Развертывание зашифрованных каналов связи: Xray и WireGuard на одном сервере

📡 Исходные данные

• ✅ Имеется настроенный сервер (VPS) с работающим WireGuard
• ✅ Сервер один, приобретение дополнительных мощностей не требуется

🧠 Конфигурация: совместное размещение Xray и WireGuard

Конфликт сервисов исключен: WireGuard функционирует на порту udp 51820, Xray использует tcp 443 (возможна смена порта). Оба демона работают независимо. Существующие WireGuard-клиенты сохраняют работоспособность, новая конфигурация предназначена для организации дополнительного зашифрованного канала.

⚙️ Процедура установки (терминал, SSH)

Подключитесь к серверу. Работающий WireGuard не требует остановки или изменения конфигурации.

По завершении установки терминал отобразит порт, логин и пароль для доступа к веб-интерфейсу. Сохраните эти данные. Резервная копия конфигурации хранится в /etc/3x-ui/.

Параметры новой конфигурации входящего подключения:

• Протокол: VLESS
• Порт: 443 (если порт не занят иными службами; альтернативы: 8443, 9443)
• Security (поток): reality
• dest (SNI): www.microsoft.com — целесообразно указывать домен крупного ресурса
• serverNames: аналогичный домен (например, www.microsoft.com)
• privateKey / publicKey: генерируются автоматически при нажатии кнопки "генерация"
• Остальные параметры: значения по умолчанию, flow = xtls-rprx-vision

Нажмите "Add". Созданный inbound содержит ссылку для экспорта в клиентское приложение (доступна через иконку QR-кода).

📱 Настройка клиентских устройств (VLESS Reality)

• Android: NekoBox, v2rayNG
• iOS: FoXray, Shadowrocket
• Windows: Nekoray, v2rayN
• macOS: FoxRay, V2Box

Достаточно скопировать ссылку формата vless://... и импортировать её в приложение. Трафик шифруется и маскируется под стандартное TLS-соединение.

🛡️ Технические особенности протокола REALITY

Протокол Reality не требует фиксированных сертификатов и не генерирует характерных для VPN паттернов. Инициируется стандартное TLS-рукопожатие с легитимным сайтом (например, microsoft.com), после чего устанавливается зашифрованный канал. Для внешнего наблюдателя трафик на порту 443 идентифицируется как обычный HTTPS, что не позволяет выделить его из общего потока данных.

➕ Дополнительные возможности (опционально)

Возможно построение цепочки WireGuard → Xray или использование Warp от Cloudflare в качестве исходящего прокси в конфигурации Xray. Однако для базовых задач достаточно раздельного использования двух подключений.

Для углубленного изучения: на GitHub доступен проект hoolea/wg-xray (Docker-образ для автоматизации настройки).

🧪 Проверка работоспособности

Откройте сервисы whoer.net или 2ip.ru. IP-адрес должен соответствовать адресу вашего сервера. Следы использования VPN-технологий и утечки DNS отсутствуют.

📌 Резюме

• Единый сервер — WireGuard и Xray функционируют concurrently
• WireGuard — для существующих подключений
• VLESS+Reality — технология организации зашифрованного канала
• Схема: клиент (NekoBox/v2rayNG) → сервер (Xray inbound 443) → целевой ресурс
• Приобретение дополнительных серверов и доменов не требуется

После инсталляции Xray рекомендуется выполнить перезагрузку сервера или перезапустить сервис командой systemctl restart 3x-ui, а также проверить конфигурацию межсетевого экрана. Если WireGuard использует порт 51820/udp — конфликтов не возникает.

Если порт 443 занят веб-сервером, допустимо использование портов 8443, 7443 и др. Главное условие — соответствие порта в настройках клиента и сервера. Параметр SNI должен указывать на реальный домен (не IP-адрес).