Xray (VLESS): configuración y conexión en 2026
Xray (VLESS): configuración y conexión en 2026 Xray: configuración y conexión — es algo con lo que la mayoría de las personas tiene preguntas precisamente en la etapa práctica. Ya han oído hablar del protocolo, han conseguido el config de alguna manera, pero no saben qué hacer con él a continuación
Xray (VLESS): configuración y conexión en 2026
Xray: configuración y conexión — es algo con lo que la mayoría de las personas tiene preguntas precisamente en la etapa práctica. Ya han oído hablar del protocolo, han conseguido el config de alguna manera, pero no saben qué hacer con él a continuación — no está claro. Este artículo cierra precisamente este vacío: desde la importación de la clave hasta una conexión funcional en Android, iPhone, Windows y Mac.
Qué es Xray y por qué elude el DPI mejor que las VPN clásicas
Xray, VLESS y Reality en palabras simples
Xray — es el núcleo, un fork del proyecto V2Ray, escrito en Go. En sí mismo no es una VPN en el sentido habitual — es más bien un motor de transporte que puede envolver el tráfico en diferentes protocolos. VLESS — es uno de esos protocolos, ligero y sin criptografía innecesaria en su interior (el cifrado lo asume la capa TLS externa).
Reality — es una extensión sobre VLESS. La esencia es que tu tráfico se disfraza como una conexión TLS normal con un sitio real — por ejemplo, con amazon.com o microsoft.com. El sistema DPI del proveedor ve un handshake TLS correcto con un dominio conocido y no puede distinguir esto de una visita real al sitio. Es por eso que Reality es más difícil de bloquear que una VPN clásica.
En qué se diferencia Xray de WireGuard, OpenVPN y Shadowsocks
WireGuard — es un excelente protocolo, rápido y económico en batería. Pero su firma en la red es reconocible: un patrón específico de tráfico UDP se detecta fácilmente por el DPI. Roskomnadzor y los grandes operadores ya saben cómo ralentizarlo o bloquearlo en puertos específicos.
IKEv2 — es la misma historia. Rápido, conveniente, integrado en iOS y Windows — pero la firma es estándar, sin ofuscación. OpenVPN, aunque puede trabajar sobre TCP/443 y hacerse pasar por HTTPS, su handshake ha sido incluido en las bases de datos de filtros DPI desde hace tiempo. Shadowsocks es más fácil de desplegar y funcionó bien hasta 2022, pero el DPI moderno de SORM lo maneja notablemente mejor que antes.
AmneziaWG — es una alternativa interesante: es WireGuard con ofuscación de encabezados. Funciona mejor que el WireGuard puro, pero Reality sigue estando un paso adelante en cuanto a enmascaramiento. Un inconveniente honesto de Xray — es la complejidad de configuración y una carga ligeramente más alta en el procesador en comparación con WireGuard.
Cuándo se necesita realmente Xray y cuándo basta con una VPN normal
Si solo necesitas cifrar el tráfico en una cafetería o acceder a una red corporativa — WireGuard o IKEv2 lo harán sin requerir ningún lío con configuraciones. Pero si el proveedor ya ha comenzado a ralentizar YouTube a 144p, y Instagram, Facebook, Twitter/X y Telegram no se abren o cargan con retrasos — se necesita precisamente el enmascaramiento del tráfico.
En este caso, VLESS con Reality — es lo que realmente funciona ahora. No es una panacea para siempre, pero para 2026 es la mejor de las opciones disponibles contra la inspección profunda de paquetes.
Qué se necesita antes de la configuración: config, suscripción y elección del cliente
De dónde proviene el config de VLESS (enlace vless://, código QR, suscripción)
El config llega en uno de tres formatos. El primero — una cadena del tipovless://UUID@host:port?.... El segundo — un código QR, que contiene la misma cadena, simplemente en un formato conveniente para escanear. El tercero — un enlace de suscripción (subscription URL), que generalmente comienza conhttps:// y devuelve una lista de configs en base64 — conveniente cuando hay varios servidores y se actualizan.
