Bilet deschis 
+373 79 600002 
Telegramă Chat live 
F.A.Q 
Română
English 
Русский 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
Administrație 
Linux 
SecuritateCum să instalați 3x-ui și să alegeți configurația potrivită anti-cenzură
Cuvinte cheie
Glosarul rapid de mai jos menține termenii clari înainte de a începe instalarea:
| Emoji + cuvânt cheie | Explicație scurtă |
|---|---|
| ⚙️ 3x-ui | Un panou de control web pentru Xray-core |
| 🚀 Xray-core | Motorul proxy propriu-zis |
| 📥 inbound | Un punct de intrare de ascultare pe server |
| 🔀 transport layer | Cum este transportat fluxul de trafic |
| 🎭 Reality | Un mecanism de securitate/stealth pentru Xray |
Cum să instalezi 3x-ui pe un VPS și să alegi configurația potrivită anti-cenzură
Într-o zi VPN-ul tău funcționează. A doua zi nu mai funcționează. În rețelele restrictive, blocarea este adesea îndreptată mai puțin spre dacă traficul este criptat și mai mult spre dacă traficul pare ușor de clasificat.
Aceasta este partea pe care multe tutoriale mai vechi despre VPN o omit. Criptarea singură nu garantează stealth. Rețelele pot inspecta în continuare tiparele de handshake, comportamentul pachetelor și amprentele protocolului suficient de bine pentru a decide că traficul tău nu pare obișnuit. Așadar, întrebarea nu mai este „cum instalez un VPN?” ci devine „cum fac ca forma traficului să pară suficient de normală pentru a supraviețui filtrării?”
Acest ghid este pasul de bază. Vei instala un panou 3x-ui funcțional pe un VPS Ubuntu, vei securiza corect suprafața de administrare și vei pleca cu un cadru clar pentru a alege ce să configurezi în continuare în interiorul panoului. Dacă găzduiești singur pe un VPS mic — fie de la AlexHost, fie de la un alt furnizor — aici începe configurarea să devină gestionabilă.
Ce este de fapt 3x-ui — și ce nu este
Cea mai importantă concepție greșită de corectat devreme este aceasta: 3x-ui nu este tehnologia de ocolire a cenzurii în sine. Este tabloul de bord. Xray este motorul de dedesubt. Protocolul, transportul și alegerile de securitate din acel motor sunt cele care determină cum se comportă traficul tău pe rețea.
3x-ui contează pentru că transformă Xray dintr-o grămadă de JSON editat manual într-un ceva pe care o persoană obișnuită îl poate opera. Primești un panou de control web pentru a crea inbounds, a adăuga clienți, a exporta linkuri sau coduri QR, a gestiona limitele, a actualiza geofiles și a gestiona accesul de admin și SSL-ul panoului.
Glosarul rapid de mai jos menține termenii clari înainte de a începe instalarea:
| Termen | Semnificație simplă | De ce contează aici |
|---|---|---|
| 3x-ui | Un panou de control web pentru Xray-core | Este stratul de management pe care îl instalezi în acest ghid |
| Xray-core | Motorul proxy propriu-zis | Aceasta este ceea ce gestionează protocoalele, rutarea și comportamentul traficului |
| inbound | Un punct de intrare de ascultare pe server | Aici definești cum se conectează clienții |
| transport | Cum este transportat fluxul de trafic | Exemple includ TCP brut, WebSocket sau gRPC |
| Reality | Un mecanism de securitate/stealth pentru Xray | Ajută traficul să semene mai îndeaproape cu HTTPS obișnuit |
📝 Notă: 3x-ui este cel mai bine înțeles ca un strat de management pentru Xray-core, iar proiectul în sine îl încadrează ca software pentru uz personal mai degrabă decât ceva de tratat cu ușurință ca infrastructură de producție consolidată.
Această distincție contează și pentru securitate. Un panou activat HTTPS cu credențiale de admin puternice protejează suprafața de control — locul unde te conectezi și gestionezi serverul. Nu face automat traficul utilizatorului stealth. Instalarea îți oferă control; stiva de protocoale aleasă ulterior determină cum arată conexiunea pe fir.
