гайд по v2fly

[uzverss]

раскрыть для чтения

https://github.com/v2fly
https://www.v2fly.org/en_US/guide/start.html
https://hub.docker.com/r/v2fly/v2fly-core

Установка
Самый быстрый способ — использовать официальный установочный скрипт для Linux:
curl -Ls https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh | sudo bash

Этот скрипт установит ядро в /usr/local/bin/v2ray и подготовит директории для конфигурации.
2. Конфигурация
Файл настроек обычно находится по пути /usr/local/etc/v2ray/config.json. Для минимальной работы (протокол VMess) необходимо:
Сгенерировать UUID (ваш идентификатор/пароль): cat /proc/sys/kernel/random/uuid.
Отредактировать файл, указав в секции inbounds:
port: номер порта (например, 10086).
protocol: vmess.
id: ваш сгенерированный UUID.

Запуск и проверка
После сохранения настроек активируйте службу:
Запуск: sudo systemctl start v2ray.
Автозапуск: sudo systemctl enable v2ray.
Проверка статуса: systemctl status v2ray.

Для подключения используйте приложения v2rayN (Windows), v2rayA (Linux/Web) или V2Box (iOS). В клиенте нужно создать новый профиль, указав IP сервера, порт, протокол (VMess) и ваш UUID.

Где указывать «пароли» (UUID) в конфиге
В файле /usr/local/etc/v2ray/config.json пользователи перечисляются в массиве clients внутри секции inbounds

"inbounds": [ { "port": 10086, "protocol": "vmess", // или "vless" "settings": { "clients": [ { "id": "ваш-первый-uuid-здесь", "email": "user1@example.com", "level": 0 }, { "id": "ваш-второй-uuid-здесь", "email": "user2@example.com", "level": 0 } ] } } ]

Важные моменты:
Генерация: Чтобы создать новый «пароль», выполните в терминале команду cat /proc/sys/kernel/random/uuid.
Идентификация: Поле email необязательно, оно служит только для того, чтобы вы могли отличить один UUID от другого в логах.
Протокол Trojan: Если вы используете протокол Trojan, там вместо UUID используется обычная текстовая строка (пароль). В секции settings для него это выглядит так: "clients": [{"password": "ваш_пароль"}].
Протокол Shadowsocks: Если вы настраиваете Shadowsocks внутри V2Ray, пароль задается в поле "password": "ваш_пароль" в настройках входящего соединения.


Для протокола VMess "паролем" является UUID. Вот минимальный рабочий пример секции inbounds для файла config.json.
Пример конфига (Server side)

{ "inbounds": [ { "port": 443, // Порт, который вы откроете на сервере "protocol": "vmess", "settings": { "clients": [ { "id": "b831343b-6324-4d53-ad4f-8cda48b30811", // Ваш основной "пароль" "alterId": 0, "security": "auto" }, { "id": "550e8400-e29b-41d4-a716-446655440000", // "Пароль" для второго друга "alterId": 0 } ] }, "streamSettings": { "network": "tcp" } } ], "outbounds": [ { "protocol": "freedom", "settings": {} } ] }

Главные правила:
UUID: Должен быть в формате 8-4-4-4-12 символов. Генерируйте новый для каждого клиента командой cat /proc/sys/kernel/random/uuid.
alterId: В современных версиях V2Fly (V2Ray 4.28.1+) рекомендуется ставить 0. Если на клиенте стоит старое приложение, может потребоваться одинаковое значение (например, 64) и там, и там.

Получение сертификата
Самый простой способ — использовать acme.sh. Замените example.com на ваш домен:
bash
curl https://get.acme.sh | sh
~/.acme.sh/acme.sh --set-default-ca --server letsencrypt
~/.acme.sh/acme.sh --issue -d example.com --standalone

После этого скопируйте файлы сертификатов в папку V2Ray:
bash
~/.acme.sh/acme.sh --install-cert -d example.com \
--fullchain-file /usr/local/etc/v2ray/v2ray.crt \
--key-file /usr/local/etc/v2ray/v2ray.key

Конфигурация сервера (VMess + TLS)

Конфигурация сервера (VMess + TLS)
Отредактируйте /usr/local/etc/v2ray/config.json, добавив блок streamSettings:

{ "inbounds": [ { "port": 443, "protocol": "vmess", "settings": { "clients": [ { "id": "ваш-uuid-здесь", "alterId": 0 } ] }, "streamSettings": { "network": "tcp", "security": "tls", "tlsSettings": { "certificates": [ { "certificateFile": "/usr/local/etc/v2ray/v2ray.crt", "keyFile": "/usr/local/etc/v2ray/v2ray.key" } ] } } } ], "outbounds": [{ "protocol": "freedom" }] }

Настройка VMess + WS + TLS

Настройка сервера (config.json)
Измените блок streamSettings, чтобы добавить поддержку WebSocket и указать путь (path):

