VLESS Reality راهی است برای اجرای یک پروکسی رمزشده که، برای هر چیزی که شبکه را تماشا می‌کند، شبیه یک بازدید معمولی از یک وب‌سایت واقعی به‌نظر می‌رسد. انتقالِ سبک‌وزنِ VLESS از Xray را با دست‌دادنِ REALITY جفت می‌کند، که اثرانگشت TLSِ یک سایت اصیل را قرض می‌گیرد تا بازرسی عمیق بسته چیزی برای علامت‌زدن نداشته باشد. راه‌اندازی یک سرور کوچک و حدود پانزده دقیقه می‌برد.

پاسخ کوتاه: یک سرور بیرون از شبکهٔ فیلترشده اجاره می‌کنید، Xray را رویش نصب می‌کنید، یک ورودیِ VLESS با امنیت REALITY روشن می‌کنید، و لینکِ تولیدشده را در یک اپ کلاینت وارد می‌کنید. REALITY بخش سخت را انجام می‌دهد: دست‌دادنِ TLSِ سرور شما را از دست‌دادنِ یک وب‌سایتِ واقعی و پرطرفدار غیرقابل‌تمایز می‌کند، که همین دلیلی است که این ترکیب هنوز جایی عبور می‌کند که ابزارهای قدیمی‌تر مسدود می‌شوند.

نکات کلیدی

  • VLESS انتقالِ بی‌پیرایهٔ Xray است. به‌خودیِ‌خود هیچ رمزنگاری‌ای حمل نمی‌کند، پس همیشه با یک لایهٔ امنیتی جفت می‌شود — اینجا، REALITY.
  • REALITY همان ترفندی است که اهمیت دارد: کاری می‌کند سرور شما دست‌دادنِ TLSِ یک سایتِ شخصِ‌ثالثِ واقعی را عرضه کند، که هم اثرانگشت‌گیری و هم کاوش فعال را شکست می‌دهد بدون آنکه به دامنه یا گواهیِ خودتان نیاز باشد.
  • این خودمیزبان است. به سرور خودتان (یک VPS ارزان) در مکانی که فیلتر نشده نیاز دارید — هیچ حسابی برای ثبت‌نام نیست.
  • دو مسیر راه‌اندازیِ رایج: پنل وبِ 3x-ui (آسان‌ترین) یا یک پیکربندی Xrayِ دست‌نوشته (کنترل بیشتر). هر دو در زیر پوشش داده شده‌اند.
  • قدرتمند است، اما اجرایش با خودتان است: یک سرور، بدون جایگزینِ خودکار، و نگهداریِ جاری هزینه‌های واقعی‌اند.

VLESS Reality واقعاً چیست

سه قطعه روی هم چیده می‌شوند، و کمک می‌کند آن‌ها را از هم جدا کنیم.

Xray (Xray-core) موتور پروکسی است — یک نوادهٔ فعالانه نگهداری‌شده از پروژهٔ V2Ray. چند پروتکل صحبت می‌کند؛ VLESS یکی از آن‌هاست.

VLESS یک پروتکل انتقالِ عامدانه کمینه است. نام به آنچه کنار می‌گذارد اشاره می‌کند: جایی که پروتکل قدیمی‌ترِ VMess رمزنگاریِ خودش و احرازِ هویتِ مبتنی بر مهرِ زمانی را انجام می‌داد، VLESS همهٔ آن را کنار می‌گذارد و هیچ رمزنگاریِ خودش را حمل نمی‌کند. این تا وقتی که نکته‌اش را ببینید شبیه یک تنزل به‌نظر می‌رسد. با کنار‌ماندن از سر راه، VLESS اجازه می‌دهد یک لایهٔ امنیتیِ اختصاصی کارِ رمزکردن را انجام دهد، با سربار کمتر و یک امضای تمیزتر روی سیم.

REALITY همان لایهٔ امنیتی است، و دلیلی است که این راه‌اندازی ارزش دردسر را دارد. مشکلی که حل می‌کند مشخص است. یک پروکسی TLSِ معمولی باید یک گواهی عرضه کند، و یک گواهی یک اثرانگشت است. گواهی‌های خودامضا مشکوک به‌نظر می‌رسند؛ گواهی برای دامنهٔ خودتان سرور را به شما گره می‌زند و می‌توان آن را برشمرد. بدتر، سامانه‌های سانسور کاوش‌های فعال اجرا می‌کنند: خودشان به یک سرور مشکوک وصل می‌شوند تا ببینند چطور رفتار می‌کند. بیشتر لباس‌های مبدل در آن آزمون شکست می‌خورند.

