WireGuard — правильный ответ в большинстве случаев: быстрый, простой, по-настоящему безопасный. Это не статья «WireGuard плохой» — это честный следующий шаг для единственной ситуации, когда WireGuard перестаёт работать. В некоторых сетях DPI (глубокая инспекция пакетов) узнаёт протокол WireGuard по сигнатуре и блокирует его наглухо. Когда так происходит, правка конфига не спасает — проблема не в настройке, а в том, что трафик выглядит как VPN. Именно это решает VLESS+Reality.
Честная развилка: WireGuard или Xray?
Решите это первым, потому что более простой инструмент обычно и есть правильный:
- Берите WireGuard, если он у вас работает. Его проще запускать, проще понимать, и он быстрый. Тянуться к чему-то сложнее нет смысла, пока не припрёт.
- Берите VLESS+Reality (Xray), когда WireGuard блокируют. Reality маскирует соединение под обычное TLS-рукопожатие к реальному сайту — так что для DPI это выглядит как человек, открывший обычный HTTPS-сайт, без сигнатуры VPN. Больше движущихся частей, но работает там, где WireGuard уже нет.
Если вас не блокируют — остановитесь здесь и используйте WireGuard. Остальное — для случая, когда блокируют.
Почему нужен выделенный IP
Сервер Xray принимает входящие соединения — клиент стучится к нему на порт 443. Для этого нужен публичный, адресуемый и ваш IP. NAT-тариф делит один egress-IP между клиентами и не даёт входящей точки, поэтому здесь не подойдёт. Нужен тариф с выделенным IP — и раз это трафиковая, а не CPU-нагрузка, хватает самого маленького: Nano-IP за $8/мес (1 vCPU / 1 ГБ) с запасом. Тарифы побольше дают запас пропускной способности, а не лучший туннель.
Установка Xray
Используйте официальный установщик — не ищите случайные сборки:
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install
Сгенерируйте две вещи, нужные конфигу Reality — пару ключей и UUID:
xray x25519 # печатает Private key и Public key
xray uuid # печатает UUID для клиента
Приватный ключ — для конфига сервера, публичный — для клиентской ссылки. Сохраните оба.
Конфиг сервера с разбором
Положите это в /usr/local/etc/xray/config.json, подставив свои значения:
{
"inbounds": [{
"listen": "0.0.0.0",
"port": 443,
"protocol": "vless",
"settings": {
"clients": [{ "id": "ВАШ-UUID", "flow": "xtls-rprx-vision" }],
"decryption": "none"
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"dest": "www.microsoft.com:443",
"serverNames": ["www.microsoft.com"],
"privateKey": "ВАШ-ПРИВАТНЫЙ-КЛЮЧ",
"shortIds": [""]
}
}
}],
"outbounds": [{ "protocol": "freedom" }]
}
Что реально делают ключевые поля:
dest— реальный сайт, под который маскируется трафик. Он должен поддерживать TLS 1.3 и HTTP/2; обычно берут крупный всегда-доступный домен. Именно этот сайт «видит» DPI.serverNames— SNI, который предъявляет ваше рукопожатие. Должен совпадать сdest(тот же домен), потому что в этом и маскировка.privateKey— приватная половина парыxray x25519. Публичная идёт клиенту.shortIds— массив;[""](пустой) допустим и подходит для личной установки. Можно добавить hex-ID, чтобы различать клиентов.flow: xtls-rprx-vision— режим управления потоком Reality; должен совпадать на обоих концах.
Затем включите:
sudo systemctl enable --now xray
sudo systemctl status xray
Ссылка для клиента
Направьте на сервер open-source клиент — v2rayN, Hiddify или любое Xray-совместимое приложение. Строка подключения кодирует всё:
vless://ВАШ-UUID@IP-СЕРВЕРА:443?type=tcp&security=reality&sni=www.microsoft.com&pbk=ВАШ-ПУБЛИЧНЫЙ-КЛЮЧ&sid=&fp=chrome&flow=xtls-rprx-vision#my-server
Части: pbk — публичный ключ, sni совпадает с serverNames, sid — короткий ID (здесь пустой), fp=chrome подделывает TLS-отпечаток браузера. Вставьте ссылку в клиент — и вы подключены.
Честные лимиты
- Скорость зависит от маршрута до вас. Reality не ускоряет пакеты — пропускная способность ограничена сетевым путём между вами и сервером. Ближе сервер — быстрее; магии тут нет.
- Это на одного-нескольких пользователей. Это ваша личная точка выхода, не публичный VPN. Один небольшой VPS не может быть сервисом для чужих, а превращать его в такой — напрашиваться на абьюз.
- AUP всё равно действует. Личный туннель обхода — норма; открытый публичный прокси или использование для атак — нет, и ведёт к прекращению услуги.
- Провайдер видит, что трафик есть. Маскировка нацелена на DPI по пути к вам, не на хост — провайдер видит объём и время, не содержимое. Это псевдонимность, та же честная оговорка, что и у любого анонимного VPS.
Итог
Сначала WireGuard; Reality — когда WireGuard блокируют. VLESS+Reality на Xray прячет туннель внутри обычного на вид TLS к реальному сайту — ровно это и побеждает DPI — и работает на самом дешёвом тарифе с выделенным IP за $8/мес, потому что это трафик, не вычисления. Ставьте официальным скриптом, генерируйте ключи, согласуйте dest/serverNames и направьте open-source клиент. Сначала закройте сервер чек-листом безопасности и держите ожидания честными: это обходит DPI, но не делает вас невидимым.