Xray (VLESS): configurazione e connessione nel 2026
Xray (VLESS): configurazione e connessione nel 2026 Xray: configurazione e connessione — è ciò su cui la maggior parte delle persone ha domande proprio nella fase pratica. Del protocollo stesso si è già sentito parlare, la configurazione è stata reperita da qualche parte, ma cosa fare dopo — non è c
Xray (VLESS): configurazione e connessione nel 2026
Xray: configurazione e connessione — è ciò su cui la maggior parte delle persone ha domande proprio nella fase pratica. Del protocollo stesso si è già sentito parlare, la configurazione è stata reperita da qualche parte, ma cosa fare dopo — non è chiaro. Questo articolo colma proprio questa lacuna: dall'importazione della chiave a una connessione funzionante su Android, iPhone, Windows e Mac.
Cos'è Xray e perché supera il DPI rispetto ai classici VPN
Xray, VLESS e Reality in parole semplici
Xray — è il nucleo, un fork del progetto V2Ray, scritto in Go. Di per sé non è un VPN nel senso tradizionale — è piuttosto un motore di trasporto che sa incapsulare il traffico in diversi protocolli. VLESS — è uno di questi protocolli, leggero e senza crittografia superflua all'interno (la crittografia è gestita dal layer TLS esterno).
Reality — è un'estensione sopra VLESS. La sostanza è che il tuo traffico è mascherato come una normale connessione TLS con un sito reale — ad esempio, con amazon.com o microsoft.com. Il sistema DPI del provider vede un corretto handshake TLS con un dominio noto e non può distinguere questo da una reale visita al sito. È proprio per questo che Reality è più difficile da bloccare rispetto a un classico VPN.
Cosa distingue Xray da WireGuard, OpenVPN e Shadowsocks
WireGuard — è un ottimo protocollo, veloce e economico in termini di batteria. Ma la sua firma in rete è riconoscibile: un pattern specifico di traffico UDP è facilmente rilevabile dal DPI. Roskomnadzor e i grandi operatori già sanno come rallentarlo o bloccarlo su porte specifiche.
IKEv2 — è la stessa storia. Veloce, comodo, integrato in iOS e Windows — ma la firma è standard, senza alcuna offuscamento. OpenVPN, anche se può funzionare sopra TCP/443 e fingersi HTTPS, ha il suo handshake da tempo inserito nei database dei filtri DPI. Shadowsocks è più semplice da implementare e ha funzionato bene fino al 2022, ma il moderno DPI di SORM riesce a gestirlo notevolmente meglio rispetto a prima.
AmneziaWG — è un'interessante alternativa: è WireGuard con offuscamento degli header. Funziona meglio rispetto al WireGuard nudo, ma Reality è comunque un passo avanti in termini di mascheramento. Un difetto onesto di Xray — la complessità della configurazione e un carico leggermente più alto sulla CPU rispetto a WireGuard.
Quando Xray è realmente necessario e quando basta un normale VPN
Se hai bisogno semplicemente di crittografare il traffico in un caffè o accedere a una rete aziendale — WireGuard o IKEv2 faranno il lavoro senza richiedere alcun problema con le configurazioni. Ma se il provider ha già iniziato a rallentare YouTube a 144p, e Instagram, Facebook, Twitter/X e Telegram non si aprono periodicamente o si caricano con ritardi — è necessaria proprio la mascheratura del traffico.
In questo caso VLESS con Reality — è ciò che attualmente funziona davvero. Non è una panacea per sempre, ma per il 2026 è la migliore delle opzioni disponibili contro l'ispezione profonda dei pacchetti.
Cosa serve prima della configurazione: configurazione, abbonamento e scelta del client
Da dove proviene la configurazione VLESS (link vless://, codice QR, abbonamento)
La configurazione arriva in uno dei tre formati. Il primo — una stringa del tipovless://UUID@host:port?.... Il secondo — un codice QR, che contiene la stessa stringa, semplicemente in un formato comodo per la scansione. Il terzo — un link di abbonamento (subscription URL), di solito inizia conhttps:// e restituisce un elenco di configurazioni in base64 — comodo quando ci sono più server e vengono aggiornati.
