Bilet deschis 
+373 79 600002 
Telegramă Chat live 
F.A.Q 
Română
English 
Русский 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
Administrație 
Linux 
SecuritateCum să instalați 3x-ui pe un VPS și să alegeți configurația potrivită anti-cenzură
Cuvinte cheie
Glosarul rapid de mai jos menține termenii clari înainte de a începe instalarea:
| Emoji + cuvânt cheie | Explicație scurtă |
|---|---|
| ⚙️ 3x-ui | Un panou de control web pentru Xray-core |
| 🚀 Xray-core | Motorul proxy propriu-zis |
| 📥 inbound | Un punct de intrare de ascultare pe server |
| 🔀 transport layer | Modul în care fluxul de trafic este transportat |
| 🎭 Reality | Un mecanism de stealth/securitate pentru Xray |
Cum să instalezi 3x-ui pe un VPS și să alegi configurația anti-cenzură potrivită
Într-o zi VPN-ul tău funcționează. A doua zi nu mai funcționează. În rețelele restrictive, blocarea este adesea îndreptată mai puțin spre dacă traficul este criptat și mai mult spre dacă traficul pare ușor de clasificat.
Aceasta este partea pe care multe tutoriale vechi despre VPN o omit. Criptarea singură nu garantează stealth. Rețelele pot inspecta în continuare tiparele de handshake, comportamentul pachetelor și amprentele protocolului suficient de bine pentru a decide că traficul tău nu arată obișnuit. Așadar, întrebarea nu mai este „cum instalez un VPN?” ci devine „cum fac ca forma traficului să arate suficient de normal pentru a supraviețui filtrării?”
Acest ghid este pasul de bază. Vei instala un panou 3x-ui funcțional pe un VPS Ubuntu, vei securiza corect suprafața de administrare și vei pleca cu un cadru clar pentru a alege ce să configurezi în continuare în interiorul panoului. Dacă găzduiești singur pe un VPS mic — fie de la AlexHost, fie de la un alt furnizor — aici începe configurarea să devină gestionabilă.
Ce este de fapt 3x-ui — și ce nu este
Cea mai importantă concepție greșită de corectat devreme este aceasta: 3x-ui nu este tehnologia de ocolire a cenzurii în sine. Este tabloul de bord. Xray este motorul de dedesubt. Alegerea protocolului, transportului și securității din interiorul acelui motor sunt cele care determină cum se comportă traficul tău pe rețea.
3x-ui contează pentru că transformă Xray dintr-un teanc de JSON editat manual în ceva ce un om obișnuit poate opera. Primești un panou de control web pentru a crea inbounds, a adăuga clienți, a exporta linkuri sau coduri QR, a gestiona limitele, a actualiza geofiles și a gestiona accesul de administrare și SSL-ul panoului.
Glosarul rapid de mai jos menține termenii clari înainte de a începe instalarea:
| Termen | Semnificație simplă | De ce contează aici |
|---|---|---|
| 3x-ui | Un panou de control web pentru Xray-core | Este stratul de management pe care îl instalezi în acest ghid |
| Xray-core | Motorul proxy propriu-zis | Aceasta gestionează protocoalele, rutarea și comportamentul traficului |
| inbound | Un punct de intrare de ascultare pe server | Aici definești cum se conectează clienții |
| transport | Modul în care fluxul de trafic este transportat | Exemple includ TCP brut, WebSocket sau gRPC |
| Reality | Un mecanism de stealth/securitate pentru Xray | Ajută traficul să semene mai mult cu HTTPS obișnuit |
📝 Notă: 3x-ui este cel mai bine înțeles ca un strat de management pentru Xray-core, iar proiectul în sine îl încadrează ca software pentru uz personal, mai degrabă decât ceva de tratat cu ușurință ca infrastructură de producție consolidată.
Această distincție contează și pentru securitate. Un panou activat HTTPS cu acreditive de administrare puternice protejează suprafața de control — locul unde te conectezi și gestionezi serverul. Nu face automat traficul utilizatorului invizibil. Instalarea îți oferă control; stiva de protocoale aleasă ulterior determină cum arată conexiunea pe fir.
