Actualités
17 min de lecture

Xray (VLESS) : configuration et connexion en 2026

Xray (VLESS) : configuration et connexion en 2026 Xray : la configuration et la connexion sont des sujets qui soulèvent des questions pour la plupart des gens, surtout à l'étape pratique. Ils ont déjà entendu parler du protocole, ont trouvé la config quelque part, mais que faire ensuite avec ? Cet a

Xray (VLESS) : configuration et connexion en 2026

Xray : la configuration et la connexion sont des sujets qui soulèvent des questions pour la plupart des gens, surtout à l'étape pratique. Ils ont déjà entendu parler du protocole, ont trouvé la config quelque part, mais que faire ensuite avec ? Cet article comble précisément cette lacune : de l'importation de la clé à une connexion fonctionnelle sur Android, iPhone, Windows et Mac.

Qu'est-ce que Xray et pourquoi contourne-t-il le DPI mieux que les VPN classiques

Xray, VLESS et Reality expliqués simplement

Xray est le noyau, un fork du projet V2Ray, écrit en Go. En soi, ce n'est pas un VPN au sens habituel — c'est plutôt un moteur de transport capable d'encapsuler le trafic dans différents protocoles. VLESS est l'un de ces protocoles, léger et sans cryptographie superflue à l'intérieur (le chiffrement est pris en charge par la couche TLS à l'extérieur).

Reality est une extension au-dessus de VLESS. L'idée est que votre trafic est masqué sous une connexion TLS ordinaire avec un site réel — par exemple, amazon.com ou microsoft.com. Le système DPI du fournisseur voit un handshake TLS correct avec un domaine connu et ne peut pas faire la différence avec une véritable visite du site. C'est pourquoi Reality est plus difficile à bloquer qu'un VPN classique.

En quoi Xray se distingue-t-il de WireGuard, OpenVPN et Shadowsocks

WireGuard est un excellent protocole, rapide et économe en batterie. Mais sa signature dans le réseau est reconnaissable : un motif spécifique de trafic UDP est facilement détecté par le DPI. Roskomnadzor et les grands opérateurs savent déjà comment le ralentir ou le bloquer sur certains ports.

IKEv2 est la même histoire. Rapide, pratique, intégré dans iOS et Windows — mais la signature est standard, sans aucune obfuscation. OpenVPN, bien qu'il puisse fonctionner sur TCP/443 et se faire passer pour HTTPS, a son handshake depuis longtemps enregistré dans les bases de filtres DPI. Shadowsocks est plus facile à déployer et fonctionnait assez bien jusqu'en 2022, mais le DPI moderne de SORM le gère beaucoup mieux qu'auparavant.

AmneziaWG est une alternative intéressante : c'est WireGuard avec obfuscation des en-têtes. Il fonctionne mieux que le WireGuard brut, mais Reality est toujours un pas en avant en matière de masquage. Un inconvénient honnête de Xray est la complexité de la configuration et une charge légèrement plus élevée sur le processeur par rapport à WireGuard.

Quand Xray est-il vraiment nécessaire, et quand un VPN ordinaire suffit-il ?

Si vous avez simplement besoin de chiffrer le trafic dans un café ou d'accéder à un réseau d'entreprise — WireGuard ou IKEv2 feront l'affaire sans nécessiter de tracas avec les configurations. Mais si le fournisseur a déjà commencé à ralentir YouTube à 144p, et qu'Instagram, Facebook, Twitter/X et Telegram ne s'ouvrent parfois pas ou se chargent avec des retards — un masquage du trafic est nécessaire.

Dans ce cas, VLESS avec Reality est ce qui fonctionne réellement en ce moment. Ce n'est pas une panacée pour toujours, mais pour 2026, c'est la meilleure option disponible contre l'inspection approfondie des paquets.

Ce dont vous avez besoin avant la configuration : config, abonnement et choix du client

D'où vient la config VLESS (lien vless://, QR code, abonnement)

La config arrive dans l'un des trois formats. Le premier est une chaîne de typevless://UUID@host:port?.... Le deuxième est un QR code qui contient la même chaîne, juste dans un format pratique pour le scan. Le troisième est un lien d'abonnement (subscription URL), qui commence généralement parhttps:// et renvoie une liste de configs en base64 — pratique lorsque plusieurs serveurs sont disponibles et qu'ils sont mis à jour.

