V2Ray Einrichtung 2026: VMess & VLESS für China, Iran, Russland (Entsperren)

Affiliate-Hinweis — Dieser Artikel enthält Contabo-Affiliate-Links. Wenn Sie über unsere Links einen VPS bestellen, erhalten wir eine Provision ohne zusätzliche Kosten für Sie. Jede unten stehende Konfiguration ist aus offiziellen Quellen dokumentiert und so geschrieben, dass sie auf Ihrem eigenen VPS reproduzierbar ist.

V2Ray (und sein Xray-core-Fork) ist heute das Referenzwerkzeug zur Umgehung von ausgeklügeltem DPI — insbesondere der chinesischen GFW. Während Shadowsocks undurchsichtige Verschlüsselung bietet und wstunnel einfache WebSocket-Verbindungen ermöglicht, kombiniert V2Ray mehrere Protokolle (VMess, VLess, Trojan, Shadowsocks) mit mehreren Transportmethoden (TCP, WebSocket, HTTP/2, gRPC, QUIC) und mehreren Verschleierungsebenen (TLS, REALITY, XTLS Vision). Es ist mächtig. Es ist auch komplex.

Diese Anleitung behandelt die Installation von V2Ray auf einem Contabo VPS (Ubuntu 24.04), die Unterscheidung zwischen VMess und VLess im Jahr 2026, zwei produktionsreife JSON-Konfigurationen (VMess + WS + TLS klassisch und VLess + REALITY für China), Multiplexing zur Verbindungsteilung und die mobilen Clients v2rayNG (Android) und Shadowrocket (iOS).

VMess vs VLess vs Xray: das richtige Werkzeug wählen

VMess (V2Ray, 2015): das historische Protokoll. Verschlüsselung auf Anwendungsebene innerhalb von V2Ray + UUID + alterId zur Authentifizierung. Robust, aber "markiert": sein Fingerabdruck wurde seit 2021 von fortschrittlichem DPI erkennbar.

VLess (V2Ray, 2020): leichtere Version. Keine Verschlüsselung auf Anwendungsebene (alles wird an TLS delegiert), kein alterId, nur UUID zur Authentifizierung. Schneller (weniger Rechenleistung), unauffälliger (kein charakteristischer "VMess-Signatur").

Xray-core (RPRX-Fork, 2021): ein aktiver gepflegter V2Ray-Fork, der XTLS (optimiertes TLS ohne doppelte Verschlüsselung) und dann REALITY (leiht sich das Zertifikat einer Zielseite) einführte. Im Jahr 2026 ist Xray-core technisch überlegen für China.

Empfehlung 2026:

• Neue Einrichtung, Fokus auf China: Xray-core + VLess + REALITY.
• Neue Einrichtung, Rest der Welt (Iran, Russland, Unternehmen): Xray-core + VLess + WS + TLS (oder VMess für Kompatibilität).
• Bestehende Einrichtung beibehalten: Bleiben Sie bei V2Ray + VMess + WS + TLS, es funktioniert immer noch sehr gut außerhalb der aggressiven GFW.

Für den Rest installieren wir Xray-core (das VMess + VLess + Trojan + SS im selben Binärprogramm unterstützt — strikt vollständiger als V2Ray-core).

Xray-core Installation auf einem Contabo VPS

Contabo VPS S (4 vCPU, 8 GB RAM, 4,99 €/Monat, Angebot ansehen) auf Ubuntu 24.04. Für China wählen Sie das Singapur oder Tokio Rechenzentrum; für Iran/Türkei, Düsseldorf oder Nürnberg; für Russland, ebenfalls Europa.

Schritt 1 — Offizielles Installationsskript

bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

Das Skript installiert Xray in /usr/local/bin/xray, erstellt eine xray.service systemd-Einheit und legt die Standardkonfiguration in /usr/local/etc/xray/config.json ab. Überprüfen:

xray version
systemctl status xray

Schritt 2 — Domain und TLS-Zertifikat (für VMess/VLess + WS + TLS)

Voraussetzung: cdn.yourdomain.com, das auf die VPS-IP zeigt. Wir verwenden Caddy als Reverse-Proxy für die automatische Verwaltung von Let's Encrypt:

apt update && apt install -y debian-keyring debian-archive-keyring apt-transport-https
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | tee /etc/apt/sources.list.d/caddy-stable.list
apt update && apt install -y caddy

Für REALITY ist keine Domain erforderlich — REALITY leiht sich das Zertifikat einer Zielseite. Einer der großen Vorteile für schnelle Bereitstellungen.

