Изучал популярные статьи по настройке VPN для семейного доступа — большинство из них оказались слишком сложными и, в некоторых случаях, небезопасными. Получилось, сделать гораздо проще, безопасней и надежней. Представляю Bash-скрипт «autoXRAY» — https://github.com/xVRVx/autoXRAY
Предназначен для быстрого и удобного получения актуальных конфигураций ВПН для семейного использования.
Рекомендуемая система: Debian 12. Также поддерживаются Debian 10, Debian 11 и Ubuntu 24.
Вы получите:
Основной VLESS TCP REALITY xtls-rprx-vision на 443 порту с рандомным сайтом маскировки.
Вспомогательный vless на 8443 порту.
Вспомогательный Shadowsocks на 2040 порту.
Стандартная установка
Зайдите в консоль на сервер (Debian 12), например, с помощью PuTTY и введите команду:
bash -c "$(curl -L https://raw.githubusercontent.com/xVRVx/autoXRAY/main/autoXRAY.sh)"
Подождите около 5 минут, пока устанавливаются обновления и ядро XRAY. В конце установки зелёными цветом будут подсвечены 3 готовых конфига. Вам останется только вставить их в ваше клиентское приложение.
Установка для хостеров
Если вы хотите автоматически развертывать личный VPN для своих клиентов и у вас есть авторизация в Телеграме.
bash -c "$(curl -L https://raw.githubusercontent.com/xVRVx/autoXRAY/main/autoXRAY.sh)" -- chatID tgTOKEN
chatID — id вашего клиента в ТГ, tgTOKEN — токен вашего бота. Просьба указывать автора и ссылку на страницу гитхаба в качестве первоисточника.
После настройки ядра XRAY скрипт автоматически пришлет готовые конфиги с инструкцией в ТГ бот.
Настройка VPN
Скопируйте конфиг в специализированное приложение:
iOS: Happ или v2rayTun или FoXray
Android: Happ или v2rayTun или v2rayNG
Windows: Hiddify или Nekoray
Сайт с более подробными инструкциями: blog.skybridge.run
Пояснение и рекомендации
Сейчас в сети много инструкций по установке GUI-панелей, таких как Marzban, 3x-ui или новая RemnaWave. Однако все они избыточны для домашнего использования, так как предназначены для крупных проектов и отличаются высокой сложностью настройки (также используют ядро xray).
Мануал, который необходимо пройти до получения первого рабочего конфига, занимает более 10 страниц. Кроме того, подходящий конфиг для Xray нужно ещё поискать и правильно настроить — с этим отлично справляется данный скрипт.
Без GUI и базы данных Xray потребляет меньше ресурсов сервера и отлично подходит для запуска на слабых VPS-конфигурациях!
При каждом запуске autoXRAY генерирует новые UUID, ключи и пароли для защиты пользователей, а также выбирает случайные SNI из списка для маскировки.
Выбор сервера (реферальные ссылки)
AEZA — у них иногда есть promo vps в Швеции за 1.1 евро (выгодна оплата криптовалютой).
XorekCloud — тут есть новый промо тариф, за 150 руб./мес.
Смена паролей и сайта маскировки
Запустите скрипт заново — он сформирует новые конфигурации VPN для YouTube, chatGPT и других нужных сайтов.
Повышенная маскировка
В идеале, надо настроить ваше клиентское приложение, чтобы оно отправляло российский трафик напрямую, минуя vpn сервер. Также можно: перенаправлять ру трафик в Cloudflare WARP, создать второй ру сервер и перенаправлять его туда.
Если вы хотите погрузиться в дело конфигурации xray есть отличный справочник и руководство.
Редактировать конфиг можно тут: /usr/local/etc/xray/config.json
После изменений ядро надо перезапустить: sudo systemctl restart xray
Также рекомендуется: как минимум, сменить порт ssh со стандартного 22 на другой или сделать вход на сервер по ключу. Настроить файрвол и оставить открытыми порты для работы скрипта: 443, 8443, 2040.
selfsteal
Есть такое понятие как селфстил, когда на самом сервере стоит сайт для маскировки, это дает много плюсов, но требует повышенных знаний и своего домена, настройки реверс-прокси, такого как nginx и получение ssl сертификата на свой сайт для маскировки.
Требования:
Свой домен, не в СНГ зонах.
ДНС-хостинг.
Debian 12 (на других не тестировалось).
Домен и бесплатный днс-хостинг можно получить в регру за рубли или cloudns за крипту.
Необходимо настроить A-запись вашего домена на IP-адрес вашего сервера, чтобы можно было выпустить SSL-сертификат. Помните, что DNS-записи обновляются не сразу: иногда это занимает 15 минут, иногда — час и более. Проверить можно тут - xseo.in/dns.
Преимущества:
Сайт всегда работает и устраняется еще одна точка отказа.
Ниже пинг - быстрее соединение.