پاسخِ REALITY این است که تظاهر را کنار بگذارد و قرض‌گرفتن را آغاز کند. به‌جای عرضهٔ گواهیِ خودش، سرور شما یک دست‌دادنِ واقعیِ TLS 1.3 را با هویتِ یک وب‌سایتِ اصیل و پرطرفدار که شما تعیین می‌کنید کامل می‌کند. یک کلاینتِ مجاز — یکی که کلید عمومی شما و یک short ID منطبق را در اختیار دارد — به درون پروکسی هدایت می‌شود. هرکس دیگری، از جمله یک کاوشگر دولتی، به‌طور شفاف به آن وب‌سایتِ واقعی ارجاع داده می‌شود و گواهیِ واقعی و معتبرش را می‌بیند. هیچ ناهنجاری‌ای برای شناسایی نیست، چون برای یک ناظرِ بیرونی، اتصال یک اتصالِ واقعی به یک سایتِ واقعی است.

اگر زمینهٔ گسترده‌تری برای اینکه چرا ابزارهایی مانند این وجود دارند می‌خواهید، چگونه ایران، روسیه و چین VPN‌ها را مسدود می‌کنند سامانه‌های بازرسی عمیق بسته و کاوش فعالی را که REALITY برای دوام‌آوردن در برابرشان ساخته شده پوشش می‌دهد.

پیش از شروع به چه چیزی نیاز دارید

  • یک VPS (سرور مجازی اختصاصی) در مکانی که پشت دیوار آتشی که می‌کوشید از آن عبور کنید نباشد. هر نمونهٔ کوچکی که یک Debian یا Ubuntu نسبتاً جدید اجرا می‌کند خوب است.
  • دسترسی SSH به آن سرور، به‌عنوان root یا یک کاربر sudo.
  • حدود پانزده دقیقه.

یک چیزی که به آن نیاز ندارید نام دامنهٔ خودتان یا یک گواهی TLS است. برداشتنِ آن الزام مزیتِ اصلیِ REALITY است، و بخش بزرگی از دلیلی که این راه‌اندازی سریع‌تر از پروکسی‌های TLS‌و‌دامنه‌ای که پیش از آن آمدند برپا می‌شود.

راه‌اندازی، مسیر A: پنل 3x-ui

اگر ترجیح می‌دهید کلیک کنید تا اینکه JSON ویرایش کنید، پنل 3x-ui رایج‌ترین مسیر است، و کلیدها را برایتان تولید می‌کند. گام‌های شماره‌گذاری‌شده:

  1. یک VPS بگیرید و وصل شوید. سرور را با ارائه‌دهنده‌تان بسازید، سپس با SSH وارد شوید: ssh root@your-server-ip.
  2. اسکریپت نصب را اجرا کنید. نصب‌کنندهٔ تک‌خطی را از README پروژهٔ 3x-ui بچسبانید. پنل و Xray را نصب می‌کند، و یک نشانیِ پنل، پورت، و لاگین چاپ می‌کند.
  3. وارد شوید و قفلش کنید. نشانیِ پنل را در یک مرورگر باز کنید و وارد شوید. بی‌درنگ نام کاربری، گذرواژه، و مسیر پیش‌فرض پنل را تغییر دهید — یک پنلِ در معرضِ دیدبا اعتبارنامه‌های پیش‌فرض رایج‌ترین راهی است که این راه‌اندازی‌ها به خطر می‌افتند.
  4. ورودی را بسازید. یک ورودیِ جدید بیفزایید، پروتکل را روی VLESS بگذارید، و امنیت را روی REALITY بگذارید.
  5. بگذارید پنل بخش رمزنگاری را پُر کند. از دکمه‌ها برای تولید UUID، جفت‌کلیدِ x25519، و یک short ID استفاده کنید. برای مقصد و SNI، یک سایتِ واقعی انتخاب کنید که معیارهای بخشِ زیر را برآورده می‌کند.
  6. برون‌بری و درون‌بری کنید. ذخیره کنید، سپس لینکِ اشتراک را کپی کنید یا کد QR را به درونِ اپ کلاینتتان اسکن کنید. آن تک‌لینک هرچه را کلاینت نیاز دارد در خود دارد.

