Зачем нужен VLESS + Reality и когда он пригодится
Обычный туннель WireGuard или OpenVPN отлично защищает приватность, но в странах с жёсткой цензурой у него есть слабое место: система глубокого анализа трафика (DPI) способна распознать протокол по его отпечатку и заблокировать, даже не читая, что находится внутри. Именно это происходит в России, где операторы блокируют VPN на устройствах ТСПУ в каждой сети, а регуляторы движутся к тотальной блокировке VPN-трафика.
Reality - это лучший на сегодня ответ на такую угрозу. Это транспорт для протокола VLESS (из проекта Xray), который заставляет ваше соединение выглядеть как обычный визит на реальный популярный HTTPS-сайт. Он заимствует настоящее TLS-рукопожатие этого сайта, так что для DPI цензора ваш трафик неотличим от обычного сёрфинга - и, в отличие от старых уловок, он выдерживает активное зондирование: если цензор подключается к вашему серверу, чтобы проверить его без правильного ключа, сервер незаметно перенаправляет его на тот самый реальный сайт, который вы заимствуете, и он видит лишь обычный веб-сайт и ничего не подозревает. Самое главное, Reality не требует собственного доменного имени и TLS-сертификата. Мы настроим его через 3X-UI - веб-панель, которая берёт всю сложную работу на себя.
- Дешёвый VPS на базе KVM с Ubuntu 22.04 или 24.04. Для обхода цензуры выбирайте расположение за пределами страны, которая занимается блокировками, в идеале со свежим, чистым IP.
- root-доступ по SSH (провайдер присылает его на почту).
- Около 20 минут. Это чуть сложнее базового VPN, но панель делает процесс управляемым.
root.Шаг 1: Подключаемся и обновляем сервер
Зайдите по SSH (замените на IP вашего сервера) и установите последние обновления:
ssh root@YOUR_SERVER_IP
apt update && apt upgrade -y
Шаг 2: Устанавливаем панель 3X-UI
3X-UI устанавливается одной командой. Запустите её и отвечайте на вопросы - когда спросят, задайте имя пользователя, надёжный пароль и порт панели:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
Когда установка завершится, в любой момент откройте меню управления командой:
x-ui
В этом меню можно посмотреть (и изменить) порт панели, логин и секретный путь доступа. Запишите эти три параметра - они понадобятся, чтобы открыть панель в браузере.
Шаг 3: Входим и защищаем панель
Откройте панель в браузере, используя значения из предыдущего шага:
http://YOUR_SERVER_IP:PANEL_PORT/ACCESS_PATH
Войдите и сразу же усильте защиту в разделе Panel Settings:
- Смените логин на уникальное имя пользователя и длинный пароль, если ещё не сделали этого.
- Сохраните секретный путь доступа (случайную часть URL) - он прячет панель от сканеров.
- Настройте панель на неочевидный порт и никогда не используйте для неё тот же порт, что и для VPN.
Пока вы в разделе Panel Settings, заодно включите TCP BBR - это один переключатель, который заметно ускоряет соединение, особенно когда сервер далеко.
Шаг 4: Создаём inbound VLESS + Reality
Это ключевой шаг, и криптографию за вас сделает панель. В панели откройте Inbounds и нажмите Add Inbound, затем задайте:
- Protocol:
vless. - Port:
443. Стандартный порт HTTPS помогает трафику слиться с обычным. Если сильно цензурируемая сеть позже начнёт душить вас на443, попробуйте перенести inbound на случайный высокий порт, например43821- некоторые системы DPI пропускают глубокую проверку на нестандартных портах, чтобы экономить ресурсы. Компромисс:443выглядит как обычный HTTPS, а высокий порт - нет. - Security:
reality. Именно это заставляет магию работать. - Dest / Target: реальный HTTPS-сайт, под который вы маскируетесь. Он должен быть зарубежным (за пределами страны, которая вас блокирует), сам не быть там заблокированным и поддерживать TLS 1.3 и HTTP/2. Проверенные доноры -
www.microsoft.com:443,www.samsung.com:443,www.nvidia.com:443илиwww.apple.com:443. Избегайте сайтов, которые заблокированы или замедлены там, где вы находитесь (в России это Google, Instagram, Facebook и X), и избегайте всего, что за Cloudflare - и чем ниже пинг от вашего VPS, тем лучше (стремитесь к значению меньше ~30 мс), в идеале в том же дата-центре. Современный 3X-UI даже сам предлагает вам пару Target и SNI; вы можете принять её или задать свою. - SNI / Server Names: точный домен выбранного выше сайта (например,
www.samsung.com) - он должен совпадать с тем, что отдаёт цель.
Теперь нажмите кнопки панели, чтобы сгенерировать пару ключей (публичный и приватный ключи x25519) и shortIds - они нужны Reality, и панель заполнит их автоматически. Убедитесь, что flow задан как xtls-rprx-vision - это стандартный выбор для Reality: именно он скрывает выдающий себя паттерн "TLS внутри TLS" и заметно ускоряет туннель. Сохраните inbound.
Продвинутое, по желанию: в самых агрессивных сетях некоторые пользователи переключают транспорт inbound на XHTTP для дополнительной устойчивости к поведенческому анализу. Это более новый вариант, и мнения о нём расходятся, поэтому относитесь к нему как к эксперименту, а не как к варианту по умолчанию - обычный Reality с Vision работает у подавляющего большинства.
Шаг 5: Открываем файрвол
Разрешите SSH, ваш порт inbound (443) и порт панели из Шага 2, затем включите файрвол. Замените PANEL_PORT на ваш реальный порт панели:
ufw allow 22/tcp
ufw allow 443/tcp
ufw allow PANEL_PORT/tcp
ufw enable
22), разрешите именно его перед ufw enable, иначе вы заблокируете себе доступ.Секретный путь доступа вместе с надёжным паролем защищают панель на этом открытом порту. Если же вы предпочитаете держать её полностью скрытой, не разрешайте порт панели выше - вместо этого подключайтесь к панели через SSH-туннель со своего компьютера, а затем откройте в браузере http://localhost:8080:
ssh -L 8080:localhost:PANEL_PORT root@YOUR_SERVER_IP
Шаг 6: Получаем ссылку для подключения
Вернитесь в Inbounds, найдите только что созданного клиента и откройте его QR-код или ссылку vless:// (панель показывает и то, и другое). Эта единственная ссылка содержит всё, что нужно клиентскому приложению - адрес, ключи и настройки Reality. На телефоне вы отсканируете QR-код, на компьютере вставите ссылку.
Чтобы позже добавить больше устройств, создайте внутри того же inbound ещё одного клиента - у каждого будет своя ссылка.
Шаг 7: Устанавливаем клиентское приложение и подключаемся
Reality работает с любым современным клиентом на базе Xray. Выберите свою платформу ниже, импортируйте ссылку из Шага 6 и подключайтесь.
Android: установите v2rayNG - в сильно цензурируемых регионах берите его из официальных релизов на GitHub, а не из Play Store, где его может не быть или он может быть поддельным. Нажмите + в верхнем углу, выберите Scan QR code, наведите на QR из панели, затем нажмите круглую кнопку подключения внизу.
iPhone и iPad: установите Streisand (бесплатно) из App Store - V2Box и FoXray тоже хорошо работают. Нажмите +, выберите Add from QR code или вставьте ссылку vless://, затем включите соединение и разрешите профиль VPN.
Windows: установите Hiddify (проще всего) или Nekoray. Скопируйте ссылку vless://, выберите Add profile -> From clipboard, затем нажмите подключиться.
macOS: установите Hiddify (есть и в Mac App Store). После копирования ссылки vless:// нажмите Add profile -> From clipboard, затем нажмите подключиться.
Linux (десктоп): используйте Hiddify или Nekoray. Импортируйте ссылку vless:// из буфера обмена, выберите сервер и подключитесь.
Шаг 8: Проверяем, что всё работает
При подключённом клиенте проверьте две вещи на нашей странице Сетевые инструменты. Во-первых, что интернет теперь видит IP вашего сервера - он показан вверху страницы. Во-вторых, откройте вкладку DNS Leak Test: перечисленные резолверы не должны принадлежать вашему домашнему провайдеру. Если оба пункта в порядке, ваш туннель Reality работает.
Частые ошибки
- Неудачный выбор "dest". Если сайт, под который вы маскируетесь, медленный, заблокирован там, где вы находитесь, или не поддерживает TLS 1.3, соединение будет нестабильным. Выбирайте крупный, быстрый и всегда доступный сайт.
- SNI не совпадает с dest. Server Name должно быть доменом, который цель действительно обслуживает. Несовпадения вызывают мгновенные обрывы.
- Панель оставлена нараспашку. Никогда не оставляйте панель на легко угадываемом порту со слабым паролем - это полный контроль над вашим сервером. Закройте её файрволом или подключайтесь через туннель.
- Файрвол провайдера. У некоторых хостеров есть собственный файрвол в панели управления поверх
ufw; убедитесь, что порт443открыт и там. - Порт 443 уже занят. Если на сервере уже работает веб-сервер (Apache или Nginx) на
443, inbound не запустится. Сначала освободите этот порт или назначьте inbound другой. - Не задан отпечаток клиента. В клиенте отпечаток TLS (uTLS) должен быть настоящим браузером, например
chrome. Ссылка из панели обычно задаёт его за вас, но проверьте это, если соединение нестабильно. - VPS в стране блокировок. Сервер, физически находящийся внутри цензурируемой сети, могут заблокировать у источника. Размещайте его за границей.
Честные ограничения
Reality превосходно скрывает сам факт использования VPN от сетевых цензоров, но обычные честные ограничения самостоятельного хостинга остаются в силе: ваш провайдер видит IP-адреса, подключающиеся к вашему серверу, а на VPS хостер может снять снимок оперативной памяти машины. Если вы хотите уменьшить то, что записывает на диск ваш собственный сервер, изучите наш гайд о том, как заставить VPS не хранить логи. Учтите, что это тоже движущаяся мишень: цензоры продолжают наращивать усилия - например, ТСПУ в России в начале 2026 года добавила поведенческий анализ туннелей VLESS и начала блокировать на уровне ASN - поэтому держите Xray и панель обновлёнными и будьте готовы сменить dest или порт, если соединение начнёт деградировать. И, как всегда, VPN меняет то, откуда якобы приходит ваш трафик - но не ставит вас выше закона той страны, где вы живёте.
x-ui и выберите обновление) и сохраните ключи inbound в надёжном месте.