La config peut être mise en place soi-même sur un VPS (Hetzner, Vultr, DigitalOcean — n'importe lequel en dehors de la Russie convient), prise d'un canal Telegram privé ou obtenue via un service VPN qui fournit un abonnement VLESS prêt à l'emploi. NvoVPN, par exemple, fournit un lien vers l'abonnement — il suffit de le coller dans le client, et les serveurs se chargent automatiquement sans copier manuellement UUID et clés.

Mais voici ce qui est important : n'importez pas de configs provenant de canaux Telegram publics aléatoires avec des centaines de milliers d'abonnés. Certains d'entre eux sont des pièges pour collecter du trafic. Le fromage gratuit ne se trouve que dans les pièges à souris.

Clients Xray pour chaque plateforme

Plateforme Client Caractéristiques
Android v2rayNG, NekoBox Gratuit, Google Play et F-Droid, support des abonnements
iPhone / iPad Streisand, V2Box Gratuit, App Store ; Shadowrocket est plus puissant, mais coûte 2,99 $
Windows Nekoray, v2rayN, Hiddify Nekoray et Hiddify sont les plus pratiques en 2026
macOS V2Box, Hiddify, Nekoray V2Box est disponible sur l'App Store, les autres — GitHub
Routeur OpenWrt + plugin xray Pour toute la maison, mais nécessite des connaissances techniques

Comment vérifier que la configuration fonctionne avant l'importation

Regardez les paramètres dans la ligne : ils doivent êtretype=tcp outype=grpc,security=reality, remplipbk (clé publique Reality) etsni — domaine de masquage. Si l'un de ces paramètres est manquant, la configuration est probablement obsolète ou incomplète.

La date de validité peut être vérifiée indirectement ainsi : si la configuration a été obtenue il y a plus d'un mois à partir d'une source publique, les clés ont probablement déjà changé ou le serveur est tombé. Une configuration récente d'un abonnement se met à jour automatiquement lors de la synchronisation.

Configuration et connexion Xray étape par étape

Pour ceux qui recherchent des détails sur Xray : la configuration et la connexion sur chaque plateforme diffèrent légèrement, mais la logique est la même — importation, sélection de profil, activation, vérification.

Android : configuration dans v2rayNG

Installez v2rayNG depuis Google Play ou F-Droid (version 1.8.x et supérieure). Ouvrez l'application. Si vous avez la lignevless:// — appuyez sur «+» dans le coin supérieur droit → «Importer depuis le presse-papiers» (copiez d'abord la ligne). S'il y a un code QR — «+» → «Scanner le QR». Si c'est un lien d'abonnement — «Subscription» → «Add» → collez l'URL → «Update».

Après l'importation, sélectionnez le profil souhaité dans la liste (appuyez dessus, il sera mis en surbrillance). Appuyez sur le bouton triangle de lancement en bas de l'écran. Android demandera l'autorisation de créer un profil VPN — autorisez. Après la connexion, une icône de clé apparaîtra dans la barre d'état.

Le mode de routage par défaut dans v2rayNG est «Par règles». Si certains sites ne s'ouvrent pas, passez à «Global» dans les paramètres → «Routing». Vérifiez le résultat sur 2ip.ru : cela doit montrer l'IP de votre serveur, et non celle de votre domicile.

iPhone et iPad : configuration dans Streisand ou V2Box

Streisand et V2Box — les deux sont gratuits et disponibles sur l'App Store. Téléchargez l'un d'eux. Dans Streisand : appuyez sur «+» → «Import from clipboard» ou «Scan QR». Pour un lien d'abonnement : «+» → «Subscribe» → collez l'URL. Sélectionnez un profil dans la liste, appuyez sur «Connect».

iOS, lors de la première connexion, affichera une demande système «L'application souhaite ajouter une configuration VPN» — c'est normal, appuyez sur «Autoriser» et entrez Face ID ou le code d'accès. Sans cette étape, la connexion ne démarrera pas. L'icône VPN apparaîtra dans la barre d'état à côté du signal Wi-Fi.