"streamSettings": { "network": "ws", "security": "tls", "wsSettings": { "path": "/video" // Секретный путь, может быть любым }, "tlsSettings": { "certificates": [ { "certificateFile": "/usr/local/etc/v2ray/v2ray.crt", "keyFile": "/usr/local/etc/v2ray/v2ray.key" } ] } }

Настройка Cloudflare (необязательно, но полезно)
Если вы хотите скрыть IP сервера:
В панели Cloudflare (раздел DNS) включите «Proxy status» (оранжевое облако) для вашей записи.
В разделе SSL/TLS установите режим «Full» или «Full (strict)».
3. Настройка клиента
В приложении укажите:
Транспорт/Сеть: ws (WebSocket).
Путь (Path): /video.
TLS: Включено.
SNI / Pseudo-host: ваш домен.

Использование Nginx в качестве фронтенда — самый надежный метод. Для цензора это выглядит как обычный сайт (например, блог), но обращения к секретному пути Nginx перенаправляет в V2Ray.
1. Конфигурация Nginx
Создайте файл /etc/nginx/sites-available/v2ray и вставьте туда настройки:

server { listen 443 ssl; server_name example.com; # Ваш домен ssl_certificate /usr/local/etc/v2ray/v2ray.crt; ssl_certificate_key /usr/local/etc/v2ray/v2ray.key; location / { root /var/www/html; # Путь к вашему обычному сайту index index.html; } location /video { # Тот самый секретный путь proxy_redirect off; proxy_pass http://127.0.0.1:10086; # Перекидываем на локальный порт V2Ray proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_set_header Host $host; } }

Не забудьте активировать конфиг: ln -s /etc/nginx/sites-available/v2ray /etc/nginx/sites-enabled/ и перезапустить Nginx: systemctl restart nginx.
2. Конфигурация V2Ray (изменения)
Теперь сервер V2Ray должен слушать только локальный порт и без TLS (так как TLS уже обрабатывает Nginx):

"inbounds": [ { "port": 10086, "listen": "127.0.0.1", // Слушаем только внутри сервера "protocol": "vmess", "settings": { "clients": [{ "id": "ваш-uuid", "alterId": 0 }] }, "streamSettings": { "network": "ws", "wsSettings": { "path": "/video" } } } ]

Итог
Снаружи: Всё выглядит как HTTPS-сайт на 443 порту.
Внутри: Nginx «отрезает» запросы на /video и отдает их V2Ray.

Настройка клиента

В приложении (например, v2rayN или V2Box) измените следующие параметры:
Port: 443
TLS: включить (on / tls)
SNI (Server Name): ваш домен (example.com)
Важно: Убедитесь, что порт 80 (для выпуска сертификата) и 443 (для работы V2Ray) открыты в фаерволе: ufw allow 80,443/tcp.
Рекомендуемые клиенты:
https://github.com/2dust/v2rayNG
https://github.com/2dust/v2flyNG

В чем разница?
v2rayNG — это стандартный графический клиент. Он самый стабильный и проверенный.
v2flyNG — часто используется для тестов новых функций ядра V2Fly.

Где взять правильный v2rayNG:
GitHub (рекомендуется): https://github.com/2dust/v2rayng/releases (ищите APK с пометкой arm64-v8a).
Google Play: v2rayNG.

Как быстро настроить:
Скачайте .apk (обычно файл v2rayNG_x.x.x_arm64-v8a.apk).
Нажмите "+" в приложении.
Выберите Type: VMess.
Введите данные из вашего конфига:
Address: ваш домен.
Port: 443.
ID: ваш UUID.
Security: auto.
Network: ws.
Path: /video.
TLS: tls.


Вот готовый шаблон для вашей конфигурации (VMess + WS + TLS).
1. Подготовьте данные
Замените значения на свои:
v: Версия (оставляем 2)
ps: Название профиля (любое имя)
add: Ваш домен (например, myserver.com)
port: 443
id: Ваш UUID
path: /video
sni: Ваш домен

Готовая ссылка (пример)

{ "v": "2", "ps": "MyServer-V2Fly", "add": "ВАШ_ДОМЕН", "port": "443", "id": "ВАШ_UUID", "aid": "0", "scy": "auto", "net": "ws", "type": "none", "host": "ВАШ_ДОМЕН", "path": "/video", "tls": "tls", "sni": "ВАШ_ДОМЕН" }

Чтобы быстро получить готовую ссылку прямо в консоли сервера (без сторонних сайтов), выполните эту команду.
Замените ВАШ_ДОМЕН и ВАШ_UUID на свои данные перед запуском:

echo "{\"v\":\"2\",\"ps\":\"MyServer\",\"add\":\"ВАШ_ДОМЕН\",\"port\":\"443\",\"id\":\"ВАШ_UUID\",\"aid\":\"0\",\"scy\":\"auto\",\"net\":\"ws\",\"type\":\"none\",\"host\":\"ВАШ_ДОМЕН\",\"path\":\"/video\",\"tls\":\"tls\",\"sni\":\"ВАШ_ДОМЕН\"}" | base64 -w 0 | sed 's/^/vmess:\/\//'

Что делает эта команда:
Формирует нужный JSON.
Кодирует его в Base64 (флаг -w 0 убирает переносы строк).


