Xray (VLESS): Einrichtung und Verbindung im Jahr 2026
Xray (VLESS): Einrichtung und Verbindung im Jahr 2026 Xray: Einrichtung und Verbindung — das sind die Punkte, bei denen die meisten Menschen genau in der praktischen Phase Fragen haben. Über das Protokoll selbst haben sie schon gehört, die Konfiguration irgendwo besorgt, aber was sie damit weiter tu
Xray (VLESS): Einrichtung und Verbindung im Jahr 2026
Xray: Einrichtung und Verbindung — das sind die Punkte, bei denen die meisten Menschen genau in der praktischen Phase Fragen haben. Über das Protokoll selbst haben sie schon gehört, die Konfiguration irgendwo besorgt, aber was sie damit weiter tun sollen — unklar. Dieser Artikel schließt genau diese Lücke: vom Import des Schlüssels bis zur funktionierenden Verbindung auf Android, iPhone, Windows und Mac.
Was ist Xray und warum umgeht es DPI besser als klassische VPNs
Xray, VLESS und Reality einfach erklärt
Xray ist das Kernstück, ein Fork des V2Ray-Projekts, geschrieben in Go. Es ist an sich kein VPN im herkömmlichen Sinne — es ist eher eine Transport-Engine, die in der Lage ist, den Datenverkehr in verschiedene Protokolle zu verpacken. VLESS ist eines dieser Protokolle, leichtgewichtig und ohne überflüssige Kryptografie (die Verschlüsselung übernimmt die TLS-Schicht von außen).
Reality ist eine Erweiterung über VLESS. Der Kernpunkt ist, dass Ihr Datenverkehr als normales TLS-Verbindung zu einer echten Website maskiert wird — zum Beispiel zu amazon.com oder microsoft.com. Das DPI-System des Anbieters sieht einen korrekten TLS-Handshake mit einer bekannten Domain und kann dies nicht von einem echten Besuch der Website unterscheiden. Genau deshalb ist Reality schwieriger zu blockieren als ein klassisches VPN.
Was unterscheidet Xray von WireGuard, OpenVPN und Shadowsocks
WireGuard ist ein hervorragendes Protokoll, schnell und energieeffizient. Aber seine Signatur im Netzwerk ist erkennbar: ein spezifisches Muster des UDP-Datenverkehrs wird leicht von DPI erkannt. Roskomnadzor und große Anbieter können es bereits verlangsamen oder an bestimmten Ports blockieren.
IKEv2 ist die gleiche Geschichte. Schnell, bequem, in iOS und Windows integriert — aber die Signatur ist standardmäßig, ohne Obfuskation. OpenVPN kann zwar über TCP/443 arbeiten und sich als HTTPS ausgeben, aber sein Handshake ist schon lange in die Datenbanken der DPI-Filter aufgenommen worden. Shadowsocks ist einfacher zu implementieren und hat bis 2022 gut funktioniert, aber modernes DPI von SORM kommt damit deutlich besser zurecht als früher.
AmneziaWG ist eine interessante Alternative: es ist WireGuard mit Obfuskation der Header. Es funktioniert besser als reines WireGuard, aber Reality ist immer noch einen Schritt voraus in der Maskierung. Ein ehrlicher Nachteil von Xray ist die Komplexität der Einrichtung und eine etwas höhere CPU-Belastung im Vergleich zu WireGuard.
Wann Xray wirklich benötigt wird und wann ein normales VPN ausreicht
Wenn Sie einfach nur den Datenverkehr im Café verschlüsseln oder auf ein Unternehmensnetzwerk zugreifen müssen — WireGuard oder IKEv2 werden ausreichen und erfordern keine Mühe mit Konfigurationen. Aber wenn der Anbieter bereits begonnen hat, YouTube auf 144p zu verlangsamen und Instagram, Facebook, Twitter/X und Telegram gelegentlich nicht öffnen oder mit Verzögerungen laden — ist genau die Maskierung des Datenverkehrs erforderlich.
In diesem Fall ist VLESS mit Reality das, was derzeit wirklich funktioniert. Keine Allheilmittel für immer, aber im Jahr 2026 die beste verfügbare Option gegen tiefgehende Paketinspektion.