El config se puede levantar uno mismo en un VPS (Hetzner, Vultr, DigitalOcean — cualquiera fuera de la RF servirá), obtener de un canal de Telegram privado o recibir a través de un servicio VPN que proporciona una suscripción VLESS lista. NvoVPN, por ejemplo, proporciona un enlace a la suscripción — solo es necesario insertarlo en el cliente, y los servidores se cargan automáticamente sin copiar manualmente UUID y claves.
Pero aquí está lo importante: no importes configs de canales públicos de Telegram aleatorios con cientos de miles de suscriptores. Parte de ellos son trampas para recopilar tráfico. El queso gratis solo se encuentra en la trampa para ratones.
Clientes de Xray para cada plataforma
| Plataforma | Cliente | Características |
|---|---|---|
| Android | v2rayNG, NekoBox | Gratis, Google Play y F-Droid, soporte para suscripciones |
| iPhone / iPad | Streisand, V2Box | Gratis, App Store; Shadowrocket es más potente, pero $2.99 |
| Windows | Nekoray, v2rayN, Hiddify | Nekoray y Hiddify — los más cómodos en 2026 |
| macOS | V2Box, Hiddify, Nekoray | V2Box está en la App Store, los demás — GitHub |
| Router | OpenWrt + plugin xray | Para toda la casa, pero requiere conocimientos técnicos |
Cómo verificar que la configuración funciona antes de importar
Mire los parámetros en la línea: deben sertype=tcp otype=grpc,security=reality, llenopbk (clave pública Reality) ysni — dominio de enmascaramiento. Si falta alguno de estos parámetros, la configuración probablemente esté desactualizada o incompleta.
La fecha de vigencia se puede verificar indirectamente así: si la configuración se obtuvo hace más de un mes de una fuente pública, las claves probablemente ya han cambiado o el servidor ha caído. La configuración reciente de la suscripción se actualiza automáticamente al sincronizar.
Configuración y conexión de Xray paso a paso
Para aquellos que buscan detalles sobre Xray: la configuración y conexión en cada plataforma es un poco diferente, pero la lógica es la misma: importar, seleccionar perfil, activar, verificar.
Android: configuración en v2rayNG
Instale v2rayNG desde Google Play o F-Droid (versión 1.8.x y superior). Abra la aplicación. Si tiene la líneavless:// — presione “+” en la esquina superior derecha → “Importar desde el portapapeles” (copia previamente la línea). Si hay un código QR — “+” → “Escanear QR”. Si es un enlace de suscripción — “Subscription” → “Add” → pegue la URL → “Update”.
Después de importar, seleccione el perfil deseado de la lista (haga clic en él, se resaltará). Presione el botón de inicio en forma de triángulo en la parte inferior de la pantalla. Android solicitará permiso para crear un perfil VPN — permita. Después de conectarse, aparecerá un ícono de llave en la barra de estado.
El modo de enrutamiento predeterminado en v2rayNG es “Por reglas”. Si algunos sitios no se abren, cambie a “Global” en la configuración → “Routing”. Verifique el resultado en 2ip.ru: debe mostrar la IP de su servidor, no la doméstica.
iPhone y iPad: configuración en Streisand o V2Box
Streisand y V2Box — ambos son gratuitos y están en la App Store. Descargue uno de ellos. En Streisand: presione “+” → “Importar desde el portapapeles” o “Escanear QR”. Para el enlace de suscripción: “+” → “Suscribirse” → pegue la URL. Seleccione el perfil de la lista, presione “Conectar”.
iOS al primer conectarse mostrará la solicitud del sistema “La aplicación quiere agregar una configuración VPN” — esto es normal, presione “Permitir” e ingrese Face ID o el código de acceso. Sin este paso, la conexión no se iniciará. El ícono de VPN aparecerá en la barra de estado junto a la señal de Wi-Fi.
Shadowrocket ($2.99) — si el presupuesto lo permite, vale la pena: tiene enrutamiento flexible y soporte para decenas de protocolos. Pero para la tarea básica, Streisand es más que suficiente.
