Billete abierto 
+373 79 600002 
Chat en directo de Telegram 
F.A.Q 
Español
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
Administración 
Linux 
SeguridadCómo instalar 3x-ui en un VPS y elegir la configuración adecuada de anti-censura
Palabras clave
El glosario rápido a continuación mantiene los términos claros antes de que comience la instalación:
| Emoji + palabra clave | Breve explicación |
|---|---|
| ⚙️ 3x-ui | Un panel de control web para Xray-core |
| 🚀 Xray-core | El motor proxy real |
| 📥 inbound | Un punto de entrada de escucha en el servidor |
| 🔀 capa de transporte | Cómo se transporta el flujo de tráfico |
| 🎭 Reality | Un mecanismo de sigilo/seguridad para Xray |
Cómo instalar 3x-ui en un VPS y elegir la configuración correcta de anti-censura
Un día tu VPN funciona. Al día siguiente deja de funcionar. En redes restrictivas, el bloqueo a menudo se dirige menos a si el tráfico está cifrado y más a si el tráfico parece fácil de clasificar.
Esa es la parte que muchos tutoriales antiguos de VPN omiten. El cifrado por sí solo no garantiza el sigilo. Las redes aún pueden inspeccionar patrones de handshake, comportamiento de paquetes y huellas digitales de protocolos lo suficientemente bien como para decidir que tu tráfico no parece ordinario. Así que la pregunta deja de ser “¿cómo instalo una VPN?” y se convierte en “¿cómo hago que la forma del tráfico parezca lo suficientemente normal para sobrevivir al filtrado?”
Esta guía es el paso fundamental. Instalarás un panel 3x-ui funcional en un VPS Ubuntu, asegurarás correctamente la superficie administrativa y te irás con un marco claro para elegir qué configurar a continuación dentro del panel. Si estás auto-hospedando en un pequeño VPS, ya sea de AlexHost u otro proveedor, aquí es donde la configuración comienza a ser manejable.
Qué es realmente 3x-ui y qué no es
La concepción errónea más importante a corregir temprano es esta: 3x-ui no es la tecnología de elusión de censura en sí misma. Es el panel de control. Xray es el motor debajo de él. Las elecciones de protocolo, transporte y seguridad dentro de ese motor son las que determinan cómo se comporta tu tráfico en la red.
3x-ui es importante porque convierte Xray de un montón de JSON editado a mano en algo que un humano promedio puede operar. Obtienes un panel de control web para crear inbounds, agregar clientes, exportar enlaces o códigos QR, gestionar límites, actualizar geofiles y manejar el acceso administrativo y el SSL del panel.
El glosario rápido a continuación mantiene los términos claros antes de que comience la instalación:
| Término | Significado simple | Por qué importa aquí |
|---|---|---|
| 3x-ui | Un panel de control web para Xray-core | Es la capa de gestión que instalas en esta guía |
| Xray-core | El motor proxy real | Esto es lo que maneja protocolos, enrutamiento y comportamiento del tráfico |
| inbound | Un punto de entrada de escucha en el servidor | Aquí defines cómo se conectan los clientes |
| transporte | Cómo se transporta el flujo de tráfico | Ejemplos incluyen TCP crudo, WebSocket o gRPC |
| Reality | Un mecanismo de sigilo/seguridad para Xray | Ayuda a que el tráfico se asemeje más al HTTPS ordinario |
📝 Nota: 3x-ui se entiende mejor como una capa de gestión para Xray-core, y el propio proyecto lo enmarca como software de uso personal en lugar de algo para tratar casualmente como infraestructura de producción endurecida.
Esa distinción también importa para la seguridad. Un panel habilitado para HTTPS con credenciales administrativas fuertes protege la superficie de control: el lugar donde inicias sesión y gestionas el servidor. No automáticamente hace que el tráfico de usuario sea sigiloso. La instalación te da control; la pila de protocolos elegida después determina cómo se ve la conexión en el cable.
Antes de instalar: lista de verificación del servidor y acceso
3x-ui no necesita un servidor enorme, pero sí necesita una ruta de instalación limpia. Para esta guía, la base es Ubuntu 22.04 LTS o 24.04 LTS, acceso SSH con privilegios de root o sudo, una dirección IP pública y recursos modestos como 1 vCPU y 1 GB RAM. Cualquier VPS adecuado funciona, incluidos planes de entrada de bajo costo, siempre que te brinde acceso a la red predecible y control de firewall.
