VLESS Reality — це спосіб запустити зашифрований проксі, який для всього, що спостерігає за мережею, виглядає як звичайний візит на справжній вебсайт. Він поєднує легкий транспорт VLESS від Xray із рукостисканням REALITY, яке запозичує TLS-відбиток справжнього сайту, тож глибока перевірка пакетів не має чого позначити. Налаштування потребує одного невеликого сервера й близько п'ятнадцяти хвилин.

Коротка відповідь: ви орендуєте сервер поза фільтрованою мережею, встановлюєте на ньому Xray, вмикаєте вхідне з'єднання VLESS із безпекою REALITY й імпортуєте згенероване посилання у клієнтський застосунок. REALITY робить важку частину: вона робить TLS-рукостискання вