Как да инсталирате 3x-ui на VPS и да изберете правилната конфигурация за антицензура

Ключови думи

Краткият речник по-долу поддържа термините ясни преди да започне инсталацията:

Как да инсталирате 3x-ui на VPS и да изберете правилната конфигурация за анти-цензура

Един ден вашият VPN работи. На следващия ден спира да работи. В ограничителни мрежи блокирането често е насочено по-малко към това дали трафикът е криптиран и повече към това дали трафикът изглежда лесен за класифициране.

Това е частта, която много стари VPN уроци пропускат. Самото криптиране не гарантира скритост. Мрежите все още могат да инспектират модели на ръкостискане, поведение на пакети и отпечатъци на протоколи достатъчно добре, за да решат, че вашият трафик не изглежда обикновен. Така че въпросът спира да бъде „как да инсталирам VPN?“ и става „как да направя формата на трафика да изглежда достатъчно нормална, за да оцелее при филтриране?“

Това ръководство е основната стъпка. Ще инсталирате работещ панел 3x-ui на Ubuntu VPS, ще защитите администраторската повърхност правилно и ще останете с ясна рамка за избор на това, което да конфигурирате след това вътре в панела. Ако самостоятелно хоствате на малък VPS — независимо дали от AlexHost или друг доставчик — тук настройката започва да става управляемa.

Какво всъщност е 3x-ui — и какво не е

Най-важното погрешно схващане, което трябва да се коригира рано, е следното: 3x-ui не е самата технология за заобикаляне на цензурата. Това е таблото за управление. Xray е двигателят под него. Протоколът, транспортът и изборите за сигурност в този двигател са тези, които определят как вашият трафик се държи в мрежата.

3x-ui има значение, защото превръща Xray от куп ръчно редактирани JSON файлове в нещо, което обикновеният човек може да управлява. Получавате уеб контролен панел за създаване на входящи връзки, добавяне на клиенти, експортиране на връзки или QR кодове, управление на ограничения, актуализиране на геофайлове и управление на администраторски достъп и SSL на панела.

Краткият речник по-долу поддържа термините ясни преди да започне инсталацията:

📝 Забележка: 3x-ui е най-добре разбрано като управленски слой за Xray-core, а самият проект го представя като софтуер за лична употреба, а не нещо, което да се третира небрежно като укрепена производствена инфраструктура.

Това разграничение е важно и за сигурността. Панел с активиран HTTPS и силни администраторски идентификационни данни защитава контролната повърхност — мястото, където влизате и управлявате сървъра. Това не прави автоматично потребителския трафик скрит. Инсталацията ви дава контрол; избраният след това протоколен стек определя как връзката изглежда на линията.

Преди да инсталирате: контролен списък за сървър и достъп

3x-ui не се нуждае от голям сървър, но се нуждае от чист път за инсталация. За това ръководство, базовата линия е Ubuntu 22.04 LTS или 24.04 LTS, SSH достъп с root или sudo привилегии, публичен IP адрес и скромни ресурси като 1 vCPU и 1 GB RAM. Всеки подходящ VPS работи, включително нискобюджетни начални планове, стига да ви предоставя предвидим мрежов достъп и контрол на защитната стена.

Преди да изпълните каквито и да е команди, проверете този контролен списък:

• Операционна система: Ubuntu 22.04 LTS или 24.04 LTS
• Ниво на достъп: root SSH достъп, или потребител с пълни sudo привилегии
• Мрежа: публичен IP адрес и възможност за отваряне на необходимите портове
• Трафик порт: 443/tcp за прокси трафик в стил HTTPS по-късно
• ACME валидиращ порт: 80/tcp само ако искате вграденият Let’s Encrypt поток на инсталатора за панела; ACME е публичната проверка за достъпност, използвана за валидиране на сертификати
• Достъпност на панела: бъдете готови инсталаторът да назначи случаен порт на панела и рандомизиран webBasePath
• Очаквано крайно състояние: достъпен URL на панела, запазени идентификационни данни и проверена HTTPS услуга на панела

⚠️ Предупреждение: Ако активирате UFW на отдалечен VPS за първи път, позволете SSH преди да активирате защитната стена. В противен случай можете да се заключите извън сървъра, който се опитвате да конфигурирате.

