EQVPS

Свій сервер VLESS/Xray на VPS (коли WireGuard блокують)

Jul 6, 2026 · 4 min read · EQVPS Team

WireGuard — правильна відповідь у більшості випадків: швидкий, простий, по-справжньому безпечний. Це не стаття «WireGuard поганий» — це чесний наступний крок для єдиної ситуації, коли WireGuard перестає працювати. У деяких мережах DPI (глибока інспекція пакетів) впізнає протокол WireGuard за сигнатурою й блокує його наглухо. Коли так стається, правка конфіга не рятує — проблема не в налаштуванні, а в тому, що трафік має вигляд VPN. Саме це вирішує VLESS+Reality.

Чесна розвилка: WireGuard чи Xray?

Вирішіть це першим, бо простіший інструмент зазвичай і є правильний:

Якщо вас не блокують — спиніться тут і використовуйте WireGuard. Решта — для випадку, коли блокують.

Чому потрібен виділений IP

Сервер Xray приймає вхідні з'єднання — клієнт стукає до нього на порт 443. Для цього потрібен публічний, адресований і ваш IP. NAT-тариф ділить один egress-IP між клієнтами й не дає вхідної точки, тому тут не підійде. Потрібен тариф із виділеним IP — і раз це трафікове, а не CPU-навантаження, вистачає найменшого: Nano-IP за $8/міс (1 vCPU / 1 ГБ) із запасом. Тарифи побільше дають запас пропускної здатності, а не кращий тунель.

Встановлення Xray

Використовуйте офіційний інсталятор — не шукайте випадкові збірки:

bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

Згенеруйте дві речі, потрібні конфігу Reality — пару ключів і UUID:

xray x25519          # друкує Private key і Public key
xray uuid            # друкує UUID для клієнта

Приватний ключ — для конфіга сервера, публічний — для клієнтського посилання. Збережіть обидва.

Конфіг сервера з розбором

Покладіть це у /usr/local/etc/xray/config.json, підставивши свої значення:

{
  "inbounds": [{
    "listen": "0.0.0.0",
    "port": 443,
    "protocol": "vless",
    "settings": {
      "clients": [{ "id": "ВАШ-UUID", "flow": "xtls-rprx-vision" }],
      "decryption": "none"
    },
    "streamSettings": {
      "network": "tcp",
      "security": "reality",
      "realitySettings": {
        "dest": "www.microsoft.com:443",
        "serverNames": ["www.microsoft.com"],
        "privateKey": "ВАШ-ПРИВАТНИЙ-КЛЮЧ",
        "shortIds": [""]
      }
    }
  }],
  "outbounds": [{ "protocol": "freedom" }]
}

Що реально роблять ключові поля:

Потім увімкніть:

sudo systemctl enable --now xray
sudo systemctl status xray

Посилання для клієнта

Спрямуйте на сервер open-source клієнт — v2rayN, Hiddify або будь-який Xray-сумісний застосунок. Рядок підключення кодує все:

vless://ВАШ-UUID@IP-СЕРВЕРА:443?type=tcp&security=reality&sni=www.microsoft.com&pbk=ВАШ-ПУБЛІЧНИЙ-КЛЮЧ&sid=&fp=chrome&flow=xtls-rprx-vision#my-server

Частини: pbkпублічний ключ, sni збігається з serverNames, sid — короткий ID (тут порожній), fp=chrome підробляє TLS-відбиток браузера. Вставте посилання в клієнт — і ви підключені.

Чесні ліміти

Підсумок

Спершу WireGuard; Reality — коли WireGuard блокують. VLESS+Reality на Xray ховає тунель усередині звичайного на вигляд TLS до реального сайту — саме це й перемагає DPI — і працює на найдешевшому тарифі з виділеним IP за $8/міс, бо це трафік, не обчислення. Ставте офіційним скриптом, генеруйте ключі, узгодьте dest/serverNames і спрямуйте open-source клієнт. Спершу закрийте сервер чек-листом безпеки і тримайте очікування чесними: це обходить DPI, але не робить вас невидимим.

FAQ

Чим VLESS+Reality відрізняється від WireGuard?

WireGuard — справжній VPN, і він чудовий, але в його протоколу впізнавана сигнатура, тому DPI (глибока інспекція пакетів) вміє його детектити й блокувати. VLESS+Reality іде іншим шляхом: маскує ваш трафік під звичайне TLS-з'єднання до реального наявного сайту, тож у каналі немає нічого схожого на VPN, що можна заблокувати. Якщо WireGuard у вас працює — використовуйте його, він простіший. Reality беруть, коли WireGuard ріжуть.

Чому для сервера Xray потрібен виділений IP?

Бо він приймає вхідні з'єднання. Клієнт підключається до сервера на порт 443, а для цього потрібен публічний IP, що належить вам — NAT-тариф ділить один egress-IP і не дає адресованої вхідної точки. Тариф із виділеним IP дає. Хороша новина: це трафікове навантаження, не CPU, тому найдешевшого тарифу з виділеним IP ($8/міс Nano-IP) достатньо.

Скільки людей може користуватися одним сервером Xray?

Реально — від одного до кількох. Це ваша особиста точка виходу, не публічний сервіс. Можна додати кілька клієнтських ID, але пропускна здатність спільна, і один невеликий VPS не розрахований бути публічним VPN для чужих — це ще й провокує абьюз, що порушує правила використання.

Чи бачить провайдер, що я роблю?

Провайдер бачить, що трафік іде до вашого сервера й назад — обсяг і час — але не вміст тунелю. Маскування Reality націлене на мережевий шлях до вас (DPI), а не на хост. Як завжди, це псевдонімність, не невидимість.

← Back to blogSee plans & pricing →