Что такое VLESS простыми словами?

VLESS — современный VPN-протокол от разработчиков Xray (форка V2Ray), появился в 2020 году. Его особенность — он не шифрует трафик сам, а полностью полагается на TLS (тот же протокол, что у обычного HTTPS) для шифрования. Это делает его быстрее и менее заметным для систем фильтрации, чем устаревшие VMess, OpenVPN или WireGuard. В России в 2026 году VLESS с транспортом Reality — практически единственный надёжно работающий протокол для широкого пользователя.

Что такое Reality и чем он отличается от обычного TLS?

Reality — это транспорт для Xray-сервера, представленный разработчиком RPRX в феврале 2023 года. Главная идея: сервер не имеет собственного TLS-сертификата вообще; вместо этого он подделывает TLS-рукопожатие реального публичного сайта (обычно www.microsoft.com, dl.google.com или www.apple.com). DPI Роскомнадзора видит на проводе настоящий сертификат Microsoft, реальный TLS 1.3 handshake — никаких отличий от браузера, открывшего microsoft.com. Если же DPI пытается активно «опросить» (active probing) этот IP — сервер Reality просто проксирует запрос на сам microsoft.com и возвращает его настоящий ответ. Подделать такую маскировку без полного MITM-захвата всего TLS-трафика интернета — на данный момент технически невозможно.

Почему WireGuard перестал работать в России?

WireGuard детерминирован: первый пакет handshake всегда ровно 148 байт, поля на фиксированных позициях, MAC-коды в конкретных смещениях. Для DPI это всё равно что табличка «я WireGuard». В России Роскомнадзор использует систему ТСПУ (технические средства противодействия угрозам), которая летом 2024 начала массово блокировать WireGuard на мобильных операторах МТС, МегаФон, Билайн и Tele2; к 2025–2026 блок распространился на большинство домашних провайдеров. По оценкам отраслевых наблюдателей, на программы ТСПУ и противодействие средствам обхода на 2025–2027 годы заложены десятки миллиардов рублей, поэтому быстро ситуация не изменится.

Что лучше: VLESS+Reality, AmneziaWG или Shadowsocks?

В 2026 году в России все три могут работать, но с разными свойствами. VLESS+Reality — самый стабильный обход DPI (маскируется под обычный HTTPS), используется новыми сервисами вроде XConnect и GeodemaVPN. AmneziaWG — это форк WireGuard от команды Amnezia с junk-пакетами (Jc/Jmin/Jmax) и переопределением заголовков (H1–H4, S1/S2), тоже хорошо обходит DPI, но требует более редкий клиент. Классический Shadowsocks почти не работает из-за эвристики высокой энтропии в ТСПУ; Shadowsocks-2022 работает чуть лучше, но всё равно периодически режется. Если выбирать один протокол под РФ в 2026 — VLESS+Reality.

Какой клиент для VLESS+Reality выбрать?

Под Android — Hiddify или Happ (оба бесплатные, с импортом подписок). Под iOS — v2RayTun, Happ или Streisand (последние два часто доступны только через иностранный Apple ID, потому что из российского App Store удалены). Под Windows — Hiddify или v2rayN. Под macOS — Hiddify. Под Linux — Nekoray (GUI) или sing-box (CLI). Hiddify — самый удобный кроссплатформенный вариант для новичка, он использует sing-box внутри и поддерживает все варианты VLESS, включая Reality. iOS-сборка Hiddify в 2024–2026 нестабильно представлена в App Store — для iPhone безопаснее ориентироваться на v2RayTun или Streisand. Главное — все эти клиенты сторонние; коммерческого «единого приложения как у NordVPN» у сервисов на Reality нет.

Можно ли поднять свой VLESS+Reality на VPS?

Да, и это реально дёшево. Аренда VPS с публичным IP в Финляндии или Германии стоит 150–300 ₽/мес у российских провайдеров (Aeza, FirstByte, Justhost). Минимальные требования: 1 vCPU, 1 ГБ RAM, Ubuntu 22.04 или Debian 12. Установка панели 3x-ui (наиболее популярная) выполняется одной командой в SSH. TLS-сертификат для Reality НЕ нужен — это одно из главных преимуществ, не надо возиться с Let’s Encrypt и доменом. Подробнее — на нашем sister-проекте vpsindex.ru.

Какие подводные камни у VLESS+Reality?

Главных два. Первый: в апреле 2026 года сообщество исследователей зафиксировало баг в популярных клиентах (v2RayTun, V2BOX, v2rayNG, Hiddify, NekoBox) — локальный socks5-прокси без аутентификации позволял другому приложению на устройстве узнать реальный exit-IP сервера. Это утечка приватности, не блокировка, но клиенты желательно обновлять. Второй: в Китае Великий китайский фаервол активно изучает Reality, и в перспективе нескольких лет тренд детектирования может прийти и в РФ — поэтому появляется новый транспорт XHTTP (поверх HTTP/2 и HTTP/3) от тех же авторов как следующая ступень. Также при высокой нагрузке на слабом VPS Reality может быть медленнее WireGuard на 10–30% из-за TLS-handshake-нагрузки.

Что такое VLESS простыми словами?

VLESS — современный VPN-протокол от разработчиков Xray (форка V2Ray), появился в 2020 году. Его особенность — он не шифрует трафик сам, а полностью полагается на TLS (тот же протокол, что у обычного HTTPS) для шифрования. Это делает его быстрее и менее заметным для систем фильтрации, чем устаревшие VMess, OpenVPN или WireGuard. В России в 2026 году VLESS с транспортом Reality — практически единственный надёжно работающий протокол для широкого пользователя.

Что такое Reality и чем он отличается от обычного TLS?

Reality — это транспорт для Xray-сервера, представленный разработчиком RPRX в феврале 2023 года. Главная идея: сервер не имеет собственного TLS-сертификата вообще; вместо этого он подделывает TLS-рукопожатие реального публичного сайта (обычно www.microsoft.com, dl.google.com или www.apple.com). DPI Роскомнадзора видит на проводе настоящий сертификат Microsoft, реальный TLS 1.3 handshake — никаких отличий от браузера, открывшего microsoft.com. Если же DPI пытается активно «опросить» (active probing) этот IP — сервер Reality просто проксирует запрос на сам microsoft.com и возвращает его настоящий ответ. Подделать такую маскировку без полного MITM-захвата всего TLS-трафика интернета — на данный момент технически невозможно.

Почему WireGuard перестал работать в России?

WireGuard детерминирован: первый пакет handshake всегда ровно 148 байт, поля на фиксированных позициях, MAC-коды в конкретных смещениях. Для DPI это всё равно что табличка «я WireGuard». В России Роскомнадзор использует систему ТСПУ (технические средства противодействия угрозам), которая летом 2024 начала массово блокировать WireGuard на мобильных операторах МТС, МегаФон, Билайн и Tele2; к 2025–2026 блок распространился на большинство домашних провайдеров. По оценкам отраслевых наблюдателей, на программы ТСПУ и противодействие средствам обхода на 2025–2027 годы заложены десятки миллиардов рублей, поэтому быстро ситуация не изменится.

Что лучше: VLESS+Reality, AmneziaWG или Shadowsocks?

В 2026 году в России все три могут работать, но с разными свойствами. VLESS+Reality — самый стабильный обход DPI (маскируется под обычный HTTPS), используется новыми сервисами вроде XConnect и GeodemaVPN. AmneziaWG — это форк WireGuard от команды Amnezia с junk-пакетами (Jc/Jmin/Jmax) и переопределением заголовков (H1–H4, S1/S2), тоже хорошо обходит DPI, но требует более редкий клиент. Классический Shadowsocks почти не работает из-за эвристики высокой энтропии в ТСПУ; Shadowsocks-2022 работает чуть лучше, но всё равно периодически режется. Если выбирать один протокол под РФ в 2026 — VLESS+Reality.

Какой клиент для VLESS+Reality выбрать?

Под Android — Hiddify или Happ (оба бесплатные, с импортом подписок). Под iOS — v2RayTun, Happ или Streisand (последние два часто доступны только через иностранный Apple ID, потому что из российского App Store удалены). Под Windows — Hiddify или v2rayN. Под macOS — Hiddify. Под Linux — Nekoray (GUI) или sing-box (CLI). Hiddify — самый удобный кроссплатформенный вариант для новичка, он использует sing-box внутри и поддерживает все варианты VLESS, включая Reality. iOS-сборка Hiddify в 2024–2026 нестабильно представлена в App Store — для iPhone безопаснее ориентироваться на v2RayTun или Streisand. Главное — все эти клиенты сторонние; коммерческого «единого приложения как у NordVPN» у сервисов на Reality нет.

Можно ли поднять свой VLESS+Reality на VPS?

Да, и это реально дёшево. Аренда VPS с публичным IP в Финляндии или Германии стоит 150–300 ₽/мес у российских провайдеров (Aeza, FirstByte, Justhost). Минимальные требования: 1 vCPU, 1 ГБ RAM, Ubuntu 22.04 или Debian 12. Установка панели 3x-ui (наиболее популярная) выполняется одной командой в SSH. TLS-сертификат для Reality НЕ нужен — это одно из главных преимуществ, не надо возиться с Let’s Encrypt и доменом. Подробнее — на нашем sister-проекте vpsindex.ru.

Какие подводные камни у VLESS+Reality?

Главных два. Первый: в апреле 2026 года сообщество исследователей зафиксировало баг в популярных клиентах (v2RayTun, V2BOX, v2rayNG, Hiddify, NekoBox) — локальный socks5-прокси без аутентификации позволял другому приложению на устройстве узнать реальный exit-IP сервера. Это утечка приватности, не блокировка, но клиенты желательно обновлять. Второй: в Китае Великий китайский фаервол активно изучает Reality, и в перспективе нескольких лет тренд детектирования может прийти и в РФ — поэтому появляется новый транспорт XHTTP (поверх HTTP/2 и HTTP/3) от тех же авторов как следующая ступень. Также при высокой нагрузке на слабом VPS Reality может быть медленнее WireGuard на 10–30% из-за TLS-handshake-нагрузки.

VLESS + Reality: что это и почему работает в России в 2026

Если вы пользовались VPN в России в 2022 году и пользуетесь сейчас, вы заметили: то, что работало два года назад, в 2026 не работает совсем. Открытый WireGuard, OpenVPN, IKEv2, L2TP — на мобильных операторах не поднимаются вообще, у домашних провайдеров — с переменным успехом. Параллельно почти все новые VPN-сервисы в РФ упоминают в описании какие-то загадочные «VLESS» и «Reality». Что это, чем отличается от WireGuard и почему именно эта связка стала отраслевым стандартом — разберём подробно, на пальцах.

Статья будет полезна тем, кто хочет понимать, что происходит внутри современного VPN — без программистского бэкграунда, но с честным техническим объяснением. В конце — гид по клиентам, оценка устойчивости в 2026 и список подводных камней, которые стоит знать.

Простая аналогия: что такое DPI и чем он мешает VPN

Представьте, что вы отправляете письмо через почту, но почтальон — недоверчивый. Он не вскрывает конверты (это запрещено), но смотрит на форму конверта, цвет марки, форматирование адреса. Если письмо выглядит как стандартное деловое — пропускает. Если конверт квадратный, с непонятными штрихами и фольгой — задерживает «для проверки». Письма он не читает, но судит по обёртке.

DPI (Deep Packet Inspection) работает примерно так же с интернет-трафиком. В России это устройства ТСПУ — «Технические Средства Противодействия Угрозам», которые Роскомнадзор поставил у каждого магистрального оператора. ТСПУ не расшифровывает ваш трафик (это невозможно для нормально настроенного шифрования), но смотрит на форму пакетов: размеры, заголовки, паттерны handshake.

И вот тут начинается главная проблема WireGuard, OpenVPN и других классических VPN-протоколов: они имеют детерминированную, узнаваемую форму. У WireGuard первый пакет handshake всегда ровно 148 байт, в фиксированных смещениях лежат фиксированные поля. Для ТСПУ это всё равно что табличка «привет, я WireGuard, заблокируй меня». Никакого секрета, никакой маскировки — протокол по дизайну выглядит уникально.

Хронология блокировок VPN в России (2023–2026)

2023 год — Роскомнадзор начал использовать ТСПУ для блокировки OpenVPN и WireGuard на отдельных регионах в качестве пилота.
С лета 2024 — поэтапная блокировка WireGuard на мобильных операторах (МТС, МегаФон, Билайн, Tele2): сначала пилотные регионы, к концу 2024 — практически повсеместно. Где-то трафик режется до неприменимых скоростей, где-то handshake не проходит вообще.
Осень 2024 — 2025 — расширение блокировок на домашних провайдеров (Ростелеком, Дом.ru, ЭР-Телеком). К концу 2024 ТСПУ умеет резать OpenVPN, IKEv2, L2TP, PPTP, IPsec, WireGuard и большинство вариантов Shadowsocks.
Лето 2025 — по сообщениям из VPN-сообщества и аналитиков ТСПУ начал применять «Default Deny» к неидентифицированному UDP-трафику в отдельных регионах. Это бьёт по UDP-вариантам Shadowsocks, Hysteria и DNS-туннелированию (масштабы и охват по регионам разнятся).
2025–2027 — по оценкам отраслевых наблюдателей, на программы ТСПУ и противодействие средствам обхода заложены десятки миллиардов рублей; точные цифры публично не раскрываются.
2026 — устойчиво работают только протоколы с активной маскировкой под обычный HTTPS-трафик: VLESS+Reality, AmneziaWG, Trojan, Hysteria 2 (где UDP ещё пропускают).

VLESS: что это технически

VLESS — это VPN-протокол, появившийся в 2020 году в составе проекта V2Fly (известного как «V2Ray»). Название расшифровывается как «VMess Less» — то есть «VMess, но облегчённый». В январе 2021 года разработчик под ником RPRX форкнул движок V2Ray в отдельный проект Xray-core, и сегодня именно Xray является основной реализацией VLESS. Параллельно есть независимая Go-реализация sing-box, которую использует множество клиентов под капотом.

Чем VLESS отличается от своего предшественника VMess:

Stateless — VLESS не держит внутреннего состояния, не зависит от времени сервера и клиента. У VMess рассинхронизация ±90 секунд ломала соединение — это была причина половины багов.
Без собственного шифрования — VLESS не шифрует трафик сам по себе, а полностью полагается на TLS (или Reality) как транспорт. Это решает проблему «TLS-in-TLS», когда зашифрованный VMess внутри TLS создавал двойное шифрование и характерный fingerprint.
Простая аутентификация — клиент передаёт серверу 16-байтовый UUID внутри уже зашифрованного транспорта. Серверу не нужно проверять подписи или таймстампы.

На клиенте конфиг VLESS выглядит как ссылка вида vless://UUID@host:port?...&security=reality&sni=microsoft.com&pbk=...#name. Клиентское приложение умеет импортировать такую ссылку напрямую или из подписки (по сути, файла со списком серверов).

XTLS-Vision — зачем эта аббревиатура

Часто в конфиге VLESS вы увидите параметр flow=xtls-rprx-vision. Vision — это режим оптимизации, добавленный RPRX: ядро Linux пропускает уже-зашифрованный TLS-payload напрямую между сокетами через системный вызов splice(), не копируя данные в userspace. Это даёт прирост скорости и убирает «TLS-in-TLS» fingerprint. Если видите «xtls-rprx-vision» — это норма, ничего экзотического.

Reality: революция в маскировке трафика

REALITY (название всегда пишется большими буквами — это не маркетинг, а технический термин, обозначающий модуль Xray-core) был представлен RPRX в феврале 2023 года. До Reality все способы маскировки VPN под обычный HTTPS имели общую проблему: VPN-сервер должен иметь собственный TLS-сертификат на какой-то домен. И ТСПУ мог сделать active probing — отправить тот же TLS-запрос и проверить, что за этим доменом стоит «настоящий сайт». Если за доменом стоит дефолтный Nginx или редирект — палево.

Reality этот цикл ломает. Принцип:

Клиент инициирует обычный TLS-handshake, но в SNI указывает не «свой» VPN-домен, а адрес какого-то реального публичного сайта — например, www.microsoft.com, dl.google.com или www.apple.com.
Сервер Reality видит входящий ClientHello, выделяет из него специальный auth-tag (вычисленный по X25519 + публичный ключ сервера, известный клиенту).
Если auth-tag валидный — сервер отвечает как настоящий VLESS-сервер и устанавливает VPN-туннель.
Если auth-tag невалидный (это значит, что подключается ТСПУ с active probing, а не легитимный клиент) — сервер просто пробрасывает TCP-соединение на реальный microsoft.com и возвращает его настоящий ответ.

В результате ТСПУ видит:

Запрос на TLS-handshake к microsoft.com — норма.
В ответ — реальный сертификат microsoft.com (потому что сервер Reality его «одолжил»).
При active probing — реальный microsoft.com отвечает на запросы. ТСПУ не отличает Reality-IP от обычного.

Чтобы технически заблокировать Reality, надо либо заблокировать сам microsoft.com (что нереально), либо научиться различать его от Reality-fakes (что требует MITM-перехвата всего TLS-трафика — пока никто этого не делает). Поэтому Reality в 2026 году — лучший рабочий способ обхода DPI для широкого пользователя.

Почему «без своего домена» — это критично

До Reality все маскировочные методы (Trojan, WebSocket+TLS, gRPC+TLS) требовали: купить домен, получить TLS-сертификат через Let’s Encrypt, настроить веб-сервер. ТСПУ при active probing на ваш домен мог понять, что за ним нет реального сайта. С Reality всё это не нужно: ваш VPN-сервер по сути «прячется» за реальным существующим Microsoft. Это вообще другой класс задачи.

Сравнение VPN-протоколов в России в 2026

Протокол	Статус в РФ 2026	Почему
WireGuard (классический)	Не работает	Детерминированный 148-байтовый handshake
OpenVPN (TCP/UDP)	Не работает	Характерный TLS-ClientHello, fingerprint
IKEv2 / IPsec / L2TP	Не работает	UDP/500, UDP/4500 — фиксированные порты
Shadowsocks (классический)	Почти не работает	Высокая энтропия трафика, ловится эвристикой ТСПУ
Shadowsocks-2022 (AEAD)	Частично	Чуть лучше, но та же энтропийная проблема
VMess (V2Ray, старый)	Условно (deprecated)	TCP+TLS ещё ходит, но fingerprint палится
Trojan	Работает	Маскируется под HTTPS, но нужен свой домен
AmneziaWG	Работает	Форк WireGuard с junk-пакетами (Jc/Jmin/Jmax) и переопределением заголовков (H1–H4, S1/S2)
VLESS + Reality	Работает (лучший)	TLS-неотличим от microsoft.com
Hysteria 2	Работает (UDP)	QUIC-based, маскируется под HTTP/3
TUIC v5	Условно (UDP)	QUIC, страдает от блокировок UDP в РФ
XHTTP (новый Xray, 2024)	Работает (восходящий)	Новый транспорт Xray поверх HTTP/2 и HTTP/3 с режимами packet-up / stream-up

Клиенты для VLESS+Reality

Главное, что важно понимать: у VPN на VLESS+Reality, в отличие от NordVPN или ExpressVPN, нет «единого фирменного приложения от провайдера». Вы устанавливаете один из универсальных клиентов и импортируете в него подписку (ссылку вида https://…/sub) либо отдельный конфиг vless://…. Поэтому выбор клиента — отдельная задача.

