问题 1:iptables 未放行 UDP 端口
现象
节点延迟显示 -1,完全无法连接。
原因
甲骨文默认的 iptables 规则只放行了 TCP 端口,Hysteria2 基于 QUIC 协议走 UDP,没有 UDP 放行规则会导致所有 hy2 流量被 REJECT 规则拦截。
排查命令
# 查看 iptables 规则(注意看协议列是 6=TCP 还是 17=UDP)
iptables -L -n
# 确认 xray 是否在监听 UDP 端口
ss -ulnp | grep xray解决方法
# 放行 UDP 端口(假设端口 41313)
iptables -I INPUT 1 -p udp --dport 41313 -j ACCEPT
# 持久化规则(重启不丢失)
netfilter-persistent save补充:甲骨文云控制台也要加安全列表(Security List)入站规则,协议选 UDP,端口填对应端口号。
问题 2:Hysteria2 不能使用 uTLS
现象
客户端日志报错 unsupported usage for uTLS,节点延迟 -1,连接失败。部分客户端能连,新增的客户端连不上。
原因
uTLS(utls)是模拟浏览器 TLS 握手指纹的技术,仅适用于 TCP 协议(VLESS、VMess、Trojan)。Hysteria2 使用 QUIC/UDP,QUIC 自带 TLS 1.3,不需要也不支持 uTLS 指纹伪装。3X-UI 面板 TLS 设置里 uTLS 设为 chrome 时,生成的客户端链接会带上 fp=chrome 参数,Xray-core 尝试对 UDP 连接应用 uTLS 就会报错。
解决方法
在 3X-UI 面板的入站 TLS 设置中,将 uTLS 字段清空/设为 none,保存后重新生成所有客户端链接并重新导入。
uTLS 适用规则
| 协议类型 | uTLS 设置 |
|---|---|
| VLESS / VMess / Trojan(TCP) | 可设为 chrome / firefox 等 |
| VLESS + Reality | 不需要 uTLS(Reality 自带伪装) |
| Hysteria2 | 必须留空 |
问题 3:多客户端 Auth Password 配置
现象
第一个客户端正常,新增的第二个客户端连接失败。
原因
每个客户端必须有独立的 Auth Password,且添加后需要点"更新"保存让 xray 重新加载配置。
解决方法
- 每个客户端设置不同的 Auth Password
- 添加后点面板底部的"更新"按钮
- 重新复制新客户端的链接导入,不要用旧链接
快速排障检查清单
遇到 hy2 节点不通时按顺序检查:
- xray 进程是否运行:
systemctl status xray - hy2 端口是否监听 UDP:
ss -ulnp | grep xray - iptables 是否放行 UDP 端口:
iptables -L -n - 甲骨文安全列表是否加了 UDP 入站规则
- 3X-UI 面板 TLS 设置中 uTLS 是否为空
- 每个客户端 Auth Password 是否独立填写
- 添加客户端后是否点了"更新"保存
- 客户端导入的是否是最新生成的链接
- THE END -
最后修改:2026年5月3日
非特殊说明,本博所有文章均为博主原创。
如若转载,请注明出处:https://okekrr.com/archives/310
共有 0 条评论