Antes de tocar cualquier comando, verifica esta lista de verificación:
- Sistema operativo: Ubuntu 22.04 LTS o 24.04 LTS
- Nivel de acceso: acceso SSH root, o un usuario con privilegios completos de sudo
- Red: dirección IP pública y la capacidad de abrir los puertos requeridos
- Puerto de tráfico: 443/tcp para tráfico proxy estilo HTTPS más tarde
- Puerto de validación ACME: 80/tcp solo si deseas el flujo incorporado de Let’s Encrypt del instalador para el panel; ACME es la verificación de alcance público utilizada para la validación de certificados
- Alcance del panel: estar listo para que el instalador asigne un puerto de panel aleatorio y un webBasePath aleatorizado
- Estado final esperado: una URL de panel accesible, credenciales guardadas y un servicio de panel HTTPS verificado
⚠️ Advertencia: Si estás habilitando UFW en un VPS remoto por primera vez, permite SSH antes de habilitar el firewall. De lo contrario, puedes bloquearte del servidor que estás tratando de configurar.
Una vez que esos conceptos básicos son verdaderos, el resto se vuelve sencillo. Las siguientes dos secciones te llevan de “Tengo un VPS” a “Tengo un panel de control funcional” sin conjeturas.
Preparación del servidor: BBR y conceptos básicos
Con los requisitos verificados, preparemos el servidor. Esta fase optimiza tu VPS antes de instalar cualquier software VPN, asegurando el máximo rendimiento desde el principio.
💡 CONSEJO: Usa BBR antes de implementar: a menudo mejora el rendimiento y la latencia en enlaces restringidos o de mayor latencia.
Primero, actualiza los paquetes de tu sistema. Esto asegura que tengas las últimas actualizaciones de seguridad y las dependencias requeridas:
apt update && apt upgrade -yEste paso puede tardar de 1 a 5 minutos dependiendo de tu proveedor de VPS y la velocidad de la red. Algunos proveedores como Vultr preactualizan sus imágenes durante la implementación, por lo que esto podría completarse rápidamente en algunos sistemas.
A continuación, habilita el control de congestión Google BBR. BBR (Bottleneck Bandwidth and Round-trip propagation time) es el algoritmo de control de congestión de Google. En lugar de confiar principalmente en la pérdida de paquetes como señal, intenta modelar el ancho de banda disponible y el tiempo de ida y vuelta de manera más directa, lo que puede mejorar el rendimiento y la capacidad de respuesta en algunos enlaces VPS.
# Verify BBR module is available
lsmod | grep tcp_bbrSi no aparece nada, carga el módulo manualmente:
modprobe tcp_bbr
Ahora crea la configuración de sysctl para habilitar BBR de manera persistente:
cat >> /etc/sysctl.d/99-bbr.conf << 'EOF'
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
EOF
Aplica la configuración:
sysctl -p /etc/sysctl.d/99-bbr.confVerifica que BBR esté activo:
sysctl net.ipv4.tcp_congestion_control
sysctl net.ipv4.tcp_available_congestion_controlDeberías ver bbr como el algoritmo activo.
Algunos sistemas se benefician de un reinicio después de habilitar BBR: asegura que el módulo se cargue correctamente y que todas las optimizaciones de red surtan efecto:
rebootAhora asegúrate de que el puerto 443 sea accesible. Si planeas usar el flujo incorporado de Let’s Encrypt del instalador de 3x-ui para el panel, permite también 80/tcp: ese puerto se usa para la validación de certificados ACME, no para el propio panel. Si tu proveedor de VPS también tiene una capa de firewall en la nube o grupo de seguridad, permite los mismos puertos allí también. En Ubuntu, el camino más seguro suele ser UFW:
# If this is a remote VPS and you're enabling UFW for the first time, allow SSH before enabling the firewall
ufw allow OpenSSH
# Allow HTTPS-style Reality traffic
ufw allow 443/tcp
# Allow ACME validation for the 3x-ui panel's built-in Let's Encrypt setup
ufw allow 80/tcp
# Review rules, then enable only if UFW is not already active
ufw status
ufw enable⚠️ ADVERTENCIA: Se recomienda encarecidamente el puerto 443 porque coincide con el tráfico HTTPS normal. Otros puertos pueden funcionar técnicamente, pero se mezclan menos naturalmente y hacen que la configuración sea más fácil de marcar.