Produktionskonfiguration 1: VMess + WebSocket + TLS

Dies ist die "2020–2023 klassische" Konfiguration, die auch 2026 außerhalb der aggressiven GFW sehr gut funktioniert. Kompatibel mit allen historischen V2Ray-Clients.

/usr/local/etc/xray/config.json:

{
  "log": { "loglevel": "warning" },
  "inbounds": [
    {
      "port": 10000,
      "listen": "127.0.0.1",
      "protocol": "vmess",
      "settings": {
        "clients": [
          { "id": "UUID-CLIENT-1-GENERATE", "alterId": 0, "email": "user1@vpnsmith" },
          { "id": "UUID-CLIENT-2-GENERATE", "alterId": 0, "email": "user2@vpnsmith" }
        ]
      },
      "streamSettings": {
        "network": "ws",
        "wsSettings": {
          "path": "/cdn-static/vmess-ws",
          "headers": { "Host": "cdn.yourdomain.com" }
        }
      }
    }
  ],
  "outbounds": [
    { "protocol": "freedom", "tag": "direct" },
    { "protocol": "blackhole", "tag": "block" }
  ]
}

Generieren Sie eine UUID pro Benutzer mit xray uuid oder uuidgen. Bewahren Sie jede UUID in einem Geheimnismanager auf — sie ist der Authentifizierungsschlüssel.

Passende Caddyfile (/etc/caddy/Caddyfile):

cdn.yourdomain.com {
  root * /var/www/html
  file_server

  @vmess {
    path /cdn-static/vmess-ws
    header Connection *Upgrade*
    header Upgrade websocket
  }
  reverse_proxy @vmess 127.0.0.1:10000
}

Legen Sie eine Dummy-HTML-Seite in /var/www/html/index.html ab (wichtig für die Tarnung gegen aktive Sondierung). Starten:

systemctl restart xray caddy
journalctl -u xray -f

Produktionskonfiguration 2: VLess + REALITY (anti-GFW 2026)

Dies ist die empfohlene Konfiguration für Festlandchina im Jahr 2026. REALITY lässt Ihren Server aus Sicht eines DPI genau wie www.microsoft.com (oder eine andere beliebte Whitelist-Seite) aussehen.

Zuerst ein REALITY-Schlüsselpaar generieren:

xray x25519
# Private key: ...
# Public key: ...

Wählen Sie eine Zielseite (dest), die in TLS 1.3 + HTTP/2 antwortet und im Zielland nicht auf der schwarzen Liste steht. Für China: www.microsoft.com, dl.microsoft.com, update.microsoft.com sind ausgezeichnete Wahlmöglichkeiten.

/usr/local/etc/xray/config.json:

{
  "log": { "loglevel": "warning" },
  "inbounds": [
    {
      "port": 443,
      "protocol": "vless",
      "settings": {
        "clients": [
          {
            "id": "UUID-CLIENT-GENERATE",
            "flow": "xtls-rprx-vision",
            "email": "user1@vpnsmith"
          }
        ],
        "decryption": "none"
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "show": false,
          "dest": "www.microsoft.com:443",
          "xver": 0,
          "serverNames": ["www.microsoft.com"],
          "privateKey": "YOUR_X25519_PRIVATE_KEY",
          "shortIds": ["", "a1b2c3d4"]
        }
      }
    }
  ],
  "outbounds": [
    { "protocol": "freedom", "tag": "direct" }
  ]
}

Funktionsweise:

• Wenn ein REALITY-Client sich verbindet, sendet er ein TLS 1.3 ClientHello mit SNI www.microsoft.com und einem gemeinsamen Geheimnis in einer Erweiterung.
• Xray erkennt das gemeinsame Geheimnis, übernimmt und etabliert den VLess-Tunnel.
• Wenn ein "nicht-REALITY"-Client auftaucht (z.B. GFW-Sonde), macht Xray Passthrough zu www.microsoft.com:443 — der Client sieht die echte Microsoft-Seite, gültiges Zertifikat, normales Verhalten.
• DPI kann Ihren Server nicht von einem Microsoft-Cache unterscheiden.

