Xray. Как работает сервис

Модуль Xray в панели BeAdmin поднимает VPN, который для оборудования оператора выглядит как обычный HTTPS‑трафик на популярный публичный сайт. Используется протокол VLESS с расширением REALITY — оно маскирует начало сессии под подключение к настоящему крупному сайту. Подходит для враждебных сетей, где даже маскировка handshake (как у Amnezia) уже не помогает.

Какую задачу решает Xray

Современные системы цензуры умеют гораздо больше, чем смотреть на сигнатуру первого пакета. Кроме пассивного DPI у них есть активное зондирование — оборудование само пробует «постучаться» к подозрительным серверам и проверить, ведут ли они себя так, как заявленный сайт. WireGuard на этом «проколется»: он не отвечает на чужие запросы, и проверка возвращает подозрительную тишину вместо ответа сайта. Даже маскированный AmneziaWG в крайних режимах можно распознать.

Xray с REALITY решает задачу с противоположной стороны: вместо того чтобы прятать VPN под белый шум, он делает так, чтобы первое соединение выглядело как обычное посещение популярного HTTPS‑сайта. Любой, кто посмотрит снаружи (в том числе при активной проверке со стороны цензуры), увидит «нормального» HTTPS‑собеседника, а не «непонятный сервер».

Как Xray маскирует трафик

Маскировка стоит на трёх вещах, все они подчинены одной идее — выглядеть как обычный сайт.

Заимствованный TLS‑handshake. При подключении клиента сервер обменивается с ним TLS‑сертификатами реального крупного сайта: для наблюдателя это выглядит, будто клиент просто открыл этот сайт. Никаких самоподписанных сертификатов, никаких странных доменов — настоящий публичный сайт.

Секретный ключ переключает в VPN. Только после того, как клиент предъявил свой публичный ключ сервера, соединение «сворачивает» внутрь — в VPN‑канал. Тот, кто ключа не знает, до конца видит «обычное посещение сайта» и не получает доступ к VPN.

Защита от активного зондирования. Если на сервер придёт случайный посторонний запрос (например, проверка от системы цензуры), он получит самый настоящий handshake до того самого сайта. Цензурное оборудование не сможет отличить, это VPN‑сервер или зеркало известного ресурса.

Сайт для маскировки, ключи, идентификаторы соединения и UUID пользователей панель подбирает за вас при установке — настраивать вручную не нужно.

Но один параметр стоит держать под рукой — маскировочный домен, тот самый публичный сайт, под обычные обращения к которому по HTTPS маскируется ваш трафик. «Безопасные» для маскировки сайты со временем протухают: то, что сегодня свободно проходит, завтра попадает под наблюдение DPI (так случилось с www.microsoft.com, который панель долго предлагала по умолчанию). Поэтому домен можно сменить прямо в настройках модуля, не переустанавливая его, — если с текущим доменом подключение перестало работать, переключитесь на другой. Подробнее — в Xray. Управление модулем.

Каскад: две установки в цепочку

Обычно трафик идёт устройство → сервер Xray → интернет, и для остального мира выходной IP — это IP вашего сервера. Иногда даже хорошо замаскированный одиночный сервер перестаёт работать: его REALITY‑handshake уже распознан DPI или его IP стал недоступен. На этот случай у Xray есть каскадный режим — цепочка из двух независимых установок BeAdmin: устройство → узел входа → узел выхода → интернет.

Узел входа выглядит для провайдера как обычный REALITY‑сервер, а в интернет трафик выходит уже с IP узла выхода — на другом сервере, в другой сети. Так разносятся «точка, которую видит провайдер» и «точка, которую видит интернет»: даже если вход станет недоступен, выходной адрес остаётся в стороне.

Это отдельный сценарий со своей настройкой — как собрать цепочку из двух серверов, описано в Xray. Каскадный режим.

Что Xray не умеет

Стоит явно проговорить, что Xray не обещает — частые ожидания, которые этим протоколом не закрываются.

