Настройка Xray с VLESS и XTLS-Reality на своём VPS: маскировка трафика под обычный TLS
Xray с VLESS и XTLS-Reality — это связка, которая шифрует ваш трафик и делает его внешне неотличимым от обычного TLS-соединения к реальному популярному сайту. Она решает две практические задачи: защитить трафик в недоверенных сетях (публичный Wi-Fi) и организовать приватный зашифрованный доступ к собственной инфраструктуре так, чтобы сам факт соединения выглядел как штатный визит на крупный веб-сайт. Ниже — пошаговая настройка на сервере с Ubuntu через удобную веб-панель 3x-ui.
Коротко. Арендуете VPS на Ubuntu → одной командой ставите панель 3x-ui → создаёте входящее подключение VLESS с потоком
xtls-rprx-visionи защитой Reality → указываете реальный сайт-донор для маскировки TLS → подключаете клиент по ссылке или QR-коду и проверяете шифрование. Всё занимает 15–25 минут.
О рамке этого материала
Это научно-техническое руководство по настройке средства шифрования трафика и организации безопасного удалённого доступа к собственному серверу. Материал носит образовательный характер и описывает работу исключительно с вашей собственной инфраструктурой (арендованным вами VPS).
Что такое Xray VLESS + XTLS-Reality и когда нужен
Xray — это высокопроизводительное ядро для построения зашифрованных сетевых каналов. VLESS здесь отвечает за лёгкую передачу данных без лишних накладных расходов, XTLS-Vision (поток xtls-rprx-vision) — за эффективное шифрование на транспортном уровне, а Reality — за маскировку.
Ключевая идея Reality: вместо собственного самоподписанного сертификата ваш сервер при рукопожатии «одалживает» TLS-отпечаток реального стороннего сайта, поддерживающего TLS 1.3 и HTTP/2. Для внешнего наблюдателя, анализирующего трафик (DPI), соединение выглядит как обычный визит на этот популярный сайт. Отсюда практическая польза:
- Защита трафика в публичных сетях. В открытом Wi-Fi трафик виден владельцу точки доступа и соседям по сети — Reality шифрует его на участке «устройство — ваш сервер».
- Безопасный удалённый доступ к своей инфраструктуре (панелям управления, базам данных) по зашифрованному каналу вместо открытого интернета.
- Приватная сеть между своими устройствами с маскировкой самого факта шифрованного соединения.
Что понадобится
- VPS на Ubuntu 22.04 или 24.04 с доступом по SSH и правами root/sudo. Как арендовать — см. «VPS для новичков».
- Клиентское приложение с поддержкой VLESS + Reality (v2rayNG для Android, Hiddify, NekoBox, sing-box и аналоги).
- Реальный сайт-донор для маскировки TLS — крупный ресурс, поддерживающий TLS 1.3 и HTTP/2 (например, сайты больших облачных или медиакомпаний).
- 15–25 минут.
Пошаговая настройка
Шаг 1. Подготовка сервера
Подключитесь к серверу по SSH и обновите систему, установите вспомогательные пакеты:
ssh root@ВАШ_IP_СЕРВЕРА
apt update && apt upgrade -y
apt install curl socat -y
Проверьте, что часы сервера синхронизированы — Reality чувствителен к рассинхронизации времени между сервером и клиентом:
timedatectl set-ntp true
timedatectl status
Шаг 2. Установка панели 3x-ui
3x-ui — это веб-панель для Xray, которая берёт на себя генерацию ключей и конфигурации. Установите её официальной командой:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
Установщик задаст несколько вопросов и в конце покажет логин, пароль, порт и секретный путь (webBasePath) для входа в панель. Сохраните эти данные. Открыть меню управления в любой момент можно командой:
x-ui
В меню доступны запуск/остановка сервиса, просмотр и сброс учётных данных, смена порта и настройка SSL. Панель по умолчанию доступна по адресу http://ВАШ_IP_СЕРВЕРА:ПОРТ/ПУТЬ. Сразу смените стандартный порт панели на случайный (пункт меню настроек) — это снижает автоматическое сканирование.
Шаг 3. Настройка входящего подключения VLESS + Reality
Войдите в панель через браузер, откройте раздел Inbounds → Add Inbound и задайте параметры:
- Protocol:
vless - Port:
443(штатный порт HTTPS — соединение выглядит как обычный веб-трафик) - Flow (у клиента):
xtls-rprx-vision - Security:
reality
В блоке Reality нажмите Get New Cert — панель сгенерирует пару ключей X25519 и короткий идентификатор (shortId) автоматически. Заполните поля маскировки:
- Dest (target):
сайт-донор:443— реальный сайт с TLS 1.3 и HTTP/2. - Server Names (SNI): имя того же сайта-донора (и при необходимости
www.-вариант).
