Configurazione V2Ray 2026: VMess & VLESS per Cina, Iran, Russia (Sbloccare)

Divulgazione affiliati — Questo articolo contiene link affiliati di Contabo. Se ordini un VPS tramite i nostri link, guadagniamo una commissione senza costi aggiuntivi per te. Ogni configurazione qui sotto è documentata da fonti ufficiali e scritta per essere riproducibile sul tuo VPS.

V2Ray (e il suo fork Xray-core) è oggi lo strumento di riferimento per aggirare sofisticati DPI — in particolare il GFW cinese. Dove Shadowsocks offre crittografia opaca e wstunnel utilizza semplici WebSocket, V2Ray combina più protocolli (VMess, VLess, Trojan, Shadowsocks) con più trasporti (TCP, WebSocket, HTTP/2, gRPC, QUIC) e più livelli di offuscamento (TLS, REALITY, XTLS Vision). È potente. È anche complesso.

Questa guida copre l'installazione di V2Ray su un VPS Contabo (Ubuntu 24.04), la distinzione tra VMess e VLess nel 2026, due configurazioni JSON pronte per la produzione (VMess + WS + TLS classico, e VLess + REALITY per la Cina), il multiplexing per condividere le connessioni, e i client mobili v2rayNG (Android) e Shadowrocket (iOS).

VMess vs VLess vs Xray: scegliere lo strumento giusto

VMess (V2Ray, 2015): il protocollo storico. Crittografia a livello di applicazione all'interno di V2Ray + UUID + alterId per l'autenticazione. Robusto ma "marcato": la sua impronta è diventata rilevabile dai DPI avanzati dal 2021.

VLess (V2Ray, 2020): versione più leggera. Nessuna crittografia a livello di applicazione (tutto delegato a TLS), nessun alterId, solo UUID per l'autenticazione. Più veloce (meno calcoli), più furtivo (nessuna "firma VMess" caratteristica).

Xray-core (fork RPRX, 2021): un fork di V2Ray più attivamente mantenuto, che ha introdotto XTLS (TLS ottimizzato senza doppia crittografia) e poi REALITY (prende in prestito il certificato di un sito target). Nel 2026, Xray-core è tecnicamente superiore per la Cina.

Raccomandazione 2026:

• Nuova configurazione, focus Cina: Xray-core + VLess + REALITY.
• Nuova configurazione, resto del mondo (Iran, Russia, aziendale): Xray-core + VLess + WS + TLS (o VMess per compatibilità).
• Mantenere una configurazione esistente: rimanere su V2Ray + VMess + WS + TLS, funziona ancora molto bene al di fuori del GFW aggressivo.

Per il resto, installiamo Xray-core (che supporta VMess + VLess + Trojan + SS nello stesso binario — più completo del V2Ray-core).

Installazione di Xray-core su un VPS Contabo

Contabo VPS S (4 vCPU, 8 GB RAM, €4.99/mese, vedi offerta) su Ubuntu 24.04. Per la Cina, scegli il datacenter di Singapore o Tokyo; per Iran/Turchia, Düsseldorf o Norimberga; per la Russia, stesso Europa.

Passo 1 — Script di installazione ufficiale

bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

Lo script installa Xray in /usr/local/bin/xray, crea un'unità systemd xray.service, e inserisce la configurazione predefinita in /usr/local/etc/xray/config.json. Verifica:

xray version
systemctl status xray

Passo 2 — Dominio e certificato TLS (per VMess/VLess + WS + TLS)

Prerequisito: cdn.yourdomain.com puntato all'IP del VPS. Utilizziamo Caddy come proxy inverso per la gestione automatica di Let's Encrypt:

apt update && apt install -y debian-keyring debian-archive-keyring apt-transport-https
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | tee /etc/apt/sources.list.d/caddy-stable.list
apt update && apt install -y caddy

Per REALITY, nessun dominio richiesto — REALITY prende in prestito il certificato di un sito target. Uno dei principali vantaggi per implementazioni rapide.

Configurazione di produzione 1: VMess + WebSocket + TLS

Questa è la configurazione "classica 2020–2023" che passa ancora molto bene nel 2026 al di fuori del GFW aggressivo. Compatibile con tutti i client V2Ray storici.

/usr/local/etc/xray/config.json:

{
  "log": { "loglevel": "warning" },
  "inbounds": [
    {
      "port": 10000,
      "listen": "127.0.0.1",
      "protocol": "vmess",
      "settings": {
        "clients": [
          { "id": "UUID-CLIENT-1-GENERATE", "alterId": 0, "email": "user1@vpnsmith" },
          { "id": "UUID-CLIENT-2-GENERATE", "alterId": 0, "email": "user2@vpnsmith" }
        ]
      },
      "streamSettings": {
        "network": "ws",
        "wsSettings": {
          "path": "/cdn-static/vmess-ws",
          "headers": { "Host": "cdn.yourdomain.com" }
        }
      }
    }
  ],
  "outbounds": [
    { "protocol": "freedom", "tag": "direct" },
    { "protocol": "blackhole", "tag": "block" }
  ]
}

Genera un UUID per utente con xray uuid o uuidgen. Conserva ogni UUID in un gestore di segreti — è la chiave di autenticazione.

Caddyfile corrispondente (/etc/caddy/Caddyfile):

cdn.yourdomain.com {
  root * /var/www/html
  file_server

  @vmess {
    path /cdn-static/vmess-ws
    header Connection *Upgrade*
    header Upgrade websocket
  }
  reverse_proxy @vmess 127.0.0.1:10000
}

Inserisci un sito HTML fittizio in /var/www/html/index.html (cruciale per il camuffamento contro il probing attivo). Avvia:

systemctl restart xray caddy
journalctl -u xray -f

Configurazione di produzione 2: VLess + REALITY (anti-GFW 2026)

Questa è la configurazione consigliata per la Cina continentale nel 2026. REALITY fa sembrare il tuo server esattamente come www.microsoft.com (o un altro sito popolare nella whitelist) dal punto di vista di un DPI.

Genera prima una coppia di chiavi REALITY:

xray x25519
# Chiave privata: ...
# Chiave pubblica: ...

Scegli un sito target (dest) che risponda in TLS 1.3 + HTTP/2 e non sia nella blacklist nel paese target. Per la Cina: www.microsoft.com, dl.microsoft.com, update.microsoft.com sono ottime scelte.

/usr/local/etc/xray/config.json:

{
  "log": { "loglevel": "warning" },
  "inbounds": [
    {
      "port": 443,
      "protocol": "vless",
      "settings": {
        "clients": [
          {
            "id": "UUID-CLIENT-GENERATE",
            "flow": "xtls-rprx-vision",
            "email": "user1@vpnsmith"
          }
        ],
        "decryption": "none"
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "show": false,
          "dest": "www.microsoft.com:443",
          "xver": 0,
          "serverNames": ["www.microsoft.com"],
          "privateKey": "YOUR_X25519_PRIVATE_KEY",
          "shortIds": ["", "a1b2c3d4"]
        }
      }
    }
  ],
  "outbounds": [
    { "protocol": "freedom", "tag": "direct" }
  ]
}

Come funziona:

• Quando un client REALITY si connette, invia un ClientHello TLS 1.3 con SNI www.microsoft.com e un segreto condiviso in un'estensione.
• Xray rileva il segreto condiviso, prende il controllo e stabilisce il tunnel VLess.
• Quando si presenta un client "non-REALITY" (ad esempio una sonda GFW), Xray fa passthrough a www.microsoft.com:443 — il client vede la vera pagina di Microsoft, certificato valido, comportamento normale.
• Il DPI non può distinguere il tuo server da una cache di Microsoft.

È lo stato dell'arte per l'anti-DPI nel 2026. Difficile da inserire nella blacklist senza inserire nella blacklist Microsoft.

Limiti di REALITY:

• Solo TCP (niente WS, niente HTTP/2). Se il firewall limita il TCP generico, REALITY non aiuta.
• Il client deve supportare REALITY: v2rayNG ≥ 1.8, Shadowrocket ≥ 2.2.20, sing-box ≥ 1.5. Vecchi client SS o VMess WS = incompatibili.

Multiplexing (mux) per condividere le connessioni

V2Ray/Xray supporta il multiplexing: più flussi TCP utente condividono una singola connessione TCP fisica al server. Vantaggi: meno connessioni visibili (utile contro DPI che contano le connessioni), latenza ridotta dopo la prima sessione, risparmio di handshake TLS.

Lato server, nessuna configurazione necessaria — Xray rileva automaticamente.

Lato client (v2rayNG, Shadowrocket, sing-box), abilita "Mux" con concorrenza 8 (valore consigliato). Vedrai il tuo ping migliorare di 2–5 ms e la tua larghezza di banda parallela rimanere più stabile.

Avviso: su reti instabili (4G mobile vicino al limite di copertura), mux può amplificare il blocco della testa di linea. Se noti rallentamenti strani, disabilita mux per quel profilo.

Client: v2rayNG (Android), Shadowrocket (iOS), v2rayN (Windows), sing-box (Linux/macOS)

Android — v2rayNG (open source, F-Droid o Play Store): il client di riferimento. Per VMess + WS + TLS, importa manualmente con:

• Indirizzo: cdn.yourdomain.com
• Porta: 443
• ID: il tuo UUID
• Crittografia: auto
• Rete: ws
• Percorso: /cdn-static/vmess-ws
• Host: cdn.yourdomain.com
• TLS: tls
• SNI: cdn.yourdomain.com
• Consenti insicuro: false

Per VLess + REALITY:

• Indirizzo: IP del VPS
• Porta: 443
• ID: il tuo UUID
• Flusso: xtls-rprx-vision
• Rete: tcp
• Sicurezza: reality
• SNI: www.microsoft.com
• Impronta digitale: chrome
• Chiave pubblica: la tua chiave pubblica x25519
• ID breve: a1b2c3d4 (uno dalla lista del server)

iOS — Shadowrocket ($2.99 una tantum su AppStore). Supporto nativo VMess, VLess + REALITY dalla versione 2.2.20. Importa l'URI vless:// o vmess:// generato da Xray (xray generate config) o tramite l'interfaccia utente.

Windows — v2rayN (open source, GitHub). Interfaccia classica per Windows, supporta tutto l'ecosistema V2Ray/Xray. Gestisce bene il proxy di sistema (modalità System Proxy).

Linux/macOS — sing-box (open source, più moderno del client V2Ray). Configurazione JSON. Più performante e leggero del client V2Ray. La nostra scelta sui nostri workstation.

Prestazioni e costi operativi

Benchmark reali Contabo VPS S Norimberga, client in fibra residenziale Parigi 1 Gbps, mediana 10 sessioni, aprile 2026.

REALITY vince su tutti i fronti — meno overhead perché XTLS Vision evita la doppia crittografia TLS-then-VLess.

Costo RAM (idle / @ 100 Mbps): 25 MB / 80 MB sulla configurazione VMess WS+TLS. Su un VPS S da 8 GB, puoi ospitare 20–30 utenti contemporanei senza problemi.

Rafforzamento

1. Autenticazione UUID unica per utente. NON condividere mai lo stesso UUID tra persone. Se un UUID trapela (gestione errata degli appunti, screenshot di Telegram), sai chi revocare.

2. Rotazione UUID ogni 3–6 mesi. Genera nuovi UUID, inviali agli utenti, rimuovi i vecchi dalla configurazione Xray. Facile da scriptare.

3. fail2ban su Caddy 404. Come con wstunnel, banna gli IP che scansionano percorsi inesistenti:

# /etc/fail2ban/jail.d/caddy-404.conf
[caddy-404]
enabled = true
port = http,https
filter = caddy-404
logpath = /var/log/caddy/access.log
maxretry = 10
findtime = 60
bantime = 3600

4. Solo chiave SSH + UFW. Standard. Disabilita la password SSH in /etc/ssh/sshd_config (PasswordAuthentication no), apri solo 22, 80, 443 in UFW (ufw allow 443/tcp, ecc.).

5. Breve conservazione dei log. In config.json, mantieni loglevel: warning (non info o debug), e configura logrotate per eliminare i vecchi log. Idealmente: nessun log DNS/connessione persistente se la giurisdizione è sensibile.

V2Ray vs alternative — Quando passare ad altro

Se hai meno di 3 utenti e non vai mai nella Cina continentale, V2Ray è eccessivo — preferisci wstunnel o WireGuard + Cloak. Se desideri una soluzione mobile pronta all'uso senza VPS da gestire, controlla NordVPN con i suoi server offuscati.

Risoluzione dei problemi comuni

Sintomo: connessione stabilita ma nessun traffico fluisce. Controlla outbounds — se hai dimenticato freedom, tutto va nel black-hole. Aggiungi {"protocol": "freedom", "tag": "direct"}.

Sintomo: "Errore handshake TLS" sul client. SNI client errato, o certificato server scaduto (controlla caddy logs o acme.sh status a seconda della tua configurazione).

Sintomo: REALITY non funziona, il client vede la vera pagina dest. Gli shortIds lato server non corrispondono a quelli inviati dal client. Verifica che il client invii a1b2c3d4 (o un altro valore valido elencato dal server).

Sintomo: scarse prestazioni nonostante un buon collegamento. Abilita mux lato client (concorrenza 8). Controlla che il server non sia limitato dalla CPU (top poi htop). Per oltre 50 utenti, passa a Cloud VPS 10 (8 vCPU, 30 GB RAM, €13/mese).

Ulteriori letture

• Self-host VPN su Contabo: guida completa a WireGuard 2026
• Se preferisci un server domestico, self-host WireGuard su Raspberry Pi 5 è un'alternativa economica a un VPS.
• Hai bisogno di configurazioni WireGuard pronte? Vedi i nostri modelli di configurazione WireGuard.
• Shadowsocks vs VPN 2026: confronto tecnico
• wstunnel: TCP/UDP su WebSocket
• Cloak: offuscamento TLS per VPN self-host

Fonti e documentazione ufficiale:

• Xray-core — GitHub ufficiale
• Documentazione Project V (V2Ray)
• Protocollo REALITY — spiegato da RPRX
• v2rayNG (Android) GitHub
• GFW Report — dati di blocco in tempo reale

Pubblicato il 2026-06-03. Configurazioni testate su un Contabo VPS S Norimberga + client residenziali in Europa + account di prova a Singapore, marzo–aprile 2026. REALITY evolve rapidamente — rivedi i changelog trimestrali di Xray-core prima di un'implementazione critica.

Promemoria legale: V2Ray/Xray sono strumenti open-source, legali nell'UE, negli Stati Uniti, in Canada e nella maggior parte dei paesi. L'uso anti-censura in Cina, Iran, Russia è localmente illegale con pene variabili. VPNSmith pubblica questa guida a scopo educativo.