Как импортировать в v2rayNG:
Возьмите получившуюся Base64-строку.
Добавьте в начало префикс vmess://.
Итоговая строка должна выглядеть примерно так: vmess://eyB2IjogIjIiLCAicHMiOiAiTW...
Скопируйте её в телефоне.
В v2rayNG нажмите "+" вверху и выберите "Import config from clipboard"

Генерация нового UUID (вашего уникального "пароля") выполняется одной простой командой:

cat /proc/sys/kernel/random/uuid

Или, если в системе установлен пакет uuid-runtime
uuidgen

Скопируйте полученный код (вида 550e8400-e29b-41d4-a716-446655440000).
Вставьте его в ваш конфиг /usr/local/etc/v2ray/config.json на сервере.
Вставьте его же в команду для генерации ссылки vmess://, которую я давал выше.

Важно: После изменения UUID в файле конфигурации на сервере, не забудьте перезапустить службу V2Ray, чтобы изменения вступили в силу:
sudo systemctl restart v2ray

Для Linux есть три основных пути: от простого интерфейса до работы в консоли.
1. v2rayA (Рекомендуемый — Web-интерфейс)
Установка:
curl -Ls https://mirrors.v2raya.org | sudo bash
sudo systemctl enable --now v2raya
Как пользоваться: Откройте в браузере http://localhost:2017, создайте аккаунт и просто вставьте вашу ссылку vmess://. Нажмите "Import", затем "Select" и "Ready".

2. Nekoray / Nekobox (Графическое приложение)
https://github.com/MatsuriDayo/nekoray
сайт en.nekoray.org — это неофициальный ресурс.
Хотя он выглядит как «официальная страница», разработчик проекта (MatsuriDayo) неоднократно заявлял, что единственным официальным источником является GitHub.
Установка: Скачайте .deb пакет или AppImage с GitHub Nekoray.
Запуск: Разрешите выполнение (chmod +x) и запустите. В меню выберите «Program» -> «Import from clipboard».
Как запустить и настроить:
При первом запуске он предложит выбрать ядро — выбирайте sing-box (оно современнее и быстрее).
Скопируйте вашу ссылку vmess://.
В программе нажмите Program → Add profile from clipboard (или просто Ctrl+V).
Нажмите правой кнопкой на добавленный сервер → Start.
Важно: Чтобы весь трафик системы пошел через прокси, поставьте галочку System Proxy (внизу или в меню).

3. V2Fly (Ядро через консоль)
curl -Ls https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh | sudo bash

Настройка: Вам придется вручную создать файл /usr/local/etc/v2ray/config.json с секцией outbounds, где будут указаны данные вашего сервера (те же, что мы зашивали в ссылку).
Вот как должен выглядеть файл /usr/local/etc/v2ray/config.json на вашем компьютере:

{ "inbounds": [ { "port": 1080, // Локальный порт, который вы укажете в браузере/Telegram "listen": "127.0.0.1", "protocol": "socks", "settings": { "udp": true } } ], "outbounds": [ { "protocol": "vmess", "settings": { "vnext": [ { "address": "ВАШ_ДОМЕН", "port": 443, "users": [ { "id": "ВАШ_UUID", "alterId": 0, "security": "auto" } ] } ] }, "streamSettings": { "network": "ws", "security": "tls", "tlsSettings": { "serverName": "ВАШ_ДОМЕН" }, "wsSettings": { "path": "/video" } } }, { "protocol": "freedom", "tag": "direct" } ] }


Разбор ключевых секций:
inbounds: Создает на вашем ПК локальный прокси. В примере выше это SOCKS5 на порту 1080.
outbounds: Описывает, куда V2Ray должен отправлять трафик. Здесь мы прописали ваш сервер, UUID, WebSocket путь (/video) и включили TLS.
freedom: Нужен, чтобы V2Ray умел ходить в сеть напрямую, если вы добавите правила маршрутизации.

