Отлично — сделаем «с нуля» и максимально просто. Ниже — полностью пошаговая инструкция: от аренды сервера до подключения к нему с телефона и компьютера. Мы пойдём по самому понятному маршруту: VLESS (Xray-core) через WebSocket за Nginx + TLS-сертификат Let’s Encrypt. Этот вариант работает стабильно и удобно подключается клиентами на Android/iOS/Windows/macOS/Linux.

Примечание о «моде 2025»: в официальном репозитории примеров Xray сейчас активно продвигают варианты с XHTTP/REALITY и пометили старый «VLESS-TCP-TLS-WS (recommended)» как устаревающий. Для «бабушкиного» сценария WS+TLS через Nginx по-прежнему самый понятный путь; а когда освоитесь — можете перейти на Reality по тем же источникам. (Git - esin.io)

---

Что потребуется

1. Любой VPS (виртуальный сервер) в зарубежном дата-центре. При заказе выберите Ubuntu 22.04/24.04 LTS.
2. Домен или поддомен (например, vpn.вашдомен.com) — нужен для TLS. Добавлять DNS-записи удобно у регистратора или через Cloudflare. (Cloudflare Docs, Namecheap)
3. Компьютер (Windows/macOS/Linux) или телефон — чтобы подключаться к серверу.

---

Часть A. Аренда VPS и подключение по SSH

1. Закажите VPS у любого провайдера (DigitalOcean/Hetzner/Vultr/… — подойдёт любой).
2. Получите IP-адрес и пароль/SSH-ключ от сервера.
3. Подключитесь по SSH:
   • Windows 10/11: откройте PowerShell и введите (замените IP):

     powershell
     ssh [email protected]

     В Windows есть встроенный OpenSSH-клиент, это официальный способ. (Microsoft Learn)
   • macOS/Linux: в Терминале введите то же: ssh [email protected].
     Если используете DigitalOcean — у них есть отдельная короткая инструкция по подключению с OpenSSH. (DigitalOcean Docs)

---

Часть B. Привяжите домен к серверу (DNS)

1. Зайдите в панель DNS вашего регистратора/Cloudflare.
2. Создайте запись A для vpn.вашдомен.com → на IP вашего сервера. (В Cloudflare: DNS → Add record → A → Name: vpn, Content: ваш IP → Save.) (Cloudflare Docs)
3. Подождите 5–15 минут (иногда дольше), пока DNS обновится.

---

Часть C. Базовая подготовка сервера (Ubuntu)

Подключены по SSH? Выполните по очереди:

bash
# Обновить систему
sudo apt update && sudo apt -y upgrade

# Поставить Nginx (веб-сервер, через него пойдёт TLS)
sudo apt -y install nginx

# Включить UFW-фаервол и открыть нужные порты
sudo ufw allow OpenSSH
sudo ufw allow 'Nginx Full'   # откроет 80 и 443
sudo ufw enable
sudo ufw status

Это стандартная схема: Nginx регистрирует профиль в UFW, а «Nginx Full» открывает 80/443. (DigitalOcean)

---

Часть D. Выпустим TLS-сертификат Let’s Encrypt (Certbot)

Certbot сам настроит HTTPS для вашего Nginx.

bash
# Установить snap и certbot
sudo snap install core
sudo snap refresh core
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot

# Выпустить и автоматически подключить сертификат к Nginx
sudo certbot --nginx -d vpn.ВАШДОМЕН.com

Следуйте интерактивным вопросам (почта, согласие, редирект на https). Certbot — официальный клиент Let’s Encrypt; у EFF есть пошаговые инструкции именно для Nginx на Ubuntu. (certbot.eff.org, DigitalOcean)

Проверка: откройте в браузере https://vpn.ВАШДОМЕН.com — должна открыться стандартная страница Nginx с «замочком» https.

---

Часть E. Установим Xray-core (протокол VLESS)

Официальный скрипт установки от команды XTLS:

bash
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

Скрипт установит бинарник xray, service для systemd и каталоги конфигураций:

• Бинарник: /usr/local/bin/xray
• Конфиги: /usr/local/etc/xray/*.json
• Сервис: /etc/systemd/system/xray.service
  (Логи можно включить в конфиге.) (GitHub)

Сгенерируйте UUID для VLESS (он и будет «паролем»):

bash
/usr/local/bin/xray uuid

Команда xray uuid — штатный способ сгенерировать VLESS-ID (UUID). Документация Xray это подтверждает. (xtls.github.io)

---

Часть F. Настроим Xray (VLESS+WebSocket за Nginx)

Сделаем так: Xray слушает локально на 127.0.0.1:10000 (WS без шифрования), а Nginx снаружи принимает HTTPS и проксирует путь /ray внутрь. Это правильно с точки зрения безопасности: TLS делает Nginx, а VLESS по WS внутри не требует шифрования (у VLESS нет встроенного шифрования — его и надо всегда использовать вместе с TLS). (xtls.github.io)

1. Создайте конфиг Xray:

bash
sudo nano /usr/local/etc/xray/config.json

Вставьте (подставьте свой домен и UUID из шага выше):

json
{
  "log": {
    "access": "/var/log/xray/access.log",
    "error": "/var/log/xray/error.log",
    "loglevel": "warning"
  },
  "inbounds": [
    {
      "listen": "127.0.0.1",
      "port": 10000,
      "protocol": "vless",
      "settings": {
        "clients": [
          {
            "id": "ВАШ-UUID-ОТСЮДА",
            "level": 0,
            "email": "user@local",
            "encryption": "none"
          }
        ],
        "decryption": "none"
      },
      "streamSettings": {
        "network": "ws",
        "security": "none",
        "wsSettings": {
          "path": "/ray",
          "headers": { "Host": "vpn.ВАШДОМЕН.com" }
        }
      }
    }
  ],
  "outbounds": [
    { "protocol": "freedom", "settings": {} }
  ]
}