Не используются CDN, которые есть на многих популярных сайтах.
Лучше маскировка - т.к. сайт находится в той же сети что и сервер.
Разработан скрипт автоматизации для получения selfsteal - вставьте ваш домен!
bash -c "$(curl -L https://raw.githubusercontent.com/xVRVx/autoXRAY/main/autoXRAYselfsteal.sh)" -- вашДОМЕН.com
Комментарии (22)
AngelNet
16.05.2025 15:26Очередной велосипед с рекламой аезы и какого то ноунейм перекупа хостинга.
Про безопасность можно забыть, если ставишь что-то из чужих репозиториев онлайн.
" Представляю Bash-скрипт "autoXRAY" - на этом месте можно закрывать, расходимся господа.
VRV Автор
16.05.2025 15:26Это не реклама аезы, а ссылки на дешевые промо тарифы, если вы знаете еще таких хостеров, можете написать сюда, чтобы люди могли выбрать.
Код открыт для изучения в открытом виде, т.е. вы считаете что мануалы на 10 страниц для установки и настройки панели с устаревшими конфигами лучше, чем настроеное ядро с проверенным конфигом vless tcp reality?
vikarti
16.05.2025 15:26Ну например - одна из более менее очевидных претензий - не упомянут RealiTLScanner вообще и зачем он полезен с VLESS.
Нет, чем больше статей чем лучше но лучше все же приводить ссылки и на те статьи что "ну слишком сложно это" тоже.
VRV Автор
16.05.2025 15:26Вы все верно пишите, это полезный инструмент, как и его аналоги. Домены из списка в скрипте уже проверены на совместимость с Reality. Сейчас работаю над selfsteal автоматизацией и нужна обратная связь:
Нужен свой домен и А-запись на сервер. Можете уже попробовать сырой скрипт:
bash -c "$(curl -L https://raw.githubusercontent.com/xVRVx/autoXRAY/main/autoXRAYselfsteal.sh)" -- вашДОМЕН.com
achekalin
16.05.2025 15:26Не ссылки, а промоссылки (рефссылки, если другими словами). Здесь такое, по общему соглашению, не постят.
Что характерно, порт не заминусован, хотя, сколько помню, стоит в тексте появиться рефприписке, как это полагается "залётом", и аудитория яростно голосует рублем против такой попытки заработать 5 копеек.
А насчет ставить на шротном хостинге автоскрипт - ну, думаю, тут аргументы можно не искать, почему это всячески криво. Первое, что в голову приходит - человек так себе ботферму заведет, вставив в "волшебный" авто-скрипт пару лишних строчек (может, не сейчас, а через месяцок, когда хомячки растянут по блогам очередной "в два клика" способ.
Честно говоря, проще те же 150-200 руб в мес отдавать "провайдеру" VPN, там хоть гемора меньше, а риски те же.
ki11j0y
16.05.2025 15:26Сомнительно, запускать подобные скрипты, ну либо панель ставить нормальную либо руками настроить xray, и у меня для вас новости плохие, доходят 'слухи' что reality ркн научился ломать, полагаю из за дыры в хэндшейке, чутка тут там сломать и все, сайты работают а vless reality нет....
Переходим на vless tcp tls, vless ws, vless xhttp, за обратным прокси, и маскировкой под nextcloud там или minio, что угодно.
VRV Автор
16.05.2025 15:26XARY ядро используется во всех панелях, о чем упомянуто в статье. И вы также можете посмотреть мой автосгенерированый конфиг или его настроить сами, лежит тут: /usr/local/etc/xray/config.json
Пока нет доказательств что детектируют именно reality, там где не работает reality не работает вообще весь ТЛС.
A5PHYX1A22
16.05.2025 15:26AnneziaXray?
VRV Автор
16.05.2025 15:26вполне хорошая альтернатива, но у амнезии есть пара минусов - у нее можно использовать только свое приложение, а у меня, например, оно вылетает постоянно на win10, на 11 отлично все. Еще один - вы не видите код, который крутится на сервере, тут в комментариях скрипт называют небезопасным, но в амнезии вообще не видно, что они там ставят.
kiberkot
16.05.2025 15:26А можно сделать экспорт настроек в формате xray и на его основе сгенерировать ссылку vless://
mltk
16.05.2025 15:26Когда-то заворачивать UDP-трафик в TCP-туннель считалось
зашкваромплохим тоном, а сейчас каждый первый заворачивает всё в TCP/HTTPS...Пока работают UDP-туннели, я буду продолжать их использовать.
