Нужна сначала установка панели?
Этот гайд предполагает, что 3x-ui уже стоит и открывается в браузере. Если нет — сначала установите 3x-ui по этому гайду, потом возвращайтесь сюда.
Зачем REALITY в 2026 году
Классические VPN-протоколы — OpenVPN, WireGuard, L2TP — блокируются ТСПУ по сигнатуре рукопожатия. Это давно не новость. Менее очевидно другое: даже Shadowsocks с обфускацией всё чаще режут в пиковые часы — DPI научилось находить энтропийные паттерны случайного трафика.
REALITY работает иначе. Вместо того чтобы прятать трафик, он делает его неотличимым от легитимного
TLS-соединения к известному сайту. DPI видит корректное TLS 1.3-рукопожатие к, например,
microsoft.com — и пропускает. Это не обфускация, а имитация.
Как это выглядит для DPI
Клиент делает TLS-рукопожатие → DPI видит SNI: microsoft.com, TLS 1.3, валидный
fingerprint → считает это обычным браузерным запросом → пропускает. Реальный сервер расшифровывает
трафик своим ключом — microsoft.com здесь вообще не задействован, только его публичный TLS-профиль
используется как камуфляж.
Что нужно заранее
- 3x-ui установлен и открывается в браузере (см. гайд по установке)
- Порт для inbound открыт в файрволе — используем
443в примерах - На сервере есть выход в интернет и реальный белый IP
- Клиент на телефоне или компьютере: Hiddify (iOS/Android/Windows) или v2rayNG (Android)
Добавление inbound VLESS+REALITY
Войдите в панель. В левом меню — Inbounds → Add Inbound. Откроется форма. Заполняем по порядку:
Основные параметры
| Поле | Значение | Почему |
|---|---|---|
| Remark | любое имя, например vless-reality | Только для вашего удобства |
| Protocol | VLESS | Лёгкий протокол без лишних заголовков |
| Listen IP | оставьте пустым | Слушать на всех интерфейсах |
| Port | 443 | Порт 443 — стандартный HTTPS, не вызывает подозрений |
| Transmission | TCP | REALITY работает поверх TCP |
| Security | Reality | Включаем REALITY-шифрование |
Параметры REALITY — самое важное
После выбора Security: Reality появится блок настроек. Здесь ошибиться легче всего.
Uname (SNI / Dest)
Это домен, под который маскируется ваш трафик. Требования: крупный сайт, TLS без ECH, без Cloudflare-прокси. Хорошие варианты:
microsoft.com
apple.com
addons.mozilla.org
dl.google.com
www.speedtest.netНе используйте Cloudflare-домены
Домены на Cloudflare (например, discord.com, cloudflare.com) включают ECH — это сломает REALITY.
Проверить можно через dig TXT _dnskey.домен или сервис
check.cdn77.com.
Server Names
Укажите тот же домен что в Dest, и можно добавить www.-вариант:
microsoft.com,www.microsoft.comPrivate Key и Public Key
Нажмите кнопку Get New Cert прямо в форме — 3x-ui сгенерирует пару ключей автоматически. Публичный ключ потом нужен в конфиге клиента, поэтому скопируйте его куда-нибудь.
Short ID
Нажмите Add ShortId — панель сгенерирует случайный hex-идентификатор. Он используется для верификации клиента без раскрытия ключа.
Flow
В секции клиентов (ниже) обязательно выберите xtls-rprx-vision. Это XTLS Vision —
без него REALITY работает, но без оптимизации fingerprint. В России в 2026 году Vision важен:
он делает паттерн пакетов неотличимым от Chrome.
Итоговый конфиг inbound выглядит примерно так
{
"port": 443,
"protocol": "vless",
"settings": {
"clients": [],
"decryption": "none"
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"dest": "microsoft.com:443",
"serverNames": ["microsoft.com", "www.microsoft.com"],
"privateKey": "...",
"shortIds": ["a1b2c3d4"]
}
}
}3x-ui генерирует этот JSON автоматически из формы — вручную редактировать не нужно.
