Jak zainstalować 3x-ui na VPS i wybrać odpowiednią konfigurację antycenzury

Słowa kluczowe

Poniższy szybki słownik utrzymuje terminy w porządku przed rozpoczęciem instalacji:

Jak zainstalować 3x-ui na VPS i wybrać odpowiednią konfigurację antycenzurową

Pewnego dnia Twój VPN działa. Następnego dnia przestaje działać. W restrykcyjnych sieciach blokowanie często jest skierowane mniej na to, czy ruch jest zaszyfrowany, a bardziej na to, czy ruch wygląda na łatwy do sklasyfikowania.

To jest część, którą pomija wiele starszych samouczków VPN. Samo szyfrowanie nie gwarantuje ukrycia. Sieci nadal mogą wystarczająco dobrze analizować wzorce handshake, zachowanie pakietów i odciski palców protokołów, aby zdecydować, że Twój ruch nie wygląda zwyczajnie. Więc pytanie przestaje brzmieć „jak zainstalować VPN?” i staje się „jak sprawić, by kształt ruchu wyglądał na normalny, aby przetrwać filtrowanie?”

Ten przewodnik to krok podstawowy. Zainstalujesz działający panel 3x-ui na Ubuntu VPS, poprawnie zabezpieczysz powierzchnię administracyjną i uzyskasz jasne ramy do wyboru, co skonfigurować dalej w panelu. Jeśli samodzielnie hostujesz na małym VPS — czy to z AlexHost, czy innego dostawcy — to tutaj konfiguracja zaczyna być zarządzalna.

Czym naprawdę jest 3x-ui — a czym nie jest

Najważniejsze nieporozumienie, które należy naprawić wcześnie, to: 3x-ui nie jest samą technologią omijania cenzury. To jest pulpit nawigacyjny. Xray to silnik pod nim. Wybory protokołu, transportu i bezpieczeństwa wewnątrz tego silnika decydują o tym, jak Twój ruch zachowuje się w sieci.

3x-ui ma znaczenie, ponieważ zamienia Xray z kupy ręcznie edytowanego JSON w coś, czym przeciętny człowiek może operować. Otrzymujesz panel kontrolny do tworzenia punktów wejściowych, dodawania klientów, eksportowania linków lub kodów QR, zarządzania limitami, aktualizacji plików geograficznych oraz obsługi dostępu administracyjnego i panelu SSL.

Poniższy szybki słownik utrzymuje terminy w porządku przed rozpoczęciem instalacji:

📝 Uwaga: 3x-ui najlepiej rozumieć jako warstwę zarządzania dla Xray-core, a sam projekt traktuje go jako oprogramowanie do użytku osobistego, a nie coś, co można traktować lekko jako utwardzoną infrastrukturę produkcyjną.

To rozróżnienie ma znaczenie również dla bezpieczeństwa. Panel z włączonym HTTPS i silnymi poświadczeniami administracyjnymi chroni powierzchnię kontrolną — miejsce, w którym logujesz się i zarządzasz serwerem. Nie automatycznie sprawia, że ruch użytkowników jest ukryty. Instalacja daje Ci kontrolę; stos protokołów wybrany później decyduje, jak połączenie wygląda na kablu.

Przed instalacją: lista kontrolna serwera i dostępu

3x-ui nie potrzebuje dużego serwera, ale potrzebuje czystej ścieżki instalacji. Dla tego przewodnika, podstawą jest Ubuntu 22.04 LTS lub 24.04 LTS, dostęp SSH z uprawnieniami root lub sudo, publiczny adres IP i skromne zasoby, takie jak 1 vCPU i 1 GB RAM. Każdy odpowiedni VPS działa, w tym niskokosztowe plany wejściowe, o ile zapewnia przewidywalny dostęp do sieci i kontrolę zapory.

Zanim dotkniesz jakichkolwiek poleceń, zweryfikuj tę listę kontrolną:

• System operacyjny: Ubuntu 22.04 LTS lub 24.04 LTS
• Poziom dostępu: dostęp SSH root, lub użytkownik z pełnymi uprawnieniami sudo
• Sieć: publiczny adres IP i możliwość otwarcia wymaganych portów
• Port ruchu: 443/tcp dla ruchu proxy w stylu HTTPS później
• Port walidacji ACME: 80/tcp tylko jeśli chcesz użyć wbudowanego przepływu Let’s Encrypt instalatora dla panelu; ACME to publiczna kontrola dostępności używana do walidacji certyfikatu
• Dostępność panelu: bądź gotowy na to, że instalator przypisze losowy port panelu i zrandomizowany webBasePath
• Oczekiwany stan końcowy: dostępny URL panelu, zapisane poświadczenia i zweryfikowana usługa panelu HTTPS

⚠️ Ostrzeżenie: Jeśli po raz pierwszy włączasz UFW na zdalnym VPS, zezwól na SSH przed włączeniem zapory. W przeciwnym razie możesz zablokować sobie dostęp do serwera, który próbujesz skonfigurować.

Gdy te podstawy są prawdziwe, reszta staje się prosta. Kolejne dwie sekcje przeprowadzą Cię od „Mam VPS” do „Mam działający panel kontrolny” bez zgadywania.

Przygotowanie serwera: BBR i podstawy

Po zweryfikowaniu wymagań, przygotujmy serwer. Ta faza optymalizuje Twój VPS przed zainstalowaniem jakiegokolwiek oprogramowania VPN, zapewniając maksymalną wydajność od samego początku.

💡 Wskazówka: Użyj BBR przed wdrożeniem — często poprawia przepustowość i opóźnienia na ograniczonych lub wyższych opóźnieniach połączeniach.

Najpierw zaktualizuj swoje pakiety systemowe. To zapewnia, że masz najnowsze aktualizacje bezpieczeństwa i wymagane zależności:

Ten krok może zająć 1-5 minut w zależności od dostawcy VPS i prędkości sieci. Niektórzy dostawcy, jak Vultr, aktualizują swoje obrazy podczas wdrażania, więc może to szybko zakończyć się na niektórych systemach.

Następnie włącz kontrolę zatorów Google BBR. BBR (Bottleneck Bandwidth and Round-trip propagation time) to algorytm kontroli zatorów Google. Zamiast polegać głównie na utracie pakietów jako sygnale, stara się bezpośrednio modelować dostępną przepustowość i czas rundy, co może poprawić przepustowość i responsywność na niektórych połączeniach VPS.

Jeśli nic się nie pojawi, załaduj moduł ręcznie:

Teraz utwórz konfigurację sysctl, aby włączyć BBR na stałe:

Zastosuj konfigurację:

Zweryfikuj, czy BBR jest aktywne:

Powinieneś zobaczyć bbr jako aktywny algorytm.

Niektóre systemy korzystają z ponownego uruchomienia po włączeniu BBR — zapewnia to, że moduł ładuje się poprawnie i wszystkie optymalizacje sieciowe wchodzą w życie:

Teraz upewnij się, że port 443 jest dostępny. Jeśli planujesz użyć wbudowanego przepływu Let’s Encrypt instalatora 3x-ui dla panelu, zezwól również na 80/tcp — ten port jest używany do walidacji certyfikatu ACME, a nie dla samego panelu. Jeśli Twój dostawca VPS ma również warstwę zapory w chmurze lub grupy bezpieczeństwa, zezwól na te same porty również tam. Na Ubuntu najbezpieczniejszą ścieżką jest zazwyczaj UFW:

⚠️ OSTRZEŻENIE: Port 443 jest zdecydowanie zalecany, ponieważ odpowiada normalnemu ruchowi HTTPS. Inne porty mogą działać technicznie, ale mniej naturalnie się wtapiają i ułatwiają oznaczenie konfiguracji.

Twój serwer jest teraz zoptymalizowany i gotowy do instalacji 3x-ui.

Instalacja panelu 3x-ui

Użyjemy forka MHSanaei, który jest aktywnie utrzymywany i obsługuje aktualne protokoły. Ponownie, ważne przypomnienie: sam projekt traktuje 3x-ui jako panel do użytku osobistego, więc traktuj go jako warstwę wygody administracyjnej i zabezpiecz panel starannie.

