VLESS Reality è un modo per far girare un proxy cifrato che, a qualsiasi cosa osservi la rete, sembra una visita ordinaria a un sito web reale. Abbina il leggero trasporto VLESS di Xray all'handshake REALITY, che prende in prestito l'impronta TLS di un sito autentico così che la deep packet inspection non abbia nulla da segnalare. La configurazione richiede un piccolo server e una quindicina di minuti.

Risposta breve: affitti un server fuori dalla rete filtrata, ci installi Xray, attivi un inbound VLESS con sicurezza REALITY e importi il link generato in un'app client. REALITY fa la parte difficile: rende l'handshake TLS del tuo server indistinguibile da quello di un sito web reale e popolare, ed è per questo che questa combinazione riesce ancora a passare dove gli strumenti più vecchi vengono bloccati.

Punti chiave

  • VLESS è il trasporto essenziale di Xray. Da solo non porta alcuna crittografia, quindi è sempre abbinato a uno strato di sicurezza — qui, REALITY.
  • REALITY è il trucco che conta: fa sì che il tuo server presenti l'handshake TLS di un sito reale di terze parti, sconfiggendo sia il fingerprinting sia l'active probing senza bisogno di un tuo dominio o certificato.
  • Questo è auto-ospitato. Ti serve un tuo server (un VPS economico) in una località non filtrata — non c'è alcun account a cui iscriversi.
  • Due percorsi di configurazione comuni: il pannello web 3x-ui (il più facile) o una config Xray scritta a mano (più controllo). Entrambi sono trattati qui sotto.
  • È potente, ma sei tu a doverlo gestire: un server, nessun failover e la manutenzione continua sono i costi reali.

Cos'è davvero VLESS Reality

Tre pezzi si impilano insieme, e aiuta separarli.

Xray (Xray-core) è il motore proxy — un discendente attivamente mantenuto del progetto V2Ray. Parla diversi protocolli; VLESS è uno di essi.

VLESS è un protocollo di trasporto deliberatamente minimale. Il nome segnala cosa tralascia: dove il più vecchio protocollo VMess faceva la propria crittografia e l'autenticazione basata su timestamp, VLESS abbandona tutto questo e non porta alcuna crittografia propria. Sembra un downgrade finché non ne cogli il senso. Restando fuori dai piedi, VLESS lascia che uno strato di sicurezza dedicato faccia la crittografia, con meno sovraccarico e una firma più pulita sul filo.

REALITY è quello strato di sicurezza, ed è la ragione per cui vale la pena affrontare questa configurazione. Il problema che risolve è specifico. Un normale proxy TLS deve presentare un certificato, e un certificato è un'impronta. I certificati autofirmati sembrano sospetti; un certificato per il tuo dominio lega il server a te e può essere enumerato. Peggio, i sistemi di censura eseguono active probe: si connettono loro stessi a un server sospetto per vedere come si comporta. La maggior parte dei travestimenti fallisce quel test.

La risposta di REALITY è smettere di fingere e iniziare a prendere in prestito. Anziché servire un proprio certificato, il tuo server completa un vero handshake TLS 1.3 usando l'identità di un sito web autentico e popolare che tu nomini. Un client autorizzato — che possiede la tua chiave pubblica e uno short ID corrispondente — viene indirizzato nel proxy. Chiunque altro, incluso un prober governativo, viene inoltrato in modo trasparente a quel sito web reale e ne vede il certificato reale e valido. Non c'è alcuna anomalia da rilevare, perché per un osservatore esterno la connessione è una connessione reale a un sito reale.

Se vuoi il contesto più ampio sul perché esistono strumenti come questo, come Iran, Russia e Cina bloccano le VPN tratta la deep packet inspection e i sistemi di active probing a cui REALITY è costruito per sopravvivere.

Cosa ti serve prima di iniziare

  • Un VPS (server privato virtuale) in una località che non sia dietro il firewall che stai cercando di attraversare. Va bene qualsiasi piccola istanza che faccia girare un Debian o Ubuntu recente.
  • Accesso SSH a quel server, come root o utente sudo.
  • Una quindicina di minuti.

Una cosa che non ti serve è un tuo nome di dominio o un certificato TLS. Rimuovere quel requisito è la principale comodità di REALITY, e gran parte del perché questa configurazione è più rapida da mettere in piedi rispetto ai proxy con TLS-e-dominio che l'hanno preceduta.