کلِ جریان همین است. پنل دقیقاً همان کاری را می‌کند که مسیرِ دستی می‌کند؛ فقط فایل پیکربندی را پنهان می‌کند.

راه‌اندازی، مسیر B: پیکربندی Xray با دست

مسیرِ دستی به شما کنترل بیشتر و هیچ اجزای متحرکِ اضافه‌ای نمی‌دهد. دو فرمان برای تولید اعتبارنامه‌ها اجرا می‌کنید، سپس یک فایل پیکربندی می‌نویسید.

  1. Xray-core را نصب کنید. از نصب‌کنندهٔ رسمی از پروژهٔ XTLS Xray-core استفاده کنید. باینری و یک سرویس systemd را روی سرور قرار می‌دهد.
  2. اعتبارنامه‌ها را تولید کنید. xray uuid را برای یک شناسهٔ کلاینت اجرا کنید، سپس xray x25519 را برای یک جفت‌کلید. کلید خصوصی را روی سرور نگه دارید؛ کلید عمومی به کلاینت‌هایتان می‌رود.
  3. پیکربندی را بنویسید. یک ورودیِ کمینهٔ VLESS با REALITY این‌گونه به‌نظر می‌رسد:
    {
      "inbounds": [{
        "port": 443,
        "protocol": "vless",
        "settings": {
          "clients": [{ "id": "PASTE-UUID", "flow": "xtls-rprx-vision" }],
          "decryption": "none"
        },
        "streamSettings": {
          "network": "tcp",
          "security": "reality",
          "realitySettings": {
            "dest": "example.com:443",
            "serverNames": ["example.com"],
            "privateKey": "PASTE-PRIVATE-KEY",
            "shortIds": ["", "0123abcd"]
          }
        }
      }],
      "outbounds": [{ "protocol": "freedom" }]
    }
  4. راه‌اندازی مجدد و بررسی کنید. سرویس Xray را دوباره راه‌اندازی کنید و تأیید کنید که روی پورت 443 گوش می‌دهد.
  5. لینک کلاینت را بسازید. نشانیِ اشتراک را از UUID، کلید عمومی‌تان، یک short ID، و SNI سرِ هم کنید. بیشتر مردم این را یک‌بار تولید و دوباره استفاده می‌کنند.

چند فیلد اینجا نان خود را درمی‌آورند. flow که روی xtls-rprx-vision تنظیم شده XTLS Vision را روشن می‌کند، که رمزنگاریِ دوبرابرشدهٔ تونل‌کردنِ TLS درون TLS را می‌تراشد، پس هم سریع‌تر و هم آرام‌تر است. dest و serverNames همان هویتِ قرض‌گرفته‌اند. privateKey با کلید عمومی‌ای که کلاینت شما در اختیار دارد جفت می‌شود، و shortIds اجازه می‌دهد یک سرور کلاینت‌ها را از هم تشخیص دهد.

انتخابِ یک «dest» — تنها تصمیمی که اهمیت دارد

سایتِ مقصدی که قرض می‌گیرید تفاوتِ میانِ محو‌شدن در جمع و انگشت‌نما‌شدن است. به سایتی نشانه بگیرید که:

  • از TLS 1.3 و HTTP/2 پشتیبانی کند (REALITY به یک دست‌دادنِ مدرن برای تقلید نیاز دارد).
  • در جایی که کلاینت‌های شما هستند از پیش مسدود نشده باشد — شما درون ترافیکش پنهان می‌شوید، پس باید قابل‌دسترس باشد.
  • بیرون از کشور خودتان میزبانی شود و بازدید از آن برای کسی آنجا غیرعادی نباشد.
  • دامنهٔ خودتان نباشد، و یک میزبانِ کوچک یا گمنام نباشد که به‌عنوان یک مقصد عجیب به‌نظر برسد.

