Админ
Администратор
- Регистрация
- 24.02.18
- Сообщения
- 1.521
- Реакции
- 443
Создание VPN Vless (Reality) с транспортом XHTTP через панель 3x-ui
XHTTP — это современный транспорт для протокола Vless, который позволяет передавать данные с помощью HTTP-запросов. Ключевой особенностью этой технологии является возможность использования CDN-серверов между клиентом и сервером. В этом уроке я покажу, как можно создать свой собственный VPN с помощью панели 3x-ui, используя технологию XHTTP.
VPS для панели
Для установки панели нам понадобится VPS-сервер. Приобрести его можно в ishosting.
В сервисе доступны более 36 локаций. Если вам не нужна какая-то конкретная страна, выбирайте ту, что ближе к вам.
Системные требования
1 CPU
1 GB RAM
10 GB диска
ОС Ubuntu 24 x64
Подготовка
Первое, что нужно сделать, — сменить пароль сервера, который пришёл в письме. Для этого можно использовать генераторы паролей или придумать собственный пароль. Я не рекомендую использовать собственные пароли, потому что, как правило, они ненадёжные. Лучше всего сгенерировать случайный набор символов с помощью команды:
openssl rand -base64 32
Эта команда просто сгенерирует случайный набор символов, но не сменит пароль. Чтобы сменить пароль, введите команду:
passwd
Введите пароль, повторите ввод пароля и нажмите Enter. Для того чтобы проверить, что всё корректно работает, не закрывая текущую вкладку терминала, откройте новую вкладку и подключитесь к серверу. Если после ввода нового пароля подключение прошло успешно, то всё хорошо, можно продолжать. Не забудьте сохранить пароль в надёжном месте.
Далее обновляем списки репозиториев и установленные пакеты. Если в процессе появляются какие-то окна, просто жмём Enter:
sudo apt update
sudo apt upgrade -y
И перезагружаем сервер:
sudo reboot
Так как сервер ушёл в перезагрузку, соединение пропадёт. Спустя пару минут можно подключиться к серверу заново.
Установка 3x-ui и создание самоподписанного TLS-сертификата
Для начала нужно установить панель 3x-ui. Сделать это можно с помощью этой команды:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
В процессе установки скрипт спросит, нужно ли установить свой порт: "Would you like to customize the Panel Port settings? (If not, a random port will be applied) [y/n]:". Можете нажать y и ввести порт, который хотите, но я рекомендую просто нажать Enter, тогда порт и все остальные настройки зададутся случайно. После этого вы получите адрес и логин-пароль для доступа к панели. Сохраните эти данные в надёжном месте.
Введите его в браузер и залогиньтесь в панели. Красная плашка информирует нас о том, что соединение не зашифровано, и надо создать TLS-сертификат. Его можно создать двумя способами: подключить домен и выпустить сертификат через меню x-ui или создать самоподписанный сертификат. Мы создадим самоподписанный сертификат.
Для этого вводим следующие команды:
mkdir cert
cd cert
wget -qO- https://raw.githubusercontent.com/ServerTechnologies/3x-ui-with-xhttp/refs/heads/main/opensslcert | bash
После того как скрипт сработает, вы увидите несколько строчек с адресами файлов сертификатов. Откройте панель, в левом меню выберите Настройки → Сертификаты. Вставьте пути до файлов в соответствующие поля. Нажмите "Сохранить" и "Перезапуск панели". Панель перезапустится и вы увидите предупреждение о безопасности. Всё в порядке — браузер ругается, потому что мы используем самоподписанный сертификат. Просто нажимаем соответствующую кнопку и подключаемся к панели.
При последующем вводе адреса панели в браузер не забывайте менять протокол с http на https.
Настройка инбаунда в 3x-ui
Создание подключения. Простой способ. XHTTP Vless Reality
Технология XHTTP может использоваться как совместно с CDN-сервисами, так и отдельно — примерно так же, как обычный Vless Reality с TLS. Для этого в панели 3x-ui в правом меню выбираем Инбаунды → Создать инбаунд:
Протокол: Vless
Порт: 443
Транспорт: XHTTP
Безопасность: Reality
В Dest и SNI указываем любой незаблокированный иностранный сайт
Нажимаем Get New Cert и Get New Seed
Внизу нажимаем "Создать"
Подключение создано. Также создан один клиент. Можно добавить ещё несколько клиентов. Теперь передайте ссылку для подключения на устройство или отсканируйте QR-код — и можно пользоваться.