Чтобы разделять трафик, в секцию routing добавляются правила (rules). Мы укажем V2Ray отправлять трафик на домены .ru и российские IP напрямую (direct), а всё остальное — через ваш прокси-сервер (outbound).
Добавьте блок routing в ваш config.json (обычно после outbounds):

"routing": { "domainStrategy": "IPIfNonMatch", "rules": [ { "type": "field", "outboundTag": "direct", "domain": [ "geosite:cn", "geosite:ru", "regexp:.*\\.ru$" ] }, { "type": "field", "outboundTag": "direct", "ip": [ "geoip:private", "geoip:ru" ] } ] }, "outbounds": [ { "protocol": "vmess", "tag": "proxy", // Добавьте этот тег для ссылки из правил "settings": { ... }, "streamSettings": { ... } }, { "protocol": "freedom", "tag": "direct", // Тег для прямого соединения "settings": {} } ]

Что здесь происходит:
domainStrategy: Сначала проверяет домен, если не совпало — проверяет IP.
geosite:ru: Использует встроенную базу доменов РФ.
regexp:.*\.ru$: Регулярное выражение, направляющее все сайты в зоне .ru мимо прокси.
geoip:ru: Использует базу IP-адресов РФ, чтобы российские сервисы не блокировали вас за «иностранный» вход.
geoip:private: Исключает из проксирования ваши локальные ресурсы (роутер, принтер).

Важное примечание:
Для работы geosite и geoip на Debian должны быть установлены соответствующие файлы баз (обычно лежат в /usr/local/share/v2ray/). Если их нет, скачайте их:
sudo curl -L -o /usr/local/share/v2ray/geoip.dat https://github.com
sudo curl -L -o /usr/local/share/v2ray/geosite.dat https://github.com
После правок не забудьте: sudo systemctl restart v2ray

Чтобы базы IP и доменов не устаревали, лучше всего настроить ежедневное обновление через systemd-таймер. Это надежнее, чем обычный cron.
1. Создайте скрипт обновления
Создайте файл /usr/local/bin/update-v2ray-rules.sh:
sudo nano /usr/local/bin/update-v2ray-rules.sh

Вставьте туда следующий код:

#!/bin/bash # Путь к папке с базами DAT_PATH="/usr/local/share/v2ray" # Скачивание свежих версий curl -L -o $DAT_PATH/geoip.dat https://github.com curl -L -o $DAT_PATH/geosite.dat https://github.com # Перезапуск V2Ray для применения новых баз systemctl restart v2ray

Сделайте его исполняемым:
sudo chmod +x /usr/local/bin/update-v2ray-rules.sh
Создайте Systemd сервис
Создайте файл /etc/systemd/system/v2ray-rules-update.service:

[Unit] Description=Update V2Ray GeoIP and GeoSite databases After=network.target [Service] Type=oneshot ExecStart=/usr/local/bin/update-v2ray-rules.sh


Создайте Таймер (запуск раз в сутки)
Создайте файл /etc/systemd/system/v2ray-rules-update.timer:

[Unit] Description=Run V2Ray rules update daily [Timer] OnCalendar=daily Persistent=true [Install] WantedBy=timers.target

Активируйте таймер
sudo systemctl daemon-reload
sudo systemctl enable --now v2ray-rules-update.timer

Увидеть статус таймера и время следующего запуска: systemctl list-timers --all | grep v2ray
Запустить обновление вручную прямо сейчас: sudo systemctl start v2ray-rules-update.service


Чтобы провайдер не перехватывал ваши DNS-запросы (DNS Poisoning), нужно настроить внутри V2Ray собственный DNS-сервер. В связке с правилами маршрутизации это позволит запрашивать IP российских сайтов через системный DNS, а заблокированных — через защищенный Google/Cloudflare.
Добавьте блок dns и обновите routing в вашем config.json:

{ "dns": { "servers": [ { "address": "8.8.8.8", // Запросы через сервер для заблокированных сайтов "port": 53, "domains": ["geosite:google", "geosite:geolocation-!cn"] }, { "address": "1.1.1.1", "port": 53 }, { "address": "localhost", // Для российских сайтов используем DNS провайдера "port": 53, "domains": ["geosite:ru", "regexp:.*\\.ru$"] } ] }, "routing": { "domainStrategy": "IPOnDemand", // Важно для перехвата DNS "rules": [ { "type": "field", "port": 53, "outboundTag": "proxy" // Направляем DNS трафик в туннель }, { "type": "field", "outboundTag": "direct", "domain": ["geosite:ru", "regexp:.*\\.ru$"] } // ... ваши остальные правила из предыдущего шага ... ] } }

Как это работает:
Локальные домены: Если вы заходите на yandex.ru, V2Ray видит правило geosite:ru и спрашивает IP у вашего обычного (localhost) DNS.
Заблокированные домены: Если вы идете на заблокированный ресурс, V2Ray отправляет зашифрованный запрос через ваш outbound (сервер) к Google DNS (8.8.8.8).
Скрытие запросов: Провайдер больше не видит, какие именно сайты вы пытаетесь открыть.
Последний штрих:
Чтобы весь системный трафик в Debian начал использовать этот DNS, в настройках сети (или в файле /etc/resolv.conf) обычно указывают nameserver 127.0.0.1.
Важно: Убедитесь, что в секции inbounds у вашего SOCKS-прокси включена поддержка UDP ("udp": true), иначе DNS не заработает.