Zanim uruchomisz instalator, zanotuj jedno łatwe do przeoczenia wymaganie: jeśli chcesz, aby wbudowana konfiguracja Let’s Encrypt instalatora wydała certyfikat SSL dla panelu, 80/tcp musi być otwarty i dostępny z publicznego internetu. Ten port walidacji ACME jest oddzielny od portu panelu, który wybierzesz podczas konfiguracji.

Uruchom polecenie instalacji:

Aktualne wersje instalatora nie zaczynają się od starszego numerowanego menu Instaluj / Aktualizuj / Odinstaluj, które nadal pokazuje wiele samouczków. Zamiast tego skrypt rozpoczyna instalację natychmiast, instaluje brakujące zależności, pobiera najnowsze wydanie, a następnie przeprowadza Cię przez monity konfiguracji panelu.

Typowy przepływ instalacji wygląda teraz tak:

1. Wybierz, czy ustawić niestandardowy port panelu, czy pozwolić instalatorowi wygenerować losowy.
2. Pozwól instalatorowi wygenerować losową nazwę użytkownika, hasło i webBasePath.
3. Wybierz, jak skonfigurować panel SSL:
   • 1 = Let’s Encrypt dla domeny
   • 2 = Let’s Encrypt dla adresu IP serwera
   • 3 = użyj istniejącego certyfikatu
4. Uzupełnij monity certyfikatu, jeśli używasz wbudowanego przepływu Let’s Encrypt.

⚠️ WAŻNE: Port panelu to nie to samo co port walidacji ACME. Możesz uruchomić panel na losowym porcie, takim jak 13525, i nadal potrzebować otwartego publicznego 80/tcp, aby Let’s Encrypt mógł zweryfikować certyfikat.

Ważna zasada jest prosta: używaj dokładnych poświadczeń, ścieżki i URL wydrukowanych przez własny instalator, a nie założeń skopiowanych ze starszych samouczków.

Twój końcowy wynik będzie wyglądał bardziej tak:

Username:    GENERATED_USERNAME
Password:    GENERATED_PASSWORD
Port:        13525
WebBasePath: RANDOM_PATH
Access URL:  https://YOUR_SERVER_IP:13525/RANDOM_PATH

Zweryfikuj, czy usługa działa:

To sprawdzenie ma znaczenie. Spójrz szczególnie na linię serwera WWW w wynikach statusu:

• Jeśli widzisz Web server running HTTPS …, panel SSL działa poprawnie.
• Jeśli widzisz Web server running HTTP …, panel zainstalował się pomyślnie, ale konfiguracja SSL nie została zakończona.

Uzyskaj dostęp do panelu, używając dokładnego URL, nazwy użytkownika i hasła wygenerowanych przez własną instalację. Nie zakładaj, że ścieżka to /panel, i nie zakładaj, że poświadczenia to admin/admin, chyba że Twoja własna instalacja wyraźnie to mówi.

💡 Wskazówka 1: Aby ponownie wyświetlić bieżące ustawienia panelu i wydrukować URL dostępu, w CLI uruchom polecenie “x-ui” i wybierz numer 10 “Zobacz bieżące ustawienia” z menu wyjściowego.

💡 Wskazówka 2: Jeśli URL dostępu się nie ładuje, upewnij się, że port panelu 3x-ui jest otwarty w zaporze VPS. Na przykład, jeśli Twój panel działa na porcie “13525”, zezwól na niego poleceniem: “ufw allow 13525/tcp”. Zastąp 13525 rzeczywistym portem, który skonfigurowałeś dla panelu 3x-ui.

Jeśli instalator kończy, ale systemctl status x-ui pokazuje HTTP zamiast HTTPS

Najczęstszą przyczyną jest to, że 80/tcp nie był dostępny z publicznego internetu podczas walidacji Let’s Encrypt. W takim przypadku panel może nadal się zainstalować i uruchomić, ale wydanie certyfikatu nie powiedzie się.