Создание подключения. XHTTP через CDN
CDN (Content Delivery Network) — это сеть серверов, распределённых по разным регионам, которая помогает доставлять контент пользователям быстрее и надёжнее. В контексте XHTTP — это просто промежуточный сервер между клиентом и сервером, на котором установлена панель. Это немного замедляет скорость, но при этом позволяет скрыть IP-адрес вашего сервера за IP-адресом сервера CDN.
Можно использовать практически любой сервис CDN, но на данный момент Cloudflare предоставляет возможность использовать свою инфраструктуру бесплатно, тогда как другие сервисы стоят денег. Поэтому именно на примере Cloudflare я покажу, как создать подобное подключение.
Нам понадобится домен — его можно купить прямо в Cloudflare. Этот домен надо направить на ваш VPN-сервер.
Настройки подключения в 3x-ui:
Создать инбаунд
Протокол: Vless
Порт: любой, кроме 80, 443, 22
Транспорт: XHTTP
Хост: добавляем домен
Путь: что угодно
Безопасность: пусто
Sniffing: выключено
Настройки в Cloudflare:
В левом меню SSL/TLS → выбрать Flexible
В левом меню SSL/TLS → Edge Certificates: выключить TLS 1.3
В левом меню Network: включить gRPC
В левом меню Rules → Overview:
Кнопка Create rule → Origin rule
Rule name: что угодно
Поле "When incoming requests match…":
Field: Hostname
Operator: equals
Value: вставляем домен или поддомен
Destination Port: выбрать "Rewrite to…" и вставить туда порт из инбаунда
Настройка клиента:
Добавляем ключ как обычно
Адрес меняем на наш домен/поддомен
Порт: 443
Безопасность: TLS
SNI: наш домен/поддомен
Сохранить
Клиенты для разных операционных систем
Так как эта технология относительно новая, ещё далеко не все клиенты поддерживают её. В этом списке клиенты, которые точно поддерживают этот транспорт.
Windows и Linux:
v2rayN
Android:
v2rayNG
iOS & macOS arm64:
Для обхода блокировок Роскомнадзора (РКН) в 2026 году, настраивайте VLESS с использованием технологии Reality (на базе Xray). Ключевая защита — маскировка под легитимный HTTPS-трафик, так как РКН выявляет прокси по косвенным признакам (зарубежный IP, несовпадение доменов, эвристика). Используйте порт 443.
Основные рекомендации по настройке для противодействия РКН:
Используйте Reality: В отличие от TLS, Reality не требует валидного сертификата для домена, а имитирует "рукопожатие" с популярным реальным сайтом, что делает трафик неотличимым от обычного просмотра веб-страниц.
Порт 443: Настройка сервера на порт 443 (стандартный порт HTTPS) критична для маскировки.
Чистый IP/Домен: Избегайте использования IP-адресов, которые уже могли попасть в списки блокировок (хостинг-провайдеры, часто используемые для VPN).
Обновление Xray: Регулярно обновляйте ядро Xray-core на сервере до последней версии, так как методы обхода совершенствуются.
Уникальный SNI: В настройках Reality используйте в качестве dest и serverNames популярные, но не заблокированные сайты (обычно сайты-заглушки или крупные ресурсы), чтобы скрыть реальное направление трафика.
В случае обнаружения, РКН блокирует VLESS-трафик, в частности, с транспортом TCP, поэтому Reality является наиболее устойчивым вариантом.
Для обхода блокировок РКН в 2026 году наиболее эффективным является протокол VLESS с технологией Reality. Эта связка маскирует ваш трафик под обычное HTTPS-соединение с разрешенным сайтом, делая его невидимым для систем ТСПН.
Ниже приведена полная инструкция по настройке Inbound в панели 3x-ui.
1. Создание подключения (Inbound)
Перейдите в раздел Инбаунды (Inbounds) -> Добавить инбаунд (Add Inbound) и заполните следующие поля:
Примечание (Remark): Любое имя (например, RKN_BYPASS).
Протокол (Protocol): vless.
Порт (Port): 443 (критично для маскировки под стандартный HTTPS).
