EQVPS

Свой сервер VLESS/Xray на VPS (когда WireGuard блокируют)

Jul 6, 2026 · 4 min read · EQVPS Team

WireGuard — правильный ответ в большинстве случаев: быстрый, простой, по-настоящему безопасный. Это не статья «WireGuard плохой» — это честный следующий шаг для единственной ситуации, когда WireGuard перестаёт работать. В некоторых сетях DPI (глубокая инспекция пакетов) узнаёт протокол WireGuard по сигнатуре и блокирует его наглухо. Когда так происходит, правка конфига не спасает — проблема не в настройке, а в том, что трафик выглядит как VPN. Именно это решает VLESS+Reality.

Честная развилка: WireGuard или Xray?

Решите это первым, потому что более простой инструмент обычно и есть правильный:

Если вас не блокируют — остановитесь здесь и используйте WireGuard. Остальное — для случая, когда блокируют.

Почему нужен выделенный IP

Сервер Xray принимает входящие соединения — клиент стучится к нему на порт 443. Для этого нужен публичный, адресуемый и ваш IP. NAT-тариф делит один egress-IP между клиентами и не даёт входящей точки, поэтому здесь не подойдёт. Нужен тариф с выделенным IP — и раз это трафиковая, а не CPU-нагрузка, хватает самого маленького: Nano-IP за $8/мес (1 vCPU / 1 ГБ) с запасом. Тарифы побольше дают запас пропускной способности, а не лучший туннель.

Установка Xray

Используйте официальный установщик — не ищите случайные сборки:

bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

Сгенерируйте две вещи, нужные конфигу Reality — пару ключей и UUID:

xray x25519          # печатает Private key и Public key
xray uuid            # печатает UUID для клиента

Приватный ключ — для конфига сервера, публичный — для клиентской ссылки. Сохраните оба.

Конфиг сервера с разбором

Положите это в /usr/local/etc/xray/config.json, подставив свои значения:

{
  "inbounds": [{
    "listen": "0.0.0.0",
    "port": 443,
    "protocol": "vless",
    "settings": {
      "clients": [{ "id": "ВАШ-UUID", "flow": "xtls-rprx-vision" }],
      "decryption": "none"
    },
    "streamSettings": {
      "network": "tcp",
      "security": "reality",
      "realitySettings": {
        "dest": "www.microsoft.com:443",
        "serverNames": ["www.microsoft.com"],
        "privateKey": "ВАШ-ПРИВАТНЫЙ-КЛЮЧ",
        "shortIds": [""]
      }
    }
  }],
  "outbounds": [{ "protocol": "freedom" }]
}

Что реально делают ключевые поля:

Затем включите:

sudo systemctl enable --now xray
sudo systemctl status xray

Ссылка для клиента

Направьте на сервер open-source клиент — v2rayN, Hiddify или любое Xray-совместимое приложение. Строка подключения кодирует всё:

vless://ВАШ-UUID@IP-СЕРВЕРА:443?type=tcp&security=reality&sni=www.microsoft.com&pbk=ВАШ-ПУБЛИЧНЫЙ-КЛЮЧ&sid=&fp=chrome&flow=xtls-rprx-vision#my-server

Части: pbkпубличный ключ, sni совпадает с serverNames, sid — короткий ID (здесь пустой), fp=chrome подделывает TLS-отпечаток браузера. Вставьте ссылку в клиент — и вы подключены.

Честные лимиты

Итог

Сначала WireGuard; Reality — когда WireGuard блокируют. VLESS+Reality на Xray прячет туннель внутри обычного на вид TLS к реальному сайту — ровно это и побеждает DPI — и работает на самом дешёвом тарифе с выделенным IP за $8/мес, потому что это трафик, не вычисления. Ставьте официальным скриптом, генерируйте ключи, согласуйте dest/serverNames и направьте open-source клиент. Сначала закройте сервер чек-листом безопасности и держите ожидания честными: это обходит DPI, но не делает вас невидимым.

FAQ

Чем VLESS+Reality отличается от WireGuard?

WireGuard — настоящий VPN, и он отличный, но у его протокола узнаваемая сигнатура, поэтому DPI (глубокая инспекция пакетов) умеет его детектить и блокировать. VLESS+Reality идёт другим путём: маскирует ваш трафик под обычное TLS-соединение к реальному существующему сайту, так что в канале нет ничего, похожего на VPN, что можно заблокировать. Если WireGuard у вас работает — используйте его, он проще. Reality берут, когда WireGuard режут.

Почему для сервера Xray нужен выделенный IP?

Потому что он принимает входящие соединения. Клиент подключается к серверу на порт 443, а для этого нужен публичный IP, который принадлежит вам — NAT-тариф делит один egress-IP и не даёт адресуемой входящей точки. Тариф с выделенным IP даёт. Хорошая новость: это трафиковая нагрузка, не CPU, поэтому самого дешёвого тарифа с выделенным IP ($8/мес Nano-IP) достаточно.

Сколько человек может пользоваться одним сервером Xray?

Реально — от одного до нескольких. Это ваша личная точка выхода, не публичный сервис. Можно добавить несколько клиентских ID, но пропускная способность общая, и один небольшой VPS не рассчитан быть публичным VPN для чужих — это ещё и провоцирует абьюз, нарушающий правила использования.

Видит ли провайдер, что я делаю?

Провайдер видит, что трафик идёт к вашему серверу и обратно — объём и время — но не содержимое туннеля. Маскировка Reality нацелена на сетевой путь к вам (DPI), а не на хост. Как всегда, это псевдонимность, не невидимость.

← Back to blogSee plans & pricing →