VLESS Reality каскадом через ру VPS

PavelSav · April 8, 2026, 6:47pm

Всем привет.
Хотел настроить VPN вида:

Сначала трафик идёт на ru vds
Потом на иностранный

Делаю конфиг по всем инструкциям в интернете:

Ниже конфиг (настраиваю всё в панели 3x-UI:
И у меня не срабатывает подключение к моему RU VPS прям сразу же.

Конфиг

{
“dns”: {
“hosts”: {
“cloudflare-dns.com”: “1.1.1.1”,
“dns.google”: “8.8.8.8”
},
“queryStrategy”: “UseIPv4”,
“servers”: [
“8.8.8.8”,
{
“address”: “8.8.8.8”,
“domains”: ,
“port”: 53
},
{
“address”: “77.88.8.8”,
“domains”: ,
“port”: 53
}
]
},

“inbounds”: [
{
“listen”: “127.0.0.1”,
“port”: 10808,
“protocol”: “socks”,
“settings”: {
“auth”: “noauth”,
“udp”: true,
“userLevel”: 8
},
“sniffing”: {
“destOverride”: [“http”, “tls”, “quic”],
“enabled”: true
},
“tag”: “socks”
},
{
“listen”: “127.0.0.1”,
“port”: 10809,
“protocol”: “http”,
“settings”: {
“userLevel”: 8
},
“sniffing”: {
“destOverride”: [“http”, “tls”, “quic”],
“enabled”: true
},
“tag”: “http”
}
],

“log”: {
“loglevel”: “warning”
},

“outbounds”: [
{
“tag”: “proxy”,
“protocol”: “vless”,
“settings”: {
“vnext”: [
{
“address”: “<SERVER_IP_REDACTED>”,
“port”: 443,
“users”: [
{
“id”: “<UUID_REDACTED>”,
“flow”: “xtls-rprx-vision”,
“encryption”: “none”,
“level”: 8
}
]
}
]
},
“streamSettings”: {
“network”: “tcp”,
“security”: “reality”,
“realitySettings”: {
“publicKey”: “<PUBLIC_KEY_REDACTED>”,
“shortId”: “<SHORT_ID_REDACTED>”,
“serverName”: “ads.x5.ru”,
“fingerprint”: “chrome”,
“spiderX”: “/”,
“allowInsecure”: false
}
}
},

{
  "tag": "direct",
  "protocol": "freedom",
  "settings": {
    "domainStrategy": "UseIP"
  }
},

{
  "tag": "block",
  "protocol": "blackhole",
  "settings": {
    "response": {
      "type": "http"
    }
  }
}

],

“routing”: {
“domainStrategy”: “IPIfNonMatch”,
“rules”: [
{
“ip”: [“8.8.8.8”],
“port”: 53,
“outboundTag”: “proxy”
},
{
“ip”: [“77.88.8.8”],
“port”: 53,
“outboundTag”: “direct”
}
]
}
}

Вот что происходит в логах Happ при подключении:

Логи Happ

+0300 2026-04-08 17:04:48 INFO [93156909 1ms] outbound/direct[direct]: outbound connection to ip_моего_сервера:443

+0300 2026-04-08 17:04:52 ERROR [1030999162 9.84s] connection: connection download closed: raw-read tcp 127.0.0.1:55119->127.0.0.1:10808: An existing connection was forcibly closed by the remote host.

+0300 2026-04-08 17:04:52 ERROR [1033578774 9.47s] connection: connection upload closed: raw-read tcp4 172.18.0.1:51275->172.18.0.2:10011: An existing connection was forcibly closed by the remote host.

+0300 2026-04-08 17:04:53 ERROR [1012999707 9.99s] connection: connection download closed: raw-read tcp 127.0.0.1:55118->127.0.0.1:10808: An existing connection was forcibly closed by the remote host.

+0300 2026-04-08 17:04:52 ERROR [1179493059 9.65s] connection: connection upload closed: raw-read tcp4 172.18.0.1:51275->172.18.0.2:10007: An existing connection was forcibly closed by the remote host.

На мобильном клиенте Happ помогает включить фрагментирование + включить шумы. И тогда трафик течёт и всё работает. Но урезена скорость с 500 мегабит до 90. На ПК клиенте Happ вообще ничего не помогает. Тот же конфиг просто не работает.