Belkogoth
В чем прикол, не пойму. У меня на внешнем VPS висит RouterOS, куда через SSTP протокол подрублены микротики с дома и дачи, по IPsec с телефона также цепляюсь, когда не дома. Аптайм 24\7 более полугода, через него тащатся необходимые мне сайты из моего списка, ютубы и прочие гуглы, причем работает все прозрачно для клиентов, то есть никаких, разумеется, впнов ставить никуда не надо, запустил ноут\смарт\комп и работаешь как будто никаких блокировок. Тьфу 3 раза, работает себе и работает.
crawlingroof
Минусить без каментариев уже конечно уровень пикабу, sstp детектируется РКН @#$%^@
xray нет.
Belkogoth
Не знаю, в каких масштабах он детектируется и при каких условиях его стараются блочить, но факт, что канал с микротиков до ROS на европейском VPS в аптайме у меня 24\7. При этом другие протоколы реально работают через одно место. VPS за бугром у меня уже не первый год поднят. Если пытаться через Wireguard, к примеру, или Openvpn - работают через пень-колоду. WG бывает и сразу глохнет на первых 92 байтах, причем если клиентский микрот подрубается к серверу через свисток с симкой - через пень-колоду работает даже канал внутри страны. До RouterOS на российском сервере, либо до микротика с белым внешним IP адресом. Видимо, опсосы не любят шифрованные каналы и\или сжатие. OpenVPN тупит скорее через UDP - TCP вроде работает стабильно, но только внутри страны, опять же. IPsec в принципе тоже может работать, может на час\день\неделю не ловить соединение, если за бугор. SSTP - тьфу 3 раза, пока как часы. В целом, мне хватает для моих задач: я не гоняю вообще весь траффик наружу - исключительно согласно потребностям, на сетевом уровне в районе стадий NAT\Mangle на клиентских микротах это у меня настроено не прям чтобы сверхизящно, то в достаточной степени тонко, чтобы все необходимое работало, но при этом железо и канал нагружались минимально. Вполне возможно, что такой подход как раз не привлекает внимание к себе.
з.ы. минусить без комментариев с аргументацией - это не пикабушная привычка. На хабре это стало нормой задолго до того, как пикабу стал мейнстримом. Многие уважаемые хабровчане тут сидят с древних времен с отрицательным рейтингом, а многие же вообще покинули ресурс)) У меня самого это не первый аккаунт уже, так что к этому здесь я давно привык как к неизбежному сопутствующему явлению, поскольку у многих только два мнения: свое и неправильное)) Это, что печалит, влияет на карму, которая влияет на возможности писать комментарии, хотя, кажется, а еще есть рейтинг - явление сугубо зависящее от погоды на Марсе, индекса NASDAQ, результатов тараканьих бегов в глухой деревне посреди Гваделупы, но ни разу не от объективных факторов)) Даже если тут просто сидеть молча и ничего не писать - рейтинг почему-то стремится к нулю, а может и расти в отрицательную сторону)) Хотелось чтобы карму здесь отвязали хотя бы от оценок в комментариях, ибо даже за один аргументированный комментарий, причем написанный прохожим мимокрокодилом, никого не оскорбляющий и не нарушающий правил ресурса, здесь на ровном месте можно схлопотать полную панамку и сходу улететь в RO =) О - объективность. Б - логика =) Чесслово, такое я даже на Пикабу не видел, и в целом не знаю других ресурсов в рунете, где подобная система. Но местному Олимпу на это плевать, сейчас его жителей что-то иное волнует, видимо, ворох задач поважнее.
vvzvlad
У меня регулярно блокировался, приходилось порт менять. Дело даже не в том, что он работает или не работает щас, а в том, что его заблокируют очень легко, когда захочется.
the_vitas
У меня пров - это тот который для ркн черные ящики пилит, точнее их ПО. У меня все у самого первого соответственно отлетает как только что-то надо заблочить. WG, l2tp, pptp, ovpn в принципе не соединяются за бугор, sstp работает и не жужжит. Тьфу 3 раза.
Belkogoth
Вот чесслово, даже не представляю, по каким критериям вообще эти блокировки прохоисходят, и почему именно мои каналы в порядке. Причем я ж внешнего хостера менял по разным причинам (меняющиеся ценовые политики, в основном) Возможно, количество траффика по каналам, возможно, сама реализация протокола в RouterOS играет роль. Но вот как-то так и происходит. Причем все на стандартном 443 порту работает.
vikarti
Возможно потому что это пока работает.
У меня вот "основной" VPN - кое что на базе PPTP(но только вот клиентов под это "кое что" для Windows и Android/iOS вообще не существует, и вообщем скриптиком с гитхаба это не ставится) и работает стабильно (при этом прошлая версия когда сначала wireguard а поверх это самое кое что - уже неработает, зачем так надо было - а быстрее это работает). Но в принципе может отвалится в любой момент.
При этом внутрироссийский Wireguard уровня с сотового на хоумсервер - внезапно не всегда работает (зависит от сотового оператора). А вот так.
C VLESS и AmneziaWG я экспериментирую потихоньку (собственно тестовая слабая VPS с поднятым VLESS через Amnezia(они так умеют) - есть)