Транспорт (Transmission): tcp или xhttp (в новых версиях 3x-ui xhttp может быть стабильнее против глубокого анализа пакетов).
Безопасность (Security): REALITY.
2. Настройка Reality
В появившемся блоке Reality заполните параметры:
uTLS: Выберите chrome или safari (для имитации браузерного "рукопожатия").
Dest: Адрес зарубежного сайта, под который вы маскируетесь. Сайт не должен быть заблокирован в РФ и должен поддерживать TLS 1.3. Примеры: www.google.com:443, www.microsoft.com:443 или dl.google.com:443.
SNI: Тот же домен, что и в Dest, но без порта (например, www.google.com).
Private Key / Public Key: Нажмите кнопку Get New Cert (или Generate) для генерации ключей.
Short ID: Нажмите Get New Seed для генерации уникального идентификатора.
3. Настройка Flow (важно для обхода блокировок)
В поле Flow обязательно выберите:
xtls-rprx-vision (если используете TCP) — это добавляет специальное шифрование, которое помогает обходить эвристические фильтры РКН, выявляющие TLS-туннели.
4. Подключение клиента
Нажмите Создать (Create).
В списке инбаундов нажмите на иконку QR-кода или копирования ссылки рядом с созданным пользователем.
Импортируйте конфиг в клиентское приложение:
Android: v2rayNG, Hiddify, V2RayTun.
iOS: V2Box, Streisand, Shadowrocket.
Windows: v2rayN, Nekoray, Hiddify-Next.
Совет: Если скорость низкая или подключение нестабильно, попробуйте сменить SNI/Dest на менее популярные сайты (например, сайты крупных западных университетов или облачных сервисов вроде swdist.apple.com), так как популярные IP могут подвергаться более жесткой фильтрации.
Хотите узнать, как дополнительно настроить WARP внутри 3x-ui для доступа к заблокированным ресурсам через сервер?
Судя по твоим настройкам, ты используешь xHTTP (новый транспорт в Xray), который сейчас считается одним из самых эффективных против DPI (систем анализа трафика РКН). Он разбивает данные на сегменты, имитируя обычные HTTP/2-запросы.
Чтобы эта конфигурация работала максимально скрытно и стабильно, внеси следующие правки в панели 3x-ui:
1. Исправление порта и безопасности
Порт: У тебя стоит 8443. РКН часто ограничивает скорость или блокирует нестандартные порты. Поменяй на 443.
Безопасность (Security): Вместо классического TLS (как у тебя сейчас с путями к сертификатам /etc/letsencrypt/...) выбери REALITY.
Почему: Обычный TLS выдает наличие VPN-сервера при проверке активным сканированием. Reality притворяется реальным сайтом.
2. Настройка xHTTP (в разделе Транспорт)
Чтобы xHTTP был «невидимым», заполни поля так:
Хост (Host): www.apple.com (оставь как есть).
Путь (Path): Придумай случайный путь, например /v2-update-system-info (это усложнит опознание трафика).
Mode: Установи speed или packet (для обхода DPI лучше packet).
Padding Bytes: 100-1000 (хорошо, это добавляет «мусорный» вес пакетам, сбивая алгоритмы анализа).
Extra: Убедись, что включен No SSE Header (это делает запросы похожими на обычную загрузку файлов).
3. Настройка Reality (в разделе Безопасность)
Если переключился на Reality:
uTLS: Выбери chrome.
Dest: www.apple.com:443
SNI: www.apple.com
Short ID: Нажми кнопку генерации (seed).
Public/Private Key: Сгенерируй новые (кнопка Get New Cert). Пути к файлам .pem больше не понадобятся.
Почему это сработает?
РКН ищет паттерны: если трафик идет на порт 8443 и выглядит как «бесконечный поток данных», он попадает под подозрение. xHTTP + Reality на 443 порту выглядит для фильтра как:
Заход браузера Chrome (uTLS) на сайт Apple (SNI/Dest).
Загрузка множества мелких файлов/скриптов по протоколу HTTP/2 (xHTTP).
Важный нюанс: После смены порта на 443 убедись, что на сервере не запущен другой веб-сервер (например, Nginx), который может занимать этот порт.
Тебе помочь с командами для очистки порта 443 на сервере или переходим к проверке клиента?
