VLESS протокол на VPS/VDS в панели 3X UI и создать собственный VLESS ключ
Настройка VLESS на сервере VPS/VDS — оптимальное решение для создания высокозащищенного соединения. Протокол VLESS поддерживает современные технологии шифрования и маскировки, такие как XTLS, Reality и XTLS-Reality, делая его отличным выбором для безопасного и стабильного подключения. В этой статье мы рассмотрим, как настроить VLESS на сервере VPS или VDS через удобную панель 3X UI, а также создадим VLESS ключ для безопасного подключения.
Рассмотрим подробно, как поднять VLESS протокол на VPS/VDS сервере и настроить его через графическую панель управления 3X UI. Следующие шаги будут актуальны для любой VPS/VDS-платформы, где есть возможность установки операционной системы Linux, желательно Ubuntu.
Выбор VPS/VDS для сервера VLESS Reality
Для настройки VLESS сервера с XTLS Reality вам потребуется VPS или VDS, который будет находиться за пределами ограничительных регионов.
1)Зарегистрируйте VPS или VDS-сервер, выбрав страну в которой отсутствуют ограничения.
2)Установите операционную систему Linux, предпочтительно Ubuntu 22.04. 3)
3)После создания сервера сохраните данные для доступа по протоколу SSH.
Подключение к VPS/VDS серверу через SSH
Чтобы получить доступ к серверу в Windows, воспользуйтесь кроссплатформенной оболочкой «PowerShell»:
Нажмите сочетание горячих клавиш «Win + S», введите «PowerShell» и запустите оболочку от имени администратора.
Если у вас macOS или Linux, подключение к серверу можно выполнить через стандартный терминал.
Подключение к серверу:
1)Введите команду «ssh root@IP-адрес» и нажмите «Enter», где:
- ssh — это протокол для безопасного удаленного доступа к серверам;
- root — ваш логин;
- IP-адрес — IP-адрес вашего сервера.
2)Введите пароль и нажмите ввод.
При вводе пароля с клавиатуры он не отображается на экране. Это нормально.
Если вы выполнили все шаги правильно, то увидите сообщение об успешном входе на сервер в режиме командной строки.
Установка и настройка 3X UI
Теперь приступим к установке 3X UI — графической панели для управления конфигурациями VLESS.
1)Обновите систему и установите необходимые пакеты, запустив команду:
1 |
apt update && apt upgrade -y |
2)Установите 3X UI: Для этого посетите официальную страницу проекта 3X UI на GitHub и скопируйте следующую команду:
1 |
bash <(curl –Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh) |
Вставьте эту команду в терминал, подтвердите установку и введите необходимые параметры:
- Придумайте логин и пароль для доступа к панели 3X UI. В процессе установки эти параметры могут быть сгенерированы автоматически, включая корневой путь URL адреса панели — WebBasePath. Обязательно сохраните данные доступа!
- Укажите порт, через который будет осуществляться доступ к панели, например, 65000.
Лучше избегать стандартных портов, которые часто используются системными службами. Рекомендуется выбирать порты в диапазоне от 35000 до 65000.
Настройка VLESS Reality и TCP
После успешной установки 3X UI вы можете приступить к настройке конфигурации VLESS. Для этого выполните следующие шаги:
1)Откройте панель 3X UI в браузере: введите «IP-адрес:порт» или «IP-адрес:порт/webbasepath/», где:
- IP-адрес — это адрес вашего сервера;
- Порт — это номер порта, который вы указали при установке панели 3X UI.
- WebBasePath — корневой путь URL адреса панели 3X UI.
2)Создайте новое подключение:
В меню панели выберите «Подключения» и нажмите «Добавить подключение».
Укажите примечание, например, «vless-reality».
В поле «Протокол» выберите «vless».
Установите параметры:
- Порт: «443» (рекомендуется для маскировки под HTTPS-трафик).
- Протокол передачи: «TCP (RAW)».
3)Настройте протокол Reality:
В разделе «Безопасность» активируйте «Reality» и выберите браузер для маскировки в поле «uTLS», например, «chrome» или «firefox».
В полях «Dest (Target)» и «SNI» укажите домен для маскировки трафика, например, «google.com:443» или «yahoo.com:443».
Подбор Server Name и Dest рекомендуем выполнять командой ping
Чем ниже пинг до определенного сайта, тем меньше задержка при работающем соединении
Необходимо выбирать надежные сайты, если сайт будет недоступен, соединения не будет.
Обязательно выбирайте не популярные но надежные сайты в качестве Server Name и Dest для вашей конфигурации Vless TCP Reality.Требования к сайту:
1. TLS 1.3
2. HTTP/2
3. Не должен находиться за CDN сервисомПроверить ping можно командой:
ping сайт -c 4Лучше всего выбирать что-нибудь из сети того же хостера, каким пользуетесь вы.
Для этого есть специальный инструмент: https://github.com/XTLS/RealiTLScannerСкачиваете его под Windows/Linux со страницы Releases, или собираете сами (go build).
Далее, запускаете как-то так:
1 ./RealiTLScanner -addr IP_вашего_VPS -showFailи ждете.