Shadowrocket (2,99 $) — si le budget le permet, cela vaut le coup : il y a un routage flexible et un support pour des dizaines de protocoles. Mais pour une tâche de base, Streisand est tout à fait suffisant.

Windows : configuration dans Nekoray ou Hiddify

Nekoray se télécharge depuis GitHub (répertoire MatsuriDayo/nekoray), la version actuelle en juillet 2026 est 3.x. Après l'installation, lancez-le, dans le menu sélectionnez «Add profile from clipboard» ou «Add profile from subscription URL». Cliquez avec le bouton droit sur le profil → «Start». Une icône apparaîtra dans la zone de notification — statut «Connected».

Hiddify est plus simple pour les débutants : l'interface est en russe, il y a un test de latence intégré. Téléchargez l'installateur depuis GitHub (hiddify/hiddify-next), installez, ajoutez l'abonnement via «Add config» → collez l'URL. Hiddify déterminera lui-même le meilleur serveur par ping.

Point important pour Windows : assurez-vous que le mode proxy est réglé sur «System Proxy» ou «TUN Mode» — sinon, le navigateur enverra le trafic via le proxy, mais les autres applications non. Le mode TUN nécessite des droits d'administrateur.

macOS : connexion via V2Box

V2Box est disponible sur le Mac App Store — c'est le moyen le plus simple. Après l'installation : appuyez sur «+» → «Import from clipboard» ou «Add subscription». Sélectionnez un profil, appuyez sur «Connect». macOS demandera l'autorisation d'ajouter une configuration VPN dans les paramètres système — une fenêtre «System Settings → VPN» s'ouvrira, appuyez sur «Allow».

Si vous souhaitez un routage plus flexible — Hiddify pour macOS (GitHub, hiddify/hiddify-next) prend en charge les règles par domaines et IP. Nekoray fonctionne également, mais les versions pour macOS sont mises à jour un peu moins souvent.

Routeur sur OpenWrt : configuration de base

C'est une option pour ceux qui souhaitent faire passer tout le trafic domestique via Xray sans configurer chaque appareil. Un routeur avec OpenWrt est nécessaire (par exemple, GL.iNet ou TP-Link avec un firmware compatible) et le paquetxray-core du dépôt opkg.

Après l'installation de xray-core, configurez le fichier de configuration dans/etc/xray/config.json — y ajoutez manuellement les paramètres de votre ligne vless : UUID, adresse, port, clé publique Reality, SNI. Le routage est configuré via ip-rule et nftables. Ce n'est pas pour les débutants — si vous n'avez pas d'expérience avec OpenWrt, il vaut mieux commencer avec un client sur un appareil séparé.

Test de vitesse et vérification du contournement des blocages

Comment mesurer honnêtement la vitesse avant et après

Tout d'abord, mesurez sans VPN : ouvrez speedtest.net ou fast.com, notez le téléchargement, l'envoi et le ping. Ensuite, connectez-vous via Xray et répétez le test sur le même serveur Speedtest. Regardez trois indicateurs : la vitesse de téléchargement, la vitesse d'envoi et la latence.

Une baisse de vitesse de 20 à 40 % lors du masquage est normale. Reality ajoute des frais généraux pour le handshake TLS et le traitement des paquets. Pour comparaison : sur WireGuard, la baisse est généralement de 5 à 15 %. C'est un prix honnête pour contourner le DPI — si votre fournisseur ne réduit pas la vitesse, WireGuard est objectivement plus rapide. Mais si YouTube ralentit déjà sans VPN — une différence de 20 % de frais généraux vous préoccupe peu.

Vérification du contournement du ralentissement de YouTube

Allez sur YouTube et ouvrez une vidéo en 4K (2160p) ou au moins en 1080p. Sans VPN lors du ralentissement par le fournisseur — la vidéo se fige soit sur la mise en mémoire tampon, soit se bascule automatiquement sur 144-360p. Après vous être connecté via Xray : choisissez manuellement la qualité 1080p ou 4K et chronométrez si la vidéo commence à se charger sans interruptions.