След като тези основи са верни, останалото става лесно. Следващите две секции ви водят от „Имам VPS“ до „Имам работещ контролен панел“ без догадки.

Подготовка на сървъра: BBR и основи

С проверени предпоставки, нека подготвим сървъра. Тази фаза оптимизира вашия VPS преди да инсталирате какъвто и да е VPN софтуер, осигурявайки максимална производителност от самото начало.

💡 СЪВЕТ: Използвайте BBR преди разгръщане — често подобрява пропускателната способност и латентността на ограничени или с по-висока латентност връзки.

Първо, актуализирайте системните си пакети. Това гарантира, че имате най-новите актуализации за сигурност и изискваните зависимости:

Тази стъпка може да отнеме 1-5 минути в зависимост от вашия VPS доставчик и скоростта на мрежата. Някои доставчици като Vultr предварително актуализират своите изображения по време на разгръщане, така че това може да завърши бързо на някои системи.

След това активирайте Google BBR контрол на задръстванията. BBR (Bottleneck Bandwidth and Round-trip propagation time) е алгоритъмът за контрол на задръстванията на Google. Вместо да разчита основно на загуба на пакети като сигнал, той се опитва да моделира наличната пропускателна способност и времето за обиколка по-непосредствено, което може да подобри пропускателната способност и отзивчивостта на някои VPS връзки.

Ако нищо не се появи, заредете модула ръчно:

Сега създайте конфигурацията на sysctl, за да активирате BBR постоянно:

Приложете конфигурацията:

Проверете дали BBR е активен:

Трябва да видите bbr като активен алгоритъм.

Някои системи се възползват от рестартиране след активиране на BBR — това гарантира, че модулът се зарежда правилно и всички мрежови оптимизации влизат в сила:

Сега се уверете, че порт 443 е достъпен. Ако планирате да използвате вградения Let’s Encrypt поток на инсталатора 3x-ui за панела, позволете 80/tcp също — този порт се използва за ACME валидиране на сертификати, а не за самия панел. Ако вашият VPS доставчик също има облачна защитна стена или слой от групи за сигурност, позволете същите портове и там. На Ubuntu, най-безопасният път обикновено е UFW:

⚠️ ПРЕДУПРЕЖДЕНИЕ: Порт 443 е силно препоръчителен, защото съответства на нормалния HTTPS трафик. Други портове може да работят технически, но се сливат по-малко естествено и правят настройката по-лесна за маркиране.

Вашият сървър вече е оптимизиран и готов за инсталация на 3x-ui.

Инсталиране на 3x-ui панел

Ще използваме форка на MHSanaei, който е активно поддържан и поддържа текущи протоколи. Отново, важно напомняне: самият проект представя 3x-ui като панел за лична употреба, така че го третирайте като слой за удобство на администратора и осигурете панела внимателно.

Преди да стартирате инсталатора, отбележете едно лесно за пропускане изискване: ако искате вграденият Let’s Encrypt на инсталатора да издаде SSL сертификат за панела, 80/tcp трябва да бъде отворен и достъпен от публичния интернет. Този ACME валидиращ порт е отделен от панелния порт, който избирате по време на настройката.

Стартирайте командата за инсталация:

Текущите версии на инсталатора не започват с по-старото номерирано меню Инсталиране / Актуализиране / Деинсталиране, което много уроци все още показват. Вместо това, скриптът започва инсталацията незабавно, инсталира липсващите зависимости, изтегля последната версия и след това ви води през подканите за настройка на панела.

Типичният процес на инсталация сега изглежда така:

1. Изберете дали да зададете персонализиран панелен порт или да оставите инсталатора да генерира случаен.
2. Позволете на инсталатора да генерира случайно потребителско име, парола и webBasePath.
3. Изберете как да конфигурирате SSL на панела:
   • 1 = Let’s Encrypt за домейн
   • 2 = Let’s Encrypt за IP адрес на сървъра
   • 3 = използване на съществуващ сертификат
4. Завършете подканите за сертификат, ако използвате вградения Let’s Encrypt поток.

