Seit über 15 Jahren bewährt im Hosting. Ihr VPS mit BeAdmin ist sofort einsatzbereit.
Deutschland
Niederlande
Schweden
Schweiz
Spanien
USA
Xray. So funktioniert der Dienst
Das Xray‑Modul im BeAdmin‑Panel betreibt ein VPN, das für die Netzwerktechnik des Betreibers wie gewöhnlicher HTTPS‑Verkehr zu einer populären öffentlichen Website aussieht. Verwendet wird das Protokoll VLESS mit der Erweiterung REALITY — sie sorgt dafür, dass das erste «Hallo» des Servers nicht von einem echten Besuch einer großen Seite zu unterscheiden ist. Geeignet für feindliche Netze, in denen selbst die Handshake‑Tarnung (wie bei Amnezia) nicht mehr ausreicht.
Welches Problem Xray löst
Moderne Zensursysteme können weit mehr, als nur die Signatur des ersten Pakets zu prüfen. Neben passivem DPI verwenden sie aktive Sondierung — das Equipment klopft selbst an verdächtige Server und prüft, ob sie sich so verhalten wie die behauptete Seite. WireGuard verrät sich dabei (es bleibt auf fremden Verkehr stumm); selbst getarntes AmneziaWG lässt sich in den aggressivsten Netzen mit der Zeit aufspüren.
Xray mit REALITY geht das Problem von der anderen Seite an: Statt das VPN unter weißem Rauschen zu verstecken, sorgt es dafür, dass die erste Verbindung wie ein gewöhnlicher Besuch einer populären HTTPS‑Seite aussieht. Jeder, der von außen schaut — auch ein aktiver Prober des Zensors — sieht ein «normales» HTTPS‑Gegenüber und keinen «merkwürdigen unbekannten Server».
Wie Xray den Datenverkehr tarnt
Die Tarnung beruht auf drei Dingen, alle dienen einer einzigen Idee — wie eine ganz gewöhnliche Website auszusehen.
Ein geliehener TLS‑Handshake. Bei der Verbindung des Clients tauscht der Server mit ihm die TLS‑Zertifikate einer echten großen Website aus: Für einen Beobachter sieht es so aus, als hätte der Client einfach diese Seite geöffnet. Keine selbstsignierten Zertifikate, keine seltsamen Domains — eine echte öffentliche Seite.
Ein geheimer Schlüssel schaltet ins VPN um. Erst nachdem der Client den öffentlichen Schlüssel des Servers vorgelegt hat, biegt die Verbindung «nach innen» ab — in den VPN‑Kanal. Wer den Schlüssel nicht kennt, sieht bis zum Ende einen «gewöhnlichen Besuch der Seite» und bekommt keinen Zugang zum VPN.
Schutz gegen aktive Sondierung. Schaut ein zufälliger Außenstehender (etwa ein Prober des Zensors) beim Server vorbei, bekommt er einen vollkommen echten Handshake zu eben jener großen Website zurück. Die Zensurtechnik kann nicht unterscheiden, ob es sich um einen VPN‑Server oder um einen Spiegel einer bekannten Ressource handelt.
Die Tarn‑Website, die Schlüssel, die Verbindungs‑Identifikatoren und die Nutzer‑UUIDs wählt das Panel bei der Installation für Sie aus — manuell ist nichts einzurichten.
Einen Parameter sollten Sie jedoch im Blick behalten — die Maskierungs‑Domain, eben jene öffentliche Website, unter deren gewöhnliche HTTPS‑Aufrufe sich Ihr Traffic tarnt. «Sichere» Tarn‑Websites veralten mit der Zeit: Was heute frei durchgeht, gerät morgen unter DPI‑Beobachtung (so geschehen mit www.microsoft.com, das das Panel lange als Standard vorschlug). Deshalb lässt sich die Domain direkt in den Moduleinstellungen wechseln, ohne das Modul neu zu installieren — funktioniert die Verbindung mit der aktuellen Domain nicht mehr, wechseln Sie auf eine andere. Mehr dazu in Xray. Modulverwaltung.
