password
comment
type
Post
status
Published
date
Apr 17, 2026
slug
cloudflare-tunnel-3x-ui-bypass-gfw
summary
深入探讨如何利用 Cloudflare Tunnel 的内网穿透与边缘加速能力,解决 VPS 无公网 IP 的尴尬,并利用其边缘代理特性完美规避服务器 IP 被封锁的痛点。
tags
推荐
Cloudflare Tunnel
3X-UI
内网穿透
category
技术分享
icon
fas fa-bridge-lock
对于很多折腾海外 VPS 的同学来说,最头疼的莫过于两个场景:一是租用的 NAT 主机没有公网 IP,空有配置却无法对外提供服务;二是服务器 IP 突然“失联”(被墙),导致面板打不开、节点无法连接。
今天我们要聊的 Cloudflare Tunnel(Argo Tunnel),本质上是给你的服务器穿上了一层“隐身斗篷”。它不仅能实现零端口映射的内网穿透,还能利用 Cloudflare 的边缘节点作为流量入口,从而彻底绕过 IP 封锁。
🏗️ 方案逻辑:为什么它是“降维打击”?
传统的穿透或代理需要服务器有一个健康的公网 IP。而 Cloudflare Tunnel 的逻辑是:
- 主动出击:你的服务器主动向 Cloudflare 建立加密隧道(Outbound),而不是等待外部访问。
- 边缘接管:流量访问你的域名(如
node.0rz.li),实际上是在访问 CF 的边缘节点。
- 内网映射:CF 边缘节点通过隧道将流量“泵”回你的服务器。
核心价值:即便你的服务器 IP 已经进入“黑名单”,只要它能连上 Cloudflare 的 CDN 网络(这通常是正常的),你的服务就能通过域名正常访问。
🛠️ 第一步:云端初始化 (Zero Trust)
为了获得最稳定的持久化 Token,我们需要在控制台操作:
- 访问 Cloudflare Zero Trust 仪表盘。
- 点击 Networks -> Tunnels -> Create a Tunnel。
- 选择 Cloudflare 连接器,为你的隧道命名(例如
NAT-Bypass)。
- 在安装页面,复制对应的 Token(一串以
eyJh...开头的极长字符)。
🚀 第二步:服务器端部署 (Service Install 模式)
这是保证服务“永不掉线”的关键步骤。使用
service install 模式,系统会自动创建 systemd 守护进程,实现开机自启和崩溃自动重启。1. 安装 cloudflared 客户端
2. 注册为系统服务
将你刚才复制的 Token 填入下方命令:
3. 运行状态检查
看到绿色的
active (running),说明你的隧道已经扎根在系统中,哪怕重启 VPS 也会自动拉起。⚙️ 第三步:3X-UI 面板联动
1. 部署 3X-UI
提示:安装时设置好面板端口(如
2053)和节点入站端口(如 10086)。2. 公网域名映射 (Public Hostname)
回到 CF Tunnel 控制台,点击刚才创建的隧道,进入 Public Hostname 配置:
- 面板管理:
Hostname:panel.0rz.liService:http://localhost:2053
- 节点流量:
Hostname:node.0rz.liService:http://localhost:10086(建议使用 WS 或 gRPC 传输协议)
💎 解决“痛点”的深度优化
✅ 突破封锁
因为流量入口现在变成了 Cloudflare 的官方 IP 段,你不再需要担心 VPS 原本的 IP 是否被封。只要 CF 能访问到你的域名,你就能连接到节点。
✅ 极致稳定
通过
Service Install 部署,解决了手动运行容易进程中断的问题。同时,Cloudflare Tunnel 具有“断线重连”机制,能有效对抗瞬时的网络抖动。✅ 安全防护
你可以在 Cloudflare WAF 中设置规则,仅允许特定地区的 IP 访问你的
panel.0rz.li,甚至可以开启 Zero Trust Access 身份验证,为你的 3X-UI 面板加上第二道邮箱验证门锁。📒 结语
Cloudflare Tunnel 不仅仅是一个内网穿透工具,它更像是一个“网络中转站”。它让没有公网 IP 的服务器重获新生,也让被 IP 封锁困扰的同学有了一个稳如泰山的避风港。
- 作者:Cheng
- 链接:https://0rz.li/technology/cloudflare-tunnel-3x-ui-bypass-gfw
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