⚠️ ВАЖНО: Панелният порт е не същото като ACME валидиращия порт. Може да стартирате панела на случаен порт като 13525 и все пак да се нуждаете от публичен 80/tcp отворен, за да може Let’s Encrypt да валидира сертификата.

Важното правило е просто: използвайте точните идентификационни данни, път и URL, отпечатани от вашия собствен инсталатор, а не предположения, копирани от по-стари уроци.

Вашият краен изход ще изглежда повече като това:

Username:    GENERATED_USERNAME
Password:    GENERATED_PASSWORD
Port:        13525
WebBasePath: RANDOM_PATH
Access URL:  https://YOUR_SERVER_IP:13525/RANDOM_PATH

Проверете дали услугата работи:

Тази проверка е важна. Гледайте конкретно линията на уеб сървъра в изхода на състоянието:

• Ако видите Web server running HTTPS …, SSL на панела работи правилно.
• Ако видите Web server running HTTP …, панелът е инсталиран успешно, но настройката на SSL не е завършена.

Достъпете панела, използвайки точния URL, потребителско име и парола, генерирани от вашата собствена инсталация. Не предполагайте, че пътят е /panel, и не предполагайте, че идентификационните данни са admin/admin, освен ако вашата собствена инсталация не казва така изрично.

💡 СЪВЕТ 1: За да видите отново текущите настройки на панела и да отпечатате URL за достъп, в CLI изпълнете командата “x-ui” и изберете номер 10 “Преглед на текущите настройки” от изхода на менюто.

💡 СЪВЕТ 2: Ако URL за достъп не се зарежда, уверете се, че портът на панела 3x-ui е отворен на вашата VPS защитна стена. Например, ако вашият панел работи на порт “13525”, позволете го с: ” ufw allow 13525/tcp “. Заменете 13525 с действителния порт, който сте конфигурирали за панела 3x-ui.

Ако инсталаторът завърши, но systemctl status x-ui показва HTTP вместо HTTPS

Най-честата причина е, че 80/tcp не е бил достъпен от публичния интернет по време на валидирането на Let’s Encrypt. В този случай панелът може все още да се инсталира и стартира, но издаването на сертификат се проваля.

Първо поправете защитната стена:

Ако вашият VPS доставчик има облачна защитна стена или слой от групи за сигурност, позволете 80/tcp и там. След това повторете настройката на сертификата на панела от скрипта за управление на 3x-ui:

За сертификат на панела, базиран на IP, изберете:

• 19 → 6 (Получаване на SSL за IP адрес)

За сертификат на панела, базиран на домейн, изберете:

• 19 → 1 (Получаване на SSL (Домейн))

След издаването на сертификата, проверете отново:

Искате изходът на състоянието да показва Web server running HTTPS … преди да продължите.

💡 СЪВЕТ: Запазете генерираните идентификационни данни и URL на панела незабавно. Също така обърнете внимание, че обобщението на инсталатора може да бъде подвеждащо, ако издаването на сертификат се провали — ако крайният блок отпечатва HTTPS URL, но systemctl status x-ui все още показва HTTP, доверете се на изхода на състоянието на услугата и поправете SSL преди да продължите.

Картата на решенията: къде всъщност започва „заобикаляне на цензурата“

След като панелът е инсталиран, проблемът се променя. Вече не се опитвате да инсталирате софтуер правилно. Вие решавате как клиентският трафик трябва да се представи на мрежата. Там всъщност започва „конфигуриране за заобикаляне на цензурата“.

Най-лесният начин да намалите терминологичния хаос е да мислите в три слоя: как клиентът и сървърът говорят, как се пренася потокът и как този трафик изглежда на външен наблюдател. В противен случай, ако ги изравните в един списък с модни думи, 3x-ui започва да изглежда по-сложно, отколкото всъщност е.

Вземете един пример за котва: VLESS + TCP/RAW + Reality на 443. VLESS е протоколът. TCP/RAW пренася потока. Reality оформя как връзката прилича на обикновено HTTPS поведение. А 443 е важен, защото камуфлажът работи най-добре, когато също съответства на стандартния порт за нормален криптиран уеб трафик. На някои места в документацията на Xray се казва raw, докато в интерфейса на панела се казва TCP; за тази статия, третирайте ги като същия концептуален избор на транспорт.

