Configuração V2Ray 2026: VMess & VLESS para China, Irão, Rússia (Desbloquear)

Divulgação de afiliados — Este artigo contém links de afiliados da Contabo. Se encomendar um VPS através dos nossos links, ganhamos uma comissão sem custo adicional para si. Todas as configurações abaixo são documentadas a partir de fontes oficiais e escritas para serem reproduzidas no seu próprio VPS.

V2Ray (e o seu fork Xray-core) é hoje a ferramenta de referência para contornar DPI sofisticado — particularmente o GFW chinês. Onde Shadowsocks faz encriptação opaca e wstunnel faz WebSocket simples, V2Ray combina múltiplos protocolos (VMess, VLess, Trojan, Shadowsocks) com múltiplos transportes (TCP, WebSocket, HTTP/2, gRPC, QUIC) e múltiplas camadas de ofuscação (TLS, REALITY, XTLS Vision). É poderoso. Também é complexo.

Este guia cobre a instalação do V2Ray num VPS Contabo (Ubuntu 24.04), a distinção entre VMess e VLess em 2026, duas configurações JSON prontas para produção (VMess + WS + TLS clássico, e VLess + REALITY para a China), multiplexação para partilhar conexões, e os clientes móveis v2rayNG (Android) e Shadowrocket (iOS).

VMess vs VLess vs Xray: escolher a ferramenta certa

VMess (V2Ray, 2015): o protocolo histórico. Encriptação na camada de aplicação dentro do V2Ray + UUID + alterId para autenticação. Robusto mas "marcado": a sua impressão digital tornou-se eventualmente detetável por DPI avançado desde 2021.

VLess (V2Ray, 2020): versão mais leve. Sem encriptação na camada de aplicação (delegamos tudo para TLS), sem alterId, apenas UUID para autenticação. Mais rápido (menos computação), mais furtivo (sem "assinatura VMess" característica).

Xray-core (fork RPRX, 2021): um fork V2Ray mais ativamente mantido, que introduziu XTLS (TLS otimizado sem dupla encriptação) e depois REALITY (empresta o certificado de um site alvo). Em 2026, o Xray-core é tecnicamente superior para a China.

Recomendação para 2026:

• Nova configuração, foco na China: Xray-core + VLess + REALITY.
• Nova configuração, resto do mundo (Irão, Rússia, corporativo): Xray-core + VLess + WS + TLS (ou VMess para compatibilidade).
• Manutenção de uma configuração existente: mantenha-se em V2Ray + VMess + WS + TLS, ainda funciona muito bem fora do GFW agressivo.

Para o resto, instalamos o Xray-core (que suporta VMess + VLess + Trojan + SS no mesmo binário — estritamente mais completo que o V2Ray-core).

Instalação do Xray-core num VPS Contabo

VPS Contabo S (4 vCPU, 8 GB RAM, €4.99/mês, ver oferta) no Ubuntu 24.04. Para a China, escolha o datacenter de Singapura ou Tóquio; para o Irão/Turquia, Düsseldorf ou Nuremberga; para a Rússia, o mesmo na Europa.

Passo 1 — Script de instalação oficial

bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

O script instala o Xray em /usr/local/bin/xray, cria uma unidade systemd xray.service, e coloca a configuração padrão em /usr/local/etc/xray/config.json. Verifique:

xray version
systemctl status xray

Passo 2 — Domínio e certificado TLS (para VMess/VLess + WS + TLS)

Pré-requisito: cdn.seudominio.com apontando para o IP do VPS. Usamos o Caddy como proxy reverso para gestão automática do Let's Encrypt:

apt update && apt install -y debian-keyring debian-archive-keyring apt-transport-https
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | tee /etc/apt/sources.list.d/caddy-stable.list
apt update && apt install -y caddy

Para REALITY, não é necessário domínio — REALITY empresta o certificado de um site alvo. Uma das grandes vantagens para implantações rápidas.

Configuração de produção 1: VMess + WebSocket + TLS

Esta é a configuração "clássica de 2020–2023" que ainda passa muito bem em 2026 fora do GFW agressivo. Compatível com todos os clientes históricos do V2Ray.

/usr/local/etc/xray/config.json:

{
  "log": { "loglevel": "warning" },
  "inbounds": [
    {
      "port": 10000,
      "listen": "127.0.0.1",
      "protocol": "vmess",
      "settings": {
        "clients": [
          { "id": "UUID-CLIENT-1-GENERATE", "alterId": 0, "email": "user1@vpnsmith" },
          { "id": "UUID-CLIENT-2-GENERATE", "alterId": 0, "email": "user2@vpnsmith" }
        ]
      },
      "streamSettings": {
        "network": "ws",
        "wsSettings": {
          "path": "/cdn-static/vmess-ws",
          "headers": { "Host": "cdn.seudominio.com" }
        }
      }
    }
  ],
  "outbounds": [
    { "protocol": "freedom", "tag": "direct" },
    { "protocol": "blackhole", "tag": "block" }
  ]
}

Gere um UUID por utilizador com xray uuid ou uuidgen. Guarde cada UUID num gestor de segredos — é a chave de autenticação.