Es ist der Stand der Technik für Anti-DPI im Jahr 2026. Schwer zu blockieren, ohne Microsoft zu blockieren.

REALITY-Einschränkungen:

• Nur TCP (kein WS, kein HTTP/2). Wenn die Firewall generisches TCP drosselt, hilft REALITY nicht.
• Der Client muss REALITY unterstützen: v2rayNG ≥ 1.8, Shadowrocket ≥ 2.2.20, sing-box ≥ 1.5. Alte SS- oder VMess-WS-Clients = inkompatibel.

Multiplexing (mux) zur Verbindungsteilung

V2Ray/Xray unterstützt Multiplexing: Mehrere Benutzer-TCP-Flows teilen eine einzige physische TCP-Verbindung zum Server. Vorteile: Weniger sichtbare Verbindungen (nützlich gegen DPI, das Verbindungszählung durchführt), reduzierte Latenz nach der ersten Sitzung, Einsparungen bei TLS-Handshakes.

Serverseitig ist keine Konfiguration erforderlich — Xray erkennt automatisch.

Clientseitig (v2rayNG, Shadowrocket, sing-box) aktivieren Sie "Mux" mit einer Parallelität von 8 (empfohlener Wert). Sie werden sehen, dass sich Ihr Ping um 2–5 ms verbessert und Ihr paralleler Durchsatz stabiler bleibt.

Warnung: In instabilen Netzwerken (4G-Mobilfunk am Rande der Abdeckung) kann Mux das Head-of-Line-Blocking verstärken. Wenn Sie seltsame Verlangsamungen bemerken, deaktivieren Sie Mux für dieses Profil.

Clients: v2rayNG (Android), Shadowrocket (iOS), v2rayN (Windows), sing-box (Linux/macOS)

Android — v2rayNG (Open Source, F-Droid oder Play Store): der Referenzclient. Für VMess + WS + TLS manuell importieren mit:

• Adresse: cdn.yourdomain.com
• Port: 443
• ID: Ihre UUID
• Verschlüsselung: auto
• Netzwerk: ws
• Pfad: /cdn-static/vmess-ws
• Host: cdn.yourdomain.com
• TLS: tls
• SNI: cdn.yourdomain.com
• Unsicher zulassen: false

Für VLess + REALITY:

• Adresse: VPS-IP
• Port: 443
• ID: Ihre UUID
• Flow: xtls-rprx-vision
• Netzwerk: tcp
• Sicherheit: reality
• SNI: www.microsoft.com
• Fingerabdruck: chrome
• Öffentlicher Schlüssel: Ihr x25519-öffentlicher Schlüssel
• Kurz-ID: a1b2c3d4 (eine aus der Serverliste)

iOS — Shadowrocket (2,99 $ einmalig im AppStore). Native VMess-Unterstützung, VLess + REALITY seit 2.2.20. Importieren Sie die vless:// oder vmess:// URI, die von Xray generiert wurde (xray generate config) oder über die Benutzeroberfläche.

Windows — v2rayN (Open Source, GitHub). Klassische Windows-Benutzeroberfläche, unterstützt das gesamte V2Ray/Xray-Ökosystem. Handhabt Systemproxy gut (System Proxy-Modus).

Linux/macOS — sing-box (Open Source, moderner als der V2Ray-Client). JSON-Konfiguration. Leistungsfähiger und leichter als der V2Ray-Client. Unsere Wahl auf unseren Arbeitsstationen.

Leistung und Betriebskosten

Echte Benchmarks Contabo VPS S Nürnberg, Residential Fiber Client Paris 1 Gbps, Median 10 Sitzungen, April 2026.

REALITY gewinnt in allen Bereichen — weniger Overhead, da XTLS Vision die doppelte Verschlüsselung von TLS-then-VLess vermeidet.

RAM-Kosten (Leerlauf / @ 100 Mbps): 25 MB / 80 MB auf der VMess WS+TLS-Konfiguration. Auf einem 8 GB VPS S können Sie problemlos 20–30 gleichzeitige Benutzer hosten.

Härtung

1. Einzigartige UUID-Authentifizierung pro Benutzer. Niemals dieselbe UUID zwischen Personen teilen. Wenn eine UUID durchsickert (schlecht gehandhabte Zwischenablage, Telegram-Screenshot), wissen Sie, wen Sie widerrufen müssen.

