3x-ui3x-ui
Конфигурация

REALITY

Настройка входящего подключения VLESS + REALITY с XTLS-Vision в 3x-ui — ключи, short ID, SNI, отпечатки и типичные ошибки.

REALITY — это механизм безопасности транспорта Xray, маскирующий ваш прокси под обычный трафик к реальному популярному сайту. В отличие от классического TLS, вашему серверу не нужен собственный сертификат — он заимствует TLS-рукопожатие целевого сайта (dest). В сочетании с потоком XTLS-Vision это работает быстро и устойчиво к глубокому анализу пакетов.

REALITY используется с VLESS (а также Trojan). Рекомендуемый поток — xtls-rprx-vision.

Ключевые настройки

Когда вы выбираете REALITY в качестве режима безопасности для входящего подключения VLESS, 3x-ui отображает следующие поля:

ПолеЧто это такое
Dest (цель)Реальный TLS-сайт для имитации, например www.microsoft.com:443.
SNI / Server NamesИмя(имена) хоста, которые отправляют клиенты; должны совпадать с сертификатом цели.
Public / Private keyПара ключей x25519. Приватный ключ остаётся на сервере.
Short IDsШестнадцатеричные строки для аутентификации клиентов (их может быть несколько).
FlowУстановите в xtls-rprx-vision.
Fingerprint (uTLS)TLS-отпечаток клиента для имитации, например chrome.

Приватный ключ генерируется утилитой x25519 из состава Xray (панель может сгенерировать пару за вас):

generate an x25519 keypair
xray x25519

Настройка в панели

Создайте входящее подключение VLESS

Добавьте новое входящее подключение, выберите протокол VLESS и установите Security в reality.

Выберите цель (dest) и SNI

Выберите авторитетный сайт, поддерживающий TLS 1.3 и HTTP/2 и доступный как с вашего сервера, так и с устройств клиентов (например www.microsoft.com:443). Задайте server names / SNI так, чтобы они совпадали с сертификатом этого сайта.

Сгенерируйте ключи и short ID

Сгенерируйте пару ключей x25519 и один или несколько short ID. Держите приватный ключ в секрете; клиенты получают только публичный ключ.

Задайте поток и отпечаток

Используйте поток xtls-rprx-vision и распространённый отпечаток uTLS, например chrome.

Добавьте клиента и поделитесь ссылкой

Создайте клиента, затем используйте его ссылку для подключения или QR-код в совместимом приложении (v2rayNG, Hiddify, Mihomo и других).

Как выглядит конфигурация

На сервере секция streamSettings входящего подключения REALITY выглядит примерно так:

server inbound (excerpt)
{
  "network": "tcp",
  "security": "reality",
  "realitySettings": {
    "dest": "www.microsoft.com:443",
    "serverNames": ["www.microsoft.com"],
    "privateKey": "<x25519 private key>",
    "shortIds": ["<hex short id>"],
    "fingerprint": "chrome"
  }
}

Соответствующая клиентская ссылка для подключения содержит публичные параметры:

vless:// (excerpt)
vless://<uuid>@<server>:443?security=reality&pbk=<public-key>&sid=<short-id>&sni=www.microsoft.com&fp=chrome&spx=%2F&flow=xtls-rprx-vision#my-reality
  • pbkпубличный ключ REALITY
  • sid — short ID (совпадает с одним из заданных на сервере)
  • sni — server name (совпадает с сертификатом цели)
  • fp — отпечаток клиента
  • spx — путь spiderX
  • flowxtls-rprx-vision

Типичные ошибки

  • Неподходящая цель. Значение dest должно указывать на реальный сайт, который поддерживает TLS 1.3 и HTTP/2, доступен и не заблокирован в вашем регионе. Выбирайте сайт, который вам не принадлежит и на который идёт большой трафик.
  • Несовпадение SNI. Значения SNI / server names должны совпадать с реальным сертификатом цели, иначе рукопожатие выдаст маскировку.
  • Утечка приватного ключа. Клиентам всегда передавайте только публичный ключ.
  • Неправильный поток. Для REALITY + XTLS-Vision нужен flow = xtls-rprx-vision как в записи клиента входящего подключения, так и в ссылке для подключения.

Сгенерируйте конфигурацию

Используйте генератор ниже, чтобы создать новую пару ключей X25519, UUID и short ID, а затем скопируйте JSON входящего подключения сервера и клиентскую ссылку для подключения. Все вычисления выполняются в вашем браузере — никакие ключи и ссылки никуда не отправляются.

REALITY config generator

Generate a VLESS + REALITY inbound and client link. Keys are created in your browser — nothing is sent anywhere.

Your domain or IP
A real TLS 1.3 site, e.g. www.microsoft.com:443
Generated keys & identifiers
Public key
Private key
UUID
Short ID
Server inbound (Xray JSON)
Client share link

Приватный ключ должен оставаться только на вашем сервере. Делитесь с клиентами сгенерированной ссылкой vless:// (которая содержит публичный ключ).

Входящие подключения и протоколы

Создание входящих подключений в 3x-ui — протоколы, транспорты, сброс трафика и срок действия, а также fallback-правила, обслуживающие несколько протоколов на одном порту.

Транспорты и безопасность

Транспорты и уровни безопасности, которые предоставляет 3x-ui — TLS, REALITY, XTLS-Vision и шифрование VLESS — а также какие их комбинации допустимы.

On this page

Ключевые настройкиНастройка в панелиСоздайте входящее подключение VLESSВыберите цель (dest) и SNIСгенерируйте ключи и short IDЗадайте поток и отпечатокДобавьте клиента и поделитесь ссылкойКак выглядит конфигурацияТипичные ошибкиСгенерируйте конфигурацию