Открыть тикет 
+373 79 600002 
Телеграм-чат в реальном времени 
Часто задаваемые вопросы 
Русский
English 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
Linux 
Администрация 
БезопасностьКак установить 3x-ui на VPS и выбрать правильную конфигурацию для обхода цензуры
Ключевые слова
Ниже приведен краткий глоссарий, чтобы разобраться в терминах перед началом установки:
| Эмодзи + ключевое слово | Краткое объяснение |
|---|---|
| ⚙️ 3x-ui | Веб-панель управления для Xray-core |
| 🚀 Xray-core | Фактический прокси-движок |
| 📥 inbound | Точка входа на сервере |
| 🔀 транспортный уровень | Как передается поток трафика |
| 🎭 Reality | Механизм скрытности/безопасности для Xray |
Как установить 3x-ui на VPS и выбрать правильную конфигурацию для обхода цензуры
Один день ваш VPN работает. На следующий день он перестает работать. В ограничительных сетях блокировка часто направлена не столько на то, зашифрован ли трафик, сколько на то, выглядит ли трафик легко классифицируемым.
Это часть, которую многие старые руководства по VPN упускают. Одна только шифровка не гарантирует скрытности. Сети все еще могут инспектировать шаблоны рукопожатий, поведение пакетов и отпечатки протоколов достаточно хорошо, чтобы решить, что ваш трафик не выглядит обычным. Поэтому вопрос перестает быть “как установить VPN?” и становится “как сделать так, чтобы форма трафика выглядела достаточно нормально, чтобы пережить фильтрацию?”
Это руководство является основным шагом. Вы установите рабочую панель 3x-ui на Ubuntu VPS, правильно защитите административную поверхность и получите четкую основу для выбора того, что настроить дальше внутри панели. Если вы размещаете на небольшом VPS — будь то от AlexHost или другого провайдера — здесь настройка становится управляемой.
Что такое 3x-ui на самом деле — и что это не является
Самое важное заблуждение, которое нужно исправить рано: 3x-ui не является самой технологией обхода цензуры. Это панель управления. Xray — это движок под ней. Протокол, транспорт и выбор безопасности внутри этого движка определяют, как ваш трафик ведет себя в сети.
3x-ui важен, потому что он превращает Xray из кучи вручную редактируемых JSON в нечто, чем может управлять средний человек. Вы получаете веб-панель управления для создания inbound, добавления клиентов, экспорта ссылок или QR-кодов, управления лимитами, обновления геофайлов и управления доступом администратора и SSL панели.
Ниже приведен краткий глоссарий, чтобы разобраться в терминах перед началом установки:
| Термин | Простое значение | Почему это важно здесь |
|---|---|---|
| 3x-ui | Веб-панель управления для Xray-core | Это уровень управления, который вы устанавливаете в этом руководстве |
| Xray-core | Фактический прокси-движок | Это то, что обрабатывает протоколы, маршрутизацию и поведение трафика |
| inbound | Точка входа на сервере | Здесь вы определяете, как клиенты подключаются |
| транспорт | Как передается поток трафика | Примеры включают raw TCP, WebSocket или gRPC |
| Reality | Механизм скрытности/безопасности для Xray | Помогает трафику больше походить на обычный HTTPS |
📝 Примечание: 3x-ui лучше всего понимать как уровень управления для Xray-core, и сам проект позиционирует его как программное обеспечение для личного использования, а не как нечто, что следует рассматривать как защищенную производственную инфраструктуру.
Это различие важно и для безопасности. Панель с поддержкой HTTPS с надежными учетными данными администратора защищает поверхность управления — место, где вы входите в систему и управляете сервером. Это не автоматически делает пользовательский трафик скрытным. Установка дает вам контроль; выбранный впоследствии стек протоколов определяет, как соединение выглядит на проводе.
Перед установкой: контрольный список сервера и доступа
3x-ui не требует большого сервера, но ему нужен чистый путь установки. Для этого руководства базовой является Ubuntu 22.04 LTS или 24.04 LTS, доступ по SSH с правами root или sudo, публичный IP-адрес и скромные ресурсы, такие как 1 vCPU и 1 ГБ RAM. Любой подходящий VPS подойдет, включая недорогие начальные планы, если он предоставляет вам предсказуемый сетевой доступ и контроль над брандмауэром.