Tu servidor ahora está optimizado y listo para la instalación de 3x-ui.
Instalación del Panel 3x-ui
Usaremos el fork de MHSanaei, que se mantiene activamente y admite protocolos actuales. De nuevo, recordatorio importante: el propio proyecto enmarca 3x-ui como un panel de uso personal, así que trátalo como una capa de conveniencia administrativa y asegura el panel cuidadosamente.
Antes de ejecutar el instalador, ten en cuenta un requisito fácil de pasar por alto: si deseas que la configuración incorporada de Let’s Encrypt del instalador emita un certificado SSL para el panel, 80/tcp debe estar abierto y accesible desde Internet pública. Este puerto de validación ACME es separado del puerto del panel que elijas durante la configuración.
Ejecuta el comando de instalación:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)Las versiones actuales del instalador no comienzan con el menú numerado Instalar / Actualizar / Desinstalar que muchos tutoriales aún muestran. En su lugar, el script inicia la instalación inmediatamente, instala cualquier dependencia faltante, descarga la última versión y luego te guía a través de los mensajes de configuración del panel.
Un flujo de instalación típico ahora se ve así:
- Elige si configurar un puerto de panel personalizado o dejar que el instalador genere uno aleatorio.
- Deja que el instalador genere un nombre de usuario, contraseña y webBasePath aleatorios.
- Elige cómo configurar el SSL del panel:
- 1 = Let’s Encrypt para un dominio
- 2 = Let’s Encrypt para la IP del servidor
- 3 = usar un certificado existente
- Completa los mensajes de certificado si usas el flujo incorporado de Let’s Encrypt.
⚠️ IMPORTANTE: El puerto del panel no es lo mismo que el puerto de validación ACME. Podrías ejecutar el panel en un puerto aleatorio como 13525 y aún necesitar 80/tcp público abierto para que Let’s Encrypt pueda validar el certificado.
La regla importante es simple: usa las credenciales, ruta y URL exactas impresas por tu propio instalador, no suposiciones copiadas de tutoriales antiguos.
Tu salida final se verá más así:
Username: GENERATED_USERNAME Password: GENERATED_PASSWORD Port: 13525 WebBasePath: RANDOM_PATH Access URL: https://YOUR_SERVER_IP:13525/RANDOM_PATH
Verifica que el servicio esté en funcionamiento:
systemctl status x-ui
Esta verificación importa. Mira específicamente la línea del servidor web en la salida de estado:
- Si ves Web server running HTTPS …, el SSL del panel está funcionando correctamente.
- Si ves Web server running HTTP …, el panel se instaló correctamente pero la configuración de SSL no se completó.
Accede al panel usando la URL, nombre de usuario y contraseña exactos generados por tu propia instalación. No asumas que la ruta es /panel, y no asumas que las credenciales son admin/admin a menos que tu propia instalación lo diga explícitamente.
💡 CONSEJO 1: Para ver nuevamente la configuración actual del panel e imprimir la URL de acceso, en la CLI ejecuta el comando “x-ui” y elige el número 10 “Ver configuración actual” del menú de salida.
💡 CONSEJO 2: Si la URL de acceso no se carga, asegúrate de que el puerto del panel 3x-ui esté abierto en el firewall de tu VPS. Por ejemplo, si tu panel está ejecutándose en el puerto “13525”, permítelo con: “ufw allow 13525/tcp”. Reemplaza 13525 con el puerto real que configuraste para el panel 3x-ui.
Si el instalador termina pero systemctl status x-ui muestra HTTP en lugar de HTTPS
La causa más común es que 80/tcp no era accesible desde Internet pública durante la validación de Let’s Encrypt. En ese caso, el panel aún puede instalarse e iniciarse, pero la emisión del certificado falla.