Вот полный файл конфигурации клиента для Debian (/usr/local/etc/v2ray/config.json). Он объединяет в себе локальный SOCKS5-прокси, шифрование TLS, WebSocket, разделение трафика (РФ напрямую, остальное через сервер) и защищенный DNS.
Финальный конфиг (Client side)

{ "dns": { "servers": [ { "address": "8.8.8.8", "port": 53, "domains": ["geosite:geolocation-!cn"] }, { "address": "1.1.1.1", "port": 53 }, { "address": "localhost", "port": 53, "domains": ["geosite:ru", "regexp:.*\\.ru$"] } ] }, "inbounds": [ { "port": 1080, "listen": "127.0.0.1", "protocol": "socks", "settings": { "udp": true, "auth": "noauth" }, "sniffing": { "enabled": true, "destOverride": ["http", "tls"] } } ], "outbounds": [ { "protocol": "vmess", "tag": "proxy", "settings": { "vnext": [ { "address": "ВАШ_ДОМЕН", "port": 443, "users": [ { "id": "ВАШ_UUID", "alterId": 0, "security": "auto" } ] } ] }, "streamSettings": { "network": "ws", "security": "tls", "tlsSettings": { "serverName": "ВАШ_ДОМЕН" }, "wsSettings": { "path": "/video" } } }, { "protocol": "freedom", "tag": "direct", "settings": {} }, { "protocol": "blackhole", "tag": "block", "settings": {} } ], "routing": { "domainStrategy": "IPOnDemand", "rules": [ { "type": "field", "ip": ["8.8.8.8", "1.1.1.1"], "outboundTag": "proxy" }, { "type": "field", "outboundTag": "direct", "domain": ["geosite:ru", "regexp:.*\\.ru$"] }, { "type": "field", "outboundTag": "direct", "ip": ["geoip:private", "geoip:ru"] } ] } }

Что нужно сделать после сохранения:
Замените заглушки: Вместо ВАШ_ДОМЕН и ВАШ_UUID вставьте свои данные.

Сохраните конфиг.
Проверьте его на ошибки:
v2ray test -c /usr/local/etc/v2ray/config.json

Перезапустите службу:
sudo systemctl restart v2ray

Как пользоваться:
Теперь в Telegram или в настройках прокси браузера (через расширение типа Proxy SwitchyOmega) укажите:
Тип: SOCKS5
Адрес: 127.0.0.1
Порт: 1080

Для браузера (Chrome, Firefox, Edge) лучшим инструментом является расширение Proxy SwitchyOmega. Оно позволяет не переключать прокси в настройках всей системы, а управлять ими прямо в браузере.
https://github.com/zero-peak/ZeroOmega
1. Установка
Chrome Web Store
https://chromewebstore.google.com/detail/proxy-switchyomega-3-zero/pfnededegaaopdmhkdmcofjmoldfiped
Firefox Add-ons
https://addons.mozilla.org/en-US/firefox/addon/zeroomega/

2. Настройка профиля
После установки откройте параметры расширения:
Нажмите "New profile", введите имя (например, V2Ray) и выберите тип Proxy Profile.
В таблице настроек укажите:
Protocol: SOCKS5
Server: 127.0.0.1
Port: 1080 (тот самый, что мы указали в inbounds конфига).
Нажмите "Apply changes" (слева внизу).

VLESS + Reality + Vision

bash -c "$(curl -L https://raw.githubusercontent.com/XTLS/Xray-install/main/install-release.sh)" @ install
Генерация ключей: xray x25519
Генерация UUID: xray uuid
Конфиг сервера: Файл /usr/local/etc/xray/config.json. Основной фокус там в секции realitySettings, где указывается dest (например, google.com:443) и ваш privateKey.

VLESS + Reality работает на порту 443 и требует обязательного наличия privateKey в конфиге, иначе Xray просто не запустится.

Секция Inbounds для сервера:

{ "inbounds": [ { "port": 443, "protocol": "vless", "settings": { "clients": [ { "id": "СГЕНЕРИРОВАННЫЙ_UUID", "flow": "xtls-rprx-vision" } ], "decryption": "none" }, "streamSettings": { "network": "tcp", "security": "reality", "realitySettings": { "show": false, "dest": "dl.google.com:443", "xver": 0, "serverNames": [ "dl.google.com" ], "privateKey": "ВАШ_PRIVATE_KEY", "minClientVer": "", "maxClientVer": "", "maxTimeDiff": 0, "shortIds": [ "ВАШ_SHORT_ID" ] } } } ], "outbounds": [ { "protocol": "freedom", "tag": "direct" }, { "protocol": "blackhole", "tag": "block" } ] }

Как заполнить пропуски (команды для сервера):
UUID: Создайте новый идентификатор:
xray uuid
Ключи: Сгенерируйте пару (в конфиг выше вставляйте только Private):
xray x25519
Short ID: Сгенерируйте любую hex-строку из 8 или 16 символов:
openssl rand -hex 8
Почему выбран именно dl.google.com:
Этот домен используется для загрузки обновлений Chrome. Трафик к нему огромен, постоянен и идет со всего мира. Это идеальное «укрытие» для вашего VPN-трафика, так как цензоры не рискнут блокировать домены обновлений браузеров.