• Не работает с обычными VPN‑клиентами. Нужно специальное приложение с поддержкой Xray — Hiddify, Streisand, v2box и подобные. Привычный WireGuard‑клиент или системный VPN‑клиент iOS/Android не подойдёт.
• Не добавляет дополнительное шифрование. Трафик защищён современной криптографией так же, как обычный HTTPS, — Xray не накладывает второй слой шифрования поверх.
• Это не Tor и не анонимизация. Маскировка прячет VPN от провайдера и оборудования цензора, но конечный сервер всё равно видит IP вашего сервера (а в каскадном режиме — IP узла выхода). Каскад добавляет ровно один промежуточный узел ради смены выходного IP, а не цепочку анонимизации, как у Tor.
• Это не магия против любой цензуры. Защита от активного зондирования сильная, но не абсолютная: при настойчивом наблюдении за трафиком круг подозрительных «зеркал» со временем можно статистически сузить. Xray заметно поднимает планку, но необнаружимым в принципе туннель не делает.
• Не делает VPN легальным. Если использование VPN в вашей юрисдикции ограничено или запрещено — маскировка под HTTPS этого не меняет. Это технический инструмент, не правовой обход.

Xray в BeAdmin

Модуль Xray в BeAdmin ставится почти без настройки: при установке панель спрашивает только порт (по умолчанию 8443), а остальные параметры маскировки подбирает сама — выбирает крупный публичный сайт, под чей трафик «здоровается» сервер, генерирует ключи и идентификаторы соединения. Править конфигурационные файлы или возиться с командной строкой не нужно. Порт и маскировочный домен потом можно сменить прямо в настройках модуля.

После установки можно сразу заводить пользователей. На каждого панель формирует готовую ссылку для подключения и QR‑код — клиент сканирует QR из приложения с поддержкой Xray (Hiddify, Streisand, v2box, NapsternetV, ClashX и аналоги — у каждой операционной системы есть свой набор). Никакие параметры с сервера на устройство вручную переносить не нужно.

Что нужно от сервера: обычный VPS или физическая машина. На контейнерных серверах (LXC, OpenVZ без полноценной виртуализации) модуль не запустится — нужен полный доступ к сетевому стеку. Поддерживаются современные Ubuntu и Debian.

Когда стоит выбрать Xray

Xray стоит выбирать, когда:

• Ваши пользователи подключаются из сетей с активной цензурой, где оборудование само зондирует подозрительные серверы — обычный WireGuard и даже Amnezia там перестают пробиваться.
• Сеть пропускает только TCP на порту 443 (типичный корпоративный прокси, гостиничный Wi‑Fi). Xray работает поверх обычного HTTPS‑порта.
• Ваши пользователи готовы поставить специальное приложение (Hiddify, Streisand, v2box) — Xray не работает с системными WireGuard‑клиентами.

Не стоит выбирать Xray, если:

• Ваши пользователи привыкли к нативным WireGuard‑клиентам — лишнего приложения они ставить не станут. Берите WireGuard или Amnezia.
• В сети нет активной цензуры. Маскировка Xray там избыточна — WireGuard проще и легче для клиента.

Если сомневаетесь — поставьте Xray в BeAdmin и протестируйте бесплатно.

Если у вас ещё нет сервера, его можно взять у наших партнёров — они предлагают виртуальные и выделенные серверы с предустановленной панелью BeAdmin.

Проверено временем: более 15 лет на рынке хостинга. Ваш VPS с BeAdmin готов к работе из коробки.

• Германия
• Нидерланды
• Швеция
• Швейцария
• Испания
• США

Выбрать сервер

Европейская стабильность и простота. Запускайте BeAdmin вместе с VPS в один клик.

• Германия
• Нидерланды
• Швеция
• Эстония
• Румыния
• Швейцария
• Испания
• Великобритания
• США

Зарегистрироваться

Что дальше

• Xray. Быстрый старт — установка модуля и первое подключение.
• Xray. Управление модулем — управление сервисом, смена порта и маскировочного домена, обновления.
• Xray. Управление пользователями — выдача и отзыв подключений, временное отключение пользователя без переимпорта.
• Xray. Каскадный режим — цепочка «вход → выход» из двух установок на случай, когда одиночный сервер перестаёт работать.