Corrige primero el firewall:
ufw allow 80/tcp
ufw statusSi tu proveedor de VPS tiene una capa de firewall en la nube o grupo de seguridad, permite 80/tcp allí también. Luego vuelve a ejecutar la configuración del certificado del panel desde el script de gestión de 3x-ui:
x-uiPara un certificado del panel basado en IP, elige:
- 19 → 6 (Obtener SSL para dirección IP)
Para un certificado del panel basado en dominio, elige:
- 19 → 1 (Obtener SSL (Dominio))
Después de que se emita el certificado, verifica nuevamente:
systemctl status x-uiQuieres que la salida de estado muestre Web server running HTTPS … antes de continuar.
💡 CONSEJO: Guarda las credenciales generadas y la URL del panel inmediatamente. También ten en cuenta que el resumen del instalador puede ser engañoso si la emisión del certificado falla: si el bloque final imprime una URL HTTPS pero systemctl status x-ui aún muestra HTTP, confía en la salida de estado del servicio y corrige SSL antes de continuar.
El mapa mental de decisiones: donde realmente comienza “eludir la censura”
Una vez que el panel está instalado, el problema cambia. Ya no estás tratando de instalar el software correctamente. Estás decidiendo cómo debería presentarse el tráfico del cliente a la red. Ahí es donde realmente comienza “configurar para eludir la censura”.
La forma más fácil de reducir el desorden de terminología es pensar en tres capas: cómo se identifican y hablan el cliente y el servidor, cómo se transporta el flujo y cómo se ve ese tráfico para un observador externo. De lo contrario, si aplanas eso en una lista de palabras de moda, 3x-ui comienza a parecer más complicado de lo que realmente es.
| Capa | Qué pregunta responde | Ejemplos comunes |
|---|---|---|
| Protocolo | ¿Cómo se identifican y hablan el cliente y el servidor? | VLESS, Trojan, VMess, Shadowsocks |
| Transporte | ¿Cómo se transporta el flujo de tráfico? | TCP (RAW), WebSocket, gRPC, QUIC |
| Seguridad / ofuscación | ¿Cómo se ve el tráfico para la red? | Reality, TLS, huellas digitales tipo navegador, pilas que parecen frontales de dominio |
Toma un ejemplo ancla: VLESS + TCP/RAW + Reality en 443. VLESS es el protocolo. TCP/RAW transporta el flujo. Reality da forma a cómo la conexión se asemeja al comportamiento HTTPS ordinario. Y 443 importa porque el camuflaje funciona mejor cuando también coincide con el puerto predeterminado para el tráfico web cifrado normal. En algunos lugares, los documentos de Xray dicen raw mientras que la interfaz de usuario del panel dice TCP; para este artículo, trata esos como la misma elección conceptual de transporte.
⚠️ Advertencia: No hay un ganador universal ni una combinación permanentemente desbloqueable. Las redes cambian, los filtros evolucionan y lo que se mezcla bien en un camino puede destacarse en otro. El objetivo no es magia. El objetivo es elegir la pila más sensata para tu entorno.
Es por eso que este artículo se detiene en el mapa en lugar de pretender que una página puede cubrir cada construcción completa. El siguiente paso es elegir la familia de configuraciones que se adapte a tu red y objetivos.
¿Qué camino de 3x-ui se adapta a tu caso de uso?
Si deseas la respuesta predeterminada más clara primero, aquí está: para entornos restrictivos y pesados en DPI, comienza con VLESS + Reality. Separa claramente el protocolo del sigilo, funciona bien en el puerto 443 y no te obliga a comenzar con un dominio o proxy inverso.
Eso no lo convierte en la respuesta para cada situación. Si ya ejecutas un dominio o prefieres un flujo de trabajo más tradicional de TLS y proxy inverso, entonces VLESS o Trojan sobre TLS con WebSocket o gRPC a menudo es la mejor opción. Ese camino tiene más sentido cuando ya gestionas un dominio y certificados.
Si tu prioridad es el rendimiento y tu red maneja bien UDP, Hysteria 2 merece atención. Es el camino especializado aquí porque su atractivo es menos “parecer la sesión de navegador más ordinaria posible” y más “obtener un fuerte rendimiento de un diseño basado en QUIC/UDP”. Es convincente, pero no la recomendación predeterminada para principiantes en configuraciones orientadas al sigilo.