Windows: configuración en Nekoray o Hiddify
Nekoray se descarga de GitHub (repositorio MatsuriDayo/nekoray), la versión actual en julio de 2026 es 3.x. Después de la instalación, inicie, en el menú seleccione “Agregar perfil desde el portapapeles” o “Agregar perfil desde la URL de suscripción”. Haga clic derecho en el perfil → “Iniciar”. Aparecerá un ícono en la bandeja del sistema — estado “Conectado”.
Hiddify es más fácil para principiantes: la interfaz está en ruso, hay una prueba de latencia incorporada. Descargue el instalador de GitHub (hiddify/hiddify-next), instale, agregue la suscripción a través de “Agregar configuración” → pegue la URL. Hiddify determinará automáticamente el mejor servidor por ping.
Un punto importante para Windows: asegúrese de que el modo proxy esté configurado en “Proxy del sistema” o “Modo TUN” — de lo contrario, el navegador enviará el tráfico a través del proxy, pero las demás aplicaciones no. El modo TUN requiere derechos de administrador.
macOS: conexión a través de V2Box
V2Box está en Mac App Store — es el camino más sencillo. Después de la instalación: presione “+” → “Importar desde el portapapeles” o “Agregar suscripción”. Seleccione el perfil, presione “Conectar”. macOS solicitará permiso para agregar la configuración VPN en la configuración del sistema — se abrirá la ventana “Configuración del sistema → VPN”, presione “Permitir”.
Si desea un enrutamiento más flexible — Hiddify para macOS (GitHub, hiddify/hiddify-next) admite reglas por dominios e IP. Nekoray también funciona, pero las compilaciones para macOS se actualizan un poco menos frecuentemente.
Router en OpenWrt: configuración básica
Esta es una opción para aquellos que quieren enviar todo el tráfico doméstico a través de Xray sin configurar cada dispositivo. Se necesita un router con OpenWrt (por ejemplo, GL.iNet o TP-Link con firmware compatible) y el paquetexray-core de el repositorio opkg.
Después de instalar xray-core, configure el archivo de configuración en/etc/xray/config.json — allí se introducen manualmente los parámetros de su línea vless: UUID, dirección, puerto, clave pública Reality, SNI. La ruta se configura a través de ip-rule y nftables. Esto no es para principiantes: si no tiene experiencia con OpenWrt, es mejor comenzar con un cliente en un dispositivo separado.
Prueba de velocidad y verificación de elusión de bloqueos
Cómo medir la velocidad de manera honesta antes y después
Primero mida sin VPN: abra speedtest.net o fast.com, anote la carga, la subida y el ping. Luego conéctese a través de Xray y repita la prueba en el mismo servidor de Speedtest. Observe tres indicadores: velocidad de descarga, velocidad de subida y latencia.
Una caída de velocidad del 20-40% al ocultar es normal. Reality añade sobrecargas en el apretón de manos TLS y el procesamiento de paquetes. Para comparar: en WireGuard, la caída suele ser del 5-15%. Este es un precio justo por eludir DPI: si su proveedor no reduce la velocidad, WireGuard es objetivamente más rápido. Pero si YouTube ya se ralentiza sin VPN, una diferencia del 20% en sobrecargas le importa poco.
Verificación de elusión de la ralentización de YouTube
Visite YouTube y abra un video en 4K (2160p) o al menos 1080p. Sin VPN, al ser ralentizado por el proveedor, el video se queda atascado en el búfer o cambia automáticamente a 144-360p. Después de conectarse a través de Xray: seleccione manualmente la calidad 1080p o 4K y cronometre si el video comienza a cargarse sin interrupciones.
Además, abra stats for nerds (clic derecho en el video → "Estadísticas para nerds"): allí se puede ver la velocidad actual de búfer. Si se mantiene constantemente por encima de 3-4 Mbps en 1080p, la ralentización ha sido eliminada.