Înainte de a instala: lista de verificare a serverului și accesului
3x-ui nu are nevoie de un server mare, dar are nevoie de o cale de instalare curată. Pentru acest ghid, baza este Ubuntu 22.04 LTS sau 24.04 LTS, acces SSH cu privilegii root sau sudo, o adresă IP publică și resurse modeste precum 1 vCPU și 1 GB RAM. Orice VPS potrivit funcționează, inclusiv planurile de intrare cu cost redus, atâta timp cât îți oferă acces la rețea previzibil și control al firewall-ului.
Înainte de a atinge orice comandă, verifică această listă de verificare:
- Sistem de operare: Ubuntu 22.04 LTS sau 24.04 LTS
- Nivel de acces: acces SSH root sau un utilizator cu privilegii complete sudo
- Rețea: adresă IP publică și capacitatea de a deschide porturile necesare
- Port de trafic: 443/tcp pentru trafic proxy în stil HTTPS ulterior
- Port de validare ACME: 80/tcp doar dacă dorești fluxul Let’s Encrypt încorporat al instalatorului pentru panou; ACME este verificarea de accesibilitate publică utilizată pentru validarea certificatului
- Accesibilitatea panoului: fii pregătit ca instalatorul să atribuie un port de panou aleatoriu și un webBasePath randomizat
- Starea finală așteptată: o adresă URL a panoului accesibilă, acreditive salvate și un serviciu de panou HTTPS verificat
⚠️ Avertisment: Dacă activezi UFW pe un VPS la distanță pentru prima dată, permite SSH înainte de a activa firewall-ul. Altfel, te poți bloca de la serverul pe care încerci să-l configurezi.
Odată ce aceste elemente de bază sunt adevărate, restul devine simplu. Următoarele două secțiuni te duc de la „Am un VPS” la „Am un panou de control funcțional” fără presupuneri.
Pregătirea serverului: BBR și elementele de bază
Cu cerințele verificate, să pregătim serverul. Această fază optimizează VPS-ul tău înainte de a instala orice software VPN, asigurând performanțe maxime de la început.
💡 SFAT: Folosește BBR înainte de a implementa — îmbunătățește adesea debitul și latența pe legături constrânse sau cu latență mai mare.
Mai întâi, actualizează pachetele sistemului tău. Acest lucru asigură că ai cele mai recente actualizări de securitate și dependențele necesare:
apt update && apt upgrade -yAcest pas poate dura 1-5 minute, în funcție de furnizorul tău de VPS și de viteza rețelei. Unii furnizori, cum ar fi Vultr, își pre-actualizează imaginile în timpul implementării, așa că acest lucru s-ar putea finaliza rapid pe unele sisteme.
În continuare, activează controlul de congestionare Google BBR. BBR (Bottleneck Bandwidth and Round-trip propagation time) este algoritmul de control al congestionării de la Google. În loc să se bazeze în principal pe pierderea de pachete ca semnal, încearcă să modeleze mai direct lățimea de bandă disponibilă și timpul de propagare a tur-retur, ceea ce poate îmbunătăți debitul și receptivitatea pe unele legături VPS.
# Verify BBR module is available
lsmod | grep tcp_bbrDacă nu apare nimic, încarcă manual modulul:
modprobe tcp_bbr
Acum creează configurația sysctl pentru a activa BBR în mod persistent:
cat >> /etc/sysctl.d/99-bbr.conf << 'EOF'
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
EOF
Aplică configurația:
sysctl -p /etc/sysctl.d/99-bbr.confVerifică dacă BBR este activ:
sysctl net.ipv4.tcp_congestion_control
sysctl net.ipv4.tcp_available_congestion_controlAr trebui să vezi bbr ca algoritm activ.
Unele sisteme beneficiază de un restart după activarea BBR — asigură încărcarea corectă a modulului și aplicarea tuturor optimizărilor de rețea:
rebootAcum asigură-te că portul 443 este accesibil. Dacă intenționezi să folosești fluxul Let’s Encrypt încorporat al instalatorului 3x-ui pentru panou, permite și 80/tcp — acel port este utilizat pentru validarea certificatului ACME, nu pentru panoul în sine. Dacă furnizorul tău de VPS are și un strat de firewall cloud sau grup de securitate, permite aceleași porturi și acolo. Pe Ubuntu, calea cea mai sigură este de obicei UFW:
# If this is a remote VPS and you're enabling UFW for the first time, allow SSH before enabling the firewall
ufw allow OpenSSH
# Allow HTTPS-style Reality traffic
ufw allow 443/tcp
# Allow ACME validation for the 3x-ui panel's built-in Let's Encrypt setup
ufw allow 80/tcp
# Review rules, then enable only if UFW is not already active
ufw status
ufw enable⚠️ AVERTISMENT: Portul 443 este puternic recomandat deoarece se potrivește cu traficul HTTPS normal. Alte porturi pot funcționa tehnic, dar se integrează mai puțin natural și fac configurația mai ușor de identificat.
