O VLESS Reality é uma forma de rodar um proxy criptografado que, para qualquer coisa observando a rede, parece uma visita comum a um site de verdade. Ele combina o transporte leve VLESS do Xray com o handshake REALITY, que toma emprestada a impressão digital TLS de um site genuíno para que a inspeção profunda de pacotes não tenha nada a marcar. A configuração leva um servidor pequeno e cerca de quinze minutos.

Resposta curta: você aluga um servidor fora da rede filtrada, instala o Xray nele, ativa um inbound VLESS com segurança REALITY e importa o link gerado em um app cliente. O REALITY faz a parte difícil: ele torna o handshake TLS do seu servidor indistinguível do de um site real e popular, e é por isso que essa combinação ainda passa onde ferramentas mais antigas são bloqueadas.

Pontos principais

  • O VLESS é o transporte sem firulas do Xray. Por conta própria ele não carrega criptografia nenhuma, então é sempre combinado com uma camada de segurança — aqui, o REALITY.
  • O REALITY é o truque que importa: ele faz o seu servidor apresentar o handshake TLS de um site real de terceiros, derrotando tanto a impressão digital quanto a sondagem ativa sem precisar do seu próprio domínio ou certificado.
  • Isto é auto-hospedado. Você precisa do seu próprio servidor (um VPS barato) em um local que não seja filtrado — não há conta para se cadastrar.
  • Dois caminhos comuns de configuração: o painel web 3x-ui (o mais fácil) ou uma config do Xray escrita à mão (mais controle). Os dois são abordados abaixo.
  • Ele é poderoso, mas é seu para tocar: um servidor, sem failover e manutenção contínua são os custos reais.

O que o VLESS Reality realmente é

Três peças se empilham, e ajuda separá-las.

O Xray (Xray-core) é o motor do proxy — um descendente ativamente mantido do projeto V2Ray. Ele fala vários protocolos; o VLESS é um deles.

O VLESS é um protocolo de transporte deliberadamente mínimo. O nome sinaliza o que ele deixa de fora: onde o protocolo mais antigo VMess fazia a própria criptografia e a autenticação baseada em timestamp, o VLESS abre mão de tudo isso e não carrega criptografia própria nenhuma. Isso soa como um retrocesso até você ver o ponto. Ao ficar fora do caminho, o VLESS deixa uma camada de segurança dedicada fazer a criptografia, com menos sobrecarga e uma assinatura mais limpa na rede.

O REALITY é essa camada de segurança, e é a razão pela qual essa configuração vale o trabalho. O problema que ele resolve é específico. Um proxy TLS normal tem que apresentar um certificado, e um certificado é uma impressão digital. Certificados autoassinados parecem suspeitos; um certificado para o seu próprio domínio atrela o servidor a você e pode ser enumerado. Pior, os sistemas de censura fazem sondagens ativas: eles mesmos se conectam a um servidor suspeito para ver como ele se comporta. A maioria dos disfarces falha nesse teste.

A resposta do REALITY é parar de fingir e começar a tomar emprestado. Em vez de servir o seu próprio certificado, o seu servidor completa um handshake TLS 1.3 real usando a identidade de um site genuíno e popular que você indica. Um cliente autorizado — um que tenha a sua chave pública e um short ID correspondente — é direcionado para dentro do proxy. Qualquer outro, incluindo um sondador do governo, é encaminhado de forma transparente para aquele site real e vê o certificado real e válido dele. Não há anomalia a detectar, porque, para um observador externo, a conexão é uma conexão real a um site real.

Se você quer o contexto mais amplo de por que ferramentas assim existem, como Irã, Rússia e China bloqueiam VPNs aborda os sistemas de inspeção profunda de pacotes e de sondagem ativa que o REALITY foi construído para sobreviver.

O que você precisa antes de começar

  • Um VPS (servidor virtual privado) em um local que não esteja atrás do firewall que você está tentando atravessar. Qualquer instância pequena rodando um Debian ou Ubuntu recente serve.
  • Acesso SSH a esse servidor, como root ou um usuário sudo.
  • Cerca de quinze minutos.

Uma coisa de que você não precisa é do seu próprio nome de domínio ou de um certificado TLS. Remover esse requisito é a principal conveniência do REALITY, e boa parte do motivo pelo qual essa configuração é mais rápida de subir do que os proxies de TLS-e-domínio que vieram antes.