La configurazione può essere impostata autonomamente su VPS (Hetzner, Vultr, DigitalOcean — qualsiasi al di fuori della RF andrà bene), presa da un canale Telegram privato o ottenuta tramite un servizio VPN che fornisce un abbonamento VLESS pronto. NvoVPN, ad esempio, fornisce un link per l'abbonamento — basta inserirlo nel client e i server vengono caricati automaticamente senza copia manuale di UUID e chiavi.
Ma ecco cosa è importante: non importare configurazioni da canali Telegram pubblici casuali con centinaia di migliaia di iscritti. Alcuni di essi sono trappole per raccogliere traffico. Il formaggio gratuito si trova solo nella trappola per topi.
Client Xray per ogni piattaforma
| Piattaforma | Client | Caratteristiche |
|---|---|---|
| Android | v2rayNG, NekoBox | Gratuito, Google Play e F-Droid, supporto per abbonamenti |
| iPhone / iPad | Streisand, V2Box | Gratuito, App Store; Shadowrocket è più potente, ma costa $2.99 |
| Windows | Nekoray, v2rayN, Hiddify | Nekoray e Hiddify — i più comodi nel 2026 |
| macOS | V2Box, Hiddify, Nekoray | V2Box è disponibile su App Store, gli altri su GitHub |
| Router | OpenWrt + plugin xray | Per tutta la casa, ma richiede conoscenze tecniche |
Come verificare che la configurazione sia funzionante, prima dell'importazione
Controlla i parametri nella stringa: devono essercitype=tcp otype=grpc,security=reality, compilatopbk (chiave pubblica Reality) esni — dominio di mascheramento. Se manca uno di questi parametri, la configurazione è probabilmente obsoleta o incompleta.
La data di validità può essere verificata indirettamente in questo modo: se la configurazione è stata ottenuta più di un mese fa da una fonte pubblica, le chiavi sono probabilmente già cambiate o il server è andato giù. Una configurazione fresca da un abbonamento si aggiorna automaticamente durante la sincronizzazione.
Configurazione e connessione Xray passo dopo passo
Per chi cerca dettagli specifici su Xray: la configurazione e la connessione su ogni piattaforma sono leggermente diverse, ma la logica è la stessa: importazione, selezione del profilo, attivazione, verifica.
Android: configurazione in v2rayNG
Installa v2rayNG da Google Play o F-Droid (versione 1.8.x e superiore). Apri l'app. Se hai la stringavless:// — premi “+” nell'angolo in alto a destra → “Importa da appunti” (copia prima la stringa). Se c'è un codice QR — “+” → “Scansiona QR”. Se è un link di abbonamento — “Subscription” → “Add” → incolla l'URL → “Update”.
Dopo l'importazione, seleziona il profilo desiderato nell'elenco (cliccaci sopra, si evidenzierà). Premi il pulsante triangolare di avvio in basso allo schermo. Android richiederà il permesso di creare un profilo VPN — consenti. Dopo la connessione, apparirà un'icona a forma di chiave nella barra di stato.
La modalità di routing predefinita in v2rayNG è “Per regole”. Se alcuni siti non si aprono, cambia su “Global” nelle impostazioni → “Routing”. Controlla il risultato su 2ip.ru: dovrebbe mostrare l'IP del tuo server, non quello di casa.
iPhone e iPad: configurazione in Streisand o V2Box
Streisand e V2Box sono entrambi gratuiti e disponibili su App Store. Scarica uno di essi. In Streisand: premi “+” → “Importa da appunti” o “Scansiona QR”. Per il link di abbonamento: “+” → “Abbonati” → incolla l'URL. Seleziona il profilo dall'elenco, premi “Connetti”.
iOS alla prima connessione mostrerà la richiesta di sistema “L'app vuole aggiungere una configurazione VPN” — è normale, premi “Consenti” e inserisci Face ID o codice di accesso. Senza questo passaggio, la connessione non si avvierà. L'icona VPN apparirà nella barra di stato accanto al segnale Wi-Fi.
Shadowrocket ($2.99) — se il budget lo consente, vale la pena prenderlo: ha un routing flessibile e supporta decine di protocolli. Ma per compiti di base, Streisand è più che sufficiente.