Serverul tău este acum optimizat și gata pentru instalarea 3x-ui.
Instalarea panoului 3x-ui
Vom folosi fork-ul MHSanaei, care este întreținut activ și suportă protocoale actuale. Din nou, un memento important: proiectul în sine încadrează 3x-ui ca un panou pentru uz personal, așa că tratează-l ca un strat de conveniență administrativă și securizează panoul cu atenție.
Înainte de a rula instalatorul, notează o cerință ușor de omis: dacă dorești ca configurarea încorporată Let’s Encrypt a instalatorului să emită un certificat SSL pentru panou, 80/tcp trebuie să fie deschis și accesibil de pe internetul public. Acest port de validare ACME este separat de portul panoului pe care îl alegi în timpul configurării.
Rulează comanda de instalare:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)Versiunile curente ale instalatorului nu încep cu meniul mai vechi numerotat Install / Update / Uninstall pe care multe tutoriale încă îl arată. În schimb, scriptul începe instalarea imediat, instalează orice dependențe lipsă, descarcă cea mai recentă versiune și apoi te ghidează prin solicitările de configurare a panoului.
Un flux tipic de instalare arată acum astfel:
- Alege dacă să setezi un port de panou personalizat sau să lași instalatorul să genereze unul aleatoriu.
- Lasă instalatorul să genereze un nume de utilizator, o parolă și un webBasePath aleatoriu.
- Alege cum să configurezi SSL-ul panoului:
- 1 = Let’s Encrypt pentru un domeniu
- 2 = Let’s Encrypt pentru adresa IP a serverului
- 3 = folosește un certificat existent
- Completează solicitările de certificat dacă folosești fluxul Let’s Encrypt încorporat.
⚠️ IMPORTANT: Portul panoului nu este același lucru cu portul de validare ACME. Poți rula panoul pe un port aleatoriu, cum ar fi 13525, și totuși să ai nevoie de 80/tcp public deschis pentru ca Let’s Encrypt să valideze certificatul.
Regula importantă este simplă: folosește exact acreditivele, calea și URL-ul tipărite de propriul tău instalator, nu presupuneri copiate din tutoriale mai vechi.
Rezultatul final va arăta mai mult așa:
Username: GENERATED_USERNAME Password: GENERATED_PASSWORD Port: 13525 WebBasePath: RANDOM_PATH Access URL: https://YOUR_SERVER_IP:13525/RANDOM_PATH
Verifică dacă serviciul rulează:
systemctl status x-ui
Această verificare contează. Uită-te în mod special la linia serverului web din ieșirea statusului:
- Dacă vezi Web server running HTTPS …, SSL-ul panoului funcționează corect.
- Dacă vezi Web server running HTTP …, panoul s-a instalat cu succes, dar configurarea SSL nu s-a finalizat.
Accesează panoul folosind exact URL-ul, numele de utilizator și parola generate de propria ta instalare. Nu presupune că calea este /panel și nu presupune că acreditivele sunt admin/admin decât dacă instalarea ta spune explicit așa.
💡 SFAT 1: Pentru a vizualiza din nou setările actuale ale panoului și a imprima URL-ul de acces, în CLI rulează comanda “x-ui” și alege numărul 10 “View Current Settings” din meniul afișat.
💡 SFAT 2: Dacă URL-ul de acces nu se încarcă, asigură-te că portul panoului 3x-ui este deschis pe firewall-ul VPS-ului tău. De exemplu, dacă panoul tău rulează pe portul “13525”, permite-l cu: ” ufw allow 13525/tcp “. Înlocuiește 13525 cu portul real pe care l-ai configurat pentru panoul 3x-ui.
Dacă instalatorul se termină, dar systemctl status x-ui arată HTTP în loc de HTTPS
Cea mai comună cauză este că 80/tcp nu a fost accesibil de pe internetul public în timpul validării Let’s Encrypt. În acest caz, panoul poate totuși să se instaleze și să pornească, dar emiterea certificatului eșuează.