Multi‑Hop: zwei Installationen in einer Kette
Üblicherweise läuft der Traffic Gerät → Xray‑Server → Internet, und für den Rest der Welt ist die Ausgangs‑IP die IP Ihres Servers. Mitunter funktioniert selbst ein gut getarnter Einzelserver nicht mehr: Sein REALITY‑Handshake ist bereits von DPI erkannt oder seine IP ist nicht mehr erreichbar. Für diesen Fall hat Xray einen Multi‑Hop‑Modus — eine Kette aus zwei unabhängigen BeAdmin‑Installationen: Gerät → Eingangs‑Hop → Ausgangs‑Hop → Internet.
Der Eingangs‑Hop sieht für den Provider wie ein gewöhnlicher REALITY‑Server aus, ins Internet tritt der Traffic aber bereits mit der IP des Ausgangs‑Hops aus — auf einem anderen Server, in einem anderen Netz. So werden «der Punkt, den der Provider sieht» und «der Punkt, den das Internet sieht» voneinander getrennt: Selbst wenn der Eingang nicht mehr erreichbar ist, bleibt die Ausgangsadresse abseits.
Das ist ein eigenes Szenario mit eigener Einrichtung — wie Sie eine Kette aus zwei Servern aufbauen, ist in Xray. Multi‑Hop‑Modus beschrieben.
Was Xray nicht kann
Es lohnt sich, explizit zu benennen, was Xray nicht verspricht — häufige Erwartungen, die dieses Protokoll nicht abdeckt.
- Funktioniert nicht mit gewöhnlichen VPN‑Clients. Eine spezielle App mit Xray‑Unterstützung wird benötigt — Hiddify, Streisand, v2box und Ähnliche. Ein vertrauter WireGuard‑Client oder der eingebaute VPN‑Client von iOS/Android genügt nicht.
- Fügt keine zusätzliche Verschlüsselung hinzu. Der Verkehr ist durch moderne Kryptografie ebenso geschützt wie gewöhnliches HTTPS — Xray legt keine zweite Verschlüsselungsschicht darüber.
- Kein Tor und keine Anonymisierung. Die Tarnung verbirgt das VPN vor dem Provider und der Zensurtechnik, der Zielserver sieht aber weiterhin die IP Ihres Servers (im Multi‑Hop‑Modus die IP des Ausgangs‑Hops). Multi‑Hop fügt genau einen Zwischenknoten hinzu, um die Ausgangs‑IP zu wechseln — keine Anonymisierungskette wie bei Tor.
- Keine Magie gegen jede Zensur. Der Schutz vor aktiver Sondierung ist stark, aber nicht absolut: Ein entschlossener Gegner kann den Kreis verdächtiger «Spiegel» mit der Zeit statistisch einengen. Xray hebt die Hürde deutlich, macht den Tunnel aber nicht grundsätzlich unauffindbar.
- Macht VPN nicht legal. Wenn die Nutzung eines VPNs in Ihrer Rechtsordnung eingeschränkt oder verboten ist, ändert die Tarnung als HTTPS daran nichts. Das ist ein technisches Werkzeug, kein rechtlicher Ausweg.
Xray in BeAdmin
Das Xray‑Modul in BeAdmin wird fast ohne Einrichtung installiert: Bei der Installation fragt das Panel nur nach dem Port (Standard 8443) und wählt die übrigen Tarn‑Parameter selbst aus — es wählt die große öffentliche Website, unter deren Verkehr sich der Server «vorstellt», erzeugt die Schlüssel und Verbindungs‑Identifikatoren. Konfigurationsdateien bearbeiten oder mit der Kommandozeile arbeiten ist nicht nötig. Port und Maskierungs‑Domain lassen sich später direkt in den Moduleinstellungen ändern.
