So installieren Sie 3x-ui auf einem VPS und wählen die richtige Anti-Zensur-Konfiguration aus.

Schlüsselwörter

Das folgende kurze Glossar hält die Begriffe vor Beginn der Installation klar:

Wie man 3x-ui auf einem VPS installiert und die richtige Anti-Zensur-Konfiguration wählt

Eines Tages funktioniert Ihr VPN. Am nächsten Tag funktioniert es nicht mehr. In restriktiven Netzwerken zielt die Blockierung oft weniger darauf ab, ob der Datenverkehr verschlüsselt ist, sondern mehr darauf, ob der Datenverkehr leicht zu klassifizieren aussieht.

Das ist der Teil, den viele ältere VPN-Tutorials überspringen. Verschlüsselung allein garantiert keine Tarnung. Netzwerke können Handshake-Muster, Paketverhalten und Protokoll-Fingerabdrücke gut genug inspizieren, um zu entscheiden, dass Ihr Datenverkehr nicht gewöhnlich aussieht. Die Frage ist also nicht mehr „wie installiere ich ein VPN?“, sondern „wie mache ich den Datenverkehr so normal aussehend, dass er die Filterung übersteht?“

Dieser Leitfaden ist der grundlegende Schritt. Sie werden ein funktionierendes 3x-ui-Panel auf einem Ubuntu VPS installieren, die Admin-Oberfläche korrekt sichern und mit einem klaren Rahmen verlassen, um zu entscheiden, was als nächstes im Panel konfiguriert werden soll. Wenn Sie selbst auf einem kleinen VPS hosten — sei es von AlexHost oder einem anderen Anbieter — beginnt hier die Einrichtung überschaubar zu werden.

Was 3x-ui tatsächlich ist — und was es nicht ist

Das wichtigste Missverständnis, das frühzeitig behoben werden muss, ist dieses: 3x-ui ist nicht die Technologie zur Umgehung von Zensur selbst. Es ist das Dashboard. Xray ist die darunterliegende Engine. Die Protokoll-, Transport- und Sicherheitsentscheidungen innerhalb dieser Engine bestimmen, wie sich Ihr Datenverkehr im Netzwerk verhält.

3x-ui ist wichtig, weil es Xray von einem Haufen handbearbeiteter JSON-Dateien in etwas verwandelt, das ein durchschnittlicher Mensch bedienen kann. Sie erhalten ein Web-Kontrollpanel zum Erstellen von Inbounds, Hinzufügen von Clients, Exportieren von Links oder QR-Codes, Verwalten von Limits, Aktualisieren von Geodateien und Verwalten des Admin-Zugriffs und Panel-SSL.

Das folgende kurze Glossar hält die Begriffe vor Beginn der Installation klar:

📝 Hinweis: 3x-ui wird am besten als Verwaltungsebene für Xray-core verstanden, und das Projekt selbst rahmt es als Software für den persönlichen Gebrauch ein, anstatt es als gehärtete Produktionsinfrastruktur zu behandeln.

Diese Unterscheidung ist auch für die Sicherheit wichtig. Ein HTTPS-fähiges Panel mit starken Admin-Zugangsdaten schützt die Steuerungsoberfläche — den Ort, an dem Sie sich anmelden und den Server verwalten. Es macht den Benutzerverkehr nicht automatisch unauffällig. Die Installation gibt Ihnen Kontrolle; der danach gewählte Protokollstapel bestimmt, wie die Verbindung im Netz aussieht.

Bevor Sie installieren: Server- und Zugangscheckliste

3x-ui benötigt keinen großen Server, aber es braucht einen sauberen Installationspfad. Für diesen Leitfaden ist die Basis Ubuntu 22.04 LTS oder 24.04 LTS, SSH-Zugang mit Root- oder Sudo-Rechten, eine öffentliche IP-Adresse und bescheidene Ressourcen wie 1 vCPU und 1 GB RAM. Jeder geeignete VPS funktioniert, einschließlich kostengünstiger Einstiegstarife, solange er Ihnen vorhersehbaren Netzwerkzugang und Firewall-Kontrolle bietet.