Rezolvă mai întâi firewall-ul:
ufw allow 80/tcp
ufw statusDacă furnizorul tău de VPS are un strat de firewall cloud sau grup de securitate, permite și 80/tcp acolo. Apoi rulează din nou configurarea certificatului panoului din scriptul de management 3x-ui:
x-uiPentru un certificat de panou bazat pe IP, alege:
- 19 → 6 (Obține SSL pentru adresa IP)
Pentru un certificat de panou bazat pe domeniu, alege:
- 19 → 1 (Obține SSL (Domeniu))
După emiterea certificatului, verifică din nou:
systemctl status x-uiVrei ca ieșirea statusului să arate Web server running HTTPS … înainte de a continua.
💡 SFAT: Salvează imediat acreditivele generate și URL-ul panoului. De asemenea, notează că rezumatul instalatorului poate fi înșelător dacă emiterea certificatului eșuează — dacă blocul final tipărește un URL HTTPS, dar systemctl status x-ui arată în continuare HTTP, ai încredere în ieșirea statusului serviciului și rezolvă SSL înainte de a merge mai departe.
Harta deciziilor: unde începe de fapt „ocolirea cenzurii”
Odată ce panoul este instalat, problema se schimbă. Nu mai încerci să instalezi software-ul corect. Decizi cum ar trebui să se prezinte traficul clientului către rețea. Acolo începe de fapt „configurarea pentru a ocoli cenzura”.
Cel mai simplu mod de a reduce dezordinea terminologică este să gândești în trei straturi: cum se identifică și comunică clientul și serverul, cum este transportat fluxul și cum arată acel trafic pentru un observator extern. Altfel, dacă le aplatizezi într-o singură listă de cuvinte la modă, 3x-ui începe să pară mai complicat decât este cu adevărat.
| Strat | Ce întrebare răspunde | Exemple comune |
|---|---|---|
| Protocol | Cum se identifică și comunică clientul și serverul? | VLESS, Trojan, VMess, Shadowsocks |
| Transport | Cum este transportat fluxul de trafic? | TCP (RAW), WebSocket, gRPC, QUIC |
| Securitate / ofuscare | Cum arată traficul pentru rețea? | Reality, TLS, amprente asemănătoare browserului, stive care par frontate pe domeniu |
Ia un exemplu de ancoră: VLESS + TCP/RAW + Reality pe 443. VLESS este protocolul. TCP/RAW transportă fluxul. Reality modelează cum conexiunea seamănă cu comportamentul HTTPS obișnuit. Și 443 contează pentru că camuflajul funcționează cel mai bine când se potrivește și cu portul implicit pentru traficul web criptat normal. În unele locuri, documentația Xray spune raw, în timp ce interfața panoului spune TCP; pentru acest articol, tratează-le ca aceeași alegere conceptuală de transport.
⚠️ Avertisment: Nu există un câștigător universal și nicio combinație permanent de neblocabilă. Rețelele se schimbă, filtrele evoluează și ceea ce se integrează bine pe o cale poate ieși în evidență pe alta. Scopul nu este magia. Scopul este alegerea celei mai sensibile stive pentru mediul tău.
De aceea, acest articol se oprește la hartă în loc să pretindă că o pagină poate acoperi fiecare construcție completă. Pasul următor este alegerea familiei de configurații care se potrivește rețelei și obiectivelor tale.
Ce cale 3x-ui se potrivește cazului tău de utilizare?
Dacă vrei cel mai clar răspuns implicit mai întâi, iată-l: pentru medii restrictive, cu DPI intens, începe cu VLESS + Reality. Separă clar protocolul de stealth, funcționează bine pe portul 443 și nu te obligă să începi cu un domeniu sau un proxy invers.
Aceasta nu înseamnă că este răspunsul pentru fiecare situație. Dacă deja rulezi un domeniu sau preferi un flux de lucru mai tradițional cu TLS și proxy invers, atunci VLESS sau Trojan peste TLS cu WebSocket sau gRPC este adesea alegerea mai bună. Această cale are mai mult sens atunci când deja gestionezi un domeniu și certificate.
Dacă prioritatea ta este debitul și rețeaua ta gestionează bine UDP, Hysteria 2 merită atenție. Este calea specializată aici, deoarece atracția sa este mai puțin „să arate ca cea mai obișnuită sesiune de browser posibilă” și mai mult „să obțină performanțe puternice dintr-un design bazat pe QUIC/UDP”. Este convingător, dar nu recomandarea implicită pentru începători pentru configurări orientate spre stealth.
