Warum VLESS + Reality, und wann Sie es brauchen
Ein einfacher WireGuard- oder OpenVPN-Tunnel ist hervorragend fuer die Privatsphaere, aber in Laendern mit starker Zensur hat er eine Schwaeche: Deep Packet Inspection (DPI) kann das Protokoll an seinem Fingerabdruck erkennen und blockieren, sogar ohne den Inhalt zu lesen. Genau das passiert in Russland, wo Betreiber VPNs an den TSPU-Boxen in jedem Netz blockieren und Regulierer auf eine totale Blockierung des VPN-Datenverkehrs hingedraengt haben.
Reality ist derzeit die beste Antwort darauf. Es ist ein Transport fuer das VLESS-Protokoll (aus dem Xray-Projekt), der Ihre Verbindung wie einen gewoehnlichen Besuch einer echten, beliebten HTTPS-Website aussehen laesst. Es leiht sich den echten TLS-Handshake dieser Seite, sodass Ihr Datenverkehr fuer die DPI eines Zensors nicht von normalem Surfen zu unterscheiden ist - und anders als aeltere Tricks uebersteht es aktives Probing: wenn sich ein Zensor mit Ihrem Server verbindet, um ihn ohne den richtigen Schluessel zu testen, leitet der Server ihn stillschweigend an die echte Seite weiter, die Sie sich ausleihen, sodass er nur eine gewoehnliche Website sieht und nichts vermutet. Das Beste daran: Reality braucht keinen eigenen Domainnamen und kein eigenes TLS-Zertifikat. Wir richten es ueber 3X-UI ein, ein Web-Panel, das die schwierigen Teile fuer Sie uebernimmt.
- Ein guenstiger KVM-basierter VPS mit Ubuntu 22.04 oder 24.04. Zum Umgehen von Zensur waehlen Sie einen Standort ausserhalb des blockierenden Landes, idealerweise mit einer frischen, sauberen IP.
- root-SSH-Zugang (Ihr Anbieter schickt diesen per E-Mail).
- Etwa 20 Minuten. Das ist ein Schritt ueber ein einfaches VPN hinaus, aber das Panel haelt es handhabbar.
root.Schritt 1: Mit dem Server verbinden und ihn aktualisieren
Melden Sie sich per SSH an (ersetzen Sie durch die IP Ihres Servers) und installieren Sie die neuesten Updates:
ssh root@YOUR_SERVER_IP
apt update && apt upgrade -y
Schritt 2: Das 3X-UI-Panel installieren
3X-UI installiert sich mit einem einzigen Befehl. Fuehren Sie ihn aus und beantworten Sie die Abfragen - legen Sie auf Nachfrage einen Benutzernamen, ein starkes Passwort und einen Panel-Port fest:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
Nach dem Abschluss oeffnen Sie das Verwaltungsmenue jederzeit, indem Sie eingeben:
x-ui
In diesem Menue koennen Sie den Port, den Login und den geheimen Zugriffspfad des Panels sehen (und aendern). Notieren Sie sich diese drei Dinge - Sie brauchen sie, um das Panel im Browser zu oeffnen.
Schritt 3: Anmelden und das Panel absichern
Oeffnen Sie das Panel in Ihrem Browser mit den Werten aus dem vorherigen Schritt:
http://YOUR_SERVER_IP:PANEL_PORT/ACCESS_PATH
Melden Sie sich an und haerten Sie es dann sofort in den Panel Settings ab:
- Aendern Sie den Login zu einem eindeutigen Benutzernamen und einem langen Passwort, falls noch nicht geschehen.
- Behalten Sie den geheimen Zugriffspfad (den zufaelligen Teil der URL) bei - er versteckt das Panel vor Scannern.
- Stellen Sie das Panel so ein, dass es auf einem unauffaelligen Port lauscht, und verwenden Sie niemals Ihren VPN-Port dafuer.
Waehrend Sie in den Panel Settings sind, aktivieren Sie auch TCP BBR - das ist ein einzelner Schalter und beschleunigt die Verbindung merklich, besonders wenn der Server weit entfernt ist.
