | grep jxynode-core tail -n 200 /var/lib/linepro/agent/logs/jxynode-core-portal-1.log tail -n 200 /var/lib/linepro/agent/logs/jxynode-core-bridge-1.log
Rocky / CentOS:防火墙
firewall-cmd --state firewall-cmd --list-ports firewall-cmd --add-port=40000-40031/udp --permanent firewall-cmd --add-port=50000-50015/tcp --permanent firewall-cmd --reload
Ubuntu:UFW
ufw status verbose ufw allow 18878/tcp ufw allow 8443/tcp ufw allow 40000:40031/udp ufw allow 50000:50015/tcp ufw reload
iptables / 端口跳跃
iptables -t nat -S PREROUTING iptables -t nat -L PREROUTING -n -v --line-numbers iptables -t nat -C PREROUTING -p udp --dport 40000:40031 -j REDIRECT --to-ports 8443 iptables -t nat -C PREROUTING -p tcp --dport 50000:50015 -j REDIRECT --to-ports 9443
连通性与出口验证
curl -4 -I https://example.com curl -4 https://ifconfig.me curl -x socks5h://USER:PASS@127.0.0.1:1081 https://ifconfig.me curl -x http://USER:PASS@127.0.0.1:1082 https://ifconfig.me nc -vz PUBLIC_DOMAIN 9443 nc -vzu PUBLIC_DOMAIN 40000
Nginx 与证书
nginx -t systemctl reload nginx tail -n 200 /var/log/nginx/error.log ls -lah /etc/linepro/certs openssl x509 -in /etc/linepro/certs/fullchain.pem -noout -dates -subject
系统网络参数
sysctl net.core.rmem_max net.core.wmem_max sysctl net.core.somaxconn net.ipv4.tcp_max_tw_buckets ip addr ip route ethtool -S eth0 | head
节点管理
维护国内 Portal 与境外 Bridge 节点。
新增节点
创建后复制 Agent Token 到节点端节点列表
专线配对
每条专线对应一组 Portal、Bridge 和配对 UUID。
专线列表
隧道传输说明
主链 TCP + TLS,备用链 JXYNode KCPJXYNode Core 配置会生成主备两条链路,端口池由 Portal 侧 iptables 转发到固定监听端口;Selector 负责多端口分流和失败摘除。
| 链路 | 协议 | 用途 |
|---|---|---|
| 主链 | TCP + TLS | 稳定优先,默认承载专线流量 |
| 备链 | JXYNode KCP | 弱网或主链质量下降时接管 |
| 端口跳跃 | 端口池 | 同一专线多端口分流,降低单端口波动影响 |
| 策略 | 特点 | 建议 |
|---|---|---|
| rand | 随机分配端口节点 | 默认值,适合端口跳跃 |
| round | 轮询分配 | 链路质量接近时使用 |
| fifo | 优先使用可用节点 | 想让主链更稳定时使用 |
| hash | 按目标保持一致性 | 长连接或会话敏感业务 |
发布建议
- Portal 按协议放行端口池:TCP + TLS 使用 TCP,JXYNode KCP / QUIC 使用 UDP,并确认 Agent 有权限写入 iptables 规则。
- 先保持默认阈值上线观察,再按丢包、RTT 和失败次数调整切换灵敏度。
- 发布前先申请覆盖入口域名的证书,未建站时发布会自动创建并绑定。
VPN 用户与出口策略
管理 Redis 认证用户、固定 IP、默认出口、second_proxy 和 UDP 验收。
出口链路
新增链路VPN 用户
新增用户用户链路状态
UDP 验收
DNS UDP / QUIC / UDP bulk / ss+ss 或 ss+GOST socks5出口链路列表
VPN 用户列表
站点管理
管理国内入口 Nginx HTTPS 站点与证书绑定。
站点配置
Nginx 提供站点与证书,JXYNode Core 负责专线传输站点列表
证书管理
后台统一申请 Let's Encrypt DNS-01 证书并下发到绑定节点。
DNS 服务商
腾讯云 DNSPod / 阿里云 DNS创建证书
默认使用 DNS-01 自动验证证书列表
证书绑定
账号权限
管理后台登录账号、角色和 MFA 状态。
新增账号
owner/admin 可管理账号账号列表
配置版本
Nginx 与 JXYNode Core 配置生成记录。