Verificación de acceso a Instagram, Facebook, Twitter/X
Después de conectarse, abra en el navegador (no en la aplicación: las aplicaciones a veces almacenan en caché DNS) instagram.com, facebook.com, twitter.com. Si se abren, la ruta está funcionando. También verifique Telegram Web en web.telegram.org.
Si las aplicaciones de redes sociales no se abren incluso después de conectarse, es posible que utilicen su propio DNS sobre HTTPS (DoH) eludiendo el sistema, y su proxy no lo intercepta. En este caso, se necesita el modo TUN o la configuración de fake-dns en el cliente.
No se conecta o los sitios no se abren: análisis de errores
Handshake fallido / Errores TLS Reality
Este es el problema más común al configurar Xray con Reality. La razón número uno es la desincronización del tiempo en el dispositivo. TLS requiere que el tiempo del cliente y del servidor no difiera más de unos minutos. Verifique la hora del sistema: en Android, "Configuración → General → Fecha y hora → Automáticamente"; en Windows, "Configuración → Hora e idioma → Sincronizar ahora".
La segunda razón es una clave pública Reality incorrecta (pbk) o un SNI incorrecto en la configuración. Si introdujo los parámetros manualmente, verifique cada símbolo. UUID, pbk y short-id deben coincidir con lo que está configurado en el servidor. Un error en un símbolo y el apretón de manos no pasará.
La tercera, específica: el dominio SNI de ocultación (por ejemplo,www.microsoft.com) está bloqueado en Rusia o no está disponible desde su red. Reality simula la visita a este sitio: si no es accesible, el apretón de manos falla. Solución: cambie el SNI a otro dominio no bloqueado en la configuración.
La conexión está activa, pero no hay internet
El cliente muestra "Conectado", la IP en el estado ha cambiado, pero el navegador dice "Sin conexión". Lo primero que verificamos es el modo de enrutamiento. En v2rayNG, Nekoray y Hiddify, por defecto, puede estar habilitado el modo "Por reglas", que permite solo a los sitios bloqueados pasar a través del proxy, mientras que los demás van directamente. Si las reglas están configuradas incorrectamente, no se abrirá nada. Cambie a "Global" y verifique nuevamente.
La segunda razón es una fuga de DNS o bloqueo de DNS. Si el cliente envía solicitudes DNS fuera del túnel, el proveedor responde con IP bloqueadas o no responde en absoluto. En la configuración del cliente, verifique que el servidor DNS (generalmente 8.8.8.8 o 1.1.1.1) pase a través del túnel y no directamente. En 2ip.ru, en la sección "Fuga de DNS", se puede verificar qué servidores DNS son visibles desde afuera.
Otro escenario es que dos perfiles VPN estén activos al mismo tiempo. En Android e iOS, el sistema permite solo una conexión VPN activa, pero a veces un perfil antiguo no se desactiva correctamente. Vaya a la configuración de red del sistema y asegúrese de que solo haya una VPN activa.
Funciona en Wi-Fi, pero no en internet móvil (y viceversa)
Este es uno de los casos menos obvios. Los operadores móviles (MTS, Beeline, MegaFon, Tele2) tienen sus propios sistemas DPI, independientes del proveedor de hogar. La configuración que funciona perfectamente a través de Rostelecom en casa puede ser bloqueada de manera diferente por el operador móvil.
Intente cambiar el puerto: si actualmente se utiliza un puerto no estándar como 8443 o 2053, pruebe con 443 (el estándar HTTPS). Muchos operadores bloquean puertos no estándar a nivel de red móvil, pero no tocan el 443. También verifique si IPv6 está habilitado en internet móvil: puede eludir el túnel y revelar la dirección real. Desactive IPv6 en el dispositivo temporalmente para la prueba.
Las redes corporativas y escolares son otra historia. Allí, DPI corta el tráfico por puertos y a veces inspecciona incluso TLS por la huella del cliente (JA3/JA4). En tales casos, ayuda cambiar de cliente o pasar al puerto 80 con transporte WebSocket, pero eso ya es otra configuración del servidor.