2. UUID-Rotation alle 3–6 Monate. Neue UUIDs generieren, an Benutzer verteilen, die alten aus der Xray-Konfiguration entfernen. Einfach zu skripten.

3. fail2ban auf Caddy 404. Wie bei wstunnel, IPs verbannen, die nicht existierende Pfade scannen:

# /etc/fail2ban/jail.d/caddy-404.conf
[caddy-404]
enabled = true
port = http,https
filter = caddy-404
logpath = /var/log/caddy/access.log
maxretry = 10
findtime = 60
bantime = 3600

4. Nur SSH-Schlüssel + UFW. Standard. SSH-Passwort in /etc/ssh/sshd_config deaktivieren (PasswordAuthentication no), nur 22, 80, 443 in UFW öffnen (ufw allow 443/tcp, etc.).

5. Kurze Protokollaufbewahrung. In config.json, loglevel: warning beibehalten (nicht info oder debug), und logrotate konfigurieren, um alte Protokolle zu löschen. Idealerweise: keine dauerhaften DNS-/Verbindungsprotokolle, wenn die Gerichtsbarkeit sensibel ist.

V2Ray vs Alternativen — Wann wechseln

Wenn Sie weniger als 3 Benutzer haben und nie nach Festlandchina reisen, ist V2Ray übertrieben — bevorzugen Sie wstunnel oder WireGuard + Cloak. Wenn Sie eine schlüsselfertige mobile Lösung ohne zu verwaltenden VPS wünschen, schauen Sie sich NordVPN mit seinen verschleierten Servern an.

Häufige Fehlerbehebung

Symptom: Verbindung hergestellt, aber kein Datenverkehr fließt. Überprüfen Sie outbounds — wenn Sie freedom vergessen haben, wird alles blockiert. Fügen Sie {"protocol": "freedom", "tag": "direct"} hinzu.

Symptom: "TLS-Handshake-Fehler" auf dem Client. Falsches Client-SNI oder abgelaufenes Serverzertifikat (überprüfen Sie caddy logs oder acme.sh status je nach Einrichtung).

Symptom: REALITY funktioniert nicht, der Client sieht die echte dest-Seite. Die serverseitigen shortIds stimmen nicht mit dem überein, was der Client sendet. Überprüfen Sie, ob der Client a1b2c3d4 (oder einen anderen gültigen servergelisteten Wert) sendet.

Symptom: Schlechte Leistung trotz guter Verbindung. Aktivieren Sie Mux clientseitig (Parallelität 8). Überprüfen Sie, ob der Server nicht CPU-gebunden ist (top dann htop). Für 50+ Benutzer wechseln Sie zu Cloud VPS 10 (8 vCPU, 30 GB RAM, 13 €/Monat).

Weiterführende Literatur

• Eigenes VPN auf Contabo hosten: vollständige WireGuard-Anleitung 2026
• Wenn Sie einen Heimserver bevorzugen, WireGuard auf Raspberry Pi 5 selbst hosten ist eine erschwingliche Alternative zu einem VPS.
• Benötigen Sie fertige WireGuard-Konfigurationen? Sehen Sie sich unsere WireGuard-Konfigurationstemplates an.
• Shadowsocks vs VPN 2026: Technischer Vergleich
• wstunnel: TCP/UDP über WebSocket
• Cloak: TLS-Verschleierung für selbst gehostetes VPN

Quellen und offizielle Dokumentationen:

• Xray-core — offizielles GitHub
• Project V (V2Ray) Dokumentation
• REALITY-Protokoll — erklärt von RPRX
• v2rayNG (Android) GitHub
• GFW Report — Live-Blocking-Daten

Veröffentlicht am 2026-06-03. Konfigurationen getestet auf einem Contabo VPS S Nürnberg + Residential Clients in Europa + Testkonten in Singapur, März–April 2026. REALITY entwickelt sich schnell — überprüfen Sie die vierteljährlichen Xray-core-Changelogs vor kritischen Bereitstellungen.

Rechtlicher Hinweis: V2Ray/Xray sind Open-Source-Tools, legal in der EU, den USA, Kanada und den meisten Ländern. Die Nutzung zur Umgehung von Zensur in China, Iran, Russland ist lokal illegal mit variablen Strafen. VPNSmith veröffentlicht diese Anleitung zu Bildungszwecken.