Проблема с портом 443 обычно возникает по двум причинам: он либо занят другим процессом (например, Nginx или Apache), либо у панели 3x-ui нет прав на использование портов ниже 1024 (редко, но бывает).
Вот пошаговый план, как освободить 443 порт и правильно прописать конфиг:
1. Проверка: кто занял порт?
Подключись к серверу по SSH и выполни команду:
lsof -i :443
Используйте код с осторожностью.
Или, если lsof нет:
netstat -tulnp | grep 443
Используйте код с осторожностью.
Если видишь nginx: Тебе нужно либо остановить его (systemctl stop nginx), либо настроить 3x-ui на другой порт (например, 2053), а в Nginx сделать проброс (Stream). Но для Reality лучше прямой порт 443 без Nginx.
Если видишь 3x-ui или xray: Значит, порт уже занят старым инбаундом.
2. Как «убить» процесс, мешающий запуску
Если порт занят чем-то ненужным:
fuser -k 443/tcp
Используйте код с осторожностью.
После этого попробуй снова сохранить настройки в панели.
3. Настройка в 3x-ui (через xHTTP)
Если ты используешь версию с xHTTP, пропиши именно так:
Порт (Port): 443
Слушать IP (Listen IP): 0.0.0.0 (чтобы слушал все входящие).
Транспорт (Transmission): xhttp
Host: www.apple.com (или твой домен, если есть сертификат).
Path: / (или любой короткий путь).
Mode: packet (лучший режим для обхода DPI).
Extra (No SSE Header): true (включить).
4. Если порт 443 критически нужен для сайта (Nginx)
Если ты не можешь отключить Nginx, у тебя есть два пути:
Для Reality: Смени порт в 3x-ui на любой свободный (например, 4443), но тогда маскировка будет слабее.
Для xHTTP (без Reality): Оставь Nginx на 443, а в конфиге Nginx пропиши proxy_pass на порт твоего VLESS. Но учти: РКН научился блокировать TLS-прокси за Nginx.
Рекомендация: Для максимальной защиты от РКН отключи Nginx, поставь в 3x-ui порт 443 и включи Reality. Это самый «живучий» метод.
Попробуешь сейчас выполнить lsof -i :443? Пришли результат, если не получится разобраться, кто держит порт.
XHTTP — это современный транспорт для протокола Vless, который позволяет передавать данные с помощью HTTP-запросов. Ключевой особенностью этой технологии является возможность использования CDN-серверов между клиентом и сервером. В этом уроке я покажу, как можно создать свой собственный VPN с помощью панели 3x-ui, используя технологию XHTTP.
VPS для панели
Для установки панели нам понадобится VPS-сервер. Приобрести его можно в ishosting.
В сервисе доступны более 36 локаций. Если вам не нужна какая-то конкретная страна, выбирайте ту, что ближе к вам.
Системные требования
1 CPU
1 GB RAM
10 GB диска
ОС Ubuntu 24 x64
Подготовка
Первое, что нужно сделать, — сменить пароль сервера, который пришёл в письме. Для этого можно использовать генераторы паролей или придумать собственный пароль. Я не рекомендую использовать собственные пароли, потому что, как правило, они ненадёжные. Лучше всего сгенерировать случайный набор символов с помощью команды:
openssl rand -base64 32
Эта команда просто сгенерирует случайный набор символов, но не сменит пароль. Чтобы сменить пароль, введите команду:
passwd
Введите пароль, повторите ввод пароля и нажмите Enter. Для того чтобы проверить, что всё корректно работает, не закрывая текущую вкладку терминала, откройте новую вкладку и подключитесь к серверу. Если после ввода нового пароля подключение прошло успешно, то всё хорошо, можно продолжать. Не забудьте сохранить пароль в надёжном месте.
Далее обновляем списки репозиториев и установленные пакеты. Если в процессе появляются какие-то окна, просто жмём Enter:
sudo apt update
sudo apt upgrade -y
И перезагружаем сервер:
sudo reboot
Так как сервер ушёл в перезагрузку, соединение пропадёт. Спустя пару минут можно подключиться к серверу заново.