Was vor der Einrichtung benötigt wird: Konfiguration, Abonnement und Auswahl des Clients
Woher kommt die VLESS-Konfiguration (Link vless://, QR-Code, Abonnement)
Die Konfiguration kommt in einem der drei Formate. Das erste — eine Zeile der Formvless://UUID@host:port?.... Das zweite — ein QR-Code, der dieselbe Zeile enthält, einfach in einem scanfreundlichen Format. Das dritte — ein Abonnement-Link (subscription URL), der normalerweise mithttps:// beginnt und eine Liste von Konfigurationen in base64 zurückgibt — praktisch, wenn es mehrere Server gibt und diese aktualisiert werden.
Die Konfiguration kann selbst auf einem VPS (Hetzner, Vultr, DigitalOcean — jeder außerhalb von RF ist geeignet) hochgeladen werden, aus einem geschlossenen Telegram-Kanal entnommen oder über einen VPN-Dienst erhalten werden, der ein fertiges VLESS-Abonnement bereitstellt. NvoVPN beispielsweise gibt einen Link zum Abonnement aus — es reicht aus, ihn in den Client einzufügen, und die Server werden automatisch ohne manuelles Kopieren von UUID und Schlüsseln abgerufen.
Aber das ist wichtig: Importieren Sie keine Konfigurationen aus zufälligen öffentlichen Telegram-Kanälen mit Hunderttausenden von Abonnenten. Ein Teil davon sind Fallen zur Datensammlung. Kostenloser Käse gibt es nur in der Mäusefalle.
Xray-Clients für jede Plattform
| Plattform | Client | Besonderheiten |
|---|---|---|
| Android | v2rayNG, NekoBox | Kostenlos, Google Play und F-Droid, Unterstützung für Abonnements |
| iPhone / iPad | Streisand, V2Box | Kostenlos, App Store; Shadowrocket ist leistungsfähiger, kostet aber $2.99 |
| Windows | Nekoray, v2rayN, Hiddify | Nekoray und Hiddify — die bequemsten im Jahr 2026 |
| macOS | V2Box, Hiddify, Nekoray | V2Box ist im App Store, die anderen — GitHub |
| Router | OpenWrt + Plugin xray | Für das ganze Haus, erfordert jedoch technisches Wissen |
Wie man überprüft, ob die Konfiguration funktioniert, vor dem Import
Schauen Sie sich die Parameter in der Zeile an: sie sollten seintype=tcp odertype=grpc,security=reality, ausgefülltpbk (öffentlicher Schlüssel Reality) undsni — Maskierungsdomain. Wenn einer dieser Parameter fehlt, ist die Konfiguration wahrscheinlich veraltet oder unvollständig.
Das Datum der Aktualität kann indirekt so überprüft werden: Wenn die Konfiguration vor mehr als einem Monat aus einer öffentlichen Quelle erhalten wurde, haben sich die Schlüssel wahrscheinlich bereits geändert oder der Server ist ausgefallen. Eine frische Konfiguration aus dem Abonnement wird automatisch bei der Synchronisierung aktualisiert.
Einrichtung und Verbindung von Xray Schritt für Schritt
Für diejenigen, die nach Details zu Xray suchen: Die Einrichtung und Verbindung auf jeder Plattform unterscheidet sich ein wenig, aber die Logik ist die gleiche — Import, Auswahl des Profils, Aktivierung, Überprüfung.
Android: Einrichtung in v2rayNG
Installieren Sie v2rayNG aus dem Google Play oder F-Droid (Version 1.8.x und höher). Öffnen Sie die App. Wenn Sie die Zeilevless:// haben — klicken Sie auf „+“ in der oberen rechten Ecke → „Import aus Zwischenablage“ (kopieren Sie vorher die Zeile). Wenn es einen QR-Code gibt — „+“ → „QR scannen“. Wenn es einen Abonnement-Link gibt — „Subscription“ → „Add“ → fügen Sie die URL ein → „Update“.
Nach dem Import wählen Sie das gewünschte Profil aus der Liste aus (klicken Sie darauf, es wird hervorgehoben). Klicken Sie auf die Dreieck-Starttaste unten auf dem Bildschirm. Android wird um Erlaubnis zur Erstellung eines VPN-Profils bitten — erlauben Sie dies. Nach der Verbindung erscheint ein Schlüsselsymbol in der Statusleiste.
