Як встановити 3x-ui на VPS та вибрати правильну конфігурацію для обходу цензури

Ключові слова

Нижче наведений швидкий глосарій, який допоможе розібратися з термінами перед початком встановлення:

Як встановити 3x-ui на VPS і вибрати правильну конфігурацію проти цензури

Одного дня ваш VPN працює. Наступного дня він перестає працювати. У обмежувальних мережах блокування часто спрямоване не стільки на те, чи зашифрований трафік, скільки на те, чи виглядає трафік легко класифікувати.

Це частина, яку багато старих підручників VPN пропускають. Шифрування саме по собі не гарантує стелс. Мережі все ще можуть достатньо добре аналізувати шаблони рукостискань, поведінку пакетів та відбитки протоколів, щоб вирішити, що ваш трафік не виглядає звичайним. Тому питання перестає бути “як встановити VPN?” і стає “як зробити так, щоб форма трафіку виглядала досить нормальною, щоб пережити фільтрацію?”

Цей посібник є основним кроком. Ви встановите робочу панель 3x-ui на Ubuntu VPS, правильно захистите адміністративну поверхню і отримаєте чітку основу для вибору того, що налаштувати далі всередині панелі. Якщо ви самостійно розгортаєте на невеликому VPS — будь то від AlexHost чи іншого провайдера — це той момент, коли налаштування стає керованим.

Що таке 3x-ui насправді — і чим воно не є

Найважливіше неправильне уявлення, яке потрібно виправити на ранньому етапі, це: 3x-ui не є технологією обходу цензури самою по собі. Це панель керування. Xray — це двигун під нею. Протокол, транспорт і вибір безпеки всередині цього двигуна визначають, як ваш трафік поводиться в мережі.

3x-ui важлива, тому що вона перетворює Xray з купи вручну редагованих JSON у щось, чим може керувати середньостатистична людина. Ви отримуєте веб-панель керування для створення inbounds, додавання клієнтів, експорту посилань або QR-кодів, управління лімітами, оновлення геофайлів і управління доступом адміністратора та SSL панелі.

Нижче наведений швидкий глосарій, який допоможе розібратися з термінами перед початком встановлення:

📝 Примітка: 3x-ui найкраще розуміти як управлінський шар для Xray-core, і сам проект розглядає його як програмне забезпечення для особистого використання, а не як щось, що можна легковажно сприймати як захищену виробничу інфраструктуру.

Це розрізнення важливе і для безпеки. Панель з підтримкою HTTPS із сильними обліковими даними адміністратора захищає контрольну поверхню — місце, де ви входите в систему та керуєте сервером. Це не автоматично робить трафік користувача стелс. Встановлення дає вам контроль; вибраний після цього стек протоколів визначає, як з’єднання виглядає на проводі.

Перед встановленням: контрольний список сервера та доступу

3x-ui не потребує великого сервера, але потребує чистого шляху встановлення. Для цього посібника базовою є Ubuntu 22.04 LTS або 24.04 LTS, доступ SSH з правами root або sudo, публічна IP-адреса та скромні ресурси, такі як 1 vCPU та 1 GB RAM. Підходить будь-який відповідний VPS, включаючи недорогі початкові плани, якщо він надає вам передбачуваний доступ до мережі та контроль над брандмауером.

Перед тим, як виконувати будь-які команди, перевірте цей контрольний список:

• Операційна система: Ubuntu 22.04 LTS або 24.04 LTS
• Рівень доступу: доступ SSH root, або користувач з повними правами sudo
• Мережа: публічна IP-адреса та можливість відкрити необхідні порти
• Порт трафіку: 443/tcp для проксі-трафіку в стилі HTTPS пізніше
• Порт валідації ACME: 80/tcp тільки якщо ви хочете використовувати вбудований потік Let’s Encrypt для панелі; ACME — це перевірка доступності, що використовується для валідації сертифікатів
• Доступність панелі: будьте готові до того, що інсталятор призначить випадковий порт панелі та випадковий webBasePath
• Очікуваний кінцевий стан: доступна URL панелі, збережені облікові дані та перевірена служба панелі HTTPS

⚠️ Попередження: Якщо ви вперше вмикаєте UFW на віддаленому VPS, дозвольте SSH перед тим, як увімкнути брандмауер. В іншому випадку ви можете заблокувати собі доступ до сервера, який намагаєтеся налаштувати.

Коли ці основи виконані, решта стає простою. Наступні два розділи перенесуть вас від “У мене є VPS” до “У мене є робоча панель керування” без здогадок.

Підготовка сервера: BBR та основи

З перевіреними передумовами, давайте підготуємо сервер. Цей етап оптимізує ваш VPS перед встановленням будь-якого програмного забезпечення VPN, забезпечуючи максимальну продуктивність з самого початку.

💡 Порада: Використовуйте BBR перед розгортанням — це часто покращує пропускну здатність і затримку на обмежених або з вищою затримкою з’єднаннях.

Спочатку оновіть пакети вашої системи. Це забезпечує наявність останніх оновлень безпеки та необхідних залежностей:

Цей крок може зайняти 1-5 хвилин в залежності від вашого постачальника VPS та швидкості мережі. Деякі постачальники, такі як Vultr, попередньо оновлюють свої образи під час розгортання, тому це може завершитися швидко на деяких системах.

Далі увімкніть управління заторами Google BBR. BBR (Bottleneck Bandwidth and Round-trip propagation time) — це алгоритм управління заторами від Google. Замість того, щоб в основному покладатися на втрату пакетів як сигнал, він намагається більш безпосередньо моделювати доступну пропускну здатність і час кругового проходження, що може покращити пропускну здатність і чутливість на деяких з’єднаннях VPS.

Якщо нічого не з’являється, завантажте модуль вручну:

Тепер створіть конфігурацію sysctl, щоб увімкнути BBR постійно:

Застосуйте конфігурацію:

Перевірте, чи активний BBR:

Ви повинні побачити bbr як активний алгоритм.

Деякі системи виграють від перезавантаження після увімкнення BBR — це забезпечує правильне завантаження модуля та застосування всіх оптимізацій мережі:

Тепер переконайтеся, що порт 443 доступний. Якщо ви плануєте використовувати вбудований потік Let’s Encrypt для панелі встановлення 3x-ui, також дозволте 80/tcp — цей порт використовується для валідації сертифікатів ACME, а не для самої панелі. Якщо ваш постачальник VPS також має шар хмарного брандмауера або групи безпеки, дозволте ті ж порти і там. На Ubuntu найбезпечніший шлях зазвичай — UFW:

⚠️ ПОПЕРЕДЖЕННЯ: Порт 443 настійно рекомендується, оскільки він відповідає звичайному трафіку HTTPS. Інші порти можуть технічно працювати, але вони менш природно змішуються і полегшують налаштування для виявлення.

Ваш сервер тепер оптимізований і готовий до встановлення 3x-ui.

Встановлення панелі 3x-ui

Ми будемо використовувати форк MHSanaei, який активно підтримується і підтримує поточні протоколи. Знову ж таки, важливе нагадування: сам проект розглядає 3x-ui як панель для особистого використання, тому розглядайте її як зручний адміністративний шар і ретельно захищайте панель.

Перед тим, як запустити інсталятор, зверніть увагу на одну легку для пропуску вимогу: якщо ви хочете, щоб вбудоване налаштування Let’s Encrypt інсталятора видало SSL-сертифікат для панелі, 80/tcp має бути відкритим і доступним з публічного інтернету. Цей порт валідації ACME відрізняється від порту панелі, який ви вибираєте під час налаштування.

Запустіть команду встановлення:

Поточні версії інсталятора не починаються зі старого пронумерованого меню Install / Update / Uninstall, яке багато підручників все ще показують. Замість цього скрипт відразу починає встановлення, встановлює будь-які відсутні залежності, завантажує останній реліз, а потім проводить вас через підказки налаштування панелі.

Типовий потік встановлення зараз виглядає так:

1. Виберіть, чи встановлювати користувацький порт панелі, чи дозволити інсталятору згенерувати випадковий.
2. Дозвольте інсталятору згенерувати випадкове ім’я користувача, пароль і webBasePath.
3. Виберіть, як налаштувати SSL панелі:
   • 1 = Let’s Encrypt для домену
   • 2 = Let’s Encrypt для IP сервера
   • 3 = використати існуючий сертифікат
4. Заповніть підказки сертифіката, якщо ви використовуєте вбудований потік Let’s Encrypt.

⚠️ ВАЖЛИВО: Порт панелі не є тим самим, що і порт валідації ACME. Ви можете запустити панель на випадковому порту, наприклад, 13525, і все ще потребувати відкритого публічного 80/tcp, щоб Let’s Encrypt міг валідувати сертифікат.

Важливе правило просте: використовуйте точні облікові дані, шлях і URL, надруковані вашим власним інсталятором, а не припущення, скопійовані зі старих підручників.

Ваш остаточний вихід буде виглядати більше так:

Username:    GENERATED_USERNAME
Password:    GENERATED_PASSWORD
Port:        13525
WebBasePath: RANDOM_PATH
Access URL:  https://YOUR_SERVER_IP:13525/RANDOM_PATH

Перевірте, чи працює служба:

Ця перевірка важлива. Зверніть особливу увагу на рядок веб-сервера у виході статусу:

• Якщо ви бачите Web server running HTTPS …, SSL панелі працює правильно.
• Якщо ви бачите Web server running HTTP …, панель встановлена успішно, але налаштування SSL не завершено.

Доступ до панелі здійснюється за допомогою точного URL, імені користувача та пароля, згенерованих вашим власним встановленням. Не припускайте, що шлях — це /panel, і не припускайте, що облікові дані — це admin/admin, якщо ваше власне встановлення явно не говорить про це.

💡 Порада 1: Щоб знову переглянути поточні налаштування панелі та надрукувати URL доступу, у CLI виконайте команду “x-ui” і виберіть номер 10 “Переглянути поточні налаштування” з виводу меню.

💡 Порада 2: Якщо URL доступу не завантажується, переконайтеся, що порт панелі 3x-ui відкритий у вашому брандмауері VPS. Наприклад, якщо ваша панель працює на порту “13525”, дозвольте його з: ” ufw allow 13525/tcp “. Замініть 13525 на фактичний порт, який ви налаштували для панелі 3x-ui.

Якщо інсталятор завершується, але systemctl status x-ui показує HTTP замість HTTPS

Найпоширеніша причина полягає в тому, що 80/tcp не був доступний з публічного інтернету під час валідації Let’s Encrypt. У такому випадку панель може все ще встановитися і запуститися, але видача сертифіката не вдається.

Спочатку виправте брандмауер:

Якщо ваш постачальник VPS має шар хмарного брандмауера або групи безпеки, дозволте 80/tcp і там. Потім повторно запустіть налаштування сертифіката панелі з скрипта управління 3x-ui:

Для сертифіката панелі на основі IP виберіть:

• 19 → 6 (Отримати SSL для IP-адреси)

Для сертифіката панелі на основі домену виберіть:

• 19 → 1 (Отримати SSL (Домен))

Після видачі сертифіката перевірте ще раз:

Ви хочете, щоб вихід статусу показував Web server running HTTPS … перед продовженням.

💡 Порада: Збережіть згенеровані облікові дані та URL панелі негайно. Також зауважте, що підсумок інсталятора може бути оманливим, якщо видача сертифіката не вдається — якщо остаточний блок друкує URL HTTPS, але systemctl status x-ui все ще показує HTTP, довіряйте виходу статусу служби і виправте SSL перед тим, як рухатися далі.

Карта рішень: де насправді починається “обхід цензури”

Після встановлення панелі проблема змінюється. Ви більше не намагаєтеся правильно встановити програмне забезпечення. Ви вирішуєте, як клієнтський трафік повинен представлятися мережі. Саме тут насправді починається “налаштування для обходу цензури”.

Найпростіший спосіб зменшити плутанину з термінологією — думати в трьох шарах: як клієнт і сервер спілкуються, як передається потік, і як цей трафік виглядає для зовнішнього спостерігача. Інакше, якщо ви зведете їх в один список модних слів, 3x-ui починає виглядати складніше, ніж насправді є.

Візьміть один приклад: VLESS + TCP/RAW + Reality на 443. VLESS — це протокол. TCP/RAW переносить потік. Reality формує, як з’єднання нагадує звичайну поведінку HTTPS. І 443 важливий, тому що камуфляж працює найкраще, коли він також відповідає за замовчуванням порту для звичайного зашифрованого веб-трафіку. У деяких місцях документація Xray каже raw, тоді як інтерфейс панелі каже TCP; для цієї статті розглядайте їх як один і той же концептуальний вибір транспорту.

⚠️ Попередження: Немає універсального переможця і немає постійно неблокованої комбінації. Мережі змінюються, фільтри розвиваються, і те, що добре змішується на одному шляху, може виділятися на іншому. Мета не в магії. Мета — вибрати найбільш розумний стек для вашого середовища.

Саме тому ця стаття зупиняється на карті, а не претендує на те, що одна сторінка може охопити кожну повну збірку. Наступний крок — вибір конфігураційної родини, яка відповідає вашій мережі та цілям.

Який шлях 3x-ui підходить для вашого випадку використання?

Якщо ви хочете отримати найчіткішу відповідь за замовчуванням спочатку, ось вона: для обмежувальних середовищ з інтенсивним DPI починайте з VLESS + Reality. Це чітко відокремлює протокол від стелса, добре працює на порту 443 і не змушує вас починати з домену або зворотного проксі.

Це не робить його відповіддю на кожну ситуацію. Якщо ви вже керуєте доменом або віддаєте перевагу більш традиційному робочому процесу TLS і зворотного проксі, тоді VLESS або Trojan через TLS з WebSocket або gRPC часто є кращим вибором. Цей шлях має більше сенсу, коли ви вже керуєте доменом і сертифікатами.

Якщо ваш пріоритет — пропускна здатність, і ваша мережа добре обробляє UDP, Hysteria 2 заслуговує на увагу. Це спеціалізований шлях тут, тому що його привабливість полягає не стільки в “виглядати якнайбільш звичайна сесія браузера”, скільки в “отримати високу продуктивність з дизайну на основі QUIC/UDP”. Це привабливо, але не є стандартною рекомендацією для початківців для стелс-перших налаштувань.

Shadowsocks 2022, VMess та подібні шляхи сумісності все ще мають місце, але в основному для міграції, підтримки старих клієнтів або вузьких обмежень сумісності. VMess, зокрема, не є найкращою рівноправною рекомендацією для початківців через його залежність від часу — ще одна операційна деталь, яку можна неправильно зрозуміти, коли вже існують простіші варіанти.

💡 Швидкий контрольний список рішень

• Цензурована мережа: почніть з VLESS + Reality
• Налаштування домену / зворотного проксі: оцініть TLS + WS/gRPC або Trojan
• Високошвидкісний UDP: протестуйте Hysteria 2
• Крайові випадки сумісності: розгляньте Shadowsocks 2022 або VMess

WireGuard і OpenVPN є корисними прикладами для контрасту, а не рекомендованим наступним кроком, оскільки звичайні форми протоколів VPN часто є тим, що обмежувальні мережі вчаться розпізнавати першими. Виберіть шлях, який відповідає вашому середовищу, потім побудуйте цей шлях перед додаванням інших варіантів.

Що ви можете зробити далі всередині 3x-ui після вибору шляху

Після вибору шляху 3x-ui стає операційним шаром. Це місце, де ви створюєте inbound, додаєте клієнтів, експортуєте посилання для спільного використання або QR-код, встановлюєте обмеження трафіку або дати закінчення терміну дії, і підтримуєте сервер керованим з часом, замість того, щоб копатися в сирих файлах Xray.

📝 Примітка: Панель — це не “просто екран входу”. Це адміністративна поверхня, де рішення щодо протоколу стають працюючими inbound, обліковими даними клієнтів, контролем використання та видимістю.

На практиці послідовність зазвичай проста: створіть inbound, додайте ідентифікатор клієнта, експортуйте деталі з’єднання, імпортуйте їх у клієнтський додаток і поверніться пізніше для обмежень, поновлень, журналів, статистики трафіку та оновлень маршрутизації або геофайлів, якщо це потрібно. Ця операційна видимість є великою частиною того, чому панель варто використовувати.

Якщо ви продовжуєте цю установку як серію, перший наступний посібник повинен бути збіркою VLESS + Reality для читачів у обмежувальних мережах. Це найбільш природна наступна стаття, оскільки вона перетворює цю ментальну модель в одну конкретну конфігурацію.

Висновок

Встановлення 3x-ui не є остаточним рішенням для обходу цензури. Це контрольна кімната. Реальний результат залежить від того, що ви налаштуєте всередині неї далі. Зберігайте розподіл простим: панель керування робить Xray керованим, але двигун і маршрут — вибір протоколу, транспорту та безпеки — вирішують, наскільки добре з’єднання переживає фільтрацію.

Тому зробіть чесний наступний крок і виберіть фактичний шлях, який найбільше відповідає вашим цілям. І коли ви серйозно налаштовані на самостійне розгортання свого вибору, стабільна інфраструктура VPS також має значення — чи то AlexHost, чи інший провайдер, який надає вам передбачуваний контроль над мережею та чистий доступ до брандмауера.