Установка 3x-ui и создание самоподписанного TLS-сертификата
Для начала нужно установить панель 3x-ui. Сделать это можно с помощью этой команды:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
В процессе установки скрипт спросит, нужно ли установить свой порт: "Would you like to customize the Panel Port settings? (If not, a random port will be applied) [y/n]:". Можете нажать y и ввести порт, который хотите, но я рекомендую просто нажать Enter, тогда порт и все остальные настройки зададутся случайно. После этого вы получите адрес и логин-пароль для доступа к панели. Сохраните эти данные в надёжном месте.
Введите его в браузер и залогиньтесь в панели. Красная плашка информирует нас о том, что соединение не зашифровано, и надо создать TLS-сертификат. Его можно создать двумя способами: подключить домен и выпустить сертификат через меню x-ui или создать самоподписанный сертификат. Мы создадим самоподписанный сертификат.
Для этого вводим следующие команды:
mkdir cert
cd cert
wget -qO- https://raw.githubusercontent.com/ServerTechnologies/3x-ui-with-xhttp/refs/heads/main/opensslcert | bash
После того как скрипт сработает, вы увидите несколько строчек с адресами файлов сертификатов. Откройте панель, в левом меню выберите Настройки → Сертификаты. Вставьте пути до файлов в соответствующие поля. Нажмите "Сохранить" и "Перезапуск панели". Панель перезапустится и вы увидите предупреждение о безопасности. Всё в порядке — браузер ругается, потому что мы используем самоподписанный сертификат. Просто нажимаем соответствующую кнопку и подключаемся к панели.
При последующем вводе адреса панели в браузер не забывайте менять протокол с http на https.
Настройка инбаунда в 3x-ui
Создание подключения. Простой способ. XHTTP Vless Reality
Технология XHTTP может использоваться как совместно с CDN-сервисами, так и отдельно — примерно так же, как обычный Vless Reality с TLS. Для этого в панели 3x-ui в правом меню выбираем Инбаунды → Создать инбаунд:
Протокол: Vless
Порт: 443
Транспорт: XHTTP
Безопасность: Reality
В Dest и SNI указываем любой незаблокированный иностранный сайт
Нажимаем Get New Cert и Get New Seed
Внизу нажимаем "Создать"
Подключение создано. Также создан один клиент. Можно добавить ещё несколько клиентов. Теперь передайте ссылку для подключения на устройство или отсканируйте QR-код — и можно пользоваться.
Создание подключения. XHTTP через CDN
CDN (Content Delivery Network) — это сеть серверов, распределённых по разным регионам, которая помогает доставлять контент пользователям быстрее и надёжнее. В контексте XHTTP — это просто промежуточный сервер между клиентом и сервером, на котором установлена панель. Это немного замедляет скорость, но при этом позволяет скрыть IP-адрес вашего сервера за IP-адресом сервера CDN.
Можно использовать практически любой сервис CDN, но на данный момент Cloudflare предоставляет возможность использовать свою инфраструктуру бесплатно, тогда как другие сервисы стоят денег. Поэтому именно на примере Cloudflare я покажу, как создать подобное подключение.
Нам понадобится домен — его можно купить прямо в Cloudflare. Этот домен надо направить на ваш VPN-сервер.
Настройки подключения в 3x-ui:
Создать инбаунд
Протокол: Vless
Порт: любой, кроме 80, 443, 22
Транспорт: XHTTP
Хост: добавляем домен
Путь: что угодно
Безопасность: пусто
Sniffing: выключено
Настройки в Cloudflare:
В левом меню SSL/TLS → выбрать Flexible
В левом меню SSL/TLS → Edge Certificates: выключить TLS 1.3
В левом меню Network: включить gRPC
В левом меню Rules → Overview:
Кнопка Create rule → Origin rule
Rule name: что угодно
Поле "When incoming requests match…":
Field: Hostname
Operator: equals
Value: вставляем домен или поддомен
Destination Port: выбрать "Rewrite to…" и вставить туда порт из инбаунда
Настройка клиента:
Добавляем ключ как обычно
Адрес меняем на наш домен/поддомен
Порт: 443
Безопасность: TLS
SNI: наш домен/поддомен
Сохранить
Клиенты для разных операционных систем
Так как эта технология относительно новая, ещё далеко не все клиенты поддерживают её. В этом списке клиенты, которые точно поддерживают этот транспорт.