Înainte de a instala: lista de verificare a serverului și accesului
3x-ui nu necesită un server mare, dar necesită o cale de instalare curată. Pentru acest ghid, baza este Ubuntu 22.04 LTS sau 24.04 LTS, acces SSH cu privilegii root sau sudo, o adresă IP publică și resurse modeste, cum ar fi 1 vCPU și 1 GB RAM. Orice VPS adecvat funcționează, inclusiv planuri de intrare cu cost redus, atâta timp cât îți oferă acces la rețea previzibil și control asupra firewall-ului.
Înainte de a atinge orice comandă, verifică această listă de verificare:
- Sistem de operare: Ubuntu 22.04 LTS sau 24.04 LTS
- Nivel de acces: acces SSH root sau un utilizator cu privilegii complete sudo
- Rețea: adresă IP publică și capacitatea de a deschide porturile necesare
- Port de trafic: 443/tcp pentru traficul proxy în stil HTTPS ulterior
- Port de validare ACME: 80/tcp doar dacă dorești fluxul integrat Let’s Encrypt al instalatorului pentru panou; ACME este verificarea de accesibilitate publică utilizată pentru validarea certificatului
- Accesibilitatea panoului: fii pregătit ca instalatorul să atribuie un port de panou aleatoriu și un webBasePath aleatoriu
- Starea finală așteptată: o adresă URL de panou accesibilă, credențiale salvate și un serviciu de panou HTTPS verificat
⚠️ Avertisment: Dacă activezi UFW pe un VPS la distanță pentru prima dată, permite SSH înainte de a activa firewall-ul. În caz contrar, te poți bloca din serverul pe care încerci să-l configurezi.
Odată ce aceste elemente de bază sunt adevărate, restul devine simplu. Următoarele două secțiuni te duc de la „Am un VPS” la „Am un panou de control funcțional” fără presupuneri.
Pregătirea serverului: BBR și elementele de bază
Cu cerințele verificate, să pregătim serverul. Această fază optimizează VPS-ul tău înainte de a instala orice software VPN, asigurând performanțe maxime de la început.
💡 SUGESTIE: Folosește BBR înainte de a implementa — îmbunătățește adesea debitul și latența pe legături constrânse sau cu latență mai mare.
Mai întâi, actualizează pachetele sistemului tău. Acest lucru asigură că ai cele mai recente actualizări de securitate și dependențele necesare:
apt update && apt upgrade -yAcest pas poate dura 1-5 minute, în funcție de furnizorul tău de VPS și de viteza rețelei. Unii furnizori, cum ar fi Vultr, își actualizează imaginile în timpul implementării, așa că acest lucru s-ar putea finaliza rapid pe unele sisteme.
Apoi, activează controlul de congestie Google BBR. BBR (Bottleneck Bandwidth and Round-trip propagation time) este algoritmul de control al congestiei de la Google. În loc să se bazeze în principal pe pierderea de pachete ca semnal, încearcă să modeleze mai direct lățimea de bandă disponibilă și timpul de propagare, ceea ce poate îmbunătăți debitul și capacitatea de răspuns pe unele legături VPS.
# Verify BBR module is available
lsmod | grep tcp_bbrDacă nu apare nimic, încarcă modulul manual:
modprobe tcp_bbr
Acum creează configurația sysctl pentru a activa BBR în mod persistent:
cat >> /etc/sysctl.d/99-bbr.conf << 'EOF'
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
EOF
Aplică configurația:
sysctl -p /etc/sysctl.d/99-bbr.confVerifică dacă BBR este activ:
sysctl net.ipv4.tcp_congestion_control
sysctl net.ipv4.tcp_available_congestion_controlAr trebui să vezi bbr ca algoritm activ.
Unele sisteme beneficiază de un reboot după activarea BBR — asigură încărcarea corectă a modulului și aplicarea tuturor optimizărilor de rețea:
rebootAcum asigură-te că portul 443 este accesibil. Dacă intenționezi să folosești fluxul integrat Let’s Encrypt al instalatorului 3x-ui pentru panou, permite și 80/tcp — acel port este folosit pentru validarea certificatului ACME, nu pentru panoul în sine. Dacă furnizorul tău de VPS are și un firewall cloud sau un strat de grup de securitate, permite aceleași porturi și acolo. Pe Ubuntu, calea cea mai sigură este de obicei UFW:
# If this is a remote VPS and you're enabling UFW for the first time, allow SSH before enabling the firewall
ufw allow OpenSSH
# Allow HTTPS-style Reality traffic
ufw allow 443/tcp
# Allow ACME validation for the 3x-ui panel's built-in Let's Encrypt setup
ufw allow 80/tcp
# Review rules, then enable only if UFW is not already active
ufw status
ufw enable⚠️ AVERTISMENT: Portul 443 este puternic recomandat deoarece se potrivește cu traficul HTTPS normal. Alte porturi pot funcționa tehnic, dar se integrează mai puțin natural și fac configurarea mai ușor de semnalat.