Как проверить работу после правки:
Запустите тест конфигурации, чтобы убедиться, что ни одна скобка не потеряна:
xray test -c /usr/local/etc/xray/config.json
Если в ответ получите Configuration OK, перезапускайте:
systemctl restart xray

Чтобы ссылка корректно импортировалась в v2rayNG (Android) или NekoRay (Debian), она должна содержать все параметры Reality. В протоколе VLESS они передаются как параметры запроса.
Шаблон ссылки VLESS + Reality:

Скопируйте эту строку и замените данные в скобках на свои: vless://ВАШ_UUID@IP_СЕРВЕРА:443?security=reality&sni=dl.google.com&fp=chrome&pbk=ВАШ_PUBLIC_KEY&sid=ВАШ_SHORT_ID&flow=xtls-rprx-vision&type=tcp&encryption=none#Reality-Google

Разбор параметров (что на что менять):
ВАШ_UUID: Идентификатор из конфига сервера.
IP_СЕРВЕРА: Публичный IP вашего VPS.
pbk (Public Key): Ваш Публичный ключ (тот, что шел в паре с privateKey). Важно: на сервере лежит приватный, а в ссылке — публичный.
sid (Short ID): Тот же hex-код из 8 символов, что вы вписали в конфиг.
sni: Домен маскировки (dl.google.com).
fp: Fingerprint (отпечаток браузера). Ставим chrome, чтобы трафик выглядел как запросы из браузера.
flow: xtls-rprx-vision — обязательный параметр для защиты от активного сканирования.

Как быстро сгенерировать ссылку прямо на сервере:
Если не хочется подставлять данные вручную, выполните эту команду на сервере (предварительно задав переменные):

# Пример заполнения (подставьте свои данные) UUID="ваш_uuid" IP="ваш_ip" PUB_KEY="ваш_public_key" SID="ваш_short_id" echo "vless://$UUID@$IP:443?security=reality&sni=dl.google.com&fp=chrome&pbk=$PUB_KEY&sid=$SID&flow=xtls-rprx-vision&type=tcp&encryption=none#Reality-Google"

Как импортировать:
Скопируйте готовую строку в буфер обмена.
В v2rayNG или NekoRay нажмите "+" или "Import from clipboard".
Нажмите на иконку «молнии» или выполните Ping, чтобы проверить доступность.

Вот пошаговый алгоритм:
1. Правильный выбор ядра
При импорте ссылки в NekoRay:
Зайдите в меню Preferences -> Basic Settings.
Убедитесь, что в качестве ядра (Core) выбрано sing-box. Протокол Reality (особенно с xtls-rprx-vision) лучше всего работает именно на этом ядре.

2. Режим TUN (Проксирование всей системы)
Чтобы не настраивать каждое приложение отдельно:
Запустите NekoRay от имени администратора (или он сам запросит пароль при включении режима).
В главном окне установите галочку TUN Mode.
Теперь весь трафик Debian (терминал, браузер, системные обновления) пойдет через ваш сервер.

3. Решение проблем с DNS на Debian
Часто сайты не открываются, потому что DNS-запросы «утекают» или блокируются. В NekoRay:
Перейдите в Preferences -> Routing Settings.
Выберите вкладку DNS.
Установите флажок Remote DNS на 8.8.8.8 или 1.1.1.1.
В поле DNS Strategy выберите Prefer IPv4 (это решит 90% проблем с долгим открытием страниц).

4. Если используете консольный V2Fly (Ядро через терминал)
Если вы решили не использовать графический интерфейс, ваш /usr/local/etc/v2ray/config.json должен содержать блок outbounds для Reality. В отличие от VMess, структура будет такой:

"outbounds": [ { "protocol": "vless", "settings": { "vnext": [{ "address": "IP_СЕРВЕРА", "port": 443, "users": [{ "id": "ВАШ_UUID", "encryption": "none", "flow": "xtls-rprx-vision" }] }] }, "streamSettings": { "network": "tcp", "security": "reality", "realitySettings": { "publicKey": "ВАШ_PUBLIC_KEY", "shortId": "ВАШ_SHORT_ID", "sni": "dl.google.com", "fingerprint": "chrome" } } } ]



Если вы планируете смотреть YouTube через браузер, рекомендую в расширении ZeroOmega просто выбрать профиль «System Proxy» (или настроенный SOCKS5 на порт 2081 — стандарт для NekoRay).

1. Установка ядра на клиент (Debian)
Если еще не ставили, используйте тот же скрипт, что и на сервере:


2. Чистый конфиг клиента (/usr/local/etc/xray/config.json)
Этот конфиг создаст локальный SOCKS5 и HTTP прокси, через которые вы сможете пустить трафик.

