WireGuard — правильна відповідь у більшості випадків: швидкий, простий, по-справжньому безпечний. Це не стаття «WireGuard поганий» — це чесний наступний крок для єдиної ситуації, коли WireGuard перестає працювати. У деяких мережах DPI (глибока інспекція пакетів) впізнає протокол WireGuard за сигнатурою й блокує його наглухо. Коли так стається, правка конфіга не рятує — проблема не в налаштуванні, а в тому, що трафік має вигляд VPN. Саме це вирішує VLESS+Reality.
Чесна розвилка: WireGuard чи Xray?
Вирішіть це першим, бо простіший інструмент зазвичай і є правильний:
- Беріть WireGuard, якщо він у вас працює. Його простіше запускати, простіше розуміти, і він швидкий. Тягнутися до чогось складнішого немає сенсу, поки не припре.
- Беріть VLESS+Reality (Xray), коли WireGuard блокують. Reality маскує з'єднання під звичайне TLS-рукостискання до реального сайту — тож для DPI це має вигляд людини, що відкрила звичайний HTTPS-сайт, без сигнатури VPN. Більше рухомих частин, але працює там, де WireGuard уже ні.
Якщо вас не блокують — спиніться тут і використовуйте WireGuard. Решта — для випадку, коли блокують.
Чому потрібен виділений IP
Сервер Xray приймає вхідні з'єднання — клієнт стукає до нього на порт 443. Для цього потрібен публічний, адресований і ваш IP. NAT-тариф ділить один egress-IP між клієнтами й не дає вхідної точки, тому тут не підійде. Потрібен тариф із виділеним IP — і раз це трафікове, а не CPU-навантаження, вистачає найменшого: Nano-IP за $8/міс (1 vCPU / 1 ГБ) із запасом. Тарифи побільше дають запас пропускної здатності, а не кращий тунель.
Встановлення Xray
Використовуйте офіційний інсталятор — не шукайте випадкові збірки:
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install
Згенеруйте дві речі, потрібні конфігу Reality — пару ключів і UUID:
xray x25519 # друкує Private key і Public key
xray uuid # друкує UUID для клієнта
Приватний ключ — для конфіга сервера, публічний — для клієнтського посилання. Збережіть обидва.
Конфіг сервера з розбором
Покладіть це у /usr/local/etc/xray/config.json, підставивши свої значення:
{
"inbounds": [{
"listen": "0.0.0.0",
"port": 443,
"protocol": "vless",
"settings": {
"clients": [{ "id": "ВАШ-UUID", "flow": "xtls-rprx-vision" }],
"decryption": "none"
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"dest": "www.microsoft.com:443",
"serverNames": ["www.microsoft.com"],
"privateKey": "ВАШ-ПРИВАТНИЙ-КЛЮЧ",
"shortIds": [""]
}
}
}],
"outbounds": [{ "protocol": "freedom" }]
}
Що реально роблять ключові поля:
dest— реальний сайт, під який маскується трафік. Він має підтримувати TLS 1.3 і HTTP/2; зазвичай беруть великий завжди-доступний домен. Саме цей сайт «бачить» DPI.serverNames— SNI, який пред'являє ваше рукостискання. Має збігатися зdest(той самий домен), бо в цьому й маскування.privateKey— приватна половина париxray x25519. Публічна йде клієнту.shortIds— масив;[""](порожній) допустимий і підходить для особистого встановлення. Можна додати hex-ID, щоб розрізняти клієнтів.flow: xtls-rprx-vision— режим керування потоком Reality; має збігатися на обох кінцях.
Потім увімкніть:
sudo systemctl enable --now xray
sudo systemctl status xray
Посилання для клієнта
Спрямуйте на сервер open-source клієнт — v2rayN, Hiddify або будь-який Xray-сумісний застосунок. Рядок підключення кодує все:
vless://ВАШ-UUID@IP-СЕРВЕРА:443?type=tcp&security=reality&sni=www.microsoft.com&pbk=ВАШ-ПУБЛІЧНИЙ-КЛЮЧ&sid=&fp=chrome&flow=xtls-rprx-vision#my-server
Частини: pbk — публічний ключ, sni збігається з serverNames, sid — короткий ID (тут порожній), fp=chrome підробляє TLS-відбиток браузера. Вставте посилання в клієнт — і ви підключені.
Чесні ліміти
- Швидкість залежить від маршруту до вас. Reality не пришвидшує пакети — пропускна здатність обмежена мережевим шляхом між вами й сервером. Ближче сервер — швидше; магії тут немає.
- Це на одного-кількох користувачів. Це ваша особиста точка виходу, не публічний VPN. Один невеликий VPS не може бути сервісом для чужих, а перетворювати його на такий — напрошуватися на абьюз.
- AUP усе одно діє. Особистий тунель обходу — норма; відкритий публічний проксі або використання для атак — ні, і веде до припинення послуги.
- Провайдер бачить, що трафік є. Маскування націлене на DPI на шляху до вас, не на хост — провайдер бачить обсяг і час, не вміст. Це псевдонімність, та сама чесна засторога, що й у будь-якого анонімного VPS.
Підсумок
Спершу WireGuard; Reality — коли WireGuard блокують. VLESS+Reality на Xray ховає тунель усередині звичайного на вигляд TLS до реального сайту — саме це й перемагає DPI — і працює на найдешевшому тарифі з виділеним IP за $8/міс, бо це трафік, не обчислення. Ставте офіційним скриптом, генеруйте ключі, узгодьте dest/serverNames і спрямуйте open-source клієнт. Спершу закрийте сервер чек-листом безпеки і тримайте очікування чесними: це обходить DPI, але не робить вас невидимим.