Windows: configurazione in Nekoray o Hiddify
Nekoray si scarica da GitHub (repository MatsuriDayo/nekoray), la versione attuale a luglio 2026 è 3.x. Dopo l'installazione, avvialo, nel menu seleziona “Aggiungi profilo da appunti” o “Aggiungi profilo da URL di abbonamento”. Fai clic con il tasto destro sul profilo → “Avvia”. Apparirà un'icona nella tray di sistema — stato “Connesso”.
Hiddify è più semplice per i principianti: l'interfaccia è in russo, c'è un test di latenza integrato. Scarica l'installer da GitHub (hiddify/hiddify-next), installa, aggiungi l'abbonamento tramite “Aggiungi configurazione” → incolla l'URL. Hiddify determinerà automaticamente il miglior server in base al ping.
Un punto importante per Windows: assicurati che la modalità proxy sia impostata su “Proxy di sistema” o “Modalità TUN” — altrimenti il browser instraderà il traffico tramite proxy, mentre le altre applicazioni no. La modalità TUN richiede diritti di amministratore.
macOS: connessione tramite V2Box
V2Box è disponibile su Mac App Store — è il modo più semplice. Dopo l'installazione: premi “+” → “Importa da appunti” o “Aggiungi abbonamento”. Seleziona il profilo, premi “Connetti”. macOS richiederà il permesso di aggiungere la configurazione VPN nelle impostazioni di sistema — si aprirà la finestra “Impostazioni di sistema → VPN”, premi “Consenti”.
Se desideri un routing più flessibile — Hiddify per macOS (GitHub, hiddify/hiddify-next) supporta regole basate su domini e IP. Anche Nekoray funziona, ma le versioni per macOS vengono aggiornate un po' meno frequentemente.
Router su OpenWrt: configurazione di base
Questa è un'opzione per chi vuole instradare tutto il traffico domestico tramite Xray senza configurare ogni dispositivo. È necessario un router con OpenWrt (ad esempio, GL.iNet o TP-Link con firmware compatibile) e il pacchettoxray-core dal repository opkg.
Dopo aver installato xray-core, configura il file di configurazione in/etc/xray/config.json — qui vengono inseriti manualmente i parametri della tua stringa vless: UUID, indirizzo, porta, chiave pubblica Reality, SNI. Il routing è configurato tramite ip-rule e nftables. Non è per principianti: se non hai esperienza con OpenWrt, è meglio iniziare con un client su un dispositivo separato.
Test di velocità e verifica del bypass delle restrizioni
Come misurare onestamente la velocità prima e dopo
Inizia a misurare senza VPN: apri speedtest.net o fast.com, annota il download, l'upload e il ping. Poi connettiti tramite Xray e ripeti il test sullo stesso server Speedtest. Controlla tre indicatori: velocità di download, velocità di upload e latenza.
Una diminuzione della velocità del 20-40% durante il masquerading è normale. Reality aggiunge overhead al TLS handshake e all'elaborazione dei pacchetti. A titolo di confronto: su WireGuard la diminuzione è solitamente del 5-15%. Questo è un prezzo onesto per bypassare il DPI: se il tuo provider non limita la velocità, WireGuard è oggettivamente più veloce. Ma se YouTube già rallenta senza VPN, una differenza del 20% di overhead ti preoccupa poco.
Verifica del bypass del rallentamento di YouTube
Vai su YouTube e apri un video in 4K (2160p) o almeno 1080p. Senza VPN, in caso di rallentamento da parte del provider, il video si blocca in buffering o si passa automaticamente a 144-360p. Dopo esserti connesso tramite Xray: seleziona manualmente la qualità 1080p o 4K e cronometra se il video inizia a caricarsi senza interruzioni.
Inoltre, apri stats for nerds (clic destro sul video → "Statistiche per nerd"): lì puoi vedere la velocità attuale di buffering. Se è costantemente superiore a 3-4 Mbps su 1080p, il rallentamento è stato rimosso.