{ "inbounds": [ { "port": 1080, // Порт для SOCKS5 "listen": "127.0.0.1", "protocol": "socks", "settings": { "udp": true } }, { "port": 1081, // Порт для HTTP (удобно для curl/wget) "listen": "127.0.0.1", "protocol": "http" } ], "outbounds": [ { "protocol": "vless", "settings": { "vnext": [ { "address": "IP_ВАШЕГО_СЕРВЕРА", "port": 443, "users": [ { "id": "ВАШ_UUID", "encryption": "none", "flow": "xtls-rprx-vision" } ] } ] }, "streamSettings": { "network": "tcp", "security": "reality", "realitySettings": { "publicKey": "ВАШ_PUBLIC_KEY", "shortId": "ВАШ_SHORT_ID", "sni": "dl.google.com", "fingerprint": "chrome" } } } ] }

3. Запуск и проверка
Перезапуск: systemctl restart xray
Проверка статуса: systemctl status xray
Проверка работы туннеля через прокси:
curl -x socks5h://127.0.0.1:1080 ifconfig.me

4. Использование в консоли
Чтобы временные команды в текущей сессии терминала шли через прокси (например, скачивание обучающих материалов через wget), выполните:
export http_proxy="http://127.0.0.1:1081"
export https_proxy="http://127.0.0.1:1081"
Важное уточнение: Для браузера в ZeroOmega теперь указывайте SOCKS5 порт 1080.

Для корректной работы с государственными и локальными ресурсами на Debian, блок routing на стороне клиента должен принудительно направлять трафик РФ в обход прокси.
Вставьте этот блок в /usr/local/etc/xray/config.json на вашем ПК:

{ "routing": { "domainStrategy": "IPOnDemand", "rules": [ { "type": "field", "outboundTag": "direct", "domain": [ "geosite:ru", "regexp:.*\\.gov\\.ru$", "regexp:.*\\.nalog\\.ru$", "regexp:.*\\.gosuslugi\\.ru$" ] }, { "type": "field", "outboundTag": "direct", "ip": [ "geoip:ru", "geoip:private" ] }, { "type": "field", "outboundTag": "proxy", "network": "tcp,udp" } ] }, "outbounds": [ { "protocol": "vless", "tag": "proxy", "settings": { "vnext": [{ "address": "IP_СЕРВЕРА", "port": 443, "users": [{ "id": "UUID", "encryption": "none", "flow": "xtls-rprx-vision" }] }] }, "streamSettings": { "network": "tcp", "security": "reality", "realitySettings": { "publicKey": "PUBLIC_KEY", "shortId": "SHORT_ID", "sni": "dl.google.com", "fingerprint": "chrome" } } }, { "protocol": "freedom", "tag": "direct", "settings": {} } ] }

Почему это важно для госсайтов:
Геоблокировка: Многие ресурсы (Госуслуги, Налоговая) блокируют доступ с иностранных IP-адресов вашего VPS. Правило geoip:ru решает эту проблему.
Шифрование: Госсайты часто используют специфические сертификаты. Прямое соединение (direct) позволяет избежать ошибок SSL/TLS.
Скорость: Локальные зеркала репозиториев Debian в зоне .ru будут работать на максимальной скорости вашего провайдера.
Важно: Убедитесь, что у вас скачаны файлы баз в /usr/local/share/xray/geoip.dat и geosite.dat (скрипт установки обычно делает это сам).

Чтобы увидеть, как Xray распределяет трафик в реальном времени, нужно включить логирование. Это позволит вам убедиться, что Госуслуги идут напрямую (direct), а обучающие материалы — через сервер (proxy).
1. Включите логи в конфиге
Добавьте блок log в начало вашего /usr/local/etc/xray/config.json:

{ "log": { "loglevel": "info", "access": "/var/log/xray/access.log", "error": "/var/log/xray/error.log" }, ... }

2. Создайте папку для логов и дайте права
Xray должен иметь право писать в этот файл:
bash
sudo mkdir -p /var/log/xray
sudo chown nobody:nogroup /var/log/xray
sudo systemctl restart xray

3. Проверка в реальном времени (самое интересное)
Запустите мониторинг и попробуйте открыть какой-нибудь сайт:
tail -f /var/log/xray/access.log
Что вы увидите в консоли:
[Info] ... accepted tcp:yandex.ru:443 ... [direct] — значит правило сработало, трафик пошел мимо VPN.
[Info] ... accepted tcp:youtube.com:443 ... [proxy] — трафик успешно ушел в туннель Reality.

После настройки и проверки рекомендую изменить loglevel обратно на warning, чтобы не забивать диск лишней информацией.

4. Отладка без файлов
Если не хотите плодить логи на диске, можно просто смотреть вывод службы:
journalctl -u xray -f

1. Настройка внутри Telegram
Зайдите в приложение и пройдите по пути:
Настройки (Settings) → Продвинутые настройки (Advanced) → Тип соединения (Connection Type).
Выберите Использовать собственный прокси (Use custom proxy).
Нажмите Добавить прокси (Add proxy).
2. Параметры подключения:
Тип: SOCKS5
Хост: 127.0.0.1
Порт: 1080 (тот, что вы указали в inbounds файла config.json).
Логин/Пароль: Оставьте пустыми (мы настроили noauth).