Подскажите пожалуйста что можно изменить/перенастроить и тд, чтобы завелось. Куда копать?

query-ptn · April 8, 2026, 7:07pm

Не использовать Reality.

Avatar-Lion · April 8, 2026, 7:19pm

А какие ему альтернативы есть? Все остальное РКН банит сразу.

Dreaght · April 8, 2026, 8:00pm

У меня другой вывод: не использовать 3x-ui, используйте sing-box везде.
Слишком большая поверхность атаки и поломки.

Не нужно, не требуется искать альтернативы Reality. Как минимум, как выяснилось, мы можем притвориться микросервисной архитектурой (backend) к SNI сайта под который притворяемся. Также можно и в self-steal.

query-ptn · April 8, 2026, 8:02pm

Уточню. Не использовать REALITY на TCP транспорте, особенно с попыткой прикинуться БС сервисом.

Использовать gRPC или XHTTP.

А 3XUI уже закрыли дыры, на которые плевался разраб XRAY?

knitabsorbed · April 8, 2026, 8:12pm

gRPC не рекомендуется использовать с REALITY, а за веб-сервером.

PavelSav · April 8, 2026, 8:42pm

с XHTTP всё абсолютно тоже самое.

Sprut · April 8, 2026, 9:05pm

Удали отовсюду днс клауда, половина их cdn в блоке у провайдеров

PavelSav · April 8, 2026, 9:18pm

Ок. Принял, спасибо!

Ramon2010 · April 9, 2026, 5:36am

уже давно тспу сверяет sni белосписочный с белыми cidr, маскироваться лучше под сайт существующий из твоей сетки, есть чекеры reality которые тебе найдут такой домен его в sni и указываешь, лучше как по мне конечно обратный прокси настроить со своим сайтом, но это чисто мое мнение.

aggravatingbee · April 9, 2026, 7:05am

А почему сервер локалку слушает? Или у вас nginx или еще что-то переадресовывает запрос с публичного порта на локалку?

kuildor · April 9, 2026, 10:55am

Разраб Xray плевался из-за отсутствия обязательного SSL в панели. Теперь с введением возможности выдавать сертификат на IP-адреса, скрипт установки по умолчанию требует установку SSL. Так что технически – закрыли.

Dreaght · April 9, 2026, 2:29pm

А зачем она нужна? Панельку всё равно в интернет нельзя публиковать, как минимум это палится сканированием.

Делайте port forwarding для доступа к панели. 100% именно так, а не иначе.

ssh -N -L 2053:127.0.0.1:2053 proxy-server

И никакие SSL не нужны.

knitabsorbed · April 9, 2026, 3:02pm

Потому что многие публиковали и до сих пор публикуют. С SSL сканированием не палится сам панель, если там секретный path.

L_a_m_m_e_r · April 9, 2026, 7:12pm

Я навайпкодил собственный STUN-инкапсулятор и внутри него пускаю QUIC-туннель,тестировал на серверах которые тут указывали с блокировкой ,вроде нормально пашет причем без хопа в ру….)

xofamim548 · April 9, 2026, 7:29pm

Чем пользуетесь?

L_a_m_m_e_r · April 9, 2026, 7:31pm

Claude Opus 4.6 Genemi 3.1 я за 4 месяца много вриантов тунелей написал и на web soket с различным шифрованием ,за это время неодин не дал сбой все крутяться на серверах пока все отлично,вчера закончил тюн интерфейс ребята писали что неплохо было бы локал хост на андройде пускать по паролю хочу попробовать !)

Limping · April 10, 2026, 12:44pm

Я этот скрипт использую.
Там можно ещё на ru прописать 3 разных ключа для балансировки.

Полученный subscribtion на ruVPS будет автоматически переключаться между ними по пингу.
Скрипт очень экономичный. Никаких панелей, никаких юзеров - просто подписка одна на всех.
На самом дешманском Firstbyte 75 руб. работает. https://github.com/xVRVx/autoXRAY

PavelSav · April 11, 2026, 5:27pm

Всем спасибо!

Удалось сделать по методу селфстил. Таргет 127.0.0.1

SNI свой же сайт на ру хостинге (рег.ру), на локале сайт-загрушка.
Далее с ру сервака на Швейцарию за исключением Youtube и ру сегмента.
Всё работает корректно.