Caddyfile correspondente (/etc/caddy/Caddyfile):

cdn.seudominio.com {
  root * /var/www/html
  file_server

  @vmess {
    path /cdn-static/vmess-ws
    header Connection *Upgrade*
    header Upgrade websocket
  }
  reverse_proxy @vmess 127.0.0.1:10000
}

Coloque um site HTML fictício em /var/www/html/index.html (crucial para camuflagem contra sondagens ativas). Inicie:

systemctl restart xray caddy
journalctl -u xray -f

Configuração de produção 2: VLess + REALITY (anti-GFW 2026)

Esta é a configuração recomendada para a China continental em 2026. REALITY faz o seu servidor parecer exatamente como www.microsoft.com (ou outro site popular na lista branca) do ponto de vista de um DPI.

Primeiro, gere um par de chaves REALITY:

xray x25519
# Chave privada: ...
# Chave pública: ...

Escolha um site alvo (dest) que responda em TLS 1.3 + HTTP/2 e não esteja na lista negra no país alvo. Para a China: www.microsoft.com, dl.microsoft.com, update.microsoft.com são excelentes escolhas.

/usr/local/etc/xray/config.json:

{
  "log": { "loglevel": "warning" },
  "inbounds": [
    {
      "port": 443,
      "protocol": "vless",
      "settings": {
        "clients": [
          {
            "id": "UUID-CLIENT-GENERATE",
            "flow": "xtls-rprx-vision",
            "email": "user1@vpnsmith"
          }
        ],
        "decryption": "none"
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "show": false,
          "dest": "www.microsoft.com:443",
          "xver": 0,
          "serverNames": ["www.microsoft.com"],
          "privateKey": "YOUR_X25519_PRIVATE_KEY",
          "shortIds": ["", "a1b2c3d4"]
        }
      }
    }
  ],
  "outbounds": [
    { "protocol": "freedom", "tag": "direct" }
  ]
}

Como funciona:

• Quando um cliente REALITY se conecta, envia um TLS 1.3 ClientHello com SNI www.microsoft.com e um segredo partilhado numa extensão.
• O Xray deteta o segredo partilhado, assume o controlo e estabelece o túnel VLess.
• Quando um cliente "não-REALITY" aparece (sonda do GFW, por exemplo), o Xray faz passagem para www.microsoft.com:443 — o cliente vê a página real da Microsoft, certificado válido, comportamento normal.
• O DPI não consegue distinguir o seu servidor de uma cache da Microsoft.

É o estado da arte para anti-DPI em 2026. Difícil de colocar na lista negra sem colocar a Microsoft.

Limitações do REALITY:

• Apenas TCP (sem WS, sem HTTP/2). Se o firewall limitar TCP genérico, REALITY não ajuda.
• O cliente deve suportar REALITY: v2rayNG ≥ 1.8, Shadowrocket ≥ 2.2.20, sing-box ≥ 1.5. Clientes antigos de SS ou VMess WS = incompatíveis.

Multiplexação (mux) para partilhar conexões

V2Ray/Xray suporta multiplexação: múltiplos fluxos TCP de utilizador partilham uma única conexão TCP física para o servidor. Benefícios: menos conexões visíveis (útil contra DPI que faz contagem de conexões), latência reduzida após a primeira sessão, economia de handshake TLS.

No lado do servidor, não é necessária configuração — o Xray deteta automaticamente.

No lado do cliente (v2rayNG, Shadowrocket, sing-box), ative "Mux" com concorrência 8 (valor recomendado). Verá o seu ping melhorar em 2–5 ms e o seu throughput paralelo manter-se mais estável.

Aviso: em redes instáveis (4G móvel perto do limite de cobertura), o mux pode amplificar o bloqueio de linha de frente. Se notar lentidões estranhas, desative o mux para esse perfil.

Clientes: v2rayNG (Android), Shadowrocket (iOS), v2rayN (Windows), sing-box (Linux/macOS)

Android — v2rayNG (código aberto, F-Droid ou Play Store): o cliente de referência. Para VMess + WS + TLS, importe manualmente com:

• Endereço: cdn.seudominio.com
• Porta: 443
• ID: o seu UUID
• Encriptação: auto
• Rede: ws
• Caminho: /cdn-static/vmess-ws
• Host: cdn.seudominio.com
• TLS: tls
• SNI: cdn.seudominio.com
• Permitir inseguro: false

Para VLess + REALITY:

• Endereço: IP do VPS
• Porta: 443
• ID: o seu UUID
• Fluxo: xtls-rprx-vision
• Rede: tcp
• Segurança: reality
• SNI: www.microsoft.com
• Impressão digital: chrome
• Chave pública: a sua chave pública x25519
• ID curto: a1b2c3d4 (um da lista do servidor)

iOS — Shadowrocket ($2.99 uma vez na AppStore). Suporte nativo para VMess, VLess + REALITY desde 2.2.20. Importe o URI vless:// ou vmess:// gerado pelo Xray (xray generate config) ou através da UI.

