Sing-box 中 REALITY 协议与 Caddy SNI 分流的兼容性问题解析

背景概述

在网络服务部署中，REALITY 协议因其独特的 TLS 握手欺骗机制而备受关注。许多用户会选择使用 Caddy 作为前端进行 SNI 分流，同时搭配 Xray-core 或 Sing-box 作为后端网络服务。本文针对一个典型部署场景中出现的 REALITY: processed invalid connection 错误进行深入分析。

问题现象

用户在使用 Sing-box 替换 Xray-core 作为后端服务时，发现原本在 Xray-core 环境下正常工作的 VLESS + Vision + REALITY 协议组合无法建立连接。Sing-box 日志中反复出现以下错误信息：

tls: first record does not look like a TLS handshake
remote error: tls :internal error

技术分析

协议兼容性差异

经过排查，发现核心问题在于 Sing-box 从 v1.6.0 版本开始移除了对 Proxy Protocol 的支持。而在 Caddy 的 SNI 分流配置中，默认启用了 proxy_protocol: "v2" 选项，这导致了协议不兼容。

配置对比

在 Xray-core 环境中，配置包含 "acceptProxyProtocol": true 选项，能够正确处理来自 Caddy 的 Proxy Protocol v2 数据包。而 Sing-box 由于不再支持此协议，无法解析经过 Proxy Protocol 封装的连接请求，最终导致 TLS 握手失败。

解决方案

要解决此问题，需要在 Caddy 配置中进行以下调整：

1. 移除或注释掉 proxy_protocol 相关配置
2. 确保 Caddy 的 layer4 配置简化为直接转发原始 TCP 连接

修改后的 Caddy 配置片段应如下所示：

"handle": [{
    "handler": "proxy",
    "upstreams": [{"dial": ["127.0.0.1:5443"]}]
}]

深入理解

REALITY 协议工作原理

REALITY 协议通过以下机制实现 TLS 握手欺骗：

1. 使用目标服务器（如 itunes.apple.com）的真实证书信息
2. 在握手阶段模拟目标服务器的行为
3. 通过私钥生成短期ID实现身份验证

Sing-box 的实现特点

与 Xray-core 相比，Sing-box 在 REALITY 实现上有以下区别：

1. 更严格的协议规范检查
2. 移除了部分兼容性选项以简化代码
3. 对原始 TCP 连接的处理更为直接

最佳实践建议

1. 版本适配：在升级 Sing-box 时，务必查阅版本变更说明，了解移除的功能
2. 配置简化：尽量使用最简配置，避免依赖特定实现的功能
3. 逐步迁移：从 Xray-core 迁移到 Sing-box 时，建议先验证基础功能
4. 日志分析：遇到问题时，优先检查 TLS 握手阶段的错误信息

总结

通过本文分析，我们了解到 Sing-box 与 Xray-core 在协议支持上的差异可能导致迁移过程中的兼容性问题。特别是在使用 Caddy 作为前端时，需要注意 Proxy Protocol 的支持情况。掌握这些技术细节，将有助于用户更顺利地部署和维护基于 Sing-box 的高性能网络服务。