Если хотите видеть, что именно генерирует панель «под капотом», Xray формирует эквивалент такого серверного realitySettings:
{
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"show": false,
"dest": "сайт-донор:443",
"xver": 0,
"serverNames": ["сайт-донор"],
"privateKey": "ПРИВАТНЫЙ_КЛЮЧ_X25519",
"shortIds": ["", "0123456789abcdef"]
}
}
}
Ключи X25519 при ручной настройке генерируются командой xray x25519, UUID клиента — xray uuid, а shortId — openssl rand -hex 8. Панель 3x-ui делает это за вас. Сохраните inbound и откройте порт в файрволе:
ufw allow 443/tcp
ufw allow OpenSSH
ufw enable
Шаг 4. Подключение устройства и проверка
В панели у созданного inbound нажмите на имя клиента — откроется окно с ссылкой vless://… и QR-кодом. В ней уже зашита вся конфигурация: адрес сервера, UUID, поток xtls-rprx-vision, публичный ключ Reality, SNI и shortId.
- На смартфоне отсканируйте QR-код приложением (v2rayNG, Hiddify) — профиль добавится автоматически.
- На компьютере скопируйте ссылку
vless://…и импортируйте её в клиент (NekoBox, sing-box, Hiddify) через «добавить из буфера обмена».
Активируйте профиль и переходите к проверке.
Проверка
После подключения убедитесь, что канал зашифрован и маскировка работает:
- Проверьте, что ваш внешний IP сменился на IP вашего сервера — это подтверждает, что трафик идёт через зашифрованный канал.
- В панели 3x-ui на вкладке inbound растёт счётчик переданных данных (Up/Down) — значит, соединение установлено.
- На сервере выполните
x-ui→ пункт просмотра логов Xray: успешное рукопожатие Reality логируется без ошибок TLS.
Если соединение не поднимается — чаще всего причина в рассинхронизации времени (вернитесь к шагу 1) либо в том, что выбранный сайт-донор не отдаёт TLS 1.3; замените его на другой крупный ресурс.
Безопасность сервера
- Приватный ключ Reality (X25519) хранится только на сервере — клиенту передаётся исключительно публичный ключ (он уже вшит в ссылку
vless://). - Смените порт и секретный путь веб-панели 3x-ui на нестандартные, включите для панели HTTPS (SSL) через меню
x-ui. - В файрволе
ufwоставьте открытыми только SSH и порт443/tcp, остальное закройте. - Регулярно обновляйте систему и ядро Xray:
apt update && apt upgrade, панель — через менюx-ui(пункт обновления). - Отключите вход по паролю для SSH в пользу ключей и не переиспользуйте один и тот же UUID/shortId между разными установками.
Дополнительно о базовой настройке защищённого канала — в разделе «Настройка», а классический туннель без маскировки разобран в гайде по WireGuard.
Частые вопросы
Ответы на типовые вопросы собраны в блоке ниже — он же размечен как HowTo/FAQ для поисковых систем и AI-ассистентов.
Руководство носит образовательный, научно-технический характер и описывает настройку шифрования трафика и безопасного доступа к собственной инфраструктуре. Ответственность за использование лежит на пользователе.
Что такое VLESS + XTLS-Reality простыми словами?
VLESS — это лёгкий протокол передачи данных для Xray, а XTLS-Reality — механизм, который шифрует ваш трафик и заставляет его выглядеть как обычное TLS-соединение к реальному популярному сайту. Внешне для наблюдателя это неотличимо от штатного визита на такой сайт, при этом свой домен и SSL-сертификат не нужны.
Нужен ли собственный домен и сертификат?
Нет. В этом и главное отличие Reality от классического TLS: сервер «одалживает» TLS-отпечаток реального стороннего сайта (например, крупного облачного или медиасервиса), поэтому собственный домен и выпуск сертификата Let's Encrypt не требуются. Достаточно IP-адреса VPS.
Какой VPS подойдёт для Xray?
Xray нетребователен к ресурсам: хватит минимального тарифа с 1 vCPU и 1 ГБ RAM на Ubuntu 22.04 или 24.04. Важнее качество и стабильность сетевого канала дата-центра, чем количество ядер. Как выбрать сервер — в разделе «Свой сервер».
Чем Reality отличается от WireGuard?
WireGuard создаёт классический зашифрованный туннель и хорошо решает задачу приватной сети между своими устройствами. Xray с Reality дополнительно маскирует сам факт шифрованного соединения под обычный TLS-трафик к реальному сайту, что делает его менее заметным для систем анализа трафика (DPI).