En outre, ouvrez stats for nerds (clic droit sur la vidéo → « Statistiques pour les geeks ») : vous pouvez voir la vitesse actuelle de mise en mémoire tampon. Si elle est constamment supérieure à 3-4 Mbit/s en 1080p — le ralentissement est levé.

Vérification de l'accès à Instagram, Facebook, Twitter/X

Après la connexion, ouvrez dans le navigateur (pas dans l'application — les applications mettent parfois en cache le DNS) instagram.com, facebook.com, twitter.com. Si elles s'ouvrent — le routage fonctionne. Vérifiez également Telegram Web sur web.telegram.org.

Si les applications de réseaux sociaux ne s'ouvrent pas même après la connexion — il se peut qu'elles utilisent leur propre DNS sur HTTPS (DoH) pour contourner le système, et votre proxy ne l'intercepte pas. Dans ce cas, le mode TUN ou la configuration fake-dns dans le client est nécessaire.

Ne se connecte pas ou les sites ne s'ouvrent pas : analyse des erreurs

Échec du handshake / erreurs TLS Reality

C'est le problème le plus courant lors de la configuration de Xray avec Reality. La raison numéro un — désynchronisation de l'heure sur l'appareil. TLS exige que l'heure du client et du serveur ne diffère pas de plus de quelques minutes. Vérifiez l'heure système : sur Android — « Paramètres → Général → Date et heure → Automatiquement » ; sur Windows — « Paramètres → Heure et langue → Synchroniser maintenant ».

La deuxième raison — clé publique Reality incorrecte (pbk) ou SNI incorrect dans la configuration. Si vous avez saisi les paramètres manuellement, vérifiez chaque caractère. UUID, pbk et short-id doivent correspondre à ce qui est configuré sur le serveur. Une erreur dans un seul caractère — et le handshake échouera.

Troisième, spécifique : le domaine SNI de masquage (par exemple,www.microsoft.com) est lui-même bloqué en RF ou inaccessible depuis votre réseau. Reality imite la visite de ce site — s'il est inaccessible, le handshake échoue. Solution : changez le SNI pour un autre domaine non bloqué dans la configuration.

La connexion est établie, mais pas d'internet

Le client indique « Connecté », l'IP dans le statut a changé, mais le navigateur indique « Pas de connexion ». La première chose à vérifier — le mode de routage. Dans v2rayNG, Nekoray et Hiddify, le mode « Par règles » peut être activé par défaut, ce qui permet uniquement aux sites bloqués de passer par le proxy, tandis que les autres vont directement. Si les règles sont mal configurées — rien ne s'ouvre. Passez à « Global » et vérifiez à nouveau.

La deuxième raison — fuite DNS ou blocage DNS. Si le client envoie des requêtes DNS en dehors du tunnel, le fournisseur répond avec des IP bloquées ou ne répond pas du tout. Dans les paramètres du client, vérifiez que le serveur DNS (généralement 8.8.8.8 ou 1.1.1.1) passe par le tunnel, et non directement. Sur 2ip.ru, dans la section « Fuite DNS », vous pouvez vérifier quels serveurs DNS sont visibles de l'extérieur.

Un autre scénario — deux profils VPN actifs en même temps. Sur Android et iOS, le système autorise uniquement une connexion VPN active, mais parfois un ancien profil n'est pas désactivé correctement. Allez dans les paramètres réseau système et assurez-vous qu'un seul VPN est actif.

Fonctionne sur Wi-Fi, mais pas sur Internet mobile (et vice versa)

C'est l'un des cas les moins évidents. Les opérateurs mobiles (MTS, Beeline, MegaFon, Tele2) ont leurs propres systèmes DPI, indépendants du fournisseur domestique. Une configuration qui fonctionne parfaitement via Rostelecom à la maison peut être bloquée par l'opérateur mobile différemment.

Essayez de changer de port : si un port non standard comme 8443 ou 2053 est utilisé, essayez 443 (HTTPS standard). De nombreux opérateurs bloquent les ports non standards au niveau du réseau mobile, mais ne touchent pas 443. Vérifiez également si IPv6 est activé sur Internet mobile — il peut contourner le tunnel et révéler l'adresse réelle. Désactivez temporairement IPv6 sur l'appareil pour le test.