Serverul tău este acum optimizat și gata pentru instalarea 3x-ui.
Instalarea Panoului 3x-ui
Vom folosi fork-ul MHSanaei, care este activ întreținut și suportă protocoale actuale. Din nou, un memento important: proiectul în sine încadrează 3x-ui ca un panou pentru uz personal, așa că tratează-l ca un strat de conveniență administrativă și securizează panoul cu atenție.
Înainte de a rula instalatorul, notează o cerință ușor de omis: dacă dorești ca configurarea integrată Let’s Encrypt a instalatorului să emită un certificat SSL pentru panou, 80/tcp trebuie să fie deschis și accesibil de pe internetul public. Acest port de validare ACME este separat de portul panoului pe care îl alegi în timpul configurării.
Rulează comanda de instalare:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)Versiunile actuale ale instalatorului nu încep cu meniul mai vechi numerotat Instalare / Actualizare / Dezinstalare pe care multe tutoriale încă îl arată. În schimb, scriptul începe instalarea imediat, instalează orice dependențe lipsă, descarcă cea mai recentă versiune și apoi te ghidează prin solicitările de configurare a panoului.
Un flux tipic de instalare arată acum astfel:
- Alege dacă să setezi un port de panou personalizat sau să lași instalatorul să genereze unul aleatoriu.
- Lasă instalatorul să genereze un nume de utilizator, o parolă și un webBasePath aleatoriu.
- Alege cum să configurezi SSL-ul panoului:
- 1 = Let’s Encrypt pentru un domeniu
- 2 = Let’s Encrypt pentru adresa IP a serverului
- 3 = folosește un certificat existent
- Completează solicitările de certificat dacă folosești fluxul integrat Let’s Encrypt.
⚠️ IMPORTANT: Portul panoului nu este același lucru cu portul de validare ACME. Poți rula panoul pe un port aleatoriu, cum ar fi 13525, și totuși să ai nevoie de 80/tcp deschis public pentru ca Let’s Encrypt să poată valida certificatul.
Regula importantă este simplă: folosește exact credențialele, calea și URL-ul tipărite de propriul tău instalator, nu presupuneri copiate din tutoriale mai vechi.
Rezultatul final va arăta mai mult așa:
Username: GENERATED_USERNAME Password: GENERATED_PASSWORD Port: 13525 WebBasePath: RANDOM_PATH Access URL: https://YOUR_SERVER_IP:13525/RANDOM_PATH
Verifică dacă serviciul rulează:
systemctl status x-ui
Această verificare contează. Uită-te în special la linia serverului web din ieșirea de stare:
- Dacă vezi Web server running HTTPS …, SSL-ul panoului funcționează corect.
- Dacă vezi Web server running HTTP …, panoul s-a instalat cu succes, dar configurarea SSL nu s-a finalizat.
Accesează panoul folosind exact URL-ul, numele de utilizator și parola generate de propria ta instalare. Nu presupune că calea este /panel și nu presupune că credențialele sunt admin/admin decât dacă propria ta instalare spune explicit așa.
💡 SUGESTIE 1: Pentru a vizualiza din nou setările actuale ale panoului și a tipări URL-ul de acces, în CLI rulează comanda “x-ui” și alege numărul 10 “Vizualizare setări curente” din meniul afișat.
💡 SUGESTIE 2: Dacă URL-ul de acces nu se încarcă, asigură-te că portul panoului 3x-ui este deschis pe firewall-ul VPS-ului tău. De exemplu, dacă panoul tău rulează pe portul “13525”, permite-l cu: ” ufw allow 13525/tcp “. Înlocuiește 13525 cu portul real pe care l-ai configurat pentru panoul 3x-ui.
Dacă instalatorul se termină, dar systemctl status x-ui arată HTTP în loc de HTTPS
Cea mai comună cauză este că 80/tcp nu a fost accesibil de pe internetul public în timpul validării Let’s Encrypt. În acest caz, panoul poate încă să se instaleze și să pornească, dar emiterea certificatului eșuează.