Der Standard-Routing-Modus in v2rayNG ist „Nach Regeln“. Wenn einige Websites nicht geöffnet werden — wechseln Sie in den Einstellungen zu „Global“ → „Routing“. Überprüfen Sie das Ergebnis auf 2ip.ru: Es sollte die IP Ihres Servers anzeigen, nicht die Ihres Heimnetzwerks.
iPhone und iPad: Einrichtung in Streisand oder V2Box
Streisand und V2Box — beide sind kostenlos und im App Store verfügbar. Laden Sie einen von ihnen herunter. In Streisand: klicken Sie auf „+“ → „Import from clipboard“ oder „Scan QR“. Für den Abonnement-Link: „+“ → „Subscribe“ → fügen Sie die URL ein. Wählen Sie ein Profil aus der Liste, klicken Sie auf „Connect“.
iOS zeigt beim ersten Verbinden die Systemaufforderung „Die App möchte eine VPN-Konfiguration hinzufügen“ — das ist normal, klicken Sie auf „Erlauben“ und geben Sie Face ID oder den Passcode ein. Ohne diesen Schritt wird die Verbindung nicht gestartet. Das VPN-Symbol erscheint in der Statusleiste neben dem Wi-Fi-Signal.
Shadowrocket (2,99 $) — wenn das Budget es zulässt, sollte man es nehmen: dort gibt es flexibles Routing und Unterstützung für Dutzende von Protokollen. Aber für die grundlegende Aufgabe reicht Streisand völlig aus.
Windows: Einrichtung in Nekoray oder Hiddify
Nekoray wird von GitHub heruntergeladen (Repository MatsuriDayo/nekoray), die aktuelle Version im Juli 2026 — 3.x. Nach der Installation starten Sie es, wählen Sie im Menü „Add profile from clipboard“ oder „Add profile from subscription URL“. Klicken Sie mit der rechten Maustaste auf das Profil → „Start“. Im Systemtray erscheint ein Symbol — Status „Connected“.
Hiddify ist einfacher für Anfänger: Die Benutzeroberfläche ist auf Russisch, es gibt einen integrierten Latenztest. Laden Sie den Installer von GitHub (hiddify/hiddify-next) herunter, installieren Sie ihn, fügen Sie das Abonnement über „Add config“ hinzu → fügen Sie die URL ein. Hiddify wird den besten Server basierend auf dem Ping automatisch bestimmen.
Wichtiger Punkt für Windows: Stellen Sie sicher, dass der Proxymodus auf „System Proxy“ oder „TUN Mode“ eingestellt ist — andernfalls leitet der Browser den Verkehr über den Proxy, während andere Anwendungen dies nicht tun. Der TUN-Modus erfordert Administratorrechte.
macOS: Verbindung über V2Box
V2Box ist im Mac App Store — das ist der einfachste Weg. Nach der Installation: klicken Sie auf „+“ → „Import from clipboard“ oder „Add subscription“. Wählen Sie ein Profil aus, klicken Sie auf „Connect“. macOS wird um Erlaubnis zur Hinzufügung der VPN-Konfiguration in den Systemeinstellungen bitten — es öffnet sich das Fenster „Systemeinstellungen → VPN“, klicken Sie auf „Erlauben“.
Wenn Sie flexibleres Routing wünschen — Hiddify für macOS (GitHub, hiddify/hiddify-next) unterstützt Regeln basierend auf Domains und IPs. Nekoray funktioniert ebenfalls, aber die Builds für macOS werden etwas seltener aktualisiert.
Router auf OpenWrt: Grundkonfiguration
Dies ist eine Option für diejenigen, die den gesamten Heimverkehr über Xray leiten möchten, ohne jedes Gerät einzurichten. Ein Router mit OpenWrt ist erforderlich (zum Beispiel GL.iNet oder TP-Link mit kompatibler Firmware) und das Paketxray-core aus dem opkg-Repository.