Клиент	Платформы	Кому подходит
Hiddify	Win, Mac, Linux, Android	Универсал для новичка, GUI, sing-box внутри. iOS-версия в 2024–2026 нестабильно представлена в App Store
Happ	iOS, Android, Win, Mac	Удобный импорт подписок; основные сборки — мобильные, десктопные версии живые, но менее зрелые
v2RayTun	iOS, Android, Win, Mac	Один из самых стабильных по отзывам. В App Store доступен через иностранный Apple ID
NekoBox / NekoRay	Android / Win, Linux	Продвинутый GUI поверх sing-box
v2rayNG	Android	Старичок, базовый
v2rayN	Windows	«Народный» клиент для Win
Streisand	iOS	Бесплатный нативный для iPhone/iPad. Из российского App Store был убран в 2024 — ставится через иностранный Apple ID
FoXray	iOS	Минималистичный для iPhone
sing-box	CLI, все ОС	Ядро, не клиент; для продвинутых

Простой рецепт: на смартфоне Android — поставьте Hiddify или Happ; на iPhone — Happ, v2RayTun или Streisand (последние два часто доступны только через иностранный Apple ID); на Windows — v2rayN или Hiddify; на Mac — Hiddify. Импортируйте в клиент подписку с сайта вашего VPN-сервиса (там обычно есть кнопка «Скопировать ссылку подписки»), подключитесь — готово.

Что это значит на практике: какие VPN из нашего каталога используют Reality

Из 6 сервисов в нашем рейтинге VLESS+Reality напрямую заявляют два:

Технически почти все «новые» российские VPN-сервисы 2024–2026 годов под капотом — это frontend поверх Xray-core или sing-box с панелью управления вроде 3x-ui или Marzban, биллингом, Telegram-ботом для поддержки и красивым лендингом. Своей криптографии у них нет, и в этом нет ничего страшного — это отраслевая норма. Конкурентное преимущество здесь — UX, оплата из РФ, выбор локаций, скорость и качество поддержки. В нашем рейтинге XConnect VPN и GeodemaVPN используют именно этот стек.

Сервисы вроде Дядя Ваня VPN и Bebra VPN поддерживают WireGuard и Shadowsocks как основной протокол, но в условиях 2026 это работает только если ваш провайдер «не покрашен» ТСПУ (часть домашних провайдеров пока проходит). В мобильных сетях нужны Reality или AmneziaWG.

Подводные камни и риски VLESS+Reality

Апрель 2026: утечка IP через локальный socks5

В апреле 2026 года сообщество исследователей опубликовало отчёт о баге в популярных клиентах: при стандартной настройке клиент поднимает на устройстве локальный SOCKS5-прокси без аутентификации. Любое другое приложение на устройстве (включая потенциально вредоносное) может подключиться к этому прокси и получить реальный IP-адрес exit-сервера VPN. Затронутые клиенты: v2RayTun, V2BOX, v2rayNG, Hiddify, NekoBox. Это не блокировка и не разоблачение пользователя, но утечка приватности. Защита: включить в настройках клиента аутентификацию SOCKS5 (логин/пароль) или ограничить локальный прокси адресом 127.0.0.1 и закрыть его в файрволле. На момент публикации этой статьи (май 2026) патчи большинства клиентов в работе.

Скорость на слабом VPS

На малых VPS (1 vCPU без AES-NI, общая виртуализация) Reality может быть на 10–30% медленнее WireGuard на той же машине из-за нагрузки TLS-handshake и шифрования. При больших объёмах загрузки (4K-стриминг, торренты) разница заметна. Решение: брать VPS чуть мощнее (2 vCPU, KVM-виртуализация) или включать BBR для TCP.

Будущее: ТСПУ изучает Reality

В Китае Великий Файрвол активно изучает VLESS+Reality и периодически блокирует отдельные шаблоны конфигов (обычно из-за неоптимально подобранного fingerprint или dest-сайта). В РФ до этой стадии пока не дошло, но тренд один. Команда Xray в ответ выпустила транспорт XHTTP (новый транспорт поверх HTTP/2 и HTTP/3 с режимами packet-up / stream-up) — это следующая ступень обхода. Если через пару лет Reality станет ловиться — XHTTP-серверы будут наготове.

Свой VLESS+Reality на VPS за 200 ₽/мес

Самостоятельная установка реально не сложнее, чем кажется. Что нужно:

Возьмите VPS с публичным IPv4. Минимум: 1 vCPU, 1 ГБ RAM, 5–10 ГБ диска. Ubuntu 22.04 LTS или Debian 12. Из российских провайдеров на 150–300 ₽/мес — Aeza, FirstByte, Justhost (локации Финляндия, Германия, Нидерланды). У Aeza и некоторых других проверьте: нет ли в личном кабинете «внешнего файрвола» — если есть, добавьте правило, открывающее порт 443 (для Reality-инбаунда) и порт, который будет назначен под панель управления.
Подключитесь по SSH (как пользователь root или sudo), выполните одну команду установки 3x-ui:bash <(curl -Ls https://raw.githubusercontent.com/MHSanaei/3x-ui/master/install.sh)Важно: после установки на экране появится блок с реквизитами доступа — случайные порт, логин, пароль и web base path. Запишите их сразу или сделайте скриншот SSH-окна. Без них на панель не зайти, потому что 3x-ui v2.x генерирует уникальные значения для каждой установки (нет «стандартного порта 2053» или «admin/admin»).
Откройте панель в браузере по адресу http://IP-сервера:ПОРТ/BASE_PATH/. Войдите выданным логином и паролем. Если страница не открывается — на сервере включён ufw: выполните sudo ufw allow PORT/tcp или временно отключите файрвол через sudo ufw disable.
Создайте Reality-инбаунд. В 3x-ui: Inbounds → Add Inbound. Параметры: Protocol: vless, Listen Port: 443, Transport: tcp, в блоке Security — Reality. В Reality-секции заполните: Dest: www.microsoft.com:443; Server Names (SNI): www.microsoft.com,microsoft.com; нажмите Get New Cert (или Generate) — панель сгенерирует приватный/публичный ключ X25519 и shortId. Создайте клиента (UUID) и обязательно поставьте flow: xtls-rprx-vision.
Импортируйте конфиг в клиент. В 3x-ui у созданного пользователя нажмите кнопку QR-кода или скопируйте ссылку vless://.... На смартфоне — отсканируйте QR в Hiddify/Happ; на десктопе — скопируйте ссылку и импортируйте в v2rayN/Hiddify.
Проверьте, что VPN работает. Подключите клиент к серверу, откройте 2ip.ru или ipinfo.io — должен показывать IP и страну вашего VPS, не вашего провайдера. Если показывает Россию — переключите режим маршрутизации в клиенте на «Global»/«Через прокси всё» (по умолчанию некоторые клиенты пускают через VPN только запрещённые сайты).
Запомните команду для восстановления. Если потеряете пароль от панели или нужно сменить порт — на сервере выполните sudo x-ui, откроется текстовое меню с опциями «Reset Username / Password», «Reset Port», «Update», «Reset Settings», «Show Status». Это страховка от запирания себя за «забытым» URL.

Поднять можно за 30–40 минут даже без опыта системного администрирования — основное время уйдёт на регистрацию у хостера и аккуратное копирование реквизитов из вывода установки. Подбор VPS — на нашем sister-проекте vpsindex.ru.

Когда стоит брать свой сервер vs коммерческий VPN

Свой VPS — это 150–300 ₽/мес + час разовой настройки + 0 наценки. Коммерческий VPN — 92–500 ₽/мес, готовые серверы в десятках стран, поддержка, регулярное обновление. Если вам нужна одна локация и низкая цена в длинную — берите VPS. Если хотите переключать страны (под ChatGPT, Netflix, торренты) и не хотите возиться с обновлениями — берите коммерческий сервис.

Частые вопросы

VPN на VLESS+Reality из каталога

XConnect VPN (от 92 ₽/мес при годовой) и GeodemaVPN (от 166 ₽/мес при годовой) работают на современном стеке VLESS+Reality. Стабильно обходят DPI на мобильных операторах и домашних провайдерах.

Посмотреть рейтинг С оплатой из РФ