Rezolvă mai întâi firewall-ul:
ufw allow 80/tcp
ufw statusDacă furnizorul tău de VPS are un firewall cloud sau un strat de grup de securitate, permite 80/tcp și acolo. Apoi rulează din nou configurarea certificatului panoului din scriptul de management 3x-ui:
x-uiPentru un certificat de panou bazat pe IP, alege:
- 19 → 6 (Obține SSL pentru adresa IP)
Pentru un certificat de panou bazat pe domeniu, alege:
- 19 → 1 (Obține SSL (Domeniu))
După ce certificatul este emis, verifică din nou:
systemctl status x-uiVrei ca ieșirea de stare să arate Web server running HTTPS … înainte de a continua.
💡 SUGESTIE: Salvează imediat credențialele generate și URL-ul panoului. De asemenea, notează că rezumatul instalatorului poate fi înșelător dacă emiterea certificatului eșuează — dacă blocul final tipărește un URL HTTPS, dar systemctl status x-ui încă arată HTTP, ai încredere în ieșirea de stare a serviciului și rezolvă SSL înainte de a merge mai departe.
Harta deciziilor: unde „ocolirea cenzurii” începe de fapt
Odată ce panoul este instalat, problema se schimbă. Nu mai încerci să instalezi software-ul corect. Decizi cum ar trebui să se prezinte traficul clientului către rețea. Aici începe de fapt „configurarea pentru a ocoli cenzura”.
Cel mai simplu mod de a reduce dezordinea terminologică este să gândești în trei straturi: cum comunică clientul și serverul, cum este transportat fluxul și cum arată acel trafic pentru un observator extern. Altfel, dacă le aplatizezi într-o singură listă de cuvinte la modă, 3x-ui începe să pară mai complicat decât este cu adevărat.
| Strat | Ce întrebare răspunde | Exemple comune |
|---|---|---|
| Protocol | Cum se identifică și comunică clientul și serverul? | VLESS, Trojan, VMess, Shadowsocks |
| Transport | Cum este transportat fluxul de trafic? | TCP (RAW), WebSocket, gRPC, QUIC |
| Securitate / ofuscare | Cum arată traficul pentru rețea? | Reality, TLS, amprente asemănătoare browser-ului, stive care arată ca frontarea domeniului |
Ia un exemplu de ancoră: VLESS + TCP/RAW + Reality pe 443. VLESS este protocolul. TCP/RAW transportă fluxul. Reality modelează cum conexiunea seamănă cu comportamentul HTTPS obișnuit. Și 443 contează pentru că camuflajul funcționează cel mai bine atunci când se potrivește și cu portul implicit pentru traficul web criptat normal. În unele locuri, documentația Xray spune raw, în timp ce interfața panoului spune TCP; pentru acest articol, tratează-le ca aceeași alegere conceptuală de transport.
⚠️ Avertisment: Nu există un câștigător universal și nicio combinație permanent de neblocat. Rețelele se schimbă, filtrele evoluează, iar ceea ce se integrează bine pe o cale poate ieși în evidență pe alta. Scopul nu este magia. Scopul este alegerea celei mai sensibile stive pentru mediul tău.
De aceea acest articol se oprește la hartă în loc să pretindă că o pagină poate acoperi fiecare construcție completă. Următorul pas este alegerea familiei de configurații care se potrivește rețelei și obiectivelor tale.
Care cale 3x-ui se potrivește cazului tău de utilizare?
Dacă dorești mai întâi răspunsul cel mai clar implicit, iată-l: pentru medii restrictive, cu DPI intens, începe cu VLESS + Reality. Separă clar protocolul de stealth, funcționează bine pe portul 443 și nu te obligă să începi cu un domeniu sau un proxy invers.
Asta nu îl face răspunsul pentru fiecare situație. Dacă deja rulezi un domeniu sau preferi un flux de lucru mai tradițional TLS-și-proxy-invers, atunci VLESS sau Trojan peste TLS cu WebSocket sau gRPC este adesea alegerea mai bună. Această cale are mai mult sens atunci când deja gestionezi un domeniu și certificate.
Dacă prioritatea ta este debitul și rețeaua ta gestionează bine UDP, Hysteria 2 merită atenție. Este calea specializată aici pentru că atracția sa este mai puțin „să arate ca cea mai obișnuită sesiune de browser posibilă” și mai mult „să obții performanțe puternice dintr-un design bazat pe QUIC/UDP.” Este convingătoare, dar nu recomandarea implicită pentru începători pentru configurări orientate spre stealth.