Nach der Installation von xray-core konfigurieren Sie die Datei in/etc/xray/config.json — dort werden manuell die Parameter aus Ihrer vless-Zeile eingetragen: UUID, Adresse, Port, öffentlicher Schlüssel Reality, SNI. Die Routing-Konfiguration erfolgt über ip-rule und nftables. Das ist nichts für Anfänger — wenn Sie keine Erfahrung mit OpenWrt haben, sollten Sie besser mit einem Client auf einem separaten Gerät beginnen.
Geschwindigkeitstest und Überprüfung der Umgehung von Blockierungen
Wie man ehrlich die Geschwindigkeit vor und nach dem Test misst
Messen Sie zuerst ohne VPN: Öffnen Sie speedtest.net oder fast.com, notieren Sie den Download, Upload und Ping. Verbinden Sie sich dann über Xray und wiederholen Sie den Test auf demselben Speedtest-Server. Achten Sie auf drei Werte: Downloadgeschwindigkeit, Uploadgeschwindigkeit und Latenz.
Ein Geschwindigkeitsverlust von 20-40% bei der Maskierung ist normal. Reality fügt Overhead für den TLS-Handshake und die Paketverarbeitung hinzu. Zum Vergleich: Bei WireGuard liegt der Verlust normalerweise bei 5-15%. Das ist der faire Preis für die Umgehung von DPI — wenn Ihr Anbieter die Geschwindigkeit nicht drosselt, ist WireGuard objektiv schneller. Aber wenn YouTube bereits ohne VPN ruckelt — kümmert Sie der Unterschied von 20% Overhead wenig.
Überprüfung der Umgehung der Drosselung von YouTube
Gehen Sie zu YouTube und öffnen Sie ein Video in 4K (2160p) oder mindestens 1080p. Ohne VPN bei Drosselung durch den Anbieter — das Video hängt entweder beim Puffern oder wechselt automatisch auf 144-360p. Nach der Verbindung über Xray: Wählen Sie manuell die Qualität 1080p oder 4K und messen Sie, ob das Video ohne Unterbrechungen geladen wird.
Zusätzlich öffnen Sie stats for nerds (rechte Maustaste auf das Video → „Statistik für Nerds“): Dort sehen Sie die aktuelle Pufferungsgeschwindigkeit. Wenn sie stabil über 3-4 Mbit/s bei 1080p liegt — ist die Drosselung aufgehoben.
Überprüfung des Zugangs zu Instagram, Facebook, Twitter/X
Nach der Verbindung gehen Sie im Browser (nicht in der App — Apps cachen manchmal DNS) auf instagram.com, facebook.com, twitter.com. Wenn sie sich öffnen — funktioniert das Routing. Überprüfen Sie auch Telegram Web auf web.telegram.org.
Wenn die Social-Media-Apps sich auch nach der Verbindung nicht öffnen — verwenden sie möglicherweise eigenen DNS über HTTPS (DoH) zur Umgehung des systemweiten DNS, und Ihr Proxy fängt ihn nicht ab. In diesem Fall wird der TUN-Modus oder die Konfiguration von fake-dns im Client benötigt.
Keine Verbindung oder Websites öffnen sich nicht: Fehlersuche
Handshake fehlgeschlagen / TLS-Fehler Reality
Das ist das häufigste Problem bei der Konfiguration von Xray mit Reality. Grund Nummer eins — Zeitunsynchronisation auf dem Gerät. TLS erfordert, dass die Zeit des Clients und des Servers nicht mehr als ein paar Minuten auseinanderliegt. Überprüfen Sie die Systemzeit: auf Android — „Einstellungen → Allgemein → Datum und Uhrzeit → Automatisch“; auf Windows — „Einstellungen → Zeit und Sprache → Jetzt synchronisieren“.
Der zweite Grund — falscher öffentlicher Schlüssel Reality (pbk) oder falsches SNI in der Konfiguration. Wenn Sie die Parameter manuell eingegeben haben, überprüfen Sie jedes Zeichen. UUID, pbk und short-id müssen mit dem übereinstimmen, was auf dem Server konfiguriert ist. Ein Fehler in einem Zeichen — und der Handshake wird nicht erfolgreich sein.
Drittens, spezifisch: Der SNI-Domain der Maskierung (zum Beispiel,www.microsoft.com) ist selbst in der RF blockiert oder aus Ihrem Netzwerk nicht erreichbar. Reality imitiert den Besuch dieser Website — wenn sie unerreichbar ist, bricht der Handshake zusammen. Lösung: Ändern Sie das SNI auf eine andere, nicht blockierte Domain in der Konfiguration.
Verbindung besteht, aber kein Internet
Der Client zeigt „Connected“, die IP im Status hat sich geändert, aber der Browser sagt „Keine Verbindung“. Das erste, was wir überprüfen, ist der Routing-Modus. In v2rayNG, Nekoray und Hiddify kann standardmäßig der Modus „Nach Regeln“ aktiviert sein, der nur blockierte Websites über den Proxy zulässt, während die anderen direkt gehen. Wenn die Regeln nicht korrekt konfiguriert sind — öffnet sich nichts. Wechseln Sie auf „Global“ und überprüfen Sie es erneut.
Der zweite Grund — DNS-Leck oder DNS-Blockierung. Wenn der Client DNS-Anfragen außerhalb des Tunnels sendet, antwortet der Anbieter mit blockierten IPs oder antwortet überhaupt nicht. Überprüfen Sie in den Einstellungen des Clients, dass der DNS-Server (normalerweise 8.8.8.8 oder 1.1.1.1) über den Tunnel und nicht direkt geht. Auf 2ip.ru im Abschnitt „DNS-Leck“ können Sie überprüfen, welche DNS-Server von außen sichtbar sind.
Ein weiteres Szenario — zwei VPN-Profile sind gleichzeitig aktiv. Auf Android und iOS erlaubt das System nur eine aktive VPN-Verbindung, aber manchmal wird das alte Profil nicht korrekt deaktiviert. Gehen Sie zu den Systemeinstellungen des Netzwerks und stellen Sie sicher, dass nur ein VPN aktiv ist.
Funktioniert über Wi-Fi, aber nicht über mobile Daten (und umgekehrt)
Das ist einer der unauffälligsten Fälle. Mobilfunkanbieter (MTS, Beeline, MegaFon, Tele2) haben eigene DPI-Systeme, die unabhängig vom heimischen Anbieter sind. Eine Konfiguration, die zu Hause über Rostelecom einwandfrei funktioniert, kann vom Mobilfunkanbieter anders behandelt werden.
Versuchen Sie, den Port zu ändern: Wenn jetzt ein nicht standardmäßiger Port wie 8443 oder 2053 verwendet wird, versuchen Sie 443 (standardmäßiges HTTPS). Viele Anbieter blockieren nicht standardmäßige Ports auf der Ebene des Mobilfunknetzes, aber lassen 443 unberührt. Überprüfen Sie auch, ob IPv6 über mobile Daten aktiviert ist — es kann den Tunnel umgehen und die echte Adresse offenbaren. Deaktivieren Sie IPv6 vorübergehend auf dem Gerät zum Testen.
Unternehmens- und Schulnetzwerke sind eine eigene Geschichte. Dort schneidet DPI den Verkehr nach Ports und inspiziert manchmal sogar TLS nach dem Fingerabdruck des Clients (JA3/JA4). In solchen Fällen hilft der Wechsel des Clients oder der Wechsel zu Port 80 mit WebSocket-Transport — aber das ist bereits eine andere Serverkonfiguration.
Der Anbieter hat begonnen, die Konfiguration zu blockieren
Das passiert. DPI wird aktualisiert, und eine bestimmte Kombination aus Host, Port, SNI und Fingerabdruck wird blockiert. Keine Panik — die Vorgehensweise ist folgende:
- Aktualisieren Sie das Abonnement: Klicken Sie im Client auf „Abonnement aktualisieren“ — der Dienst kann bereits neue Konfigurationen bereitstellen.
- Versuchen Sie einen anderen Server aus der Liste (wenn im Abonnement mehrere vorhanden sind).
- Ändern Sie den Port: 443 → 2053 oder umgekehrt.
- Wenn Sie den Server selbst hochgefahren haben — generieren Sie eine neue Reality-Konfiguration mit einem anderen SNI und einem neuen Schlüsselpaar mit dem Befehl
xray x25519auf dem Server. - Als vorübergehende Maßnahme — versuchen Sie einen anderen Transport: grpc anstelle von tcp oder WebSocket.
Das gleiche Protokoll, aber mit unterschiedlichen Parametern, verhält sich unter DPI unterschiedlich. Normalerweise stellt die Rotation der Parameter den Zugang wieder her, ohne die gesamte Infrastruktur zu ändern.
Warum ist VLESS-Reality besser als WireGuard zum Umgehen von Blockaden?
Reality tarnt Ihren Datenverkehr als echtes TLS-Verbindung zu einer echten Website. DPI sieht etwas, das nicht von einem Besuch, sagen wir, microsoft.com, zu unterscheiden ist — und blockiert nicht. WireGuard ist schneller und einfacher, aber seine UDP-Signatur ist DPI-Systemen gut bekannt, und Betreiber können es verlangsamen und blockieren. Für die Aufgabe, die Verlangsamung von YouTube zu umgehen oder Instagram zu öffnen — ist Tarnung wichtiger als Geschwindigkeit.
Ist Xray legal?
Xray ist ein Werkzeug zur Verschlüsselung von Datenverkehr, genau wie TLS oder SSH. An sich ist es legal. Für die Ressourcen, mit denen Sie sich verbinden, sind Sie als Benutzer verantwortlich. Dieser Artikel ist eine technische Anleitung und fordert nicht dazu auf, irgendwelche Gesetze zu brechen.
Warum hat die Verbindung funktioniert, aber die Websites laden nicht?
Am häufigsten liegt es an einem falschen Routing-Modus: Der Datenverkehr geht an einem Proxy vorbei, basierend auf inkorrekten Regeln. Schalten Sie auf „Global“. Eine zweite Möglichkeit ist ein DNS-Leck: Anfragen gehen direkt an den Anbieter, der blockierte Adressen zurückgibt. Dritte Möglichkeit — eine Asynchronität der Systemzeit, die TLS stört. Überprüfen Sie diese drei Punkte der Reihe nach.
Muss ich meinen eigenen Server für Xray aufsetzen?
Nein. Sie können einen VPS mieten und alles selbst einrichten — dann haben Sie die volle Kontrolle über die Schlüssel und die Konfiguration. Eine Alternative ist die Verwendung eines fertigen VLESS-Abonnements von einem VPN-Dienst, zum Beispiel NvoVPN: Es reicht, den Link in den Client einzufügen, und die Server werden automatisch hinzugefügt. Die zweite Option ist einfacher, die erste flexibler.
Welchen Xray-Client sollte ich für das iPhone wählen?
Streisand und V2Box — beide sind kostenlos und im App Store erhältlich. Sie unterstützen den Import von vless://-Strings und Abonnement-Links. Nach dem Import müssen Sie einmal die Installation des VPN-Profils in den iOS-Systemeinstellungen erlauben — ohne diesen Schritt wird die Verbindung nicht gestartet. Shadowrocket ist leistungsfähiger im Routing, kostet aber $2,99.
Der Anbieter hat meine Konfiguration blockiert — was soll ich tun?
Zuerst aktualisieren Sie das Abonnement im Client — frische Konfigurationen könnten bereits vorhanden sein. Versuchen Sie einen anderen Server oder Port (443 funktioniert fast immer). Wenn der Server Ihr eigener ist — generieren Sie eine neue Reality-Konfiguration mit einem anderen SNI und einem neuen Schlüsselpaar. DPI schneidet eine bestimmte Kombination von Parametern und nicht das Protokoll selbst, daher hilft Rotation normalerweise.
Ähnliche Artikel
Das könnte Sie auch interessieren
OpenConnect: Einrichtung und Verbindung im Jahr 2026
OpenConnect: Einrichtung und Verbindung im Jahr 2026 Wenn Sie die Konfiguration eines ocserv-Servers...
WeiterlesenTUIC: Einrichtung und Verbindung von VPN im Jahr 2026
TUIC: Einrichtung und Verbindung von VPN im Jahr 2026 Wenn du bereits VLESS und Shadowsocks ausprobi...
WeiterlesenCloak Obfuskation: Einrichtung und Verbindung im Jahr 2026
Cloak Obfuskation: Einrichtung und Verbindung im Jahr 2026 Wenn der Anbieter WireGuard oder OpenVPN...
Weiterlesen