2. Правка Nginx: добавьте в server{} вашего домена (/etc/nginx/sites-available/…) блок, который проксирует /ray на Xray:

nginx
location /ray {
    proxy_pass http://127.0.0.1:10000;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_set_header Host $host;
}

Это ровно то, как Nginx официально проксирует WebSocket: важны заголовки Upgrade и Connection. (Nginx)

3. Примените настройки:

bash
sudo nginx -t && sudo systemctl reload nginx
sudo systemctl enable --now xray
sudo systemctl restart xray
sudo systemctl status xray --no-pager

---

Часть G. Соберём «магическую ссылку» VLESS (её удобно вставлять в клиенты)

Формат VLESS-URL стандартизируют в Project X/клиентах; в общем виде:

vless://UUID@ХОСТ:ПОРТ?encryption=none&security=tls&type=ws&host=ХОСТ&path=%2Fray#Имя

В вашем случае (порт 443, путь /ray, хост = ваш домен):

vless://ВАШ-UUID@vpn.ВАШДОМЕН.com:443?encryption=none&security=tls&type=ws&host=vpn.ВАШДОМЕН.com&path=%2Fray#MyVPN

(Параметры sni= и alpn= можно не указывать — по умолчанию SNI будет домен, а ALPN устроит http/1.1.) Предложение по стандарту VLESS-ссылок обсуждается в Xray-core, а клиенты (v2rayN и др.) его поддерживают. (GitHub)

---

Часть H. Подключаемся как клиент

1) Android (бесплатно) — v2rayNG

• Установите v2rayNG (официальный клиент, поддерживает Xray core). (GitHub)
• Откройте приложение → нажмите «+» → Import from clipboard (или «Scan QR») → вставьте вашу vless://… ссылку → сохраните → нажмите большую кнопку «V» для подключения. Официальные гайды описывают именно такой сценарий (добавление по ссылке/QR). (v2rayNG)

2) Windows/macOS/Linux — v2rayN (GUI)

• Скачайте v2rayN с GitHub Releases, запустите. (Клиент кроссплатформенный и поддерживает Xray.) (GitHub)
• Вставьте вашу vless://… ссылку: в окне программы обычно достаточно Ctrl+V/«Импорт из буфера», затем активируйте профиль — иконка в трее станет цветной и появится статус «Connected». (Официальная страница проекта подтверждает поддержку Xray.) (GitHub)

3) iPhone/iPad — Shadowrocket (платное)

• Установите Shadowrocket из App Store. (Shadowrocket VPN Download)
• В приложении: Add Server → VLESS либо просто вставьте vless://… ссылку — клиент распарсит её и заполнит поля. Сохраните и подключайтесь.

Как проверить, что всё ок: откройте любой сайт или сервис «what is my IP» и убедитесь, что внешний IP = IP вашего сервера.

---

Быстрый чек-лист «если что-то не работает»

1. DNS: запись A действительно указывает на IP сервера? (Проверьте в панели DNS, подождите 5–30 минут). (Cloudflare Docs)
2. Сертификат: sudo certbot renew --dry-run проходит без ошибок? Страница https://vpn.ВАШДОМЕН.com открывается с «замочком»? (DigitalOcean)
3. Nginx↔WebSocket: не забыли блок location /ray { …Upgrade/Connection… } и перезагрузку Nginx? (Nginx)
4. Xray: sudo systemctl status xray зелёный? Логи в /var/log/xray/ подскажут причину. Убедитесь, что UUID совпадает. У Xray VLESS шифрования «внутри» нет — он должен идти поверх TLS (у нас это делает Nginx). (xtls.github.io)
5. Фаервол: открыты 80/443 и OpenSSH? (sudo ufw status) (DigitalOcean)

---

Что дальше (по желанию)

• Перейти на более «незаметные» современные транспорты (например, VLESS-XHTTP-REALITY). В актуальном репозитории примеров есть готовые конфиги и комментарии к миграции. (Git - esin.io)
• В конфиг Xray можно добавлять маршрутизацию/правила DNS — см. официальный «Config Reference». (xtls.github.io)

---

Сводка того, на чём основана инструкция

• Xray-install — официальный скрипт установки Xray (куда ставит файлы, как запускать). (GitHub)
• VLESS: что это, почему нужен TLS, как получать UUID. (xtls.github.io)
• Nginx ↔ WebSocket: официальная дока по правильным заголовкам Upgrade/Connection. (Nginx)
• Certbot/Let’s Encrypt для Nginx на Ubuntu: официальные и проверенные пошаговые руководства. (certbot.eff.org, DigitalOcean)
• DNS A-записи (Cloudflare/регистраторы): как вручную привязать домен к IP. (Cloudflare Docs, Namecheap)
• Клиенты: v2rayNG (Android), v2rayN (Win/macOS/Linux), Shadowrocket (iOS). (GitHub, Shadowrocket VPN Download)

---

Небольшая юридическая ремарка

VPN сам по себе — легальный инструмент, но в некоторых странах его использование ограничено. Пожалуйста, действуйте в рамках законов той страны, где вы находитесь.

Если хотите, могу собрать для вас готовую командную «памятку» под ваш домен (вставите один раз и всё развернётся) или подсказать, как сделать QR-код из вашей vless://-ссылки — скажите домен/поддомен, и UUID я сгенерирую сразу.