Bevor Sie irgendwelche Befehle ausführen, überprüfen Sie diese Checkliste:

• Betriebssystem: Ubuntu 22.04 LTS oder 24.04 LTS
• Zugriffsebene: Root-SSH-Zugang oder ein Benutzer mit vollständigen sudo-Rechten
• Netzwerk: öffentliche IP-Adresse und die Fähigkeit, erforderliche Ports zu öffnen
• Datenverkehrsport: 443/tcp für HTTPS-ähnlichen Proxy-Verkehr später
• ACME-Validierungsport: 80/tcp nur, wenn Sie den integrierten Let’s Encrypt-Fluss des Installers für das Panel verwenden möchten; ACME ist der öffentliche Erreichbarkeitscheck, der für die Zertifikatsvalidierung verwendet wird
• Panel-Erreichbarkeit: seien Sie bereit, dass der Installer einen zufälligen Panel-Port und einen zufälligen webBasePath zuweist
• Erwarteter Endzustand: eine erreichbare Panel-URL, gespeicherte Zugangsdaten und ein verifizierter HTTPS-Panel-Dienst

⚠️ Warnung: Wenn Sie UFW auf einem Remote-VPS zum ersten Mal aktivieren, erlauben Sie SSH, bevor Sie die Firewall aktivieren. Andernfalls können Sie sich aus dem Server aussperren, den Sie konfigurieren möchten.

Sobald diese Grundlagen erfüllt sind, wird der Rest einfach. Die nächsten beiden Abschnitte führen Sie von „Ich habe einen VPS“ zu „Ich habe ein funktionierendes Kontrollpanel“ ohne Rätselraten.

Servervorbereitung: BBR und Grundlagen

Mit überprüften Voraussetzungen bereiten wir den Server vor. Diese Phase optimiert Ihren VPS, bevor Sie irgendwelche VPN-Software installieren, um von Anfang an maximale Leistung zu gewährleisten.

💡 TIPP: Verwenden Sie BBR vor der Bereitstellung — es verbessert oft den Durchsatz und die Latenz bei eingeschränkten oder höher-latenten Verbindungen.

Zuerst aktualisieren Sie Ihre Systempakete. Dies stellt sicher, dass Sie die neuesten Sicherheitsupdates und erforderlichen Abhängigkeiten haben:

Dieser Schritt kann je nach VPS-Anbieter und Netzwerkgeschwindigkeit 1-5 Minuten dauern. Einige Anbieter wie Vultr aktualisieren ihre Images während der Bereitstellung vor, sodass dies auf einigen Systemen schnell abgeschlossen sein kann.

Als nächstes aktivieren Sie die Google BBR-Staukontrolle. BBR (Bottleneck Bandwidth and Round-trip propagation time) ist Googles Staukontrollalgorithmus. Anstatt sich hauptsächlich auf Paketverlust als Signal zu verlassen, versucht es, die verfügbare Bandbreite und die Round-Trip-Zeit direkter zu modellieren, was den Durchsatz und die Reaktionsfähigkeit bei einigen VPS-Verbindungen verbessern kann.

Wenn nichts erscheint, laden Sie das Modul manuell:

Erstellen Sie nun die sysctl-Konfiguration, um BBR dauerhaft zu aktivieren:

Wenden Sie die Konfiguration an:

Überprüfen Sie, ob BBR aktiv ist:

Sie sollten bbr als aktiven Algorithmus sehen.

Einige Systeme profitieren von einem Neustart nach der Aktivierung von BBR — es stellt sicher, dass das Modul ordnungsgemäß geladen wird und alle Netzwerkoptimierungen wirksam werden:

Stellen Sie nun sicher, dass Port 443 erreichbar ist. Wenn Sie den integrierten Let’s Encrypt-Fluss des 3x-ui-Installers für das Panel verwenden möchten, erlauben Sie auch 80/tcp — dieser Port wird für die ACME-Zertifikatsvalidierung verwendet, nicht für das Panel selbst. Wenn Ihr VPS-Anbieter auch eine Cloud-Firewall oder eine Sicherheitsgruppenebene hat, erlauben Sie dort ebenfalls die gleichen Ports. Auf Ubuntu ist der sicherste Weg normalerweise UFW:

⚠️ WARNUNG: Port 443 wird dringend empfohlen, da er dem normalen HTTPS-Datenverkehr entspricht. Andere Ports können technisch funktionieren, aber sie fügen sich weniger natürlich ein und machen die Einrichtung leichter erkennbar.

Ihr Server ist nun optimiert und bereit für die 3x-ui-Installation.

Installation des 3x-ui-Panels

Wir verwenden den MHSanaei-Fork, der aktiv gepflegt wird und aktuelle Protokolle unterstützt. Nochmals, wichtige Erinnerung: das Projekt selbst rahmt 3x-ui als ein Panel für den persönlichen Gebrauch ein, also behandeln Sie es als eine Admin-Komfortebene und sichern Sie das Panel sorgfältig.