Windows и Linux:
v2rayN
Android:
v2rayNG
iOS & macOS arm64:
Для обхода блокировок Роскомнадзора (РКН) в 2026 году, настраивайте VLESS с использованием технологии Reality (на базе Xray). Ключевая защита — маскировка под легитимный HTTPS-трафик, так как РКН выявляет прокси по косвенным признакам (зарубежный IP, несовпадение доменов, эвристика). Используйте порт 443.
Основные рекомендации по настройке для противодействия РКН:
Используйте Reality: В отличие от TLS, Reality не требует валидного сертификата для домена, а имитирует "рукопожатие" с популярным реальным сайтом, что делает трафик неотличимым от обычного просмотра веб-страниц.
Порт 443: Настройка сервера на порт 443 (стандартный порт HTTPS) критична для маскировки.
Чистый IP/Домен: Избегайте использования IP-адресов, которые уже могли попасть в списки блокировок (хостинг-провайдеры, часто используемые для VPN).
Обновление Xray: Регулярно обновляйте ядро Xray-core на сервере до последней версии, так как методы обхода совершенствуются.
Уникальный SNI: В настройках Reality используйте в качестве dest и serverNames популярные, но не заблокированные сайты (обычно сайты-заглушки или крупные ресурсы), чтобы скрыть реальное направление трафика.
В случае обнаружения, РКН блокирует VLESS-трафик, в частности, с транспортом TCP, поэтому Reality является наиболее устойчивым вариантом.
Для обхода блокировок РКН в 2026 году наиболее эффективным является протокол VLESS с технологией Reality. Эта связка маскирует ваш трафик под обычное HTTPS-соединение с разрешенным сайтом, делая его невидимым для систем ТСПН.
Ниже приведена полная инструкция по настройке Inbound в панели 3x-ui.
1. Создание подключения (Inbound)
Перейдите в раздел Инбаунды (Inbounds) -> Добавить инбаунд (Add Inbound) и заполните следующие поля:
Примечание (Remark): Любое имя (например, RKN_BYPASS).
Протокол (Protocol): vless.
Порт (Port): 443 (критично для маскировки под стандартный HTTPS).
Транспорт (Transmission): tcp или xhttp (в новых версиях 3x-ui xhttp может быть стабильнее против глубокого анализа пакетов).
Безопасность (Security): REALITY.
2. Настройка Reality
В появившемся блоке Reality заполните параметры:
uTLS: Выберите chrome или safari (для имитации браузерного "рукопожатия").
Dest: Адрес зарубежного сайта, под который вы маскируетесь. Сайт не должен быть заблокирован в РФ и должен поддерживать TLS 1.3. Примеры: www.google.com:443, www.microsoft.com:443 или dl.google.com:443.
SNI: Тот же домен, что и в Dest, но без порта (например, www.google.com).
Private Key / Public Key: Нажмите кнопку Get New Cert (или Generate) для генерации ключей.
Short ID: Нажмите Get New Seed для генерации уникального идентификатора.
3. Настройка Flow (важно для обхода блокировок)
В поле Flow обязательно выберите:
xtls-rprx-vision (если используете TCP) — это добавляет специальное шифрование, которое помогает обходить эвристические фильтры РКН, выявляющие TLS-туннели.
4. Подключение клиента
Нажмите Создать (Create).
В списке инбаундов нажмите на иконку QR-кода или копирования ссылки рядом с созданным пользователем.
Импортируйте конфиг в клиентское приложение:
Android: v2rayNG, Hiddify, V2RayTun.
iOS: V2Box, Streisand, Shadowrocket.
Windows: v2rayN, Nekoray, Hiddify-Next.
Совет: Если скорость низкая или подключение нестабильно, попробуйте сменить SNI/Dest на менее популярные сайты (например, сайты крупных западных университетов или облачных сервисов вроде swdist.apple.com), так как популярные IP могут подвергаться более жесткой фильтрации.
Хотите узнать, как дополнительно настроить WARP внутри 3x-ui для доступа к заблокированным ресурсам через сервер?
Судя по твоим настройкам, ты используешь xHTTP (новый транспорт в Xray), который сейчас считается одним из самых эффективных против DPI (систем анализа трафика РКН). Он разбивает данные на сегменты, имитируя обычные HTTP/2-запросы.