Shadowsocks 2022, VMess și căi de compatibilitate similare au încă un loc, dar mai ales pentru migrare, suport pentru clienți mai vechi sau constrângeri de compatibilitate mai restrânse. VMess, în special, nu este cea mai bună recomandare implicită pentru începători, deoarece depinde de timp — un detaliu operațional în plus care poate fi greșit atunci când există deja opțiuni mai simple.
| Cale | Cel mai bun pentru | Necesită un domeniu? | De ce să o alegi | De ce nu este implicitul universal |
|---|---|---|---|---|
| VLESS + Reality | Rețele restrictive sau puternic filtrate | Nu | Model mental puternic pentru începători pentru auto-găzduire orientată spre stealth pe 443 | Încă nu este viitor-proof și unele rețele sau clienți te pot împinge în altă parte |
| VLESS/Trojan + TLS + WebSocket/gRPC | Stive bazate pe domeniu, proxy invers, configurări website-plus-proxy | De obicei da | Se potrivește cititorilor deja confortabili cu domenii, certificate și stratificarea stivei web | Mai multe părți în mișcare decât o cale Reality fără domeniu |
| Hysteria 2 | Configurări axate pe viteză unde UDP funcționează bine | Nu | Excelent când debitul și performanța QUIC/UDP sunt obiectivul principal | Nu cea mai poveste de camuflaj asemănătoare browserului, iar condițiile UDP variază |
| Shadowsocks 2022 / VMess / căi de compatibilitate | Migrare, suport pentru clienți mai vechi, constrângeri mai restrânse | Depinde | Util când compatibilitatea este cerința reală | Nu este cea mai puternică opțiune implicită pentru începători când există alegeri moderne mai clare |
💡 Lista rapidă de verificare a deciziilor
- Rețea cenzurată: începe cu VLESS + Reality
- Configurare domeniu / proxy invers: evaluează TLS + WS/gRPC sau Trojan
- UDP de mare viteză: testează Hysteria 2
- Cazuri de compatibilitate: ia în considerare Shadowsocks 2022 sau VMess
WireGuard și OpenVPN sunt exemple utile de contrast aici, nu pasul recomandat următor, deoarece formele obișnuite de protocol VPN sunt adesea ceea ce rețelele restrictive învață să recunoască mai întâi. Alege calea care se potrivește mediului tău, apoi construiește acea cale înainte de a adăuga mai multe opțiuni.
Ce poți face în continuare în 3x-ui după ce ai ales o cale
Odată ce alegi calea, 3x-ui devine stratul operațional. Aici creezi inbound-ul, adaugi clienți, exporți un link de partajare sau un cod QR, setezi limite de trafic sau date de expirare și menții serverul gestionabil în timp, în loc să sapi prin fișierele brute Xray.
📝 Notă: Panoul nu este „doar ecranul de autentificare”. Este suprafața de administrare unde deciziile de protocol devin inbound-uri active, acreditivele clienților, controalele de utilizare și vizibilitatea.
În termeni practici, secvența este de obicei simplă: creează inbound-ul, adaugă o identitate de client, exportă detaliile de conexiune, importă-le în aplicația client și revino mai târziu pentru limite, reînnoiri, jurnale, statistici de trafic și actualizări de rutare sau geofile dacă este necesar. Acea vizibilitate operațională este o mare parte din motivul pentru care merită să folosești panoul.
Dacă continui această configurare ca o serie, primul ghid de urmat ar trebui să fie construcția VLESS + Reality pentru cititorii din rețele restrictive. Acesta este cel mai natural articol următor deoarece transformă acest model mental într-o configurație concretă.
Concluzie
Instalarea 3x-ui nu este soluția finală anti-cenzură. Este camera de control. Rezultatul real vine din ceea ce configurezi în interiorul ei în continuare. Păstrează diviziunea simplă: tabloul de bord face Xray gestionabil, dar motorul și ruta — alegerea protocolului, transportului și securității — decid cât de bine supraviețuiește conexiunea filtrării.
Așadar, fă pasul următor onest și alege calea reală care se potrivește cel mai bine obiectivelor tale. Și odată ce devii serios în privința auto-găzduirii alegerii tale, infrastructura VPS stabilă contează și ea — fie că înseamnă AlexHost sau un alt furnizor care îți oferă control de rețea previzibil și acces curat la firewall.