Сканер будет перебирать IP-адреса из той же подсети, что и ваш сервер, и пытаться к ним подключиться по TLS. Если он что-то найдет – вы это увидите. Пример (я сканирую рандомный IPшник):
12345678910111213141516171819202122232425 89.116.243.206:443 TLS handshake failed: EOF89.116.243.207:443 TLS handshake failed: EOF89.116.243.208:443 ----- Found TLS v1.3 ALPN CN=caprover.com,O=CapRover.com,L=Vancouver,ST=British Columbia,C=CA,1.2.840.113549.1.9.1=#0c11696e666f40636170726f7665722e636f6d89.116.243.209:443 TLS handshake failed: EOF89.116.243.210:443 ----- Found TLS v1.3 ALPN CN=patentpath.io89.116.243.211:443 ----- Found TLS v1.3 ALPN CN=vps3.gecon.pl89.116.243.212:443 TLS handshake failed: EOF89.116.243.213:443 TLS handshake failed: EOF89.116.243.214:443 TLS handshake failed: EOF89.116.243.215:443 TLS handshake failed: read tcp 192.168.136.132:55142->89.116.243.215:443: i/o timeout89.116.243.216:443 ----- Found TLS v1.3 ALPN CN=localhost,OU=none,O=none,L=Sometown,ST=Someprovince,C=US,1.2.840.113549.1.9.1=#0c137765626d6173746572406c6f63616c686f737489.116.243.217:443 TLS handshake failed: EOF89.116.243.218:443 TLS handshake failed: EOF89.116.243.219:443 TLS handshake failed: EOF89.116.243.220:443 TLS handshake failed: EOF89.116.243.221:443 TLS handshake failed: EOF89.116.243.222:443 ----- Found TLS v1.3 ALPN89.116.243.223:443 ----- Found TLS v1.3 ALPN CN=milapanel.milahosting.com89.116.243.224:443 ----- Found TLS v1.3 ALPN CN=vps-us.workx.dev89.116.243.225:443 ----- Found TLS v1.3 ALPN CN=www.google.com89.116.243.226:443 ----- Found TLS v1.3 ALPN CN=www.bookifynow.com89.116.243.227:443 ----- Found TLS v1.3 ALPN CN=next.tasosvl.cc89.116.243.228:443 TLS handshake failed: EOF89.116.243.229:443 ----- Found TLS v1.3 ALPN CN=alpaca-dreams.com89.116.243.230:443 TLS handshake failed: EOFЕсли сканер нашел какие-то домены – попробуйте сходить на них браузером – должен открыться соответствующий сайт без каких-либо ошибок сертификатов. Если не открывается, или лезут ошибки – такой домен нам не подходит, а если открывается и ошибок нет – можно попробовать маскироваться под него.
Выполните автоматическую генерацию приватного и публичного ключей, нажав «Get New Cert».
4)Настройте параметры для подключения клиента:
Перейдите в раздел клиентов, введите «Email» и выберите «xtls-rprx-vision» в поле «Flow».
Укажите лимиты трафика и срок действия по вашему желанию.
5)Нажмите «Создать» для сохранения изменений.
VLESS сервер с XTLS Reality на VPS/VDS готов к работе. Вы можете подключаться к нему с различных устройств, используя специальные клиенты.
Подключение к VLESS серверу
Чтобы проверить работоспособность протокола VLESS, настроенного на вашем VPS или VDS-сервере, воспользуйтесь клиентом «Hiddify». Для настройки профиля клиента на ПК вам потребуется VLESS-ключ. Вы можете получить его из панели 3X UI, нажав на кнопку «Информация» и скопировав ссылку в формате «vless://».
Как сделать хорошую, правильную маскировку для XTLS-Reality? Внимание к мелочам.
1)Выбирайте домен для маскировки от сайта, который хостится у того же хостера, что и вы (см. начало статьи).
2)Перевесьте SSH на вашем сервере с 22 порта на какой-нибудь другой сильно повыше, а то слишком палевно
3)Если вы используете панель типа X-UI или 3X-UI – то перевесьте ее тоже со стандартного порта на какой-нибудь нестандартный сильно повыше. В идеале стоит вообще заставить ее слушать на 127.0.0.1 (localhost), а подключаться к ней через SSH: например, если панель у вас на 127.0.0.1 и порту 48888, то сделав
1 |
ssh -L 8080:127.0.0.1:48888 user@serveradd -p <ssh_port> |
вы сможете попасть на панель пройдя браузером по адресу http://127.0.0.1:8080
4)Сделайте проброс порта не только на 443/TCP-порт (его делает XTLS-Reality), а еще на 443/UDP и 80/TCP до сервера, под который вы маскируетесь. Например, если вы маскируетесь под www.microsoft.com, то отрезолвте его IP-адрес (с помощью nslookup, ping или какого-нибудь онлайн-сервиса), а потом добавьте правила iptables (можно засунуть в /etc/rc.local, если он у вас есть – см. инструкции для вашего Linux-дистрибутива):
1 2 |
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 443 -j DNAT --to-destination fake_site_ip:443 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination fake_site_ip:80 |
(вместо eth0 должен быть ваш сетевой интерфейс, иногда бывает ens3, например).
5)Если ваш хостер позволяет менять PTR-записи для IP-адресов (так называемые “обратные DNS”), то поменяйте ее на такую, какая есть у IP-адреса сайта, под который вы маскируетесь, или хотя бы просто на сам этот домен.