3x-uiТранспорты и безопасность
Транспорты и уровни безопасности, которые предоставляет 3x-ui — TLS, REALITY, XTLS-Vision и шифрование VLESS — а также какие их комбинации допустимы.
Транспорт определяет, как пакеты переносятся между клиентом и сервером, а уровень безопасности определяет, как они шифруются и маскируются. Панель предлагает только допустимые комбинации; на этой странице перечислены правила, которые она применяет.
Транспорты
| Транспорт | Когда использовать |
|---|---|
| TCP (Raw) | Минимальные накладные расходы. Основа для REALITY + XTLS-Vision и фолбэков. |
| WebSocket | Работает через CDN и HTTP-реверс-прокси; очень совместимый. |
| gRPC | На базе HTTP/2; хорошо мультиплексируется и чисто проксируется через Nginx. |
| HTTPUpgrade | Дружественный к CDN апгрейд HTTP/1.1, легче полноценного WebSocket. |
| XHTTP | Расширенный HTTP-транспорт для проксирования на основе HTTP. |
| HTTP | Транспорт HTTP/2. |
Безопасность
Уровень безопасности — это одно из значений none, tls или
reality, со следующими правилами совместимости:
| Безопасность | Допустимые транспорты | Допустимые протоколы |
|---|---|---|
| TLS | tcp, ws, http, grpc, httpupgrade, xhttp | VLESS, VMess, Trojan, Shadowsocks (и Hysteria2) |
| REALITY | tcp, http, grpc, xhttp | VLESS, Trojan |
REALITY маскирует ваш сервер под настоящий TLS-сайт и не требует сертификата — см. REALITY.
Поток XTLS-Vision
Поток xtls-rprx-vision быстрый и устойчивый к DPI. Он доступен для
VLESS, когда выполнено одно из условий:
- транспорт — это «сырой» TCP с безопасностью TLS или REALITY (классический XTLS-Vision), либо
- транспорт — это XHTTP с включённым шифрованием VLESS (см. ниже).
Поток задаётся на клиенте VLESS, а не на inbound.
Шифрование VLESS (ML-KEM)
VLESS поддерживает постквантовое шифрование (ML-KEM / mlkem768x25519),
которое хранится в поле decryption у inbound (сервер) и в поле encryption у
клиентов (для генерации ссылок). Когда оно включено, становится доступен поток
Vision поверх XHTTP. Сгенерируйте ключи в настройках VLESS на панели.
Шифры Shadowsocks
Inbound-соединения Shadowsocks поддерживают как классические шифры, так и
Shadowsocks-2022 (имена методов, начинающиеся с 2022-blake3-). Большинство
шифров рассчитаны на нескольких пользователей; 2022-blake3-chacha20-poly1305
рассчитан на одного пользователя.
Транспорты и безопасность должны совпадать на обоих концах. Ссылка на
подключение, которую использует клиент, кодирует их (type=ws,
security=reality, flow=xtls-rprx-vision, …) — декодируйте любую ссылку с
помощью инспектора ссылок на подключение.