این را درست انتخاب کنید و ترافیک سرور شما از نظر آماری کسل‌کننده است. اشتباه انتخابش کنید — یک سایتِ مسدودشده، یا یکی که واقعاً از دست‌دادنی که ادعا می‌کنید پشتیبانی نمی‌کند — و خودتان را بیشتر توجه‌برانگیز کرده‌اید، نه کمتر.

وصل‌کردن یک کلاینت

همان لینکِ اتصال در سراسر پلتفرم‌ها کار می‌کند؛ آن را در هر کلاینتی که با دستگاهتان جور است وارد می‌کنید.

  • Windows / Linux: v2rayN و کلاینت‌های دسکتاپِ مشابه.
  • Android: v2rayNG.
  • iOS: اپ‌هایی که از VLESS با REALITY و جریانِ Vision پشتیبانی می‌کنند — Shadowrocket، Streisand، و V2Box انتخاب‌های رایج‌اند. لینک را بچسبانید یا QR را اسکن کنید.

هرچه استفاده می‌کنید، پس از وصل‌شدن یک بررسیِ سریع اجرا کنید: تأیید کنید که IP عمومی شما به IP سرور تغییر کرده، و اینکه DNS به دور تونل نشت نمی‌کند. یک پروکسی که بی‌سروصدا نشت می‌کند نکته را شکست می‌دهد.

در چه خوب است — و محدودیت‌های واقعی‌اش

نسخهٔ صادقانهٔ این معرفی کوتاه است. VLESS Reality، امروز، یکی از قابل‌اتکاترین راه‌ها برای بیرون‌کشیدنِ یک اتصال از یک شبکهٔ سنگین فیلترشده است. کاوش فعالی را که ابزارهای ساده‌تر را می‌گیرد شکست می‌دهد، به هیچ دامنه یا گواهی‌ای نیاز ندارد، و با Vision هزینهٔ کارایی کوچک است. به‌طور خاص برای مشکل سانسور، عالی است.

اما خودمیزبانی یک موازنه است، نه یک ناهار مجانی، و هزینه‌ها ارزش دارند رک گفته شوند:

  • یک نقطهٔ واحدِ شکست است. یک سرور، یک آدرس IP. اگر آن IP مسدود شود، یا ارائه‌دهنده‌تان نمونه را علامت بزند، تا وقتی جای دیگری بازسازی کنید بدون جایگزینِ خودکار از کار افتاده‌اید.
  • شما اپراتورید. وصله‌زدن به سیستم‌عامل، به‌روزکردن Xray، امن نگه‌داشتنِ کلیدها و پنل: آن کار متوقف نمی‌شود. یک پنلِ قدیمی یا یک گذرواژهٔ پیش‌فرضِ بازاستفاده‌شده یک خطر واقعی است، نه یک فرض.
  • پوشش به کلاینت بستگی دارد. مسیریابیِ یک دستگاه کامل، مدیریت DNS، و رفتارِ ایمن وقتی تونل می‌افتد اینجا کارِ کلاینت‌اند، و کلاینت‌ها فرق دارند. یک VPN کامل آن رفتار را استانداردسازی می‌کند؛ یک راه‌اندازیِ پروکسی بیشترِ آن را به شما واگذار می‌کند. آن تضاد قلبِ Shadowsocks در برابر یک VPN است.
  • لباس مبدل هم به نگهداری نیاز دارد. یک مقصدِ قرض‌گرفته که مسدود می‌شود، یا یک کلاینت که از پروتکل عقب می‌افتد، می‌تواند یک راه‌اندازیِ آرام را پُرسروصدا کند.

یک رویکردِ موازی هم هست که ارزش دانستن دارد. REALITY یک پروکسی را با تقلیدِ یک وب‌سایت پنهان می‌کند؛ دنیای WireGuard به همان مشکلِ بازرسی عمیق بسته از سمت VPN پاسخ می‌دهد، با بازآرایی خودِ پروتکل، که موضوعِ AmneziaWG در برابر WireGuard است. و اگر نخست مقایسهٔ سطح‌زمینِ این پروتکل‌های تونل را می‌خواهید، WireGuard در برابر OpenVPN و IKEv2 موازنه‌ها را شرح می‌دهد.

پرسش‌های پرتکرار

VLESS Reality چیست؟ جفتی از دو چیز در Xray است: VLESS، یک پروتکل انتقالِ سبک‌وزن که ترافیک شما را حمل می‌کند، و REALITY، یک لایهٔ امنیتی که اتصال را به شکل یک بازدید TLSِ معمولی از یک وب‌سایت واقعی درمی‌آورد. این دو با هم یک پروکسی می‌سازند که شناسایی یا کاوشش برای سامانه‌های سانسور سخت است.

آیا VLESS Reality رمزشده است؟ بله — اما نه توسط VLESS. خودِ VLESS هیچ رمزنگاری‌ای حمل نمی‌کند. رمزنگاری از نشستِ اصیلِ TLS 1.3 می‌آید که REALITY برقرار می‌کند، که همان رمزنگاریِ مدرنی است که HTTPSِ معمولی را ایمن می‌کند. پس ترافیک شما رمزشده است؛ رمزنگاری فقط به‌جای انتقال در لایهٔ REALITY ساکن است.

«VLESS» یعنی چه؟ یک پروتکل انتقال در خانوادهٔ V2Ray/Xray است، طراحی‌شده به‌عنوان جانشینی سبک‌تر برای VMess. نام به آنچه برمی‌دارد اشاره می‌کند: کمتر less انجام می‌دهد، به‌ویژه با کنارگذاشتنِ رمزنگاریِ داخلی و احرازِ هویتِ مهرِ زمانی که VMess حمل می‌کرد. آن کمینه‌گرایی همان ویژگی است — رمزنگاری را به TLS یا REALITY واگذار می‌کند و سربار و امضاها را پایین نگه می‌دارد.

آیا VLESS بهتر از VMess است؟ برای یک راه‌اندازیِ استلثِ مدرن، معمولاً بله. VLESS سبک‌تر است و می‌تواند جریانِ XTLS Vision را استفاده کند، که VMess نمی‌تواند، و تمیز با REALITY جفت می‌شود. VMess هنوز کار می‌کند و رمزنگاریِ خودش را داخل دارد، اما دست‌دادنش آسان‌تر اثرانگشت‌گیری می‌شود، که دقیقاً همان چیزی است که روی یک شبکهٔ فیلترشده می‌کوشید از آن پرهیز کنید.

آیا VLESS Reality رایگان است؟ نرم‌افزار هست — Xray و REALITY متن‌باز و بی‌هزینه‌اند. آنچه بابتش پول می‌دهید سروری است که رویش اجرا می‌شود. از کانفیگ‌های عمومیِ «رایگانِ» به‌اشتراک‌گذاشته‌شده آنلاین برحذر باشید: استفاده از یکی یعنی مسیریابیِ کل ترافیک شما از میان سرورِ یک غریبه، با همان مشکل اعتمادِ هر پروکسیِ رایگان.

جمع‌بندی

  • VLESS Reality یک پروکسیِ استلثِ خودمیزبان است: انتقالِ VLESSِ Xray به‌علاوهٔ دست‌دادنِ REALITY، که سرور را به شکل یک وب‌سایت واقعی درمی‌آورد.
  • اثرانگشت‌گیری و کاوش فعالی را که ابزارهای ساده‌تر را مسدود می‌کند شکست می‌دهد، و به دامنه یا گواهیِ خودتان نیاز ندارد.
  • راه‌اندازی یک VPS و یک پیکربندیِ کوتاه است (یا از طریق پنل 3x-ui یا یک فایلِ دست‌نوشته)، و تنها مهم‌ترین انتخاب همان سایتِ مقصدی است که قرض می‌گیرید.
  • هزینه، مالکیت است: یک سرور، بدون جایگزینِ خودکار، و نگه‌داری‌ای که با اجرای زیرساختِ خودتان می‌آید.

اجرای سرورِ VLESS Reality خودتان به شما کنترلِ کامل می‌دهد، به بهای آنکه کسی باشید که آن را وصله‌خورده، پرداخت‌شده، و زنده نگه می‌دارد. اگر روی iPhone هستید و ترجیح می‌دهید یک اتصال WireGuardِ مبهم‌شده داشته باشید که مجبور به اداره‌اش نباشید — بدون سروری برای اجاره، بدون کلیدی برای چرخاندن، بدون ایمیل یا حساب — آن همان سمتی است که Snap VPN برایش ساخته شده، و روی App Store است.