Les réseaux d'entreprise et scolaires — une histoire à part. Là, le DPI coupe le trafic par ports et inspecte parfois même le TLS par l'empreinte du client (JA3/JA4). Dans de tels cas, changer de client ou passer au port 80 avec le transport WebSocket aide — mais c'est déjà une autre configuration de serveur.

Le fournisseur a commencé à bloquer la configuration

Cela arrive. Le DPI se met à jour, et une combinaison spécifique d'hôte, de port, de SNI et d'empreinte est bloquée. Ce n'est pas grave — voici la procédure à suivre :

  1. Mettez à jour l'abonnement : dans le client, cliquez sur « Mettre à jour l'abonnement » — le service peut déjà fournir de nouvelles configurations.
  2. Essayez un autre serveur de la liste (s'il y en a plusieurs dans l'abonnement).
  3. Changez de port : 443 → 2053 ou vice versa.
  4. Si vous avez levé le serveur vous-même — générez une nouvelle configuration Reality avec un autre SNI et une nouvelle paire de clés avec la commandexray x25519 sur le serveur.
  5. Comme mesure temporaire — essayez un autre transport : grpc au lieu de tcp ou WebSocket.

Le même protocole, mais avec des paramètres différents, se comporte différemment sous le DPI. En général, la rotation des paramètres rétablit l'accès sans changer toute l'infrastructure.

Qu'est-ce qui rend VLESS-Reality meilleur que WireGuard pour contourner les blocages ?

Reality masque votre trafic sous une véritable connexion TLS avec un site réel. Le DPI voit quelque chose d'indistinguable de la visite, disons, de microsoft.com — et ne bloque pas. WireGuard est plus rapide et plus simple, mais sa signature UDP est bien connue des systèmes DPI, et les opérateurs savent comment le ralentir et le bloquer. Pour la tâche de contourner le ralentissement de YouTube ou d'ouvrir Instagram — le masquage est plus important que la vitesse.

Xray est-il légal ?

Xray est un outil de chiffrement du trafic, tout comme TLS ou SSH. En soi, il est légal. Pour les ressources auxquelles vous vous connectez, vous êtes responsable en tant qu'utilisateur. Cet article est un guide technique, il n'encourage pas à enfreindre des lois.

Pourquoi la connexion est-elle établie, mais les sites ne se chargent-ils pas ?

Le plus souvent — un mode de routage incorrect : le trafic passe à côté du proxy selon des règles incorrectes. Changez sur « Global ». La deuxième option — une fuite DNS : les requêtes vont directement au fournisseur, qui renvoie des adresses bloquées. La troisième — un désynchronisation de l'heure système, ce qui casse le TLS. Vérifiez ces trois points dans l'ordre.

Faut-il mettre en place son propre serveur pour Xray ?

Non. Vous pouvez louer un VPS et tout configurer vous-même — alors vous avez un contrôle total sur les clés et la configuration. Une alternative — utiliser un abonnement VLESS prêt à l'emploi d'un service VPN, par exemple NvoVPN : il suffit de coller le lien dans le client, et les serveurs seront ajoutés automatiquement. La deuxième option est plus simple, la première est plus flexible.

Quel client Xray choisir pour iPhone ?

Streisand et V2Box — les deux sont gratuits et disponibles sur l'App Store. Ils prennent en charge l'importation de la chaîne vless:// et des liens d'abonnement. Après l'importation, il faut une fois autoriser l'installation du profil VPN dans les paramètres système iOS — sans cette étape, la connexion ne démarrera pas. Shadowrocket est plus puissant en matière de routage, mais coûte 2,99 $.

Le fournisseur a bloqué ma configuration — que faire ?

Tout d'abord, mettez à jour l'abonnement dans le client — des configurations récentes peuvent déjà être disponibles. Essayez un autre serveur ou port (443 fonctionne presque toujours). Si le serveur est le vôtre — générez une nouvelle configuration Reality avec un autre SNI et une nouvelle paire de clés. Le DPI coupe une combinaison spécifique de paramètres, et non le protocole lui-même, donc la rotation aide généralement.

Articles similaires

Cela pourrait aussi vous intéresser