Verifica dell'accesso a Instagram, Facebook, Twitter/X
Dopo esserti connesso, vai nel browser (non nell'app — le app a volte memorizzano in cache il DNS) su instagram.com, facebook.com, twitter.com. Se si aprono, il routing funziona. Controlla anche Telegram Web su web.telegram.org.
Se le app dei social media non si aprono nemmeno dopo la connessione, potrebbero utilizzare il proprio DNS sopra HTTPS (DoH) per bypassare quello di sistema, e il tuo proxy non lo intercetta. In questo caso è necessario il TUN-mode o la configurazione del fake-dns nel client.
Non si connette o i siti non si aprono: analisi degli errori
Handshake fallito / errori TLS Reality
Questo è il problema più comune nella configurazione di Xray con Reality. La causa numero uno è la desincronizzazione dell'orario sul dispositivo. TLS richiede che l'orario del client e del server non si discosti di più di pochi minuti. Controlla l'ora di sistema: su Android — "Impostazioni → Generali → Data e ora → Automaticamente"; su Windows — "Impostazioni → Data e ora → Sincronizza ora".
La seconda causa è una chiave pubblica Reality errata (pbk) o un SNI errato nel file di configurazione. Se hai inserito i parametri manualmente, ricontrolla ogni carattere. UUID, pbk e short-id devono corrispondere a ciò che è configurato sul server. Un errore in un carattere e l'handshake non andrà a buon fine.
La terza, specifica: il dominio SNI del masquerading (ad esempio,www.microsoft.com) è stato bloccato in RF o non è accessibile dalla tua rete. Reality imita la visita a questo sito: se non è raggiungibile, l'handshake fallisce. Soluzione: cambia il SNI con un altro dominio non bloccato nel file di configurazione.
C'è connessione, ma non c'è internet
Il client mostra "Connesso", l'IP nello stato è cambiato, ma il browser dice "Nessuna connessione". La prima cosa da controllare è la modalità di routing. In v2rayNG, Nekoray e Hiddify, per impostazione predefinita, potrebbe essere attivata la modalità "Per regole", che consente il passaggio tramite proxy solo ai siti bloccati, mentre per gli altri va direttamente. Se le regole non sono configurate correttamente, non si apre nulla. Passa a "Globale" e controlla di nuovo.
La seconda causa è una perdita di DNS o un blocco del DNS. Se il client invia richieste DNS al di fuori del tunnel, il provider risponde con IP bloccati o non risponde affatto. Nelle impostazioni del client, controlla che il server DNS (di solito 8.8.8.8 o 1.1.1.1) passi attraverso il tunnel e non direttamente. Su 2ip.ru nella sezione "Perdita di DNS" puoi controllare quali server DNS sono visibili dall'esterno.
Un altro scenario è che due profili VPN siano attivi contemporaneamente. Su Android e iOS, il sistema consente solo una connessione VPN attiva, ma a volte un vecchio profilo non viene disattivato correttamente. Vai nelle impostazioni di rete di sistema e assicurati che sia attiva solo una VPN.
Funziona su Wi-Fi, ma non su internet mobile (e viceversa)
Questo è uno dei casi meno ovvi. Gli operatori mobili (MTS, Beeline, MegaFon, Tele2) hanno i propri sistemi DPI, indipendenti dal provider domestico. Una configurazione che funziona perfettamente tramite Rostelecom a casa potrebbe essere bloccata dall'operatore mobile in modo diverso.
Prova a cambiare porta: se attualmente è utilizzata una porta non standard come 8443 o 2053, prova 443 (HTTPS standard). Molti operatori bloccano porte non standard a livello di rete mobile, ma non toccano 443. Controlla anche se IPv6 è attivato su internet mobile: potrebbe bypassare il tunnel e rivelare l'indirizzo reale. Disattiva temporaneamente IPv6 sul dispositivo per il test.
Le reti aziendali e scolastiche sono un'altra storia. Lì il DPI taglia il traffico per porte e a volte ispeziona anche il TLS tramite il fingerprint del client (JA3/JA4). In questi casi, cambiare client o passare alla porta 80 con il trasporto WebSocket può aiutare, ma questa è già un'altra configurazione del server.