Windows — v2rayN (código aberto, GitHub). UI clássica do Windows, suporta todo o ecossistema V2Ray/Xray. Lida bem com proxy de sistema (modo System Proxy).

Linux/macOS — sing-box (código aberto, mais moderno que o cliente V2Ray). Configuração em JSON. Mais performante e leve que o cliente V2Ray. Nossa escolha nos nossos postos de trabalho.

Desempenho e custo operacional

Benchmarks reais VPS Contabo S Nuremberga, cliente de fibra residencial Paris 1 Gbps, mediana de 10 sessões, abril de 2026.

REALITY vence em todos os eixos — menos overhead porque XTLS Vision evita a dupla encriptação TLS-then-VLess.

Custo de RAM (inativo / @ 100 Mbps): 25 MB / 80 MB na configuração VMess WS+TLS. Num VPS S de 8 GB, pode hospedar 20–30 utilizadores simultâneos sem problema.

Endurecimento

1. Autenticação única UUID por utilizador. NUNCA partilhe o mesmo UUID entre pessoas. Se um UUID vazar (clipboard mal gerido, captura de ecrã no Telegram), saberá quem revogar.

2. Rotação de UUID a cada 3–6 meses. Gere novos UUIDs, envie para os utilizadores, remova os antigos da configuração do Xray. Fácil de scriptar.

3. fail2ban no Caddy 404. Como com wstunnel, banir IPs que escaneiam caminhos inexistentes:

# /etc/fail2ban/jail.d/caddy-404.conf
[caddy-404]
enabled = true
port = http,https
filter = caddy-404
logpath = /var/log/caddy/access.log
maxretry = 10
findtime = 60
bantime = 3600

4. Apenas chave SSH + UFW. Padrão. Desativar senha SSH em /etc/ssh/sshd_config (PasswordAuthentication no), abrir apenas 22, 80, 443 no UFW (ufw allow 443/tcp, etc.).

5. Retenção curta de logs. Em config.json, mantenha loglevel: warning (não info ou debug), e configure logrotate para purgar logs antigos. Idealmente: sem logs persistentes de DNS/conexão se a jurisdição for sensível.

V2Ray vs alternativas — Quando avançar

Se tiver menos de 3 utilizadores e nunca for à China continental, V2Ray é exagero — prefira wstunnel ou WireGuard + Cloak. Se quiser uma solução móvel pronta a usar sem VPS para gerir, veja NordVPN com os seus servidores ofuscados.

Resolução de problemas comuns

Sintoma: conexão estabelecida mas sem tráfego. Verifique outbounds — se esqueceu freedom, tudo vai para o buraco negro. Adicione {"protocol": "freedom", "tag": "direct"}.

Sintoma: "Erro de handshake TLS" no cliente. SNI errado no cliente, ou certificado do servidor expirado (verifique caddy logs ou acme.sh status dependendo da sua configuração).

Sintoma: REALITY não funciona, cliente vê a página real do dest. Os shortIds do lado do servidor não correspondem ao que o cliente envia. Verifique se o cliente envia a1b2c3d4 (ou outro valor válido listado no servidor).

Sintoma: mau desempenho apesar de uma boa ligação. Ative o mux no lado do cliente (concorrência 8). Verifique se o servidor não está limitado pela CPU (top depois htop). Para 50+ utilizadores, mude para Cloud VPS 10 (8 vCPU, 30 GB RAM, €13/mês).

Leitura adicional

• VPN autogerido na Contabo: guia completo WireGuard 2026
• Se preferir um servidor doméstico, autogerir WireGuard no Raspberry Pi 5 é uma alternativa acessível a um VPS.
• Precisa de configurações WireGuard prontas? Veja os nossos modelos de configuração WireGuard.
• Shadowsocks vs VPN 2026: comparação técnica
• wstunnel: TCP/UDP sobre WebSocket
• Cloak: ofuscação TLS para VPN autogerido

Fontes e documentos oficiais:

• Xray-core — GitHub oficial
• Documentação do Project V (V2Ray)
• Protocolo REALITY — explicado por RPRX
• v2rayNG (Android) GitHub
• Relatório GFW — dados de bloqueio ao vivo

Publicado em 2026-06-03. Configurações testadas num VPS Contabo S Nuremberga + clientes residenciais na Europa + contas de teste em Singapura, março–abril de 2026. REALITY evolui rapidamente — reveja os changelogs trimestrais do Xray-core antes de uma implantação crítica.

Lembrete legal: V2Ray/Xray são ferramentas de código aberto, legais na UE, EUA, Canadá e na maioria dos países. O uso anti-censura na China, Irão, Rússia é ilegal localmente com penalidades variáveis. A VPNSmith publica este guia para fins educacionais.