Configurazione, percorso A: il pannello 3x-ui

Se preferisci cliccare anziché modificare JSON, il pannello 3x-ui è il percorso più comune, e genera le chiavi per te. I passaggi numerati:

  1. Procurati un VPS e connettiti. Crea il server con il tuo provider, poi accedi via SSH: ssh root@your-server-ip.
  2. Esegui lo script di installazione. Incolla l'installer su una riga dal README del progetto 3x-ui. Installa il pannello e Xray, e stampa un indirizzo del pannello, una porta e un login.
  3. Accedi e mettilo in sicurezza. Apri l'URL del pannello in un browser e accedi. Cambia subito il nome utente, la password e il percorso del pannello predefiniti — un pannello esposto con credenziali predefinite è il modo più comune in cui queste configurazioni vengono compromesse.
  4. Crea l'inbound. Aggiungi un nuovo inbound, imposta il protocollo su VLESS e imposta la sicurezza su REALITY.
  5. Lascia che il pannello compili la parte crittografica. Usa i pulsanti per generare l'UUID, la coppia di chiavi x25519 e uno short ID. Per la destinazione e l'SNI, scegli un sito reale che soddisfi i criteri nella sezione qui sotto.
  6. Esporta e importa. Salva, poi copia il link di condivisione o scansiona il codice QR nella tua app client. Quell'unico link contiene tutto ciò di cui il client ha bisogno.

Questo è l'intero flusso. Il pannello fa esattamente ciò che fa il percorso manuale; nasconde solo il file di configurazione.

Configurazione, percorso B: config Xray a mano

Il percorso manuale ti dà più controllo e nessuna parte in movimento extra. Eseguirai due comandi per generare le credenziali, poi scriverai un file di configurazione.

  1. Installa Xray-core. Usa l'installer ufficiale dal progetto XTLS Xray-core. Posiziona il binario e un servizio systemd sul server.
  2. Genera le credenziali. Esegui xray uuid per un ID client, poi xray x25519 per una coppia di chiavi. Tieni la chiave privata sul server; la chiave pubblica va ai tuoi client.
  3. Scrivi la config. Un inbound VLESS minimale con REALITY ha questo aspetto:
    {
      "inbounds": [{
        "port": 443,
        "protocol": "vless",
        "settings": {
          "clients": [{ "id": "PASTE-UUID", "flow": "xtls-rprx-vision" }],
          "decryption": "none"
        },
        "streamSettings": {
          "network": "tcp",
          "security": "reality",
          "realitySettings": {
            "dest": "example.com:443",
            "serverNames": ["example.com"],
            "privateKey": "PASTE-PRIVATE-KEY",
            "shortIds": ["", "0123abcd"]
          }
        }
      }],
      "outbounds": [{ "protocol": "freedom" }]
    }
  4. Riavvia e controlla. Riavvia il servizio Xray e conferma che sia in ascolto sulla porta 443.
  5. Costruisci il link del client. Assembla l'URL di condivisione a partire dall'UUID, dalla tua chiave pubblica, da uno short ID e dall'SNI. La maggior parte delle persone lo genera una volta e lo riutilizza.

Qui alcuni campi si guadagnano il pane. flow impostato su xtls-rprx-vision attiva XTLS Vision, che taglia la doppia crittografia del tunnelare TLS dentro TLS, così è sia più veloce sia più silenzioso. dest e serverNames sono l'identità presa in prestito. privateKey si abbina alla chiave pubblica che possiede il tuo client, e shortIds permette a un solo server di distinguere i client.

Scegliere un "dest" — l'unica decisione che conta

Il sito di destinazione che prendi in prestito è la differenza tra mimetizzarsi e risaltare. Punta a un sito che:

  • Supporti TLS 1.3 e HTTP/2 (REALITY ha bisogno di un handshake moderno da imitare).
  • Non sia già bloccato dove si trovano i tuoi client — ti stai nascondendo dentro il suo traffico, quindi deve essere raggiungibile.
  • Sia ospitato fuori dal tuo paese e non sia insolito da visitare per qualcuno lì.
  • Non sia il tuo dominio, e non sia un host minuscolo o oscuro che apparirebbe strano come destinazione.

Azzecca questo e il traffico del tuo server è statisticamente noioso. Sbaglialo — un sito bloccato, o uno che non supporta davvero l'handshake che dici di avere — e ti sei reso più cospicuo, non meno.

Connettere un client

Lo stesso link di connessione funziona su tutte le piattaforme; lo importi in qualsiasi client si adatti al tuo dispositivo.

  • Windows / Linux: v2rayN e client desktop simili.
  • Android: v2rayNG.
  • iOS: app che supportano VLESS con REALITY e il flow Vision — Shadowrocket, Streisand e V2Box sono scelte comuni. Incolla il link o scansiona il QR.

Qualunque cosa usi, fai un rapido controllo dopo esserti connesso: conferma che il tuo IP pubblico sia cambiato in quello del server, e che il DNS non stia trapelando attorno al tunnel. Un proxy che perde silenziosamente vanifica lo scopo.