Il provider ha iniziato a bloccare la configurazione
Questo succede. Il DPI viene aggiornato e una specifica combinazione di host, porta, SNI e fingerprint finisce sotto blocco. Non è un problema: l'algoritmo da seguire è il seguente:
- Aggiorna l'abbonamento: nel client fai clic su "Aggiorna abbonamento" — il servizio potrebbe già fornire nuove configurazioni.
- Prova un altro server dall'elenco (se ci sono più server nell'abbonamento).
- Cambia porta: 443 → 2053 o viceversa.
- Se hai sollevato il server da solo, genera una nuova configurazione Reality con un altro SNI e una nuova coppia di chiavi con il comando
xray x25519sul server. - Come misura temporanea, prova un altro trasporto: grpc invece di tcp o WebSocket.
Lo stesso protocollo, ma con parametri diversi, si comporta in modo diverso sotto il DPI. Di solito, la rotazione dei parametri ripristina l'accesso senza cambiare l'intera infrastruttura.
Perché VLESS-Reality è migliore di WireGuard per bypassare i blocchi?
Reality maschera il tuo traffico come una vera connessione TLS con un sito reale. DPI vede qualcosa di indistinguibile dalla visita, ad esempio, a microsoft.com — e non blocca. WireGuard è più veloce e semplice, ma la sua firma UDP è ben nota ai sistemi DPI, e gli operatori sanno come rallentarlo e bloccarlo. Per il compito di bypassare il rallentamento di YouTube o aprire Instagram — la mascheratura è più importante della velocità.
Xray è legale?
Xray è uno strumento di crittografia del traffico, proprio come TLS o SSH. Di per sé è legale. Per quanto riguarda le risorse a cui ti connetti, la responsabilità ricade su di te come utente. Questo articolo è una guida tecnica, non invita a violare alcuna legge.
Perché la connessione è stata stabilita, ma i siti non si caricano?
Più spesso — modalità di routing errata: il traffico passa oltre il proxy secondo regole non corrette. Passa a "Globale". La seconda opzione è una perdita di DNS: le richieste vanno direttamente al provider, che restituisce indirizzi bloccati. La terza — disallineamento dell'ora di sistema, che rompe TLS. Controlla questi tre punti in ordine.
È necessario sollevare il proprio server per Xray?
No. Puoi affittare un VPS e configurare tutto da solo — allora avrai il pieno controllo sulle chiavi e sulla configurazione. L'alternativa è utilizzare un abbonamento VLESS pronto da un servizio VPN, ad esempio NvoVPN: basta inserire il link nel client e i server verranno aggiunti automaticamente. La seconda opzione è più semplice, la prima è più flessibile.
Quale client Xray scegliere per iPhone?
Streisand e V2Box — entrambi gratuiti e disponibili su App Store. Supportano l'importazione della stringa vless:// e dei link di abbonamento. Dopo l'importazione, è necessario autorizzare una volta l'installazione del profilo VPN nelle impostazioni di sistema di iOS — senza questo passaggio, la connessione non si avvierà. Shadowrocket è più potente nel routing, ma costa $2.99.
Il provider ha bloccato la mia configurazione — cosa fare?
Prima di tutto, aggiorna l'abbonamento nel client — potrebbero esserci configurazioni fresche. Prova un altro server o porta (443 funziona quasi sempre). Se il server è tuo — genera una nuova configurazione Reality con un altro SNI e una nuova coppia di chiavi. DPI taglia una combinazione specifica di parametri, non il protocollo stesso, quindi la rotazione di solito aiuta.
Articoli correlati
Potrebbero interessarti anche
OpenConnect: configurazione e connessione nel 2026
OpenConnect: configurazione e connessione nel 2026 Se hai in mano la configurazione del server ocser...
Leggi di piùTUIC: configurazione e connessione VPN nel 2026
TUIC: configurazione e connessione VPN nel 2026 Se hai già provato VLESS e Shadowsocks, ma il provid...
Leggi di piùCloak offuscazione: configurazione e collegamento nel 2026
Cloak offuscazione: configurazione e collegamento nel 2026 Se il provider taglia WireGuard o OpenVPN...
Leggi di più