Прежде чем вводить какие-либо команды, проверьте этот контрольный список:
- Операционная система: Ubuntu 22.04 LTS или 24.04 LTS
- Уровень доступа: доступ по SSH с правами root или пользователь с полными правами sudo
- Сеть: публичный IP-адрес и возможность открыть необходимые порты
- Порт трафика: 443/tcp для прокси-трафика в стиле HTTPS позже
- Порт проверки ACME: 80/tcp только если вы хотите использовать встроенный поток Let’s Encrypt для панели; ACME — это проверка доступности, используемая для проверки сертификата
- Доступность панели: будьте готовы к тому, что установщик назначит случайный порт панели и случайный webBasePath
- Ожидаемое конечное состояние: доступный URL панели, сохраненные учетные данные и проверенная служба панели HTTPS
⚠️ Предупреждение: Если вы впервые включаете UFW на удаленном VPS, разрешите SSH до того, как включите брандмауэр. В противном случае вы можете заблокировать себе доступ к серверу, который пытаетесь настроить.
Когда эти основы выполнены, остальное становится простым. Следующие два раздела проведут вас от “У меня есть VPS” до “У меня есть рабочая панель управления” без догадок.
Подготовка сервера: BBR и основы
После проверки предварительных условий давайте подготовим сервер. Этот этап оптимизирует ваш VPS перед установкой любого программного обеспечения VPN, обеспечивая максимальную производительность с самого начала.
💡 СОВЕТ: Используйте BBR перед развертыванием — это часто улучшает пропускную способность и задержку на ограниченных или высокозадержанных соединениях.
Сначала обновите пакеты вашей системы. Это гарантирует, что у вас есть последние обновления безопасности и необходимые зависимости:
apt update && apt upgrade -yЭтот шаг может занять 1-5 минут в зависимости от вашего провайдера VPS и скорости сети. Некоторые провайдеры, такие как Vultr, предварительно обновляют свои образы во время развертывания, поэтому на некоторых системах это может завершиться быстро.
Далее, включите контроль перегрузки Google BBR. BBR (Bottleneck Bandwidth and Round-trip propagation time) — это алгоритм управления перегрузкой от Google. Вместо того чтобы в основном полагаться на потерю пакетов как сигнал, он пытается более непосредственно моделировать доступную пропускную способность и время круговой поездки, что может улучшить пропускную способность и отзывчивость на некоторых соединениях VPS.
# Verify BBR module is available
lsmod | grep tcp_bbrЕсли ничего не появляется, загрузите модуль вручную:
modprobe tcp_bbr
Теперь создайте конфигурацию sysctl для постоянного включения BBR:
cat >> /etc/sysctl.d/99-bbr.conf << 'EOF'
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
EOF
Примените конфигурацию:
sysctl -p /etc/sysctl.d/99-bbr.confПроверьте, активен ли BBR:
sysctl net.ipv4.tcp_congestion_control
sysctl net.ipv4.tcp_available_congestion_controlВы должны увидеть bbr в качестве активного алгоритма.
Некоторые системы выигрывают от перезагрузки после включения BBR — это гарантирует, что модуль загружается правильно и все сетевые оптимизации вступают в силу:
rebootТеперь убедитесь, что порт 443 доступен. Если вы планируете использовать встроенный поток Let’s Encrypt для панели установки 3x-ui, разрешите также 80/tcp — этот порт используется для проверки сертификата ACME, а не для самой панели. Если ваш провайдер VPS также имеет уровень облачного брандмауэра или группы безопасности, разрешите те же порты и там. На Ubuntu самый безопасный путь — обычно UFW:
# If this is a remote VPS and you're enabling UFW for the first time, allow SSH before enabling the firewall
ufw allow OpenSSH
# Allow HTTPS-style Reality traffic
ufw allow 443/tcp
# Allow ACME validation for the 3x-ui panel's built-in Let's Encrypt setup
ufw allow 80/tcp
# Review rules, then enable only if UFW is not already active
ufw status
ufw enable⚠️ ПРЕДУПРЕЖДЕНИЕ: Порт 443 настоятельно рекомендуется, потому что он соответствует обычному HTTPS-трафику. Другие порты могут работать технически, но они менее естественно сливаются и упрощают настройку для обнаружения.
