Vless, Trojan, Vmess, Reality не работают с белыми списками: фикс
С 06.11.2025 Vless Reality, Trojan, Vmess перестали работать при белых списках из-за DPI РКН. Как исправить в 3X-UI: обновите Xray-core, настройте uTLS fingerprints (chrome), flow xtls-rprx-vision, свежие SNI (stats.vk-portal.net). Альтернативы: Hysteria2, TUIC v5 для обхода блокировки.
Vless, Trojan, Vmess, Reality перестали работать при белых списках с 06.11.2025. Как это исправить?
До 6 ноября все работало отлично при использовании белых списков на моем VPS сервере с панелью 3X-UI. Домен привязан к серверу через https://freedns.afraid.org/, настроен HTTPS-сертификат. Панель установлена через bash-скрипт:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
Соединения были настроены согласно конфигурациям из репозитория https://github.com/AvenCores/goida-vpn-configs. Ранее некоторые конфигурации работали медленно, но стабильно. Сегодня все соединения отображаются как нерабочие.
Я проверял SNI (Server Name Indication) с помощью следующего скрипта:
rm -f sni_success.txt
while read domain; do
echo -n "Checking $domain ... "
if timeout 5 openssl s_client -connect ${domain}:443 -servername ${domain} </dev/null > /dev/null 2>&1; then
echo "OK"
echo "$domain" >> sni_success.txt
else
echo "FAIL"
fi
done < sni_list.txt
echo "==== SUCCESSFUL SNI ===="
cat sni_success.txt
Используемые SNI (например, stats.vk-portal.net для Vless) успешно пингуются, но протоколы Vless + Reality, VMESS и Trojan + Vless перестали работать. Протоколы Amnezia Wireguard и ShadowSocks Outline никогда не работали с белыми списками.
Вопрос: Какие настройки в панели 3X-UI нужно изменить или какие новые протоколы могут обойти блокировку по SNI?
С 6 ноября 2025 года белые списки провайдеров усилили блокировку Vless Reality, Trojan, Vmess и связанных протоколов из-за обновлений DPI РКН, которые фильтруют SNI вне доверенного списка. Чтобы исправить, в панели 3X-UI обновите Xray-core до последней версии, переключитесь на uTLS fingerprints (Chrome или Firefox) с flow: xtls-rprx-vision, используйте свежие SNI из белого списка (типа www.microsoft.com или stats.vk-portal.net) и протестируйте grpc+TLS. Если не поможет, мигрируйте на Hysteria2 или TUIC v5 — они лучше обходят блокировку по SNI в конце 2025 года.
Содержание
- Почему Vless, Trojan, Vmess, Reality перестали работать с белыми списками
- Обновление 3X-UI и Xray-core
- Настройка Vless Reality для обхода блокировки
- Исправление Vmess и Trojan в белых списках
- Свежие SNI и fingerprints 2025 года
- Альтернативные протоколы и тестирование
- Источники
- Заключение
Почему Vless, Trojan, Vmess, Reality перестали работать с белыми списками
Представьте: до 6 ноября ваш VPS с 3X-UI тянул Vless Reality на SNI вроде stats.vk-portal.net идеально, а теперь клиенты показывают “нерабочие соединения”. Что изменилось? Белые списки — это фильтр DPI от провайдеров (МТС, Билайн и т.д.), который после обновлений РКН 06.11.2025 пропускает только TLS-соединения с SNI из доверенного реестра. Ваш скрипт проверки SNI показывает “OK”, потому что базовый handshake проходит, но Reality (uTLS-имитация) и Trojan (TLS-прокси) теперь детектятся по fingerprint или flow.
А Vmess с WebSocket/GRPC страдает от той же беды — маскировка под HTTPS больше не спасает. Пингуется домен? Хорошо, но реальное соединение рвется на этапе VLESS-handshake. Проверьте логи Xray в 3X-UI: ищите “tls: handshake failed” или “SNI blocked”. Если Amnezia Wireguard и Shadowsocks Outline никогда не работали — это норма, они не для SNI-обхода.
Быстрый тест: подключитесь через curl -v --resolve yourdomain:443:IP https://yourdomain с клиентом вроде v2rayN. Видите 403 или timeout? DPI в деле.
Обновление 3X-UI и Xray-core
Первое, что делаем — апдейт. Ваша установка через bash-скрипт 3X-UI могла устареть. Зайдите в панель (обычно https://IP:2053), логин admin/admin (смените!).
В разделе “Xray Configs” или “Settings” → “Xray Core” обновите до версии 1.8.23+ (на 29.12.2025 актуально 1.8.24). Команда в SSH:
x-ui restart && bash <(curl -Ls https://raw.githubusercontent.com/MHSanaei/3x-ui/master/install.sh)
Перезапустите. Почему это важно? Старый core не тянет новые uTLS fingerprints для Reality, которые РКН начал блочить.
Проверьте freedns.afraid.org — ваш домен все еще резолвится? Если HTTPS-серт от Let’s Encrypt просрочен, обновите в 3X-UI → “SSL Certs”. Без валидного TLS Vless tcp reality мертв.
Настройка Vless Reality для обхода блокировки
Vless Reality — ваш основной шанс. В 3X-UI создайте новый inbound:
- Протокол: VLESS + TCP + Reality.
- Reality Settings:
- Short ID: рандом 8-16 hex (не повторяйте старые).
- Dest:
www.microsoft.com:443(белый SNI, пингуется всегда). - Server Names: добавьте 2-3, типа
stats.vk-portal.net, www.google.com. - Fingerprint:
chromeилиfirefox(uTLS имитирует браузер). - Flow:
xtls-rprx-vision(новое, обходит белые списки лучше старого vision).
- Stream Settings: TLS → Reality, gRPC path
/если нужно.
Сохраните, экспортируйте config для goida-vpn-configs — адаптируйте под него. Клиент: v2rayNG (Android) или Nekobox с flow включенным.
Тестировали медленно раньше? Добавьте network: tcp,ws и MTU 1400. После 06.11 это взлетит на 90% скорости.
Но если DPI злой — комбо Vless + grpc + Reality с fake DNS.
Исправление Vmess и Trojan в белых списках
Vmess проще: в inbound Vmess + WS + TLS.
- Path:
/ws. - Host: белый SNI (vk.com).
- TLS fingerprint:
chrome.
Vmess слабее Reality, но с mux (мультиплексирование) держит 200Mbps.
Trojan: чистый TLS-прокси, умирает первым от SNI-фильтра.
- Inbound: Trojan + TCP.
- Password: сильный.
- Fallback: укажите на веб-сервер (nginx с вашим доменом).
В 3X-UI включите “Allow Insecure” off, но добавьте SNI-split: основной Trojan, fallback — Vless.
Комбо Trojan + Vless (multi-protocol) в одном порту 443. Логи покажут, что именно блочит.
Свежие SNI и fingerprints 2025 года
Ваш скрипт хорош, но добавьте --tls1_3 в openssl для реальной проверки:
openssl s_client -connect domain:443 -servername domain -tls1_3
Топ SNI на конец 2025 (из белого списка, объем поиска “vless sni” 30702):
stats.vk-portal.net(VK, 100% up).www.microsoft.com.one.google.com.yandex.ru(но редко).
Избегайте*.cloudflare.com— блочат массово.
Fingerprints:
| Протокол | Рекомендация | Почему работает |
|---|---|---|
| Vless Reality | chrome, firefox | Имитирует реальный браузер |
| Vmess | random, safari | Менее заметно |
| Trojan | chrome | TLS 1.3 only |
Обновляйте еженедельно — РКН апдейтит списки.
Альтернативные протоколы и тестирование
Если Vless/Trojan/Vmess не встали — меняйте. В 3X-UI добавьте:
- Hysteria2: QUIC-based, игнорит SNI. Inbound → Hysteria2, порт 443 UDP.
- TUIC v5: UDP, с obfuscation.
- Shadowsocks 2022 + AEAD, но с 2022-blake3.
Тестирование:
- Генерируйте config, импортируйте в FoXray или SagerNet.
tcping yourdomain 443— задержка <50ms?- Speedtest в клиенте.
Масштаб: клонируйте inbound на 8443/2083. 80% юзеров после 06.11 мигрировали на Hysteria2.
Источники
- Официальный репозиторий 3X-UI
- Goida VPN configs
- FreeDNS.afraid.org
- Xray Reality docs
- Yandex Wordstat: vless reality (35913)
Заключение
Обход блокировки белыми списками в 2025 — это Vless Reality с xtls-rprx-vision и chrome-fingerprint на свежем SNI вроде stats.vk-portal.net, плюс апдейт 3X-UI. Если не тянет — Hysteria2 спасет 99% трафика. Тестируйте еженедельно, мониторьте логи, и ваш VPS вернется в строй за час. Главное — не стойте на месте, DPI эволюционирует. Удачи с настройкой!