VLESS + Reality через 3X-UI: обход DPI-блокировок VPN

Сложность: Средняя 10 мин чтения Обновлено: 18.07.2026 15
VLESS + Reality через 3X-UI: обход DPI-блокировок VPN
Когда DPI цензора начинает блокировать обычные WireGuard и OpenVPN, ответом становится VLESS + Reality: он маскирует ваш VPN под обычный визит на реальный HTTPS-сайт, не требует собственного домена или сертификата и выдерживает активное зондирование. Этот гайд настраивает его шаг за шагом с помощью веб-панели 3X-UI.

Зачем нужен VLESS + Reality и когда он пригодится

Обычный туннель WireGuard или OpenVPN отлично защищает приватность, но в странах с жёсткой цензурой у него есть слабое место: система глубокого анализа трафика (DPI) способна распознать протокол по его отпечатку и заблокировать, даже не читая, что находится внутри. Именно это происходит в России, где операторы блокируют VPN на устройствах ТСПУ в каждой сети, а регуляторы движутся к тотальной блокировке VPN-трафика.

Reality - это лучший на сегодня ответ на такую угрозу. Это транспорт для протокола VLESS (из проекта Xray), который заставляет ваше соединение выглядеть как обычный визит на реальный популярный HTTPS-сайт. Он заимствует настоящее TLS-рукопожатие этого сайта, так что для DPI цензора ваш трафик неотличим от обычного сёрфинга - и, в отличие от старых уловок, он выдерживает активное зондирование: если цензор подключается к вашему серверу, чтобы проверить его без правильного ключа, сервер незаметно перенаправляет его на тот самый реальный сайт, который вы заимствуете, и он видит лишь обычный веб-сайт и ничего не подозревает. Самое главное, Reality не требует собственного доменного имени и TLS-сертификата. Мы настроим его через 3X-UI - веб-панель, которая берёт всю сложную работу на себя.

  • Дешёвый VPS на базе KVM с Ubuntu 22.04 или 24.04. Для обхода цензуры выбирайте расположение за пределами страны, которая занимается блокировками, в идеале со свежим, чистым IP.
  • root-доступ по SSH (провайдер присылает его на почту).
  • Около 20 минут. Это чуть сложнее базового VPN, но панель делает процесс управляемым.
Самодостаточно: это руководство проведёт вас от чистого VPS до рабочего Reality-туннеля, без предварительной настройки. Reality нужен когда обычный VPN блокируют; если же вам просто нужен более простой повседневный VPN - смотрите наш гайд WireGuard. Все команды ниже выполняйте от root.

Шаг 1: Подключаемся и обновляем сервер

Зайдите по SSH (замените на IP вашего сервера) и установите последние обновления:

ssh root@YOUR_SERVER_IP
apt update && apt upgrade -y

Шаг 2: Устанавливаем панель 3X-UI

3X-UI устанавливается одной командой. Запустите её и отвечайте на вопросы - когда спросят, задайте имя пользователя, надёжный пароль и порт панели:

bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

Когда установка завершится, в любой момент откройте меню управления командой:

x-ui

В этом меню можно посмотреть (и изменить) порт панели, логин и секретный путь доступа. Запишите эти три параметра - они понадобятся, чтобы открыть панель в браузере.

Шаг 3: Входим и защищаем панель

Откройте панель в браузере, используя значения из предыдущего шага:

http://YOUR_SERVER_IP:PANEL_PORT/ACCESS_PATH

Войдите и сразу же усильте защиту в разделе Panel Settings:

  • Смените логин на уникальное имя пользователя и длинный пароль, если ещё не сделали этого.
  • Сохраните секретный путь доступа (случайную часть URL) - он прячет панель от сканеров.
  • Настройте панель на неочевидный порт и никогда не используйте для неё тот же порт, что и для VPN.

Пока вы в разделе Panel Settings, заодно включите TCP BBR - это один переключатель, который заметно ускоряет соединение, особенно когда сервер далеко.

Не открывайте панель всем подряд. Самый безопасный вариант - оставить порт панели закрытым в файрволе (Шаг 5) и подключаться к ней через SSH-туннель, или хотя бы защитить её надёжным паролем и секретным путём. Панель управляет всем вашим сервером.

Шаг 4: Создаём inbound VLESS + Reality

Это ключевой шаг, и криптографию за вас сделает панель. В панели откройте Inbounds и нажмите Add Inbound, затем задайте:

  • Protocol: vless.
  • Port: 443. Стандартный порт HTTPS помогает трафику слиться с обычным. Если сильно цензурируемая сеть позже начнёт душить вас на 443, попробуйте перенести inbound на случайный высокий порт, например 43821 - некоторые системы DPI пропускают глубокую проверку на нестандартных портах, чтобы экономить ресурсы. Компромисс: 443 выглядит как обычный HTTPS, а высокий порт - нет.
  • Security: reality. Именно это заставляет магию работать.
  • Dest / Target: реальный HTTPS-сайт, под который вы маскируетесь. Он должен быть зарубежным (за пределами страны, которая вас блокирует), сам не быть там заблокированным и поддерживать TLS 1.3 и HTTP/2. Проверенные доноры - www.microsoft.com:443, www.samsung.com:443, www.nvidia.com:443 или www.apple.com:443. Избегайте сайтов, которые заблокированы или замедлены там, где вы находитесь (в России это Google, Instagram, Facebook и X), и избегайте всего, что за Cloudflare - и чем ниже пинг от вашего VPS, тем лучше (стремитесь к значению меньше ~30 мс), в идеале в том же дата-центре. Современный 3X-UI даже сам предлагает вам пару Target и SNI; вы можете принять её или задать свою.
  • SNI / Server Names: точный домен выбранного выше сайта (например, www.samsung.com) - он должен совпадать с тем, что отдаёт цель.

Теперь нажмите кнопки панели, чтобы сгенерировать пару ключей (публичный и приватный ключи x25519) и shortIds - они нужны Reality, и панель заполнит их автоматически. Убедитесь, что flow задан как xtls-rprx-vision - это стандартный выбор для Reality: именно он скрывает выдающий себя паттерн "TLS внутри TLS" и заметно ускоряет туннель. Сохраните inbound.

Продвинутое, по желанию: в самых агрессивных сетях некоторые пользователи переключают транспорт inbound на XHTTP для дополнительной устойчивости к поведенческому анализу. Это более новый вариант, и мнения о нём расходятся, поэтому относитесь к нему как к эксперименту, а не как к варианту по умолчанию - обычный Reality с Vision работает у подавляющего большинства.

Шаг 5: Открываем файрвол

Разрешите SSH, ваш порт inbound (443) и порт панели из Шага 2, затем включите файрвол. Замените PANEL_PORT на ваш реальный порт панели:

ufw allow 22/tcp
ufw allow 443/tcp
ufw allow PANEL_PORT/tcp
ufw enable
Сначала проверьте порт SSH. Если провайдер назначил SSH нестандартный порт (не 22), разрешите именно его перед ufw enable, иначе вы заблокируете себе доступ.

Секретный путь доступа вместе с надёжным паролем защищают панель на этом открытом порту. Если же вы предпочитаете держать её полностью скрытой, не разрешайте порт панели выше - вместо этого подключайтесь к панели через SSH-туннель со своего компьютера, а затем откройте в браузере http://localhost:8080:

ssh -L 8080:localhost:PANEL_PORT root@YOUR_SERVER_IP

Шаг 6: Получаем ссылку для подключения

Вернитесь в Inbounds, найдите только что созданного клиента и откройте его QR-код или ссылку vless:// (панель показывает и то, и другое). Эта единственная ссылка содержит всё, что нужно клиентскому приложению - адрес, ключи и настройки Reality. На телефоне вы отсканируете QR-код, на компьютере вставите ссылку.

Чтобы позже добавить больше устройств, создайте внутри того же inbound ещё одного клиента - у каждого будет своя ссылка.

Шаг 7: Устанавливаем клиентское приложение и подключаемся

Reality работает с любым современным клиентом на базе Xray. Выберите свою платформу ниже, импортируйте ссылку из Шага 6 и подключайтесь.

Android: установите v2rayNG - в сильно цензурируемых регионах берите его из официальных релизов на GitHub, а не из Play Store, где его может не быть или он может быть поддельным. Нажмите + в верхнем углу, выберите Scan QR code, наведите на QR из панели, затем нажмите круглую кнопку подключения внизу.

iPhone и iPad: установите Streisand (бесплатно) из App Store - V2Box и FoXray тоже хорошо работают. Нажмите +, выберите Add from QR code или вставьте ссылку vless://, затем включите соединение и разрешите профиль VPN.

Windows: установите Hiddify (проще всего) или Nekoray. Скопируйте ссылку vless://, выберите Add profile -> From clipboard, затем нажмите подключиться.

macOS: установите Hiddify (есть и в Mac App Store). После копирования ссылки vless:// нажмите Add profile -> From clipboard, затем нажмите подключиться.

Linux (десктоп): используйте Hiddify или Nekoray. Импортируйте ссылку vless:// из буфера обмена, выберите сервер и подключитесь.

Шаг 8: Проверяем, что всё работает

При подключённом клиенте проверьте две вещи на нашей странице Сетевые инструменты. Во-первых, что интернет теперь видит IP вашего сервера - он показан вверху страницы. Во-вторых, откройте вкладку DNS Leak Test: перечисленные резолверы не должны принадлежать вашему домашнему провайдеру. Если оба пункта в порядке, ваш туннель Reality работает.

Частые ошибки

  • Неудачный выбор "dest". Если сайт, под который вы маскируетесь, медленный, заблокирован там, где вы находитесь, или не поддерживает TLS 1.3, соединение будет нестабильным. Выбирайте крупный, быстрый и всегда доступный сайт.
  • SNI не совпадает с dest. Server Name должно быть доменом, который цель действительно обслуживает. Несовпадения вызывают мгновенные обрывы.
  • Панель оставлена нараспашку. Никогда не оставляйте панель на легко угадываемом порту со слабым паролем - это полный контроль над вашим сервером. Закройте её файрволом или подключайтесь через туннель.
  • Файрвол провайдера. У некоторых хостеров есть собственный файрвол в панели управления поверх ufw; убедитесь, что порт 443 открыт и там.
  • Порт 443 уже занят. Если на сервере уже работает веб-сервер (Apache или Nginx) на 443, inbound не запустится. Сначала освободите этот порт или назначьте inbound другой.
  • Не задан отпечаток клиента. В клиенте отпечаток TLS (uTLS) должен быть настоящим браузером, например chrome. Ссылка из панели обычно задаёт его за вас, но проверьте это, если соединение нестабильно.
  • VPS в стране блокировок. Сервер, физически находящийся внутри цензурируемой сети, могут заблокировать у источника. Размещайте его за границей.

Честные ограничения

Reality превосходно скрывает сам факт использования VPN от сетевых цензоров, но обычные честные ограничения самостоятельного хостинга остаются в силе: ваш провайдер видит IP-адреса, подключающиеся к вашему серверу, а на VPS хостер может снять снимок оперативной памяти машины. Если вы хотите уменьшить то, что записывает на диск ваш собственный сервер, изучите наш гайд о том, как заставить VPS не хранить логи. Учтите, что это тоже движущаяся мишень: цензоры продолжают наращивать усилия - например, ТСПУ в России в начале 2026 года добавила поведенческий анализ туннелей VLESS и начала блокировать на уровне ASN - поэтому держите Xray и панель обновлёнными и будьте готовы сменить dest или порт, если соединение начнёт деградировать. И, как всегда, VPN меняет то, откуда якобы приходит ваш трафик - но не ставит вас выше закона той страны, где вы живёте.

Держите всё под контролем: давайте каждому устройству отдельную запись клиента в панели, чтобы можно было отозвать одну, не трогая остальные, держите 3X-UI обновлённым (запустите x-ui и выберите обновление) и сохраните ключи inbound в надёжном месте.
Теги: vless reality xray 3x-ui dpi censorship vpn bypass blocking anonymity