Bevor Sie den Installer ausführen, beachten Sie eine leicht zu übersehende Anforderung: wenn Sie möchten, dass das integrierte Let’s Encrypt-Setup des Installers ein SSL-Zertifikat für das Panel ausstellt, muss 80/tcp geöffnet und vom öffentlichen Internet erreichbar sein. Dieser ACME-Validierungsport ist getrennt von dem Panel-Port, den Sie während der Einrichtung wählen.

Führen Sie den Installationsbefehl aus:

Aktuelle Versionen des Installers beginnen nicht mit dem älteren nummerierten Installieren / Aktualisieren / Deinstallieren-Menü, das viele Tutorials noch zeigen. Stattdessen startet das Skript die Installation sofort, installiert fehlende Abhängigkeiten, lädt die neueste Version herunter und führt Sie dann durch die Setup-Aufforderungen des Panels.

Ein typischer Installationsablauf sieht jetzt so aus:

1. Wählen Sie, ob Sie einen benutzerdefinierten Panel-Port festlegen oder den Installer einen zufälligen generieren lassen möchten.
2. Lassen Sie den Installer einen zufälligen Benutzernamen, ein Passwort und einen webBasePath generieren.
3. Wählen Sie, wie Sie das Panel-SSL konfigurieren möchten:
   • 1 = Let’s Encrypt für eine Domain
   • 2 = Let’s Encrypt für die Server-IP
   • 3 = ein vorhandenes Zertifikat verwenden
4. Vervollständigen Sie die Zertifikatsaufforderungen, wenn Sie den integrierten Let’s Encrypt-Fluss verwenden.

⚠️ WICHTIG: Der Panel-Port ist nicht dasselbe wie der ACME-Validierungsport. Sie könnten das Panel auf einem zufälligen Port wie 13525 betreiben und dennoch öffentlich 80/tcp offen haben müssen, damit Let’s Encrypt das Zertifikat validieren kann.

Die wichtige Regel ist einfach: verwenden Sie die genauen Zugangsdaten, den Pfad und die URL, die von Ihrem eigenen Installer gedruckt werden, nicht Annahmen, die aus älteren Tutorials kopiert wurden.

Ihr endgültiger Output wird mehr so aussehen:

Username:    GENERATED_USERNAME
Password:    GENERATED_PASSWORD
Port:        13525
WebBasePath: RANDOM_PATH
Access URL:  https://YOUR_SERVER_IP:13525/RANDOM_PATH

Überprüfen Sie, ob der Dienst läuft:

Diese Überprüfung ist wichtig. Schauen Sie speziell auf die Webserver-Zeile im Status-Output:

• Wenn Sie Webserver läuft HTTPS … sehen, funktioniert das Panel-SSL korrekt.
• Wenn Sie Webserver läuft HTTP … sehen, wurde das Panel erfolgreich installiert, aber die SSL-Einrichtung wurde nicht abgeschlossen.

Greifen Sie auf das Panel mit der genauen URL, dem Benutzernamen und dem Passwort zu, die von Ihrer eigenen Installation generiert wurden. Gehen Sie nicht davon aus, dass der Pfad /panel ist, und gehen Sie nicht davon aus, dass die Zugangsdaten admin/admin sind, es sei denn, Ihre eigene Installation sagt es ausdrücklich.

💡 TIPP 1: Um die aktuellen Panel-Einstellungen erneut anzuzeigen und die Zugriffs-URL auszudrucken, führen Sie im CLI den Befehl “x-ui” aus und wählen Sie Nummer 10 “Aktuelle Einstellungen anzeigen” aus dem Menü-Output.

💡 TIPP 2: Wenn die Zugriffs-URL nicht geladen wird, stellen Sie sicher, dass der 3x-ui-Panel-Port in Ihrer VPS-Firewall geöffnet ist. Wenn Ihr Panel beispielsweise auf Port “13525” läuft, erlauben Sie es mit: ” ufw allow 13525/tcp “. Ersetzen Sie 13525 durch den tatsächlichen Port, den Sie für das 3x-ui-Panel konfiguriert haben.