Nach der Installation können Sie sofort Benutzer anlegen. Für jeden Benutzer erzeugt das Panel einen fertigen Verbindungslink und einen QR‑Code — der Client scannt den QR aus einer App mit Xray‑Unterstützung (Hiddify, Streisand, v2box, NapsternetV, ClashX und Ähnliche — jedes Betriebssystem hat seine eigene Auswahl). Parameter müssen nicht von Hand vom Server auf das Gerät übertragen werden.
Was der Server braucht: einen gewöhnlichen VPS oder eine physische Maschine. Auf containerbasierten Servern (LXC, OpenVZ ohne vollständige Virtualisierung) startet das Modul nicht — vollständiger Zugriff auf den Netzwerk‑Stack ist erforderlich. Aktuelle Ubuntu‑ und Debian‑Versionen werden unterstützt.
Wann Xray die richtige Wahl ist
Xray ist die richtige Wahl, wenn:
- Ihre Nutzer aus Netzen mit aktiver Zensur verbinden, in denen die Technik selbst verdächtige Server sondiert — gewöhnliches WireGuard und selbst Amnezia kommen dort nicht mehr durch.
- Das Netz nur TCP auf Port 443 zulässt (typischer Firmen‑Proxy, Hotel‑WLAN). Xray läuft über den gewöhnlichen HTTPS‑Port.
- Ihre Nutzer bereit sind, eine spezielle App zu installieren (Hiddify, Streisand, v2box) — Xray funktioniert nicht mit eingebauten WireGuard‑Clients.
Xray ist nicht passend, wenn:
- Ihre Nutzer an native WireGuard‑Clients gewöhnt sind und keine zusätzliche App installieren werden. Nehmen Sie WireGuard oder Amnezia.
- Es im Netz keine aktive Zensur gibt. Die Tarnung von Xray ist dort überflüssig — WireGuard ist einfacher und für den Client leichter.
Im Zweifel — installieren Sie Xray in BeAdmin und testen Sie es kostenfrei.
Falls Sie noch keinen Server haben, können Sie diesen bei unseren Partnern bestellen — sie bieten virtuelle und dedizierte Server mit vorinstalliertem BeAdmin‑Panel an.
Europäische Stabilität und Einfachheit. Starten Sie BeAdmin zusammen mit dem VPS per Klick.
- Deutschland
- Niederlande
- Schweden
Estland
Rumänien- Schweiz
- Spanien
'%3e%3cpath%20fill='%2300008b'%20d='M0%200h384v256H0z'/%3e%3cpath%20stroke='%23fff'%20stroke-width='42'%20d='m1.914-.001%20382.086%20256m-382.086%200L384-.001'/%3e%3cpath%20stroke='red'%20stroke-width='14'%20d='M5.437%200%20192%20122M378.563%200%20192%20122M5.437%20256%20192%20134m186.563%20122L192%20134'/%3e%3cpath%20fill='%23fff'%20d='M157.787-.001h68.359v256h-68.359z'/%3e%3cpath%20fill='%23fff'%20d='M-.067%2093.999H384v68H-.067z'/%3e%3cpath%20fill='red'%20d='M384%20107.789H211.862V-.001h-39.724l.001%20107.79H0v40.419h172.139v107.79h39.723v-107.79H384z'/%3e%3c/g%3e%3c/svg%3e)
Großbritannien- USA
Wie geht es weiter
- Xray‑Schnellstart — Installation des Moduls und erste Verbindung.
- Xray. Modul verwalten — Dienstverwaltung, Port und Maskierungs‑Domain ändern, Aktualisierungen.
- Xray. Benutzer verwalten — Zugänge ausgeben und entziehen, Benutzer vorübergehend ohne Neuimport deaktivieren.
- Xray. Multi‑Hop‑Modus — Kette «Eingang → Ausgang» aus zwei Installationen für den Fall, dass ein Einzelserver nicht mehr funktioniert.