Ваш сервер теперь оптимизирован и готов для установки 3x-ui.
Установка панели 3x-ui
Мы будем использовать форк MHSanaei, который активно поддерживается и поддерживает текущие протоколы. Снова важное напоминание: сам проект позиционирует 3x-ui как панель для личного использования, поэтому относитесь к ней как к слою удобства для администратора и тщательно защищайте панель.
Прежде чем запускать установщик, обратите внимание на одно легко упускаемое требование: если вы хотите, чтобы встроенная настройка Let’s Encrypt установщика выдала SSL-сертификат для панели, 80/tcp должен быть открыт и доступен из интернета. Этот порт проверки ACME отделен от порта панели, который вы выбираете во время настройки.
Запустите команду установки:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)Текущие версии установщика не начинаются с старого пронумерованного меню Установить / Обновить / Удалить, которое все еще показывают многие руководства. Вместо этого скрипт сразу начинает установку, устанавливает любые отсутствующие зависимости, загружает последнюю версию и затем проводит вас через подсказки настройки панели.
Типичный процесс установки теперь выглядит так:
- Выберите, установить ли пользовательский порт панели или позволить установщику сгенерировать случайный.
- Позвольте установщику сгенерировать случайное имя пользователя, пароль и webBasePath.
- Выберите, как настроить SSL панели:
- 1 = Let’s Encrypt для домена
- 2 = Let’s Encrypt для IP-адреса сервера
- 3 = использовать существующий сертификат
- Заполните подсказки сертификата, если вы используете встроенный поток Let’s Encrypt.
⚠️ ВАЖНО: Порт панели не то же самое, что порт проверки ACME. Вы можете запустить панель на случайном порту, например, 13525, и все равно потребуется открытый 80/tcp, чтобы Let’s Encrypt мог проверить сертификат.
Важное правило простое: используйте точные учетные данные, путь и URL, напечатанные вашим собственным установщиком, а не предположения, скопированные из старых руководств.
Ваш окончательный вывод будет выглядеть более следующим образом:
Username: GENERATED_USERNAME Password: GENERATED_PASSWORD Port: 13525 WebBasePath: RANDOM_PATH Access URL: https://YOUR_SERVER_IP:13525/RANDOM_PATH
Проверьте, работает ли служба:
systemctl status x-ui
Эта проверка важна. Обратите особое внимание на строку веб-сервера в выводе статуса:
- Если вы видите Web server running HTTPS …, SSL панели работает правильно.
- Если вы видите Web server running HTTP …, панель установлена успешно, но настройка SSL не завершена.
Получите доступ к панели, используя точный URL, имя пользователя и пароль, сгенерированные вашей собственной установкой. Не предполагайте, что путь — это /panel, и не предполагайте, что учетные данные — это admin/admin, если ваша собственная установка явно не говорит об этом.
💡 СОВЕТ 1: Чтобы снова просмотреть текущие настройки панели и напечатать URL доступа, в CLI выполните команду “x-ui” и выберите номер 10 “Просмотр текущих настроек” из меню вывода.
💡 СОВЕТ 2: Если URL доступа не загружается, убедитесь, что порт панели 3x-ui открыт в брандмауэре вашего VPS. Например, если ваша панель работает на порту “13525”, разрешите его с помощью: “ufw allow 13525/tcp”. Замените 13525 на фактический порт, который вы настроили для панели 3x-ui.
Если установщик завершает работу, но systemctl status x-ui показывает HTTP вместо HTTPS
Наиболее распространенной причиной является то, что 80/tcp не был доступен из интернета во время проверки Let’s Encrypt. В этом случае панель может все еще установиться и запуститься, но выпуск сертификата не удается.
Сначала исправьте брандмауэр:
ufw allow 80/tcp
ufw statusЕсли ваш провайдер VPS имеет уровень облачного брандмауэра или группы безопасности, разрешите 80/tcp и там. Затем повторно выполните настройку сертификата панели из скрипта управления 3x-ui:
x-uiДля сертификата панели на основе IP выберите:
- 19 → 6 (Получить SSL для IP-адреса)
Для сертификата панели на основе домена выберите:
- 19 → 1 (Получить SSL (домен))
После выдачи сертификата проверьте снова:
systemctl status x-uiВы хотите, чтобы вывод статуса показывал Web server running HTTPS … перед продолжением.
💡 СОВЕТ: Сохраните сгенерированные учетные данные и URL панели немедленно. Также отметьте, что сводка установщика может вводить в заблуждение, если выпуск сертификата не удается — если последний блок печатает URL HTTPS, но systemctl status x-ui все еще показывает HTTP, доверьтесь выводу статуса службы и исправьте SSL перед продолжением.
Карта решений: где на самом деле начинается “обход цензуры”
После установки панели проблема меняется. Вы больше не пытаетесь правильно установить программное обеспечение. Вы решаете, как клиентский трафик должен представлять себя в сети. Здесь на самом деле начинается “настройка для обхода цензуры”.
Самый простой способ уменьшить путаницу в терминах — думать в трех уровнях: как клиент и сервер общаются, как передается поток и как этот трафик выглядит для внешнего наблюдателя. В противном случае, если вы объедините их в один список модных слов, 3x-ui начнет казаться более сложным, чем он есть на самом деле.
| Уровень | На какой вопрос он отвечает | Общие примеры |
|---|---|---|
| Протокол | Как клиент и сервер идентифицируют и общаются друг с другом? | VLESS, Trojan, VMess, Shadowsocks |
| Транспорт | Как передается поток трафика? | TCP (RAW), WebSocket, gRPC, QUIC |
| Безопасность / обфускация | Как трафик выглядит для сети? | Reality, TLS, отпечатки, похожие на браузерные, стеки, похожие на доменные фронты |
Возьмите один якорный пример: VLESS + TCP/RAW + Reality на 443. VLESS — это протокол. TCP/RAW передает поток. Reality формирует, как соединение напоминает обычное поведение HTTPS. И 443 важен, потому что камуфляж работает лучше, когда он также соответствует стандартному порту для обычного зашифрованного веб-трафика. В некоторых местах документация Xray говорит raw, в то время как интерфейс панели говорит TCP; для этой статьи рассматривайте их как один и тот же концептуальный выбор транспорта.
⚠️ Предупреждение: Нет универсального победителя и нет навсегда не блокируемой комбинации. Сети меняются, фильтры эволюционируют, и то, что хорошо сливается на одном пути, может выделяться на другом. Цель не в магии. Цель — выбрать наиболее разумный стек для вашей среды.
Вот почему эта статья останавливается на карте, а не притворяется, что одна страница может охватить каждую полную сборку. Следующий шаг — выбрать конфигурацию, которая соответствует вашей сети и целям.
Какой путь 3x-ui подходит для вашего случая использования?
Если вы хотите получить самый ясный ответ по умолчанию, вот он: для ограничительных, сред с интенсивной DPI начните с VLESS + Reality. Он четко разделяет протокол и скрытность, хорошо работает на порту 443 и не заставляет вас начинать с домена или обратного прокси.
Это не делает его ответом на каждую ситуацию. Если вы уже управляете доменом или предпочитаете более традиционный рабочий процесс с TLS и обратным прокси, то VLESS или Trojan через TLS с WebSocket или gRPC часто является лучшим выбором. Этот путь имеет больше смысла, когда вы уже управляете доменом и сертификатами.
Если ваш приоритет — пропускная способность, и ваша сеть хорошо обрабатывает UDP, Hysteria 2 заслуживает внимания. Это специализированный путь здесь, потому что его привлекательность заключается не в “выглядеть как самая обычная сессия браузера”, а в “получить высокую производительность от дизайна на основе QUIC/UDP”. Это привлекательно, но не является рекомендацией по умолчанию для начинающих для скрытных настроек.
Shadowsocks 2022, VMess и аналогичные пути совместимости все еще имеют место, но в основном для миграции, поддержки старых клиентов или узких ограничений совместимости. VMess, в частности, не является лучшей рекомендацией для начинающих, потому что его зависимость от времени — еще одна операционная деталь, которую можно неправильно настроить, когда уже существуют более простые варианты.
| Путь | Лучше всего для | Нужен ли домен? | Почему выбрать его | Почему это не универсальный стандарт |
|---|---|---|---|---|
| VLESS + Reality | Ограничительные или сильно фильтруемые сети | Нет | Сильная модель для начинающих для скрытного самохостинга на 443 | Все еще не защищено на будущее, и некоторые сети или клиенты могут подтолкнуть вас к другому выбору |
| VLESS/Trojan + TLS + WebSocket/gRPC | Стэки на основе доменов, обратные прокси, настройки сайт-плюс-прокси | Обычно да | Подходит для читателей, уже знакомых с доменами, сертификатами и слоями веб-стека | Больше движущихся частей, чем у пути без домена Reality |
| Hysteria 2 | Настройки, ориентированные на скорость, где UDP работает хорошо | Нет | Отлично, когда пропускная способность и производительность QUIC/UDP являются основной целью | Не самая похожая на браузер история камуфляжа, и условия UDP варьируются |
| Shadowsocks 2022 / VMess / пути совместимости | Миграция, поддержка старых клиентов, узкие ограничения | Зависит | Полезно, когда совместимость является реальным требованием | Не самый сильный стандарт для начинающих, когда доступны более чистые современные варианты |
💡 Быстрый контрольный список решений
- Цензурированная сеть: начните с VLESS + Reality
- Настройка домена / обратного прокси: оцените TLS + WS/gRPC или Trojan
- Высокоскоростной UDP: протестируйте Hysteria 2
- Краевые случаи совместимости: рассмотрите Shadowsocks 2022 или VMess
WireGuard и OpenVPN здесь полезны как примеры для контраста, а не как рекомендуемый следующий шаг, потому что обычные формы протоколов VPN часто являются тем, что ограничительные сети учатся распознавать в первую очередь. Выберите путь, который соответствует вашей среде, затем постройте этот путь, прежде чем добавлять больше вариантов.
Что вы можете сделать дальше внутри 3x-ui после выбора пути
Как только вы выберете путь, 3x-ui становится операционным слоем. Здесь вы создаете inbound, добавляете клиентов, экспортируете ссылку для обмена или QR-код, устанавливаете ограничения на трафик или даты истечения, и поддерживаете сервер в управляемом состоянии со временем, вместо того чтобы копаться в сырых файлах Xray.
📝 Примечание: Панель — это не “только экран входа”. Это поверхность администратора, где решения о протоколах становятся работающими inbound, учетными данными клиентов, контролем использования и видимостью.
На практике последовательность обычно проста: создайте inbound, добавьте идентификатор клиента, экспортируйте детали подключения, импортируйте их в клиентское приложение и возвращайтесь позже для установки ограничений, обновлений, журналов, статистики трафика и обновлений маршрутизации или геофайлов, если это необходимо. Эта операционная видимость — большая часть того, почему панель стоит использовать.
Если вы продолжаете эту настройку как серию, первое последующее руководство должно быть по сборке VLESS + Reality для читателей в ограничительных сетях. Это самый естественный следующий шаг, потому что он превращает эту ментальную модель в одну конкретную конфигурацию.
Заключение
Установка 3x-ui не является окончательным решением для обхода цензуры. Это диспетчерская. Реальный результат зависит от того, что вы настроите внутри нее дальше. Держите разделение простым: панель управления делает Xray управляемым, но движок и маршрут — выбор протокола, транспорта и безопасности — определяют, насколько хорошо соединение переживает фильтрацию.
Поэтому сделайте честный следующий шаг и выберите фактический путь, который наилучшим образом соответствует вашим целям. И как только вы серьезно задумаетесь о самохостинге вашего выбора, стабильная инфраструктура VPS тоже имеет значение — будь то AlexHost или другой провайдер, который предоставляет вам предсказуемый сетевой контроль и чистый доступ к брандмауэру.