Configuração, caminho A: o painel 3x-ui

Se você prefere clicar a editar JSON, o painel 3x-ui é o caminho mais comum, e ele gera as chaves para você. Os passos numerados:

  1. Pegue um VPS e conecte. Crie o servidor com o seu provedor, depois entre por SSH: ssh root@your-server-ip.
  2. Rode o script de instalação. Cole o instalador de uma linha do README do projeto 3x-ui. Ele instala o painel e o Xray, e imprime um endereço de painel, uma porta e um login.
  3. Faça login e proteja. Abra a URL do painel em um navegador e entre. Mude imediatamente o nome de usuário, a senha e o caminho do painel padrão — um painel exposto com credenciais padrão é a forma mais comum de essas configurações serem comprometidas.
  4. Crie o inbound. Adicione um novo inbound, defina o protocolo como VLESS e defina a Segurança como REALITY.
  5. Deixe o painel preencher a criptografia. Use os botões para gerar o UUID, o par de chaves x25519 e um short ID. Para o destino e o SNI, escolha um site real que atenda aos critérios na seção abaixo.
  6. Exporte e importe. Salve, depois copie o link de compartilhamento ou escaneie o código QR no seu app cliente. Esse único link contém tudo o que o cliente precisa.

Esse é o fluxo inteiro. O painel está fazendo exatamente o que o caminho manual faz; ele só esconde o arquivo de configuração.

Configuração, caminho B: config do Xray à mão

O caminho manual te dá mais controle e nenhuma peça móvel extra. Você vai rodar dois comandos para gerar credenciais e depois escrever um arquivo de configuração.

  1. Instale o Xray-core. Use o instalador oficial do projeto XTLS Xray-core. Ele coloca o binário e um serviço systemd no servidor.
  2. Gere credenciais. Rode xray uuid para um ID de cliente, depois xray x25519 para um par de chaves. Mantenha a chave privada no servidor; a chave pública vai para os seus clientes.
  3. Escreva a config. Um inbound VLESS mínimo com REALITY se parece com isto:
    {
      "inbounds": [{
        "port": 443,
        "protocol": "vless",
        "settings": {
          "clients": [{ "id": "PASTE-UUID", "flow": "xtls-rprx-vision" }],
          "decryption": "none"
        },
        "streamSettings": {
          "network": "tcp",
          "security": "reality",
          "realitySettings": {
            "dest": "example.com:443",
            "serverNames": ["example.com"],
            "privateKey": "PASTE-PRIVATE-KEY",
            "shortIds": ["", "0123abcd"]
          }
        }
      }],
      "outbounds": [{ "protocol": "freedom" }]
    }
  4. Reinicie e verifique. Reinicie o serviço do Xray e confirme que ele está escutando na porta 443.
  5. Monte o link do cliente. Monte a URL de compartilhamento a partir do UUID, da sua chave pública, de um short ID e do SNI. A maioria das pessoas gera isto uma vez e reutiliza.

Alguns campos fazem por merecer aqui. O flow definido como xtls-rprx-vision ativa o XTLS Vision, que corta a criptografia dobrada de tunelar TLS dentro de TLS, então ele é ao mesmo tempo mais rápido e mais silencioso. dest e serverNames são a identidade emprestada. privateKey faz par com a chave pública que o seu cliente tem, e shortIds permite a um servidor distinguir os clientes.

Escolher um "dest" — a única decisão que importa

O site de destino que você toma emprestado é a diferença entre passar despercebido e se destacar. Mire em um site que:

  • Suporte TLS 1.3 e HTTP/2 (o REALITY precisa de um handshake moderno para imitar).
  • Não esteja já bloqueado onde os seus clientes estão — você está se escondendo dentro do tráfego dele, então ele tem que estar acessível.
  • Esteja hospedado fora do seu próprio país e não seja incomum de alguém de lá visitar.
  • Não seja o seu próprio domínio, e não seja um host minúsculo ou obscuro que pareceria estranho como destino.

Acerte nisto e o tráfego do seu servidor é estatisticamente sem graça. Erre — um site bloqueado, ou um que não suporta de verdade o handshake que você está alegando — e você se tornou mais conspícuo, não menos.

Conectando um cliente

O mesmo link de conexão funciona entre plataformas; você o importa para o cliente que combinar com o seu dispositivo.

  • Windows / Linux: v2rayN e clientes de desktop semelhantes.
  • Android: v2rayNG.
  • iOS: apps que suportam VLESS com REALITY e o flow Vision — Shadowrocket, Streisand e V2Box são escolhas comuns. Cole o link ou escaneie o QR.

Seja o que for que você use, faça uma verificação rápida depois de conectar: confirme que o seu IP público mudou para o do servidor, e que o DNS não está vazando por fora do túnel. Um proxy que vaza em silêncio derrota o propósito.