Wenn der Installer abgeschlossen ist, aber systemctl status x-ui HTTP anstelle von HTTPS anzeigt

Die häufigste Ursache ist, dass 80/tcp während der Let’s Encrypt-Validierung nicht vom öffentlichen Internet erreichbar war. In diesem Fall kann das Panel zwar installiert und gestartet werden, aber die Zertifikatsausstellung schlägt fehl.

Beheben Sie zuerst die Firewall:

Wenn Ihr VPS-Anbieter eine Cloud-Firewall oder eine Sicherheitsgruppenebene hat, erlauben Sie dort ebenfalls 80/tcp. Führen Sie dann die Panel-Zertifikatseinrichtung aus dem 3x-ui-Verwaltungsskript erneut aus:

Für ein IP-basiertes Panel-Zertifikat wählen Sie:

• 19 → 6 (SSL für IP-Adresse erhalten)

Für ein domainbasiertes Panel-Zertifikat wählen Sie:

• 19 → 1 (SSL erhalten (Domain))

Nachdem das Zertifikat ausgestellt wurde, überprüfen Sie erneut:

Sie möchten, dass der Status-Output Webserver läuft HTTPS … anzeigt, bevor Sie fortfahren.

💡 TIPP: Speichern Sie die generierten Zugangsdaten und die Panel-URL sofort. Beachten Sie auch, dass die Installationszusammenfassung irreführend sein kann, wenn die Zertifikatsausstellung fehlschlägt — wenn der letzte Block eine HTTPS-URL druckt, aber systemctl status x-ui immer noch HTTP anzeigt, vertrauen Sie dem Service-Status-Output und beheben Sie SSL, bevor Sie fortfahren.

Die Entscheidungsmindmap: wo „Zensur umgehen“ tatsächlich beginnt

Sobald das Panel installiert ist, ändert sich das Problem. Sie versuchen nicht mehr, Software korrekt zu installieren. Sie entscheiden, wie sich der Client-Datenverkehr dem Netzwerk präsentieren soll. Dort beginnt „konfigurieren, um Zensur zu umgehen“ tatsächlich.

Der einfachste Weg, das Terminologie-Chaos zu reduzieren, besteht darin, in drei Ebenen zu denken: wie der Client und der Server sprechen, wie der Stream übertragen wird und wie dieser Datenverkehr für einen Außenstehenden aussieht. Andernfalls, wenn Sie diese in eine Liste von Schlagwörtern flachdrücken, beginnt 3x-ui komplizierter auszusehen, als es wirklich ist.

Nehmen Sie ein Ankerbeispiel: VLESS + TCP/RAW + Reality auf 443. VLESS ist das Protokoll. TCP/RAW überträgt den Stream. Reality formt, wie die Verbindung gewöhnlichem HTTPS-Verhalten ähnelt. Und 443 ist wichtig, weil die Tarnung am besten funktioniert, wenn sie auch dem Standardport für normalen verschlüsselten Webverkehr entspricht. An einigen Stellen sagen die Xray-Dokumente raw, während die Panel-Benutzeroberfläche TCP sagt; für diesen Artikel behandeln Sie diese als dieselbe konzeptionelle Transportwahl.

⚠️ Warnung: Es gibt keinen universellen Gewinner und keine dauerhaft unblockierbare Kombination. Netzwerke ändern sich, Filter entwickeln sich weiter, und was auf einem Pfad gut passt, kann auf einem anderen auffallen. Das Ziel ist nicht Magie. Das Ziel ist es, den sinnvollsten Stapel für Ihre Umgebung zu wählen.

Deshalb endet dieser Artikel bei der Karte, anstatt vorzugeben, dass eine Seite jeden vollständigen Aufbau abdecken kann. Der nächste Schritt besteht darin, die Konfigurationsfamilie zu wählen, die zu Ihrem Netzwerk und Ihren Zielen passt.

Welcher 3x-ui-Pfad passt zu Ihrem Anwendungsfall?

Wenn Sie zuerst die klarste Standardantwort möchten, hier ist sie: für restriktive, DPI-schwere Umgebungen beginnen Sie mit VLESS + Reality. Es trennt Protokoll von Tarnung klar, funktioniert gut auf Port 443 und zwingt Sie nicht, mit einer Domain oder einem Reverse-Proxy zu beginnen.

Das macht es nicht zur Antwort auf jede Situation. Wenn Sie bereits eine Domain betreiben oder einen traditionelleren TLS-und-Reverse-Proxy-Workflow bevorzugen, dann ist VLESS oder Trojan über TLS mit WebSocket oder gRPC oft die bessere Wahl. Dieser Weg macht mehr Sinn, wenn Sie bereits eine Domain und Zertifikate verwalten.