Schritt 4: Den VLESS + Reality inbound erstellen
Das ist der Kernschritt, und das Panel uebernimmt die Kryptografie fuer Sie. Oeffnen Sie im Panel Inbounds und klicken Sie auf Add Inbound, dann stellen Sie ein:
- Protocol:
vless. - Port:
443. Die Verwendung des Standard-HTTPS-Ports laesst den Datenverkehr unauffaellig wirken. Wenn ein stark zensiertes Netz Sie spaeter auf443drosselt, versuchen Sie, den inbound auf einen zufaelligen hohen Port wie43821zu verlegen - manche DPI-Systeme ueberspringen bei nicht standardmaessigen Ports die tiefe Inspektion, um Ressourcen zu sparen. Der Kompromiss:443sieht wie normales HTTPS aus, ein hoher Port nicht. - Security:
reality. Das ist es, was den Zauber wirken laesst. - Dest / Target: eine echte HTTPS-Seite zum Nachahmen. Sie muss auslaendisch sein (ausserhalb des Landes, das Sie blockiert), dort selbst nicht blockiert sein und TLS 1.3 und HTTP/2 unterstuetzen. Bewaehrte Spender sind
www.microsoft.com:443,www.samsung.com:443,www.nvidia.com:443oderwww.apple.com:443. Vermeiden Sie Seiten, die dort, wo Sie sind, blockiert oder gedrosselt werden (in Russland sind das Google, Instagram, Facebook und X), und vermeiden Sie alles hinter Cloudflare - und je niedriger der Ping von Ihrem VPS, desto besser (streben Sie unter ~30 ms an), idealerweise im selben Rechenzentrum. Modernes 3X-UI schlaegt Ihnen sogar ein Target-und-SNI-Paar vor; Sie koennen es akzeptieren oder ein eigenes festlegen. - SNI / Server Names: die exakte Domain der oben gewaehlten Seite (zum Beispiel
www.samsung.com) - sie muss mit dem uebereinstimmen, was das Ziel bereitstellt.
Klicken Sie nun auf die Schaltflaechen des Panels, um das Schluesselpaar zu generieren (die oeffentlichen und privaten x25519-Schluessel) sowie die shortIds - Reality braucht sie, und das Panel fuellt sie automatisch aus. Stellen Sie sicher, dass der flow auf xtls-rprx-vision gesetzt ist - das ist die Standardwahl fuer Reality: es verbirgt das verraeterische Muster "TLS in TLS" und macht den Tunnel deutlich schneller. Speichern Sie den inbound.
Fortgeschritten, optional: in den aggressivsten Netzen wechseln manche Nutzer den Transport des inbound zu XHTTP fuer zusaetzliche Widerstandsfaehigkeit gegen Verhaltensanalyse. Es ist neuer und die Meinungen gehen auseinander, behandeln Sie es also eher als Experiment denn als Standard - einfaches Reality mit Vision funktioniert fuer die allermeisten.
Schritt 5: Die Firewall oeffnen
Erlauben Sie SSH, Ihren inbound-Port (443) und den Panel-Port aus Schritt 2, aktivieren Sie dann die Firewall. Ersetzen Sie PANEL_PORT durch Ihren tatsaechlichen Panel-Port:
ufw allow 22/tcp
ufw allow 443/tcp
ufw allow PANEL_PORT/tcp
ufw enable
22) gesetzt hat, erlauben Sie stattdessen diesen Port vor ufw enable, sonst sperren Sie sich selbst aus.Der geheime Zugriffspfad plus ein starkes Passwort halten das Panel auf diesem offenen Port sicher. Wenn Sie es lieber vollstaendig verborgen halten moechten, erlauben Sie den Panel-Port oben nicht - erreichen Sie das Panel stattdessen ueber einen SSH-Tunnel von Ihrem eigenen Computer und oeffnen Sie dann http://localhost:8080 in Ihrem Browser:
ssh -L 8080:localhost:PANEL_PORT root@YOUR_SERVER_IP
Schritt 6: Ihren Verbindungslink erhalten
Suchen Sie zurueck in Inbounds den soeben erstellten Client und oeffnen Sie seinen QR-Code oder den vless://-Freigabelink (das Panel zeigt beides). Dieser eine Link enthaelt alles, was eine Client-App braucht - die Adresse, die Schluessel und die Reality-Einstellungen. Auf einem Telefon scannen Sie den QR-Code; auf einem Computer fuegen Sie den Link ein.
Um spaeter weitere Geraete hinzuzufuegen, erstellen Sie einen weiteren Client innerhalb desselben inbound - jede Person bekommt ihren eigenen Link.
Schritt 7: Eine Client-App installieren und verbinden
Reality funktioniert mit jedem modernen Xray-basierten Client. Waehlen Sie unten Ihre Plattform, importieren Sie den Link aus Schritt 6 und verbinden Sie sich.
Android: installieren Sie v2rayNG - in stark zensierten Regionen beziehen Sie es von den offiziellen GitHub-Releases statt aus dem Play Store, wo es fehlen oder gefaelscht sein kann. Tippen Sie oben in der Ecke auf +, waehlen Sie Scan QR code, richten Sie es auf den QR-Code des Panels und tippen Sie dann unten auf die runde Verbinden-Schaltflaeche.
iPhone und iPad: installieren Sie Streisand (kostenlos) aus dem App Store - V2Box und FoXray funktionieren ebenfalls gut. Tippen Sie auf +, waehlen Sie Add from QR code oder fuegen Sie den vless://-Link ein, schalten Sie dann die Verbindung ein und erlauben Sie das VPN-Profil.
Windows: installieren Sie Hiddify (am einfachsten) oder Nekoray. Kopieren Sie den vless://-Link, waehlen Sie Add profile -> From clipboard und druecken Sie dann auf Verbinden.
macOS: installieren Sie Hiddify (auch im Mac App Store). Klicken Sie auf Add profile -> From clipboard, nachdem Sie den vless://-Link kopiert haben, und druecken Sie dann auf Verbinden.
Linux-Desktop: verwenden Sie Hiddify oder Nekoray. Importieren Sie den vless://-Link aus der Zwischenablage, waehlen Sie den Server und verbinden Sie sich.
Schritt 8: Ueberpruefen, ob es funktioniert
Bestaetigen Sie bei verbundenem Client zwei Dinge auf unserer eigenen Seite Netzwerk-Tools. Erstens, dass das Internet nun die IP Ihres Servers sieht - oben auf der Seite angezeigt. Zweitens, oeffnen Sie den Reiter DNS Leak Test: die aufgelisteten Resolver sollten nicht zu Ihrem heimischen ISP gehoeren. Wenn beides richtig aussieht, ist Ihr Reality-Tunnel aktiv.
Haeufige Fehler
- Schlechte "dest"-Wahl. Wenn die Seite, die Sie nachahmen, langsam ist, bei Ihnen blockiert wird oder TLS 1.3 nicht unterstuetzt, wird die Verbindung instabil. Waehlen Sie eine grosse, schnelle, stets verfuegbare Seite.
- SNI passt nicht zur dest. Der Server Name muss eine Domain sein, die das Ziel tatsaechlich bedient. Nichtuebereinstimmungen fuehren zu sofortigen Verbindungsabbruechen.
- Panel weit offen gelassen. Lassen Sie das Panel niemals auf einem erratbaren Port mit einem schwachen Passwort - es ist die volle Kontrolle ueber Ihren Server. Sichern Sie es mit einer Firewall oder tunneln Sie zu ihm.
- Anbieter-Firewall. Manche Hoster haben ihre eigene Firewall in einem Control-Panel zusaetzlich zu
ufw; stellen Sie sicher, dass Port443auch dort geoeffnet ist. - Port 443 ist bereits belegt. Wenn auf dem Server bereits ein Webserver (Apache oder Nginx) auf
443laeuft, startet der inbound nicht. Geben Sie diesen Port zuerst frei oder weisen Sie dem inbound einen anderen zu. - Client-Fingerabdruck nicht gesetzt. Im Client sollte der TLS-Fingerabdruck (uTLS) ein echter Browser wie
chromesein. Der Freigabelink des Panels setzt dies meist fuer Sie, aber pruefen Sie es, falls die Verbindung instabil ist. - Einen VPS in einem blockierten Land nutzen. Ein Server physisch innerhalb des zensierten Netzes kann an der Quelle blockiert werden. Hosten Sie ihn im Ausland.
Die ehrlichen Grenzen
Reality ist hervorragend darin, vor Netzzensoren zu verbergen, dass Sie ein VPN benutzen, aber die ueblichen ehrlichen Grenzen des Selbst-Hostens gelten weiterhin: Ihr Anbieter kann die IP-Adressen sehen, die sich mit Ihrem Server verbinden, und bei einem VPS kann der Host einen Snapshot des Arbeitsspeichers der Maschine erstellen. Wenn Sie reduzieren wollen, was Ihr eigener Server auf der Festplatte aufzeichnet, folgen Sie unserem Leitfaden dazu, wie Sie Ihren VPS keine Logs fuehren lassen. Bedenken Sie, dass auch dies ein bewegliches Ziel ist: Zensoren eskalieren staendig - Russlands TSPU etwa fuegte Anfang 2026 eine Verhaltensanalyse von VLESS-Tunneln hinzu und begann, auf ASN-Ebene zu blockieren - halten Sie also Xray und das Panel aktuell und seien Sie bereit, Ihre dest oder Ihren Port zu wechseln, wenn eine Verbindung sich zu verschlechtern beginnt. Und wie immer aendert ein VPN nur, woher Ihr Datenverkehr zu kommen scheint - es stellt Sie nicht ueber das Gesetz Ihres Wohnorts.
x-ui aus und waehlen Sie Update) und sichern Sie die Schluessel des inbound an einem sicheren Ort.