Najpierw napraw zaporę:

Jeśli Twój dostawca VPS ma warstwę zapory w chmurze lub grupy bezpieczeństwa, zezwól na 80/tcp również tam. Następnie ponownie uruchom konfigurację certyfikatu panelu z poziomu skryptu zarządzania 3x-ui:

Dla certyfikatu panelu opartego na IP, wybierz:

• 19 → 6 (Uzyskaj SSL dla adresu IP)

Dla certyfikatu panelu opartego na domenie, wybierz:

• 19 → 1 (Uzyskaj SSL (Domena))

Po wydaniu certyfikatu, zweryfikuj ponownie:

Chcesz, aby wynik statusu pokazywał Web server running HTTPS … przed kontynuowaniem.

💡 Wskazówka: Zapisz wygenerowane poświadczenia i URL panelu natychmiast. Zauważ również, że podsumowanie instalatora może być mylące, jeśli wydanie certyfikatu się nie powiedzie — jeśli końcowy blok drukuje URL HTTPS, ale systemctl status x-ui nadal pokazuje HTTP, zaufaj wynikowi statusu usługi i napraw SSL przed przejściem dalej.

Mapa myśli decyzji: gdzie „omijanie cenzury” naprawdę się zaczyna

Po zainstalowaniu panelu problem się zmienia. Nie próbujesz już poprawnie zainstalować oprogramowania. Decydujesz, jak ruch klienta powinien się prezentować w sieci. To tutaj „konfiguracja do omijania cenzury” naprawdę się zaczyna.

Najłatwiejszym sposobem na zredukowanie zamieszania terminologicznego jest myślenie w trzech warstwach: jak klient i serwer się identyfikują i komunikują, jak przenoszony jest strumień i jak ten ruch wygląda dla zewnętrznego obserwatora. W przeciwnym razie, jeśli spłaszczysz to do jednej listy słów kluczowych, 3x-ui zaczyna wyglądać na bardziej skomplikowany niż naprawdę jest.

Weźmy jeden przykład kotwicy: VLESS + TCP/RAW + Reality na 443. VLESS to protokół. TCP/RAW przenosi strumień. Reality kształtuje, jak połączenie przypomina zwykłe zachowanie HTTPS. A 443 ma znaczenie, ponieważ kamuflaż działa najlepiej, gdy również odpowiada domyślnemu portowi dla normalnego zaszyfrowanego ruchu internetowego. W niektórych miejscach dokumentacja Xray mówi raw, podczas gdy interfejs użytkownika panelu mówi TCP; dla tego artykułu traktuj je jako ten sam wybór transportu koncepcyjnego.

⚠️ Ostrzeżenie: Nie ma uniwersalnego zwycięzcy i żadnej trwale nieblokowalnej kombinacji. Sieci się zmieniają, filtry ewoluują, a to, co dobrze wtapia się na jednej ścieżce, może wyróżniać się na innej. Celem nie jest magia. Celem jest wybór najbardziej sensownego stosu dla Twojego środowiska.

Dlatego ten artykuł kończy się na mapie, zamiast udawać, że jedna strona może pokryć każdą pełną budowę. Następnym krokiem jest wybór rodziny konfiguracji, która pasuje do Twojej sieci i celów.

Która ścieżka 3x-ui pasuje do Twojego przypadku użycia?

Jeśli chcesz najjaśniejszej domyślnej odpowiedzi najpierw, oto ona: dla restrykcyjnych, ciężko filtrowanych środowisk, zacznij od VLESS + Reality. Wyraźnie oddziela protokół od ukrycia, działa dobrze na porcie 443 i nie zmusza Cię do rozpoczęcia od domeny lub odwrotnego proxy.

To nie czyni go odpowiedzią na każdą sytuację. Jeśli już zarządzasz domeną lub preferujesz bardziej tradycyjny przepływ pracy TLS i odwrotnego proxy, to VLESS lub Trojan przez TLS z WebSocket lub gRPC jest często lepszym wyborem. Ta ścieżka ma więcej sensu, gdy już zarządzasz domeną i certyfikatami.