Wenn Ihre Priorität der Durchsatz ist und Ihr Netzwerk UDP gut handhabt, verdient Hysteria 2 Aufmerksamkeit. Es ist der spezialisierte Pfad hier, weil sein Reiz weniger „wie die gewöhnlichste Browsersitzung aussehen“ und mehr „starke Leistung aus einem QUIC/UDP-basierten Design erzielen“ ist. Es ist überzeugend, aber nicht die Standardanfängerempfehlung für Tarnung-zuerst-Setups.

Shadowsocks 2022, VMess und ähnliche Kompatibilitätspfade haben immer noch einen Platz, aber hauptsächlich für Migration, ältere Client-Unterstützung oder enge Kompatibilitätsbeschränkungen. VMess ist insbesondere nicht die beste gleichwertige Anfängerempfehlung, weil es von der Zeit abhängt — ein weiteres operatives Detail, das falsch gemacht werden kann, wenn einfachere Optionen bereits existieren.

💡 Schnelle Entscheidungs-Checkliste

• Zensiertes Netzwerk: beginnen Sie mit VLESS + Reality
• Domain- / Reverse-Proxy-Setup: bewerten Sie TLS + WS/gRPC oder Trojan
• Hochgeschwindigkeits-UDP: testen Sie Hysteria 2
• Kompatibilitätsrandfälle: erwägen Sie Shadowsocks 2022 oder VMess

WireGuard und OpenVPN sind hier nützliche Kontrastbeispiele, nicht der empfohlene nächste Schritt, da gewöhnliche VPN-Protokollformen oft das sind, was restriktive Netzwerke zuerst zu erkennen lernen. Wählen Sie den Pfad, der zu Ihrer Umgebung passt, und bauen Sie diesen Pfad, bevor Sie weitere Optionen hinzufügen.

Was Sie als nächstes innerhalb von 3x-ui tun können, nachdem Sie einen Pfad gewählt haben

Sobald Sie den Pfad gewählt haben, wird 3x-ui zur operativen Ebene. Hier erstellen Sie den Inbound, fügen Clients hinzu, exportieren einen Freigabelink oder QR-Code, setzen Verkehrsgrenzen oder Ablaufdaten und halten den Server über die Zeit verwaltbar, anstatt sich durch rohe Xray-Dateien zu wühlen.

📝 Hinweis: Das Panel ist nicht „nur der Anmeldebildschirm“. Es ist die Admin-Oberfläche, wo Protokollentscheidungen zu laufenden Inbounds, Client-Zugangsdaten, Nutzungskontrollen und Sichtbarkeit werden.

Praktisch gesehen ist die Reihenfolge normalerweise einfach: Erstellen Sie den Inbound, fügen Sie eine Client-Identität hinzu, exportieren Sie die Verbindungsdetails, importieren Sie sie in die Client-App und kehren Sie später für Limits, Erneuerungen, Protokolle, Verkehrsstatistiken und Routing- oder Geodatei-Updates zurück, falls erforderlich. Diese operative Sichtbarkeit ist ein großer Teil dessen, warum das Panel es wert ist, verwendet zu werden.

Wenn Sie dieses Setup als Serie fortsetzen, sollte der erste Folge-Leitfaden der VLESS + Reality-Aufbau für Leser in restriktiven Netzwerken sein. Das ist der natürlichste nächste Artikel, weil er dieses mentale Modell in eine konkrete Konfiguration umsetzt.

Fazit

Die Installation von 3x-ui ist nicht die endgültige Anti-Zensur-Lösung. Es ist der Kontrollraum. Das eigentliche Ergebnis kommt von dem, was Sie als nächstes darin konfigurieren. Halten Sie die Aufteilung einfach: das Dashboard macht Xray handhabbar, aber die Engine und der Weg — Protokoll, Transport und Sicherheitswahl — entscheiden, wie gut die Verbindung die Filterung übersteht.

Machen Sie also den ehrlichen nächsten Schritt und wählen Sie den tatsächlichen Pfad, der am besten zu Ihren Zielen passt. Und sobald Sie ernsthaft daran interessiert sind, Ihre Wahl selbst zu hosten, ist auch eine stabile VPS-Infrastruktur wichtig — sei es AlexHost oder ein anderer Anbieter, der Ihnen vorhersehbare Netzwerkkontrolle und sauberen Firewall-Zugang bietet.