Создание клиента
Прокрутите форму вниз до секции Clients. Нажмите Add Client.
| Поле | Значение |
|---|---|
Любое имя без пробелов: phone, laptop, user1 | |
| ID (UUID) | Нажмите кнопку генерации — UUID создастся автоматически |
| Flow | xtls-rprx-vision — обязательно |
| Total GB | 0 = без лимита. Или укажите лимит в ГБ |
| Expire Date | Пусто = бессрочно. Или дата в формате MM/DD/YYYY |
Email без пробелов — критично
Поле Email в XRay используется как идентификатор клиента в логах и статистике. Пробел в этом поле ломает парсинг конфига — клиент создастся, но работать не будет. Используйте только буквы, цифры, дефис, подчёркивание.
Нажмите Create — inbound сохранится и XRay перезапустится автоматически.
Получение ссылки и подключение
На странице Inbounds найдите только что созданный inbound. Справа — иконка QR-кода или кнопка Export. Три способа получить конфиг:
QR-код
Нажмите иконку QR напротив нужного клиента. Отсканируйте телефоном прямо через Hiddify или v2rayNG — конфиг импортируется мгновенно.
Ссылка vless://
Нажмите кнопку Copy напротив клиента — скопируется ссылка вида:
vless://UUID@ВАШ_IP:443?encryption=none&flow=xtls-rprx-vision&security=reality&sni=microsoft.com&fp=chrome&pbk=ПУБЛИЧНЫЙ_КЛЮЧ&sid=SHORTID&type=tcp#vless-realityОтправьте эту ссылку в любом мессенджере и откройте на устройстве — клиент предложит импортировать конфиг.
Ссылка на подписку (subscription)
В 3x-ui есть функция subscription URL — клиент периодически обновляет конфиги автоматически. Найдите в настройках клиента кнопку Subscription и скопируйте ссылку. В Hiddify: плюс → Add from URL → вставьте ссылку на подписку.
Проверка работы
После подключения проверьте что всё работает правильно:
На устройстве
- Включите VPN в клиенте (Hiddify, v2rayNG)
- Откройте 2ip.ru — IP должен смениться на IP вашего VPS
- Проверьте нужный сервис (Instagram, Discord и т.д.)
В панели 3x-ui
В разделе Inbounds напротив вашего inbound отображается статистика: входящий и исходящий трафик. Если цифры растут после подключения — всё работает.
На сервере — логи XRay
docker compose logs -f 3x-ui | grep accepted
Должны видеть строки вроде accepted tcp:ВАШ_IP:PORT при каждом подключении.
Если не подключается
Чек-лист по порядку:
- Порт 443 открыт в ufw:
ufw status | grep 443 - Контейнер запущен:
docker compose ps - Flow клиента:
xtls-rprx-vision(не пусто) - Dest-домен: не Cloudflare, не с ECH
- Public Key в конфиге клиента совпадает с тем, что в панели
Тонкая настройка
Несколько inbound на разных портах
Можно создать второй inbound на порту 8443 с теми же настройками — как резерв.
Если один порт будет заблокирован провайдером, клиенты переключатся на другой.
Не забудьте ufw allow 8443/tcp.
Отдельный клиент для каждого устройства
Создайте разных клиентов для телефона, ноутбука, роутера — так удобнее смотреть статистику и отзывать доступ выборочно, не меняя конфиг остальным.
Лимиты трафика
Если даёте доступ другим людям — выставляйте Total GB. Когда лимит исчерпается, 3x-ui автоматически отключит клиента. Возобновить можно вручную или сбросить счётчик через панель.
Отключение логов для безопасности
По умолчанию XRay пишет логи доступа. Для повышения приватности отключите их в XRay Settings → Log → Access Log Level → None. Это также снижает нагрузку на диск.
Смена Dest при блокировке
Если начались проблемы со скоростью — попробуйте сменить Dest-домен. Это не значит что вас блокируют: иногда просто деградирует маршрут до конкретного IP. Смените на другой крупный домен и проверьте.