Чтобы эта конфигурация работала максимально скрытно и стабильно, внеси следующие правки в панели 3x-ui:
1. Исправление порта и безопасности
Порт: У тебя стоит 8443. РКН часто ограничивает скорость или блокирует нестандартные порты. Поменяй на 443.
Безопасность (Security): Вместо классического TLS (как у тебя сейчас с путями к сертификатам /etc/letsencrypt/...) выбери REALITY.
Почему: Обычный TLS выдает наличие VPN-сервера при проверке активным сканированием. Reality притворяется реальным сайтом.
2. Настройка xHTTP (в разделе Транспорт)
Чтобы xHTTP был «невидимым», заполни поля так:
Хост (Host): www.apple.com (оставь как есть).
Путь (Path): Придумай случайный путь, например /v2-update-system-info (это усложнит опознание трафика).
Mode: Установи speed или packet (для обхода DPI лучше packet).
Padding Bytes: 100-1000 (хорошо, это добавляет «мусорный» вес пакетам, сбивая алгоритмы анализа).
Extra: Убедись, что включен No SSE Header (это делает запросы похожими на обычную загрузку файлов).
3. Настройка Reality (в разделе Безопасность)
Если переключился на Reality:
uTLS: Выбери chrome.
Dest: www.apple.com:443
SNI: www.apple.com
Short ID: Нажми кнопку генерации (seed).
Public/Private Key: Сгенерируй новые (кнопка Get New Cert). Пути к файлам .pem больше не понадобятся.
Почему это сработает?
РКН ищет паттерны: если трафик идет на порт 8443 и выглядит как «бесконечный поток данных», он попадает под подозрение. xHTTP + Reality на 443 порту выглядит для фильтра как:
Заход браузера Chrome (uTLS) на сайт Apple (SNI/Dest).
Загрузка множества мелких файлов/скриптов по протоколу HTTP/2 (xHTTP).
Важный нюанс: После смены порта на 443 убедись, что на сервере не запущен другой веб-сервер (например, Nginx), который может занимать этот порт.
Тебе помочь с командами для очистки порта 443 на сервере или переходим к проверке клиента?
Проблема с портом 443 обычно возникает по двум причинам: он либо занят другим процессом (например, Nginx или Apache), либо у панели 3x-ui нет прав на использование портов ниже 1024 (редко, но бывает).
Вот пошаговый план, как освободить 443 порт и правильно прописать конфиг:
1. Проверка: кто занял порт?
Подключись к серверу по SSH и выполни команду:
lsof -i :443
Используйте код с осторожностью.
Или, если lsof нет:
netstat -tulnp | grep 443
Используйте код с осторожностью.
Если видишь nginx: Тебе нужно либо остановить его (systemctl stop nginx), либо настроить 3x-ui на другой порт (например, 2053), а в Nginx сделать проброс (Stream). Но для Reality лучше прямой порт 443 без Nginx.
Если видишь 3x-ui или xray: Значит, порт уже занят старым инбаундом.
2. Как «убить» процесс, мешающий запуску
Если порт занят чем-то ненужным:
fuser -k 443/tcp
Используйте код с осторожностью.
После этого попробуй снова сохранить настройки в панели.
3. Настройка в 3x-ui (через xHTTP)
Если ты используешь версию с xHTTP, пропиши именно так:
Порт (Port): 443
Слушать IP (Listen IP): 0.0.0.0 (чтобы слушал все входящие).
Транспорт (Transmission): xhttp
Host: www.apple.com (или твой домен, если есть сертификат).
Path: / (или любой короткий путь).
Mode: packet (лучший режим для обхода DPI).
Extra (No SSE Header): true (включить).
4. Если порт 443 критически нужен для сайта (Nginx)
Если ты не можешь отключить Nginx, у тебя есть два пути:
Для Reality: Смени порт в 3x-ui на любой свободный (например, 4443), но тогда маскировка будет слабее.
Для xHTTP (без Reality): Оставь Nginx на 443, а в конфиге Nginx пропиши proxy_pass на порт твоего VLESS. Но учти: РКН научился блокировать TLS-прокси за Nginx.
Рекомендация: Для максимальной защиты от РКН отключи Nginx, поставь в 3x-ui порт 443 и включи Reality. Это самый «живучий» метод.
Попробуешь сейчас выполнить lsof -i :443? Пришли результат, если не получится разобраться, кто держит порт.
Последнее редактирование:
