VLESS + Reality con 3X-UI: aggirare la DPI e la censura VPN

Difficoltà: Intermedio 10 min di lettura Aggiornato: 18.07.2026 6
VLESS + Reality con 3X-UI: aggirare la DPI e la censura VPN
Quando la DPI di un censore inizia a bloccare il semplice WireGuard e OpenVPN, VLESS + Reality e la risposta: traveste la tua VPN da normale visita a un vero sito HTTPS, non richiede alcun dominio o certificato tuo e sopravvive all'active probing. Questa guida lo configura passo passo con il pannello web 3X-UI.

Perche VLESS + Reality, e quando serve

Un semplice tunnel WireGuard o OpenVPN e ottimo per la privacy, ma nei Paesi con una censura pesante ha un punto debole: la deep packet inspection (DPI) puo riconoscere il protocollo dalla sua impronta e bloccarlo, anche senza leggere cosa c'e dentro. E esattamente quello che sta succedendo in Russia, dove gli operatori bloccano le VPN sui box TSPU di ogni rete e i regolatori hanno spinto verso il blocco totale del traffico VPN.

Reality e la migliore risposta attuale a tutto questo. E un trasporto per il protocollo VLESS (del progetto Xray) che fa apparire la tua connessione come una normale visita a un sito HTTPS reale e popolare. Prende in prestito l'autentico handshake TLS di quel sito, cosi per la DPI di un censore il tuo traffico e indistinguibile da una normale navigazione - e a differenza dei trucchi piu vecchi sopravvive all'active probing: se un censore si collega al tuo server per testarlo senza la chiave giusta, il server lo inoltra silenziosamente al sito reale che stai prendendo in prestito, cosi vede solo un normale sito web e non sospetta nulla. Soprattutto, Reality non richiede nessun nome di dominio e nessun certificato TLS tuo. Lo configureremo tramite 3X-UI, un pannello web che svolge le parti difficili al posto tuo.

  • Un economico VPS basato su KVM con Ubuntu 22.04 o 24.04. Per aggirare la censura, scegli una posizione fuori dal Paese che effettua il blocco, idealmente con un IP nuovo e pulito.
  • Accesso SSH da root (il tuo provider te lo invia via email).
  • Circa 20 minuti. E un passo avanti rispetto a una VPN di base, ma il pannello lo rende gestibile.
Autonomo: questa guida ti porta da un VPS nuovo fino a un tunnel Reality funzionante, senza configurazione preliminare. Reality serve quando una VPN normale viene bloccata; se vuoi solo una VPN quotidiana piu semplice, vedi la nostra guida WireGuard. Tutto qui sotto viene eseguito come root.

Passo 1: Connettersi e aggiornare il server

Accedi via SSH (sostituisci con l'IP del tuo server) e installa gli ultimi aggiornamenti:

ssh root@YOUR_SERVER_IP
apt update && apt upgrade -y

Passo 2: Installare il pannello 3X-UI

3X-UI si installa con un solo comando. Eseguilo e rispondi alle richieste - quando ti viene chiesto, imposta un nome utente, una password robusta e una porta del pannello:

bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

Al termine, apri il menu di gestione in qualsiasi momento digitando:

x-ui

Da quel menu puoi vedere (e cambiare) la porta del pannello, il login e il percorso di accesso segreto. Annota queste tre cose - ti servono per aprire il pannello nel browser.

Passo 3: Accedere e blindare il pannello

Apri il pannello nel browser usando i valori del passo precedente:

http://YOUR_SERVER_IP:PANEL_PORT/ACCESS_PATH

Accedi, poi blindalo subito in Panel Settings:

  • Cambia il login con un nome utente unico e una password lunga se non l'hai gia fatto.
  • Mantieni il percorso di accesso segreto (la parte casuale dell'URL) - nasconde il pannello dagli scanner.
  • Imposta il pannello in ascolto su una porta non ovvia, e non riutilizzare mai la porta della tua VPN per esso.

Gia che sei in Panel Settings, attiva anche TCP BBR - e un singolo interruttore e velocizza notevolmente la connessione, soprattutto quando il server e lontano.

Non esporre il pannello a tutti. La configurazione piu sicura e lasciare la porta del pannello chiusa nel firewall (Passo 5) e raggiungerlo tramite un tunnel SSH, o almeno proteggerlo con una password robusta e il percorso segreto. Il pannello controlla tutto il tuo server.

Passo 4: Creare l'inbound VLESS + Reality

Questo e il passo centrale, e il pannello svolge la crittografia al posto tuo. Nel pannello apri Inbounds e clicca Add Inbound, poi imposta:

  • Protocol: vless.
  • Port: 443. Usare la porta HTTPS standard fa mimetizzare il traffico. Se in seguito una rete pesantemente censurata inizia a limitarti (throttling) sulla 443, prova a spostare l'inbound su una porta alta casuale come 43821 - alcuni sistemi DPI saltano l'ispezione approfondita sulle porte non standard per risparmiare risorse. Il compromesso: la 443 sembra normale traffico HTTPS, una porta alta no.
  • Security: reality. E questo che fa funzionare la magia.
  • Dest / Target: un sito HTTPS reale da impersonare. Deve essere straniero (fuori dal Paese che ti blocca), non bloccato in quel Paese, e supportare TLS 1.3 e HTTP/2. Donatori collaudati sono www.microsoft.com:443, www.samsung.com:443, www.nvidia.com:443 o www.apple.com:443. Evita i siti che sono bloccati o limitati (throttled) dove ti trovi (in Russia significa Google, Instagram, Facebook e X) ed evita qualsiasi cosa dietro Cloudflare - e piu basso e il ping dal tuo VPS meglio e (punta a meno di ~30 ms), idealmente nello stesso data center. Le versioni moderne di 3X-UI ti suggeriscono persino una coppia Target e SNI; puoi accettarla o impostarne una tua.
  • SNI / Server Names: il dominio esatto del sito che hai scelto sopra (per esempio www.samsung.com) - deve corrispondere a cio che il target serve.

Ora clicca i pulsanti del pannello per generare la coppia di chiavi (le chiavi pubblica e privata x25519) e gli shortIds - Reality ne ha bisogno, e il pannello le compila automaticamente. Assicurati che il flow sia impostato su xtls-rprx-vision - e la scelta standard per Reality: e cio che nasconde il rivelatore schema "TLS dentro TLS" e rende il tunnel molto piu veloce. Salva l'inbound.

Avanzato, opzionale: nelle reti piu aggressive alcuni utenti cambiano il trasporto dell'inbound in XHTTP per una maggiore resilienza contro l'analisi comportamentale. E piu recente e le opinioni divergono, quindi trattalo come un esperimento piuttosto che come impostazione predefinita - il semplice Reality con Vision funziona per la stragrande maggioranza.

Passo 5: Aprire il firewall

Consenti SSH, la tua porta inbound (443) e la porta del pannello dal Passo 2, poi abilita il firewall. Sostituisci PANEL_PORT con la porta effettiva del tuo pannello:

ufw allow 22/tcp
ufw allow 443/tcp
ufw allow PANEL_PORT/tcp
ufw enable
Controlla prima la tua porta SSH. Se il tuo provider ha impostato SSH su una porta non standard (non 22), consenti invece quella porta prima di ufw enable, altrimenti ti chiuderai fuori.

Il percorso di accesso segreto piu una password robusta mantengono il pannello al sicuro su quella porta aperta. Se preferisci tenerlo completamente nascosto, non consentire la porta del pannello sopra - raggiungi invece il pannello tramite un tunnel SSH dal tuo computer, poi apri http://localhost:8080 nel browser:

ssh -L 8080:localhost:PANEL_PORT root@YOUR_SERVER_IP

Di nuovo in Inbounds, trova il client appena creato e apri il suo QR code o il link di condivisione vless:// (il pannello mostra entrambi). Quell'unico link contiene tutto cio di cui un'app client ha bisogno - l'indirizzo, le chiavi e le impostazioni Reality. Su un telefono scansionerai il QR code; su un computer incollerai il link.

Per aggiungere altri dispositivi in seguito, crea un altro client dentro lo stesso inbound - ogni persona ottiene il proprio link.

Passo 7: Installare un'app client e connettersi

Reality funziona con qualsiasi client moderno basato su Xray. Scegli la tua piattaforma qui sotto, importa il link dal Passo 6 e connettiti.

Android: installa v2rayNG - nelle regioni pesantemente censurate scaricalo dalle release ufficiali su GitHub anziche dal Play Store, dove potrebbe mancare o essere falsificato. Tocca + nell'angolo in alto, scegli Scan QR code, puntalo verso il QR del pannello, poi tocca il pulsante rotondo di connessione in basso.

iPhone e iPad: installa Streisand (gratuito) dall'App Store - V2Box e FoXray funzionano bene anche loro. Tocca +, scegli Add from QR code o incolla il link vless://, poi attiva la connessione e consenti il profilo VPN.

Windows: installa Hiddify (il piu semplice) o Nekoray. Copia il link vless://, scegli Add profile -> From clipboard, poi premi connetti.

macOS: installa Hiddify (anche sul Mac App Store). Clicca Add profile -> From clipboard dopo aver copiato il link vless://, poi premi connetti.

Desktop Linux: usa Hiddify o Nekoray. Importa il link vless:// dagli appunti, seleziona il server e connettiti.

Passo 8: Verificare che funzioni

Con il client connesso, conferma due cose sulla nostra pagina Strumenti di rete. Primo, che internet ora vede l'IP del tuo server - mostrato in cima alla pagina. Secondo, apri la scheda DNS Leak Test: i resolver elencati non devono appartenere al tuo ISP di casa. Se entrambi sembrano giusti, il tuo tunnel Reality e attivo.

Errori comuni

  • Scelta sbagliata del "dest". Se il sito che impersoni e lento, bloccato dove ti trovi o non supporta il TLS 1.3, la connessione sara instabile. Scegli un sito grande, veloce e sempre attivo.
  • L'SNI non corrisponde al dest. Il Server Name deve essere un dominio che il target serve davvero. Le discordanze causano disconnessioni immediate.
  • Pannello lasciato spalancato. Non lasciare mai il pannello su una porta indovinabile con una password debole - e il controllo completo del tuo server. Proteggilo con il firewall o raggiungilo tramite tunnel.
  • Firewall del provider. Alcuni host hanno un proprio firewall in un pannello di controllo oltre a ufw; assicurati che anche li la porta 443 sia aperta.
  • Porta 443 gia in uso. Se il server esegue gia un web server (Apache o Nginx) sulla 443, l'inbound non partira. Libera prima quella porta, o assegna all'inbound una porta diversa.
  • Fingerprint del client non impostato. Nel client, il fingerprint TLS (uTLS) dovrebbe essere un browser reale come chrome. Il link di condivisione del pannello di solito lo imposta per te, ma controllalo se la connessione e instabile.
  • Usare un VPS in un Paese bloccato. Un server fisicamente dentro la rete censurata puo essere bloccato alla fonte. Ospitalo all'estero.

I limiti onesti

Reality e eccellente nel nascondere ai censori di rete che stai usando una VPN, ma i soliti limiti onesti del self-hosting valgono ancora: il tuo provider puo vedere gli indirizzi IP che si connettono al tuo server, e su un VPS l'host puo fare uno snapshot della RAM della macchina. Se vuoi ridurre cio che il tuo stesso server registra su disco, prosegui con la nostra guida su come far si che il tuo VPS non tenga alcun log. Tieni presente che anche questo e un bersaglio in movimento: i censori continuano a intensificare gli sforzi - il TSPU russo, per esempio, ha aggiunto l'analisi comportamentale dei tunnel VLESS all'inizio del 2026 e ha iniziato a bloccare a livello di ASN - quindi mantieni aggiornati Xray e il pannello e sii pronto a cambiare il tuo dest o la porta se una connessione inizia a peggiorare. E come sempre, una VPN cambia da dove sembra provenire il tuo traffico - non ti mette al di sopra della legge del luogo in cui vivi.

Mantienila tua: assegna a ogni dispositivo la propria voce client nel pannello cosi puoi revocarne una senza toccare le altre, mantieni 3X-UI aggiornato (esegui x-ui e scegli update), e fai un backup delle chiavi dell'inbound in un posto sicuro.
Tag: vless reality xray 3x-ui dpi censorship vpn bypass blocking anonymity