Jeśli Twoim priorytetem jest przepustowość, a Twoja sieć dobrze obsługuje UDP, Hysteria 2 zasługuje na uwagę. Jest to specjalizowana ścieżka tutaj, ponieważ jej atrakcyjność polega mniej na „wyglądaniu jak najbardziej zwyczajna sesja przeglądarki” i bardziej na „uzyskaniu silnej wydajności z projektu opartego na QUIC/UDP”. Jest to przekonujące, ale nie domyślna rekomendacja dla początkujących w ustawieniach ukrycia.

Shadowsocks 2022, VMess i podobne ścieżki kompatybilności nadal mają swoje miejsce, ale głównie dla migracji, starszego wsparcia klienta lub wąskich ograniczeń kompatybilności. VMess w szczególności nie jest najlepszą równorzędną pierwszą rekomendacją dla początkujących z powodu swojej zależności czasowej — jeszcze jeden szczegół operacyjny, który można źle zrozumieć, gdy już istnieją prostsze opcje.

💡 Szybka lista kontrolna decyzji

• Cenzurowana sieć: zacznij od VLESS + Reality
• Konfiguracja domeny / odwrotnego proxy: oceń TLS + WS/gRPC lub Trojan
• Wysoka prędkość UDP: przetestuj Hysteria 2
• Przypadki brzegowe kompatybilności: rozważ Shadowsocks 2022 lub VMess

WireGuard i OpenVPN są tutaj użytecznymi przykładami kontrastowymi, a nie zalecanym następnym krokiem, ponieważ zwykłe kształty protokołów VPN są często tym, co restrykcyjne sieci uczą się rozpoznawać jako pierwsze. Wybierz ścieżkę, która pasuje do Twojego środowiska, a następnie zbuduj tę ścieżkę, zanim dodasz więcej opcji.

Co możesz zrobić dalej wewnątrz 3x-ui po wyborze ścieżki

Gdy wybierzesz ścieżkę, 3x-ui staje się warstwą operacyjną. To tutaj tworzysz punkt wejściowy, dodajesz klientów, eksportujesz link do udostępnienia lub kod QR, ustawiasz limity ruchu lub daty wygaśnięcia i utrzymujesz serwer w zarządzalnym stanie zamiast grzebać w surowych plikach Xray.

📝 Uwaga: Panel to nie „tylko ekran logowania”. To powierzchnia administracyjna, gdzie decyzje dotyczące protokołu stają się działającymi punktami wejściowymi, poświadczeniami klientów, kontrolami użycia i widocznością.

W praktyce sekwencja jest zazwyczaj prosta: utwórz punkt wejściowy, dodaj tożsamość klienta, eksportuj szczegóły połączenia, zaimportuj je do aplikacji klienckiej, a następnie wróć później po limity, odnowienia, logi, statystyki ruchu i aktualizacje routingu lub plików geograficznych, jeśli to konieczne. Ta operacyjna widoczność to duża część tego, dlaczego warto używać panelu.

Jeśli kontynuujesz tę konfigurację jako serię, pierwszym przewodnikiem uzupełniającym powinien być VLESS + Reality dla czytelników w restrykcyjnych sieciach. To najbardziej naturalny kolejny artykuł, ponieważ zamienia ten model mentalny w jedną konkretną konfigurację.

Podsumowanie

Instalacja 3x-ui nie jest ostatecznym rozwiązaniem antycenzurowym. To jest pokój kontrolny. Prawdziwy wynik pochodzi z tego, co skonfigurujesz w nim następnie. Utrzymuj podział prosty: pulpit nawigacyjny sprawia, że Xray jest zarządzalny, ale silnik i trasa — wybór protokołu, transportu i bezpieczeństwa — decydują, jak dobrze połączenie przetrwa filtrowanie.

Więc podejmij uczciwy następny krok i wybierz rzeczywistą ścieżkę, która najlepiej pasuje do Twoich celów. A gdy poważnie podejdziesz do samodzielnego hostowania swojego wyboru, stabilna infrastruktura VPS ma również znaczenie — czy to oznacza AlexHost, czy innego dostawcę, który daje Ci przewidywalną kontrolę nad siecią i czysty dostęp do zapory.