⚠️ Предупреждение: Няма универсален победител и няма постоянно неразпознаваемо съчетание. Мрежите се променят, филтрите се развиват и това, което се слива добре на един път, може да изпъкне на друг. Целта не е магия. Целта е да изберете най-разумния стек за вашата среда.

Това е причината тази статия да спира на картата, вместо да се преструва, че една страница може да обхване всяка пълна конструкция. Следващата стъпка е да изберете конфигурационното семейство, което отговаря на вашата мрежа и цели.

Кой път на 3x-ui отговаря на вашия случай на употреба?

Ако искате най-ясния отговор по подразбиране първо, ето го: за ограничителни, тежко DPI среди, започнете с VLESS + Reality. Той ясно отделя протокола от скритостта, работи добре на порт 443 и не ви принуждава да започнете с домейн или обратен прокси.

Това не го прави отговорът за всяка ситуация. Ако вече управлявате домейн или предпочитате по-традиционен работен поток с TLS и обратен прокси, тогава VLESS или Trojan през TLS с WebSocket или gRPC често е по-добрият избор. Този път има повече смисъл, когато вече управлявате домейн и сертификати.

Ако вашият приоритет е пропускателната способност и вашата мрежа се справя добре с UDP, Hysteria 2 заслужава внимание. Това е специализираният път тук, защото неговото привличане е по-малко „изглеждайте като най-обикновената сесия на браузър възможно“ и повече „получете силна производителност от дизайн на базата на QUIC/UDP.“ Това е убедително, но не е препоръката по подразбиране за начинаещи за първоначални настройки за скритост.

Shadowsocks 2022, VMess и подобни пътища за съвместимост все още имат място, но предимно за миграция, поддръжка на по-стари клиенти или тесни ограничения за съвместимост. VMess в частност не е най-добрата равноправна препоръка за начинаещи, защото зависи от времето — още една оперативна подробност, която може да се обърка, когато вече съществуват по-прости опции.

💡 Бърз контролен списък за решения

• Цензурирана мрежа: започнете с VLESS + Reality
• Настройка на домейн / обратен прокси: оценете TLS + WS/gRPC или Trojan
• Високоскоростен UDP: тествайте Hysteria 2
• Крайните случаи на съвместимост: обмислете Shadowsocks 2022 или VMess

WireGuard и OpenVPN са полезни примери за контраст тук, а не препоръчителната следваща стъпка, защото обикновените форми на VPN протоколи често са това, което ограничителните мрежи научават да разпознават първо. Изберете пътя, който съответства на вашата среда, след това изградете този път преди да добавите повече опции.

Какво можете да направите след това в 3x-ui след избора на път

След като изберете пътя, 3x-ui става оперативният слой. Тук създавате входящата връзка, добавяте клиентска идентичност, експортирате детайлите на връзката, импортирате ги в клиентското приложение и се връщате по-късно за ограничения, подновявания, дневници, статистики за трафика и актуализации на маршрути или геофайлове, ако е необходимо. Тази оперативна видимост е голяма част от причината панелът да си струва да се използва.

Ако продължавате тази настройка като серия, първото ръководство за последващи действия трябва да бъде VLESS + Reality за читатели в ограничителни мрежи. Това е най-естествената следваща статия, защото превръща този ментален модел в една конкретна конфигурация.

Заключение

Инсталирането на 3x-ui не е окончателното решение за анти-цензура. Това е контролната зала. Истинският резултат идва от това, което конфигурирате вътре в него след това. Поддържайте разделението просто: таблото за управление прави Xray управляем, но двигателят и маршрутът — изборът на протокол, транспорт и сигурност — решават колко добре връзката оцелява при филтриране.

Така че направете честната следваща стъпка и изберете действителния път, който най-добре отговаря на вашите цели. И когато се заемете сериозно със самостоятелното хостване на вашия избор, стабилната VPS инфраструктура също има значение — независимо дали това означава AlexHost или друг доставчик, който ви предоставя предвидим мрежов контрол и чист достъп до защитната стена.