1. Как работает Reality: почему его не блокируют
Обычные VPN (WireGuard, OpenVPN) создают зашифрованный туннель с характерным «отпечатком», который DPI распознаёт и блокирует. VLESS Reality работает иначе.
Что видит DPI при Reality-соединении
TLS ClientHello с реальным SNI
Клиент начинает TLS-хендшейк, указывая SNI вроде «dl.google.com». DPI видит запрос к доверенному домену.
Сервер отвечает сертификатом Google
Xray-сервер проксирует хендшейк к настоящему dl.google.com и возвращает его реальный TLS-сертификат. Никаких поддельных сертификатов.
Аутентификация через shortId
Клиент, знающий публичный ключ и shortId, аутентифицируется по ECDH. Обычный браузер эту процедуру пройти не может и просто получит контент Google.
XTLS Vision убирает двойное шифрование
Flow xtls-rprx-vision пропускает уже зашифрованные TLS-данные без повторного шифрования — выше скорость, меньше нагрузка.
Итог
DPI видит корректный TLS к Google — заблокировать означает заблокировать Google. Reality не использует собственный домен и не требует SSL-сертификата. По состоянию на 2026 год протокол не заблокирован ни в России, ни в Китае.
2. Требования к VPS
| Параметр | Минимум | Рекомендуется |
|---|---|---|
| CPU | 1 vCPU | 1–2 vCPU |
| RAM | 512 МБ | 1 ГБ |
| Диск | 5 ГБ SSD | 10 ГБ SSD |
| ОС | Ubuntu 22.04 | Ubuntu 22.04 / 24.04 |
| Виртуализация | KVM | KVM |
| Расположение | Вне РФ | Европа (DE, NL, FI, LV) |
| IPv4 | Обязателен | Обязателен |
Важно: локация VPS
Для маскировки Reality использует сторонний сайт (dest). Задержка до этого сайта должна быть минимальной с вашего VPS — иначе хендшейк будет заметно медленнее. Выбирайте VPS там, где находится ваш «маскирующий» сайт (обычно это крупные CDN в Европе). Пинг от VPS до dest ≤ 30 мс — хорошо.
3. Установка 3X-UI
3X-UI — это веб-панель управления Xray с удобным интерфейсом. Один скрипт устанавливает всё: Xray-core, панель, systemd-сервис.
Шаг 1: обновить систему
apt update && apt upgrade -yШаг 2: запустить установщик
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)Скрипт спросит несколько параметров — это важно для безопасности:
# Проверить статус
systemctl status x-ui
# Открыть меню управления (статус, перезапуск, смена порта)
x-ui
# Панель доступна по адресу:
# http://IP_СЕРВЕРА:ПОРТ/ВЕБ-ПУТЬ
# Например: http://1.2.3.4:37891/panel2026/Войдите в панель
Откройте браузер, перейдите по адресу http://IP:ПОРТ/ПУТЬ. Введите логин и пароль, заданные при установке. Панель работает по HTTP — не используйте её для передачи чувствительных данных без дополнительной защиты (см. раздел «Безопасность»).
4. Настройка VLESS Reality inbound
В 3X-UI перейдите в Inbounds → Add Inbound. Настройте параметры по таблице ниже — объяснение каждого поля.
| Поле | Значение | Почему |
|---|---|---|
| Protocol | VLESS | Лёгкий протокол без лишней аутентификации |
| Port | 443 | Стандартный HTTPS-порт — не вызывает подозрений |
| Transmission | TCP | TCP + Reality: нативный XTLS Vision |
| Security | Reality | Включает режим маскировки под HTTPS |
| uTLS | chrome | Имитирует TLS-отпечаток Chrome — самый распространённый |
| Dest (SNI Target) | dl.google.com:443 | Сайт, под который маскируемся. Должен поддерживать TLS 1.3 и H2 |
| Server Names | dl.google.com | Совпадает с Dest. Можно добавить несколько |
| Certificates (ShortId) | Кнопка «Get New Cert» | Генерирует пару ключей x25519 и shortId автоматически |
| Flow | xtls-rprx-vision | Устанавливается у клиента, не у inbound |
Выбор Dest: что важно
Сайт-маска должен: поддерживать TLS 1.3, HTTP/2 и X25519 Diffie-Hellman. Хорошие варианты: dl.google.com:443, www.microsoft.com:443, speed.cloudflare.com:443. Проверьте пинг от сервера до сайта — чем меньше, тем быстрее хендшейк.
# Установить утилиту для проверки TLS
apt install -y openssl
# Проверить поддержку TLS 1.3 и X25519
openssl s_client -connect dl.google.com:443 -tls1_3 </dev/null 2>&1 | grep -E "Protocol|Cipher|New|Session"
# Пинг до целевого сайта (должен быть < 50 мс для хорошего результата)
ping -c 4 dl.google.comНажмите Create. Inbound создан — 3X-UI автоматически применит конфигурацию к Xray без перезапуска.
