Автор: Редакция «VPN не работает»

Настройка Xray с VLESS и XTLS-Reality на своём VPS: маскировка трафика под обычный TLS

Xray с VLESS и XTLS-Reality — это связка, которая шифрует ваш трафик и делает его внешне неотличимым от обычного TLS-соединения к реальному популярному сайту. Она решает две практические задачи: защитить трафик в недоверенных сетях (публичный Wi-Fi) и организовать приватный зашифрованный доступ к собственной инфраструктуре так, чтобы сам факт соединения выглядел как штатный визит на крупный веб-сайт. Ниже — пошаговая настройка на сервере с Ubuntu через удобную веб-панель 3x-ui.

Коротко. Арендуете VPS на Ubuntu → одной командой ставите панель 3x-ui → создаёте входящее подключение VLESS с потоком xtls-rprx-vision и защитой Reality → указываете реальный сайт-донор для маскировки TLS → подключаете клиент по ссылке или QR-коду и проверяете шифрование. Всё занимает 15–25 минут.

О рамке этого материала

Это научно-техническое руководство по настройке средства шифрования трафика и организации безопасного удалённого доступа к собственному серверу. Материал носит образовательный характер и описывает работу исключительно с вашей собственной инфраструктурой (арендованным вами VPS).

Что такое Xray VLESS + XTLS-Reality и когда нужен

Xray — это высокопроизводительное ядро для построения зашифрованных сетевых каналов. VLESS здесь отвечает за лёгкую передачу данных без лишних накладных расходов, XTLS-Vision (поток xtls-rprx-vision) — за эффективное шифрование на транспортном уровне, а Reality — за маскировку.

Ключевая идея Reality: вместо собственного самоподписанного сертификата ваш сервер при рукопожатии «одалживает» TLS-отпечаток реального стороннего сайта, поддерживающего TLS 1.3 и HTTP/2. Для внешнего наблюдателя, анализирующего трафик (DPI), соединение выглядит как обычный визит на этот популярный сайт. Отсюда практическая польза:

Что понадобится

Пошаговая настройка

Шаг 1. Подготовка сервера

Подключитесь к серверу по SSH и обновите систему, установите вспомогательные пакеты:

ssh root@ВАШ_IP_СЕРВЕРА
apt update && apt upgrade -y
apt install curl socat -y

Проверьте, что часы сервера синхронизированы — Reality чувствителен к рассинхронизации времени между сервером и клиентом:

timedatectl set-ntp true
timedatectl status

Шаг 2. Установка панели 3x-ui

3x-ui — это веб-панель для Xray, которая берёт на себя генерацию ключей и конфигурации. Установите её официальной командой:

bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

Установщик задаст несколько вопросов и в конце покажет логин, пароль, порт и секретный путь (webBasePath) для входа в панель. Сохраните эти данные. Открыть меню управления в любой момент можно командой:

x-ui

В меню доступны запуск/остановка сервиса, просмотр и сброс учётных данных, смена порта и настройка SSL. Панель по умолчанию доступна по адресу http://ВАШ_IP_СЕРВЕРА:ПОРТ/ПУТЬ. Сразу смените стандартный порт панели на случайный (пункт меню настроек) — это снижает автоматическое сканирование.

Шаг 3. Настройка входящего подключения VLESS + Reality

Войдите в панель через браузер, откройте раздел Inbounds → Add Inbound и задайте параметры:

В блоке Reality нажмите Get New Cert — панель сгенерирует пару ключей X25519 и короткий идентификатор (shortId) автоматически. Заполните поля маскировки:

Если хотите видеть, что именно генерирует панель «под капотом», Xray формирует эквивалент такого серверного realitySettings:

{
  "streamSettings": {
    "network": "tcp",
    "security": "reality",
    "realitySettings": {
      "show": false,
      "dest": "сайт-донор:443",
      "xver": 0,
      "serverNames": ["сайт-донор"],
      "privateKey": "ПРИВАТНЫЙ_КЛЮЧ_X25519",
      "shortIds": ["", "0123456789abcdef"]
    }
  }
}

Ключи X25519 при ручной настройке генерируются командой xray x25519, UUID клиента — xray uuid, а shortId — openssl rand -hex 8. Панель 3x-ui делает это за вас. Сохраните inbound и откройте порт в файрволе:

ufw allow 443/tcp
ufw allow OpenSSH
ufw enable

Шаг 4. Подключение устройства и проверка

В панели у созданного inbound нажмите на имя клиента — откроется окно с ссылкой vless://… и QR-кодом. В ней уже зашита вся конфигурация: адрес сервера, UUID, поток xtls-rprx-vision, публичный ключ Reality, SNI и shortId.

Активируйте профиль и переходите к проверке.

Проверка

После подключения убедитесь, что канал зашифрован и маскировка работает:

Если соединение не поднимается — чаще всего причина в рассинхронизации времени (вернитесь к шагу 1) либо в том, что выбранный сайт-донор не отдаёт TLS 1.3; замените его на другой крупный ресурс.

Безопасность сервера

Дополнительно о базовой настройке защищённого канала — в разделе «Настройка», а классический туннель без маскировки разобран в гайде по WireGuard.

Частые вопросы

Ответы на типовые вопросы собраны в блоке ниже — он же размечен как HowTo/FAQ для поисковых систем и AI-ассистентов.


Руководство носит образовательный, научно-технический характер и описывает настройку шифрования трафика и безопасного доступа к собственной инфраструктуре. Ответственность за использование лежит на пользователе.

Что такое VLESS + XTLS-Reality простыми словами?

VLESS — это лёгкий протокол передачи данных для Xray, а XTLS-Reality — механизм, который шифрует ваш трафик и заставляет его выглядеть как обычное TLS-соединение к реальному популярному сайту. Внешне для наблюдателя это неотличимо от штатного визита на такой сайт, при этом свой домен и SSL-сертификат не нужны.

Нужен ли собственный домен и сертификат?

Нет. В этом и главное отличие Reality от классического TLS: сервер «одалживает» TLS-отпечаток реального стороннего сайта (например, крупного облачного или медиасервиса), поэтому собственный домен и выпуск сертификата Let's Encrypt не требуются. Достаточно IP-адреса VPS.

Какой VPS подойдёт для Xray?

Xray нетребователен к ресурсам: хватит минимального тарифа с 1 vCPU и 1 ГБ RAM на Ubuntu 22.04 или 24.04. Важнее качество и стабильность сетевого канала дата-центра, чем количество ядер. Как выбрать сервер — в разделе «Свой сервер».

Чем Reality отличается от WireGuard?

WireGuard создаёт классический зашифрованный туннель и хорошо решает задачу приватной сети между своими устройствами. Xray с Reality дополнительно маскирует сам факт шифрованного соединения под обычный TLS-трафик к реальному сайту, что делает его менее заметным для систем анализа трафика (DPI).