Shadowsocks 2022, VMess și căile de compatibilitate similare încă au un loc, dar mai ales pentru migrare, suport pentru clienți mai vechi sau constrângeri de compatibilitate înguste. VMess în special nu este cea mai bună recomandare implicită pentru începători, deoarece depinde de timp — un alt detaliu operațional de greșit când opțiuni mai simple deja există.
| Cale | Cel mai bun pentru | Necesită un domeniu? | De ce să o alegi | De ce nu este implicitul universal |
|---|---|---|---|---|
| VLESS + Reality | Rețele restrictive sau puternic filtrate | Nu | Model mental puternic pentru începători pentru auto-găzduire orientată spre stealth pe 443 | Încă nu este viitor-proof, și unele rețele sau clienți te pot împinge în altă parte |
| VLESS/Trojan + TLS + WebSocket/gRPC | Stive bazate pe domeniu, proxy-uri inverse, configurări website-plus-proxy | De obicei da | Se potrivește cititorilor deja confortabili cu domenii, certificate și stratificare stivă web | Mai multe părți în mișcare decât o cale Reality fără domeniu |
| Hysteria 2 | Configurări axate pe viteză unde UDP funcționează bine | Nu | Excelent când debitul și performanța QUIC/UDP sunt obiectivul principal | Nu cea mai poveste de camuflaj asemănătoare browser-ului, și condițiile UDP variază |
| Shadowsocks 2022 / VMess / căi de compatibilitate | Migrare, suport pentru clienți mai vechi, constrângeri mai înguste | Depinde | Util când compatibilitatea este cerința reală | Nu cel mai puternic implicit pentru începători când alegeri moderne mai clare sunt disponibile |
💡 Lista de verificare rapidă a deciziilor
- Rețea cenzurată: începe cu VLESS + Reality
- Configurare domeniu / proxy invers: evaluează TLS + WS/gRPC sau Trojan
- UDP de mare viteză: testează Hysteria 2
- Cazuri de margine de compatibilitate: consideră Shadowsocks 2022 sau VMess
WireGuard și OpenVPN sunt exemple utile de contrast aici, nu următorul pas recomandat, deoarece formele de protocol VPN obișnuite sunt adesea ceea ce rețelele restrictive învață să recunoască mai întâi. Alege calea care se potrivește mediului tău, apoi construiește acea cale înainte de a adăuga mai multe opțiuni.
Ce poți face în continuare în 3x-ui după ce ai ales o cale
Odată ce alegi calea, 3x-ui devine stratul operațional. Aici creezi inbound-ul, adaugi clienți, exporți un link de partajare sau un cod QR, setezi limite de trafic sau date de expirare și menții serverul gestionabil în timp, în loc să sapi prin fișierele brute Xray.
📝 Notă: Panoul nu este „doar ecranul de conectare.” Este suprafața de administrare unde deciziile de protocol devin inbound-uri active, credențiale de client, controale de utilizare și vizibilitate.
În termeni practici, secvența este de obicei simplă: creează inbound-ul, adaugă o identitate de client, exportă detaliile conexiunii, importă-le în aplicația client și revino mai târziu pentru limite, reînnoiri, jurnale, statistici de trafic și actualizări de rutare sau geofile, dacă este necesar. Acea vizibilitate operațională este o mare parte din motivul pentru care panoul merită folosit.
Dacă continui această configurare ca o serie, primul ghid de continuare ar trebui să fie construcția VLESS + Reality pentru cititorii din rețele restrictive. Acesta este cel mai natural articol următor, deoarece transformă acest model mental într-o configurație concretă.
Concluzie
Instalarea 3x-ui nu este soluția finală anti-cenzură. Este camera de control. Rezultatul real vine din ceea ce configurezi în interiorul său în continuare. Păstrează diviziunea simplă: tabloul de bord face Xray gestionabil, dar motorul și ruta — alegerea protocolului, transportului și securității — decid cât de bine supraviețuiește conexiunea filtrării.
Așadar, fă pasul următor onest și alege calea reală care se potrivește cel mai bine obiectivelor tale. Și odată ce devii serios în privința auto-găzduirii alegerii tale, infrastructura VPS stabilă contează și ea — fie că înseamnă AlexHost sau un alt furnizor care îți oferă control de rețea previzibil și acces curat la firewall.