No que ele é bom — e os seus limites reais

A versão honesta do argumento é curta. O VLESS Reality é, hoje, uma das formas mais confiáveis de tirar uma conexão de uma rede fortemente filtrada. Ele derrota a sondagem ativa que pega ferramentas mais simples, não precisa de domínio ou certificado, e com o Vision o custo de desempenho é pequeno. Para o problema da censura especificamente, ele é excelente.

Mas a auto-hospedagem é uma troca, não um almoço grátis, e os custos vale dizer sem rodeios:

  • É um ponto único de falha. Um servidor, um endereço de IP. Se esse IP for bloqueado, ou o seu provedor marcar a instância, você fica fora do ar sem failover até reconstruir em outro lugar.
  • Você é o operador. Aplicar patches no sistema, atualizar o Xray, manter as chaves e o painel seguros: esse trabalho não para. Um painel desatualizado ou uma senha padrão reutilizada é um risco real, não hipotético.
  • A cobertura depende do cliente. Rotear um dispositivo inteiro, lidar com o DNS e se comportar de forma segura quando o túnel cai são tarefa do cliente aqui, e os clientes variam. Uma VPN completa padroniza esse comportamento; uma configuração de proxy deixa mais disso por sua conta. Esse contraste é o cerne de Shadowsocks vs uma VPN.
  • O disfarce também precisa de manutenção. Um destino emprestado que é bloqueado, ou um cliente que fica para trás em relação ao protocolo, pode transformar uma configuração silenciosa em barulhenta.

Há também uma abordagem paralela que vale conhecer. O REALITY esconde um proxy imitando um site; o mundo do WireGuard responde ao mesmo problema de inspeção profunda de pacotes pelo lado da VPN, remodelando o próprio protocolo, que é o assunto de AmneziaWG vs WireGuard. E se você quer primeiro a comparação de base desses protocolos de túnel, WireGuard vs OpenVPN vs IKEv2 expõe as trocas.

Perguntas frequentes

O que é o VLESS Reality? É a combinação de duas coisas no Xray: o VLESS, um protocolo de transporte leve que carrega o seu tráfego, e o REALITY, uma camada de segurança que disfarça a conexão como uma visita TLS normal a um site real. Juntos, eles formam um proxy difícil de os sistemas de censura detectarem ou sondarem.

O VLESS Reality é criptografado? Sim — mas não pelo VLESS. O VLESS em si não carrega criptografia. A criptografia vem da sessão TLS 1.3 genuína que o REALITY estabelece, que é a mesma criptografia moderna que protege o HTTPS comum. Então o seu tráfego é criptografado; a criptografia só mora na camada REALITY em vez de no transporte.

O que significa "VLESS"? É um protocolo de transporte da família V2Ray/Xray, projetado como um sucessor mais leve do VMess. O nome aponta para o que ele remove: ele faz menos, mais notavelmente abrindo mão da criptografia embutida e da autenticação por timestamp que o VMess carregava. Esse minimalismo é o recurso — ele deixa a criptografia para o TLS ou o REALITY e mantém a sobrecarga e as assinaturas baixas.

O VLESS é melhor que o VMess? Para uma configuração furtiva moderna, normalmente sim. O VLESS é mais leve e pode usar o flow XTLS Vision, que o VMess não pode, e ele faz par de forma limpa com o REALITY. O VMess ainda funciona e tem a sua própria criptografia embutida, mas o handshake dele é mais fácil de receber impressão digital, que é exatamente o que você está tentando evitar em uma rede filtrada.

O VLESS Reality é grátis? O software é — o Xray e o REALITY são código aberto, sem custo. O que você paga é o servidor em que ele roda. Desconfie de configs públicas "grátis" compartilhadas online: usar uma significa rotear todo o seu tráfego pelo servidor de um estranho, com o mesmo problema de confiança de qualquer proxy grátis.

Conclusão

  • O VLESS Reality é um proxy furtivo auto-hospedado: o transporte VLESS do Xray mais o handshake REALITY, que disfarça o servidor como um site real.
  • Ele derrota a impressão digital e a sondagem ativa que bloqueiam ferramentas mais simples, e não precisa do seu próprio domínio ou certificado.
  • A configuração é um VPS e uma config curta (seja pelo painel 3x-ui ou por um arquivo escrito à mão), e a escolha mais importante de todas é o site de destino que você toma emprestado.
  • O custo é a propriedade: um servidor, sem failover e a manutenção que vem com rodar a sua própria infraestrutura.

Rodar o seu próprio servidor VLESS Reality te dá controle total, ao custo de ser quem o mantém com patches, pago e vivo. Se você está no iPhone e preferiria ter uma conexão WireGuard ofuscada que você não precise operar — sem servidor para alugar, sem chaves para rotacionar, sem e-mail ou conta —, é esse o lado para o qual a Snap VPN foi construída, e ela está na App Store.