El proveedor comenzó a bloquear la configuración
Esto sucede. DPI se actualiza y una combinación específica de host, puerto, SNI y huella cae bajo bloqueo. No es grave: el algoritmo de acciones es el siguiente:
- Actualice la suscripción: en el cliente, haga clic en "Actualizar suscripción": el servicio puede ya haber proporcionado nuevas configuraciones.
- Pruebe otro servidor de la lista (si hay varios en la suscripción).
- Cambie el puerto: 443 → 2053 o viceversa.
- Si levantó el servidor usted mismo, genere una nueva configuración Reality con otro SNI y un nuevo par de claves con el comando
xray x25519en el servidor. - Como medida temporal, intente otro transporte: grpc en lugar de tcp o WebSocket.
El mismo protocolo, pero con diferentes parámetros, se comporta de manera diferente bajo DPI. Normalmente, la rotación de parámetros restaura el acceso sin cambiar toda la infraestructura.
¿Por qué VLESS-Reality es mejor que WireGuard para eludir bloqueos?
Reality oculta tu tráfico como si fuera una conexión TLS real con un sitio web auténtico. DPI ve algo indistinguible de visitar, digamos, microsoft.com — y no bloquea. WireGuard es más rápido y simple, pero su firma UDP es bien conocida por los sistemas DPI, y los operadores saben cómo ralentizarlo y bloquearlo. Para la tarea de eludir la ralentización de YouTube o abrir Instagram — la ocultación es más importante que la velocidad.
¿Es legal Xray?
Xray es una herramienta de cifrado de tráfico, igual que TLS o SSH. Por sí mismo es legal. Por los recursos a los que te conectas, eres responsable como usuario. Este artículo es una guía técnica, no incita a violar ninguna ley.
¿Por qué se estableció la conexión, pero los sitios no cargan?
La mayoría de las veces — modo de enrutamiento incorrecto: el tráfico pasa por alto el proxy por reglas incorrectas. Cambia a "Global". La segunda opción — fuga de DNS: las solicitudes van directamente al proveedor, que devuelve direcciones bloqueadas. La tercera — desincronización del tiempo del sistema, que rompe TLS. Verifica estos tres puntos en orden.
¿Necesito levantar mi propio servidor para Xray?
No. Puedes alquilar un VPS y configurar todo tú mismo — entonces tendrás control total sobre las claves y la configuración. La alternativa es usar una suscripción VLESS lista de un servicio VPN, como NvoVPN: solo necesitas insertar el enlace en el cliente, y los servidores se agregarán automáticamente. La segunda opción es más simple, la primera es más flexible.
¿Qué cliente Xray elegir para iPhone?
Streisand y V2Box — ambos son gratuitos y están en la App Store. Soportan la importación de la cadena vless:// y enlaces de suscripción. Después de la importación, necesitas permitir una vez la instalación del perfil VPN en la configuración del sistema iOS — sin este paso, la conexión no se iniciará. Shadowrocket es más potente en enrutamiento, pero cuesta $2.99.
El proveedor bloqueó mi configuración — ¿qué hacer?
Primero actualiza la suscripción en el cliente — las configuraciones nuevas pueden ya estar disponibles. Prueba otro servidor o puerto (443 casi siempre funciona). Si el servidor es tuyo — genera una nueva configuración de Reality con otro SNI y un nuevo par de claves. DPI corta una combinación específica de parámetros, no el protocolo en sí, por lo que la rotación generalmente ayuda.
Noticias relacionadas
También te puede interesar
OpenConnect: configuración y conexión en 2026
OpenConnect: configuración y conexión en 2026 Si tienes en tus manos la configuración del servidor o...
Leer másTUIC: configuración y conexión de VPN en 2026
TUIC: configuración y conexión de VPN en 2026 Si ya has probado VLESS y Shadowsocks, pero el proveed...
Leer másCloak ofuscación: configuración y conexión en 2026
Cloak ofuscación: configuración y conexión en 2026 Si el proveedor corta WireGuard o OpenVPN por DPI...
Leer más