Shadowsocks 2022, VMess y caminos de compatibilidad similares todavía tienen un lugar, pero principalmente para migración, soporte de clientes más antiguos o restricciones de compatibilidad más estrechas. VMess en particular no es la mejor recomendación de elección igualitaria para principiantes debido a su dependencia temporal: un detalle operativo más para equivocarse cuando ya existen opciones más simples.
| Camino | Mejor para | ¿Necesita un dominio? | Por qué elegirlo | Por qué no es el predeterminado universal |
|---|---|---|---|---|
| VLESS + Reality | Redes restrictivas o fuertemente filtradas | No | Modelo mental fuerte para principiantes para auto-hospedaje orientado al sigilo en 443 | Aún no es a prueba de futuro, y algunas redes o clientes pueden empujarte a otro lugar |
| VLESS/Trojan + TLS + WebSocket/gRPC | Pilas basadas en dominios, proxies inversos, configuraciones de sitio web más proxy | Usualmente sí | Se adapta a lectores ya cómodos con dominios, certificados y capas de pila web | Más partes móviles que un camino Reality sin dominio |
| Hysteria 2 | Configuraciones enfocadas en velocidad donde UDP funciona bien | No | Excelente cuando el rendimiento y el rendimiento de QUIC/UDP son el objetivo principal | No es la historia de camuflaje más parecida a un navegador, y las condiciones UDP varían |
| Shadowsocks 2022 / VMess / caminos de compatibilidad | Migración, soporte de clientes más antiguos, restricciones más estrechas | Depende | Útil cuando la compatibilidad es el requisito real | No es la mejor opción predeterminada para principiantes cuando hay opciones modernas más limpias disponibles |
💡 Lista de verificación rápida de decisiones
- Red censurada: comienza con VLESS + Reality
- Configuración de dominio / proxy inverso: evalúa TLS + WS/gRPC o Trojan
- UDP de alta velocidad: prueba Hysteria 2
- Casos de borde de compatibilidad: considera Shadowsocks 2022 o VMess
WireGuard y OpenVPN son ejemplos de contraste útiles aquí, no el siguiente paso recomendado, porque las formas de protocolo VPN ordinarias son a menudo lo que las redes restrictivas aprenden a reconocer primero. Elige el camino que se adapte a tu entorno, luego construye ese camino antes de agregar más opciones.
Qué puedes hacer a continuación dentro de 3x-ui después de elegir un camino
Una vez que eliges el camino, 3x-ui se convierte en la capa operativa. Aquí es donde creas el inbound, agregas clientes, exportas un enlace para compartir o un código QR, estableces límites de tráfico o fechas de vencimiento, y mantienes el servidor manejable a lo largo del tiempo en lugar de excavar a través de archivos Xray sin procesar.
📝 Nota: El panel no es “solo la pantalla de inicio de sesión”. Es la superficie administrativa donde las decisiones de protocolo se convierten en inbounds en ejecución, credenciales de clientes, controles de uso y visibilidad.
En términos prácticos, la secuencia suele ser simple: crear el inbound, agregar una identidad de cliente, exportar los detalles de la conexión, importarlos en la aplicación cliente y volver más tarde para límites, renovaciones, registros, estadísticas de tráfico y actualizaciones de enrutamiento o geofiles si es necesario. Esa visibilidad operativa es una gran parte de por qué vale la pena usar el panel.
Si estás continuando esta configuración como una serie, la primera guía de seguimiento debería ser la construcción de VLESS + Reality para lectores en redes restrictivas. Ese es el siguiente artículo más natural porque convierte este modelo mental en una configuración concreta.
Conclusión
Instalar 3x-ui no es la solución final de anti-censura. Es la sala de control. El resultado real proviene de lo que configuras dentro de él a continuación. Mantén la división simple: el panel de control hace que Xray sea manejable, pero el motor y la ruta — elección de protocolo, transporte y seguridad — deciden qué tan bien la conexión sobrevive al filtrado.
Así que da el siguiente paso honesto y selecciona el camino real que más se ajuste a tus objetivos. Y una vez que te tomes en serio el auto-hospedaje de tu elección, la infraestructura VPS estable también importa, ya sea que eso signifique AlexHost u otro proveedor que te brinde control de red predecible y acceso limpio al firewall.