Панель 3x-ui на VPS: один сервер на семью и друзей

Конфиг Xray в формате JSON отлично работает для одного человека, но как только нужно раздать доступ нескольким - семье, друзьям, коллегам - руками он становится мучением. Добавить десятого клиента означает снова править config.json, перезапускать сервис, вручную собирать ссылку vless:// и следить, не превысил ли кто-то трафик. 3x-ui (форк MHSanaei от оригинального x-ui) закрывает именно эту боль.

• Много инбаундов на одном порту-наборе. Десятки независимых VLESS+Reality, VMess, Trojan, Shadowsocks и Hysteria2 - каждый со своими настройками, в одной веб-таблице.
• Отдельный клиент внутри инбаунда. На каждого человека - свой UUID, свой лимит трафика в гигабайтах, своя дата окончания и лимит одновременных IP. Превысил квоту - доступ автоматически закрывается.
• Готовые ссылки и QR. Панель сама генерирует ссылку импорта и QR-код для v2rayNG, Nekoray, Hiddify или sing-box - вы просто пересылаете её человеку.
• Ссылки-подписки (subscription). Один URL, по которому клиент сам подтягивает актуальный конфиг; при смене сервера не нужно рассылать новый профиль каждому.
• Статистика и Telegram-бот. Расход трафика по каждому клиенту, нагрузка на сервер и уведомления о превышении лимита или близком окончании срока - прямо в Telegram.

Иными словами, 3x-ui - это система биллинга и раздачи доступа для вашего личного офшорного VPS, а не просто красивая обёртка.

3x-ui ставится на чистый Debian 11/12 или Ubuntu 22.04/24.04 одной командой под root. На офшорной VPS с root-доступом сразу после оплаты это занимает пару минут:

bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

Установщик спросит логин, пароль и порт веб-панели. Не оставляйте порт по умолчанию и не используйте простой пароль - открытая на стандартном порту панель с парой admin/admin находится сканерами за часы. После установки управляйте сервисом через меню x-ui в консоли (старт, стоп, смена порта, просмотр логина).

Внутри панели логика двухуровневая: сначала вы создаёте инбаунд (протокол + порт + транспорт, например VLESS+Reality на 443), затем внутри инбаунда добавляете клиентов - по одному на каждого человека. Для VLESS+Reality панель сама сгенерирует пару ключей x25519, shortId и UUID; от вас потребуется только указать dest и serverNames - тонкая часть, которую мы подробно разбираем в материале о настройке VLESS+Reality против ТСПУ. Для мобильных пользователей с нестабильным интернетом добавьте отдельный инбаунд Hysteria2 на базе QUIC/UDP - он лучше держит потери пакетов и часто быстрее на плохих сотовых сетях.

Главная причина ставить 3x-ui ради нескольких человек - возможность ограничить каждого по отдельности, чтобы один тяжёлый пользователь не съел весь канал и чтобы доступ не висел вечно. При добавлении или редактировании клиента в инбаунде задаются:

• Total Flow (лимит трафика) - сколько гигабайт доступно клиенту. По достижении лимита клиент автоматически отключается, а в таблице подсвечивается израсходованный объём. Удобно для гостевых доступов и для контроля «тяжёлых» родственников со стримингом.
• Expiry Time (срок действия) - дата, после которой ключ перестаёт работать. Можно задать абсолютную дату или относительный период (например, +30 дней). Идеально для временного доступа.
• IP Limit - ограничение одновременных IP-адресов на один ключ. Защищает от того, что один профиль расползётся по десятку чужих устройств. Требует включённого логирования доступа.
• Reset (сброс трафика) - можно обнулить счётчик вручную или настроить периодический сброс, имитируя «месячный тариф».

Telegram-бот (привязывается в настройках панели через токен от @BotFather и ваш chat id) присылает уведомления о приближении к лимиту и об окончании срока, плюс позволяет смотреть статистику и делать бэкап командой прямо из чата. Это снимает необходимость постоянно заходить в веб-интерфейс.

Все инбаунды, клиенты, лимиты и счётчики трафика 3x-ui хранит в одном файле SQLite: /etc/x-ui/x-ui.db. Настройки самой панели - в /etc/x-ui/. Потеряете этот файл при переустановке или сбое диска - и придётся заново заводить каждого человека и рассылать новые ссылки. Поэтому бэкап обязателен.

Самый простой способ - встроенная функция: в панели есть кнопка экспорта, а Telegram-бот по команде /backup присылает файл базы прямо в чат. Для автоматизации поставьте cron, который раз в сутки копирует базу в защищённое место:

# ежедневный локальный снимок в 4:00
0 4 * * * cp /etc/x-ui/x-ui.db /root/backups/x-ui-$(date +\%F).db

# и/или выгрузка на другой хост по scp
0 5 * * * scp /etc/x-ui/x-ui.db user@backup-host:/srv/3xui/

Восстановление: остановите панель (x-ui stop), положите сохранённый x-ui.db обратно в /etc/x-ui/, запустите снова (x-ui start) - все клиенты, лимиты и срок действия вернутся в точности как были. Храните копии вне самого VPS: при блокировке или изъятии сервера локальный бэкап на том же диске бесполезен.

Веб-панель управления - это самая жирная цель на вашем сервере: получив к ней доступ, злоумышленник видит всех клиентов и весь трафик. Открытая в интернет панель 3x-ui на предсказуемом пути - частая причина компрометации. Минимальный набор мер:

• Нестандартный порт и сложный пароль. Смените дефолтный порт панели и задайте длинный пароль ещё на этапе установки. Регулярно меняйте учётные данные через меню x-ui.
• Секретный путь к панели (web base path). 3x-ui позволяет задать произвольный URL-префикс - панель будет доступна только по нему, а не на корне. Это резко снижает шум от автосканеров.
• TLS на саму панель. Включите HTTPS для веб-интерфейса (свой сертификат или Let's Encrypt), чтобы логин и пароль не ходили открытым текстом.
• Файрвол. Закройте порт панели для всех, кроме своего IP, через ufw или nftables. Идеально - вообще не выставлять панель в интернет, а ходить на неё через SSH-туннель: ssh -L 2053:127.0.0.1:2053 root@ВАШ_IP и открывать localhost:2053 локально.
• Fail2ban и обновления. Держите Xray-ядро и саму 3x-ui в актуальной версии (меню обновления), ставьте fail2ban на SSH.

И помните: 3x-ui прячет управление, но не меняет физику выходного трафика. Если ваш VPS стоит в российском дата-центре, весь смысл обхода теряется - выходной IP остаётся внутри зоны фильтрации. Поэтому панель должна жить на сервере вне РФ.

Для раздачи доступа нескольким людям важны три вещи: чистый выходной IP, который не числится в VPN-реестрах, стабильный канал и юрисдикция вне досягаемости предписаний о раскрытии данных. Наши офшорные VPS в Финляндии, Исландии и Румынии дают root-доступ сразу после оплаты, чистые IP и регистрацию только по email - без KYC, с оплатой Bitcoin, Monero и USDT TRC-20.

Для семьи из нескольких человек и пары друзей хватает VPS среднего тарифа: 3x-ui и Xray почти не нагружают процессор, узким местом обычно становится канал. Финляндия даёт минимальную задержку до Москвы за счёт прямого пиринга - заметно для видеозвонков и игр. Исландия - максимум приватности. Если пользователей становится много или нужен гарантированный канал под видео, переходите на выделенный сервер с фиксированными ядрами и полосой. Один такой сервер с 3x-ui спокойно обслуживает десятки клиентов с раздельными лимитами.