Полезный лайфхак:
Если вы хотите поделиться доступом с семьей или использовать прокси на другом устройстве в этой же локальной сети, замените в конфиге listen: 127.0.0.1 на listen: 0.0.0.0. Тогда в Telegram на телефоне (подключенном к тому же Wi-Fi) можно будет указать локальный IP вашего компьютера (например, 192.168.1.50).


Лучшие варианты для Android:
v2rayNG (версия 1.8.5+) — Рекомендуемый.
Google Play / GitHub.
Как добавить: Нажмите + -> «Import config from clipboard» (вставьте ту самую длинную ссылку vless://, которую мы составили). Он идеально понимает Reality.
NekoBox — Самый быстрый.
GitHub.
Плюс: Он использует ядро sing-box, которое работает с Reality чуть экономнее для батареи смартфона.
v2flyNG — Тот, на который вы давали ссылку ранее.
Тоже подходит, так как базируется на свежих ядрах, но интерфейс у него чуть более специфический.

На что нажать в настройках (если вводите вручную):
Если решите не использовать ссылку, а вбивать руками в v2rayNG:
Protocol: VLESS
Flow: xtls-rprx-vision (это критично для маскировки)
Security: reality
SNI: dl.google.com
Fingerprint: chrome
PublicKey: Ваш публичный ключ с сервера.
Маленький совет: В Android-клиентах тоже есть функция «Раздельное туннелирование» (Per-app proxy). Включите её, чтобы через прокси ходили только YouTube и браузер, а банковские приложения и Госуслуги работали напрямую — так они не будут ругаться на "иностранный IP".

1. Проверка на сервере (Linux VPS)
Убедитесь, что служба активна и не выдает ошибок:
systemctl status xray
# Если горит зеленым (active), значит ядро запустилось.
# Посмотрите последние 10 строк логов:
journalctl -u xray -n 10

2. Проверка на Debian (Консоль)
Сначала проверьте, что прокси-порт открыт локально:
ss -tulpn | grep 1080

Затем проверьте «личность» в сети (включив прокси для команды):
# Должен показать IP вашего сервера:
curl -x socks5h://127.0.0.1:1080 ifconfig.me

# Должен показать ваш реальный домашний IP (благодаря блоку routing):
curl ifconfig.me

DNS-тест (Важно!)
Зайдите на dnsleaktest.com и запустите "Standard test".
Результат: Вы не должны видеть DNS-серверов вашего провайдера. Должны быть только Google, Cloudflare или IP вашего сервера. Это значит, что провайдер не знает, куда вы ходите.

Что делать, если не работает?
Клиент не подключается: Проверьте, открыт ли порт 443 в фаерволе сервера: ufw allow 443/tcp.
Ошибка TLS: Проверьте, что publicKey в ссылке совпадает с тем, что выдала команда xray x25519 на сервере.

Генерация данных для Reality:
xray uuid # Ваш ID (пароль)
xray x25519 # Пара Private/Public ключей
openssl rand -hex 8 # Ваш ShortID

Файлы конфигурации
Путь: /usr/local/etc/xray/config.json
Логи (если включены): /var/log/xray/access.log
Базы GeoIP/Site: /usr/local/share/xray/

Шаблон ссылки для импорта
vless://UUID@IP:443?security=reality&sni=dl.google.com&fp=chrome&pbk=PUBLIC_KEY&sid=SHORT_ID&flow=xtls-rprx-vision&type=tcp&encryption=none#Reality-Custom

Короткое резюме по настройке Reality:
На сервере: Ставим Xray, генерируем xray x25519, прописываем PrivateKey в /usr/local/etc/xray/config.json.
На Debian: Ставим тот же Xray, прописываем PublicKey в исходящие соединения (outbounds).
Маршрутизация: Блок routing с правилами geoip:ru и geosite:ru гарантирует, что госсайты и банки будут видеть ваш настоящий IP.
Telegram: Использует SOCKS5 на 127.0.0.1:1080 (локальный порт вашего Xray)

Чтобы не потерять плоды долгих настроек при переустановке системы или случайном удалении, используйте эту команду для создания резервной копии.
Команда создаст архив в вашей домашней папке, который будет включать сам конфиг и исполняемый скрипт обновления баз:
tar -cvzf ~/xray_backup_$(date +%F).tar.gz /usr/local/etc/xray/config.json /usr/local/bin/update-v2ray-rules.sh

Если нужно будет вернуть всё как было на новом сервере/клиенте, просто выполните:
sudo tar -xvzf ~/xray_backup_ДАТА.tar.gz -C /
sudo systemctl restart xray