In cosa è bravo — e i suoi limiti reali

La versione onesta del discorso è breve. VLESS Reality è, oggi, uno dei modi più affidabili per far uscire una connessione da una rete pesantemente filtrata. Sconfigge l'active probing che cattura gli strumenti più semplici, non ha bisogno di dominio o certificato, e con Vision il costo in prestazioni è piccolo. Per il problema della censura in particolare, è eccellente.

Ma l'auto-ospitalità è uno scambio, non un pasto gratis, e i costi vale la pena dirli con chiarezza:

  • È un singolo punto di guasto. Un server, un indirizzo IP. Se quell'IP viene bloccato, o il tuo provider segnala l'istanza, sei fuori senza failover finché non ricostruisci altrove.
  • L'operatore sei tu. Aggiornare l'OS, aggiornare Xray, tenere sicuri le chiavi e il pannello: quel lavoro non si ferma. Un pannello non aggiornato o una password predefinita riutilizzata è un rischio reale, non ipotetico.
  • La copertura dipende dal client. Instradare un intero dispositivo, gestire il DNS e comportarsi in modo sicuro quando il tunnel cade sono qui compito del client, e i client variano. Una VPN completa standardizza quel comportamento; una configurazione proxy ne lascia di più a te. Quel contrasto è il cuore di Shadowsocks vs una VPN.
  • Anche il travestimento ha bisogno di manutenzione. Una destinazione presa in prestito che viene bloccata, o un client che resta indietro rispetto al protocollo, può trasformare una configurazione silenziosa in una rumorosa.

C'è anche un approccio parallelo che vale la pena conoscere. REALITY nasconde un proxy imitando un sito web; il mondo WireGuard risponde allo stesso problema di deep packet inspection dal lato VPN rimodellando il protocollo stesso, che è l'argomento di AmneziaWG vs WireGuard. E se vuoi prima il confronto di base di questi protocolli di tunnel, WireGuard vs OpenVPN vs IKEv2 illustra i compromessi.

Domande frequenti

Cos'è VLESS Reality? È l'abbinamento di due cose in Xray: VLESS, un leggero protocollo di trasporto che porta il tuo traffico, e REALITY, uno strato di sicurezza che traveste la connessione da normale visita TLS a un sito web reale. Insieme formano un proxy difficile da rilevare o sondare per i sistemi di censura.

VLESS Reality è cifrato? Sì — ma non da VLESS. VLESS in sé non porta alcuna crittografia. La crittografia viene dalla sessione TLS 1.3 autentica che REALITY stabilisce, che è la stessa crittografia moderna che mette in sicurezza il normale HTTPS. Quindi il tuo traffico è cifrato; la crittografia vive solo nello strato REALITY anziché nel trasporto.

Cosa significa "VLESS"? È un protocollo di trasporto della famiglia V2Ray/Xray, progettato come un successore più leggero di VMess. Il nome indica ciò che rimuove: fa meno (less), in particolare abbandonando la crittografia integrata e l'autenticazione a timestamp che VMess portava. Quel minimalismo è la caratteristica — lascia la crittografia a TLS o REALITY e mantiene basse sovraccarico e firme.

VLESS è meglio di VMess? Per una configurazione stealth moderna, di solito sì. VLESS è più leggero e può usare il flow XTLS Vision, che VMess non può, e si abbina in modo pulito a REALITY. VMess funziona ancora e ha la propria crittografia integrata, ma il suo handshake è più facile da identificare tramite impronta, che è esattamente ciò che stai cercando di evitare su una rete filtrata.

VLESS Reality è gratuito? Il software sì — Xray e REALITY sono open source a costo zero. Ciò che paghi è il server su cui gira. Diffida delle config "gratuite" pubbliche condivise online: usarne una significa instradare tutto il tuo traffico attraverso il server di uno sconosciuto, con lo stesso problema di fiducia di qualsiasi proxy gratuito.

In conclusione

  • VLESS Reality è un proxy stealth auto-ospitato: il trasporto VLESS di Xray più l'handshake REALITY, che traveste il server da sito web reale.
  • Sconfigge il fingerprinting e l'active probing che bloccano gli strumenti più semplici, e non ha bisogno di un tuo dominio o certificato.
  • La configurazione è un VPS e una config breve (tramite il pannello 3x-ui o un file scritto a mano), e la scelta singola più importante è il sito di destinazione che prendi in prestito.
  • Il costo è la proprietà: un server, nessun failover e la manutenzione che viene dal gestire la propria infrastruttura.

Far girare il tuo server VLESS Reality ti compra il controllo totale, al costo di essere tu quello che lo tiene aggiornato, pagato e vivo. Se sei su iPhone e preferiresti avere una connessione WireGuard offuscata che non devi gestire — nessun server da affittare, nessuna chiave da ruotare, nessuna email o account — quello è il lato per cui Snap VPN è costruita, ed è sull'App Store.