5. Добавление клиента и получение ссылки
В созданном inbound нажмите иконку пользователей (Add Client). Для каждого пользователя — отдельный UUID и ссылка.
После создания клиента нажмите иконку QR-кода или ссылки в строке клиента. Вы получите:
vless://UUID@IP_СЕРВЕРА:443?type=tcp&security=reality&pbk=ПУБЛИЧНЫЙ_КЛЮЧ&fp=chrome&sni=dl.google.com&sid=SHORT_ID&flow=xtls-rprx-vision#МЕТКАQR-код или ссылка
Мобильные клиенты проще подключить через QR-код — отсканировать камерой прямо из 3X-UI. Для Windows — скопируйте vless:// ссылку в буфер обмена и импортируйте в клиент.
6. Подключение клиентов
Windows — v2rayN
v2rayN — самый популярный клиент для Windows, бесплатный. Скачать: github.com/2dust/v2rayN → Releases → v2rayN-windows-64.zip.
- 1Распакуйте архив и запустите
v2rayN.exe - 2Скопируйте vless:// ссылку из 3X-UI в буфер обмена
- 3В трее правой кнопкой → Servers → Import from clipboard
- 4В списке серверов выберите добавленный и нажмите Set as active
- 5В трее: System Proxy → Set system proxy (или Tun Mode для полного VPN)
Альтернатива для Windows: Hiddify — красивый современный клиент с автоматическим выбором протокола. Скачать: github.com/hiddify/hiddify-app.
Android — v2rayNG или Hiddify
v2rayNG
- 1.Установить из Google Play или GitHub
- 2.Нажать + → Scan QR code
- 3.Включить переключатель VPN
Hiddify
- 1.Установить приложение
- 2.Нажать + → Scan QR / Import link
- 3.Нажать Connect
iOS — Hiddify / FoXray / Streisand
Hiddify
App Store
Бесплатный, поддерживает Reality
FoXray
App Store
Платный ($2), стабильный
Streisand
App Store
Бесплатный, простой интерфейс
На iOS: установите приложение → нажмите + или «Добавить конфигурацию» → выберите «QR-код» и отсканируйте код из 3X-UI. Разрешите создание VPN-профиля.
Проверить подключение
После подключения откройте 2ip.ru или whoer.net — должен отображаться IP вашего VPS, а не домашний. Пинг и трассировку проверить можно через browserleaks.com.
7. UFW и безопасность сервера
Панель 3X-UI доступна извне — это потенциальная точка атаки. Минимальная защита: файрвол UFW и SSH-ключи.
Настройка UFW
# Включить UFW (если ещё не активен)
ufw enable
# SSH (обязательно — иначе потеряете доступ)
ufw allow 22/tcp
# VLESS Reality (порт из настроек inbound, обычно 443)
ufw allow 443/tcp
# Порт панели — ТОЛЬКО с вашего домашнего IP (безопаснее всего)
ufw allow from ВАШ_ДОМАШНИЙ_IP to any port ПОРТ_ПАНЕЛИ
# Или открыть для всех (менее безопасно, но проще):
# ufw allow ПОРТ_ПАНЕЛИ/tcp
# Проверить правила
ufw status verboseSSH-ключи вместо пароля
# Создать SSH-ключ (если ещё нет)
ssh-keygen -t ed25519 -C "vps-proxy"
# Скопировать публичный ключ на сервер
ssh-copy-id root@IP_СЕРВЕРА# Редактировать конфиг SSH
nano /etc/ssh/sshd_config
# Найти и изменить строки:
PasswordAuthentication no
PermitRootLogin prohibit-password # или without-password
# Перезапустить SSH
systemctl restart sshСмена порта и пути панели (если нужно после установки)
# Открыть меню управления 3X-UI
x-ui
# Выбрать:
# 14 - Изменить порт панели
# 15 - Изменить веб-путь панели
# 10 - Перезапустить панель✓ Делать
- Нестандартный порт и путь панели
- UFW с минимумом открытых портов
- SSH только по ключам
- Сложный пароль панели (16+ символов)
- Регулярно обновлять x-ui (x-ui → обновить)
✗ Не делать
- Оставлять порт 28803 (дефолтный) открытым
- Использовать пароль admin/admin
- Открывать порт панели всему миру
- Игнорировать обновления Xray-core
- Передавать ссылки через незащищённые каналы
Обновление 3X-UI
x-ui
# Выбрать пункт "Обновить" (обычно пункт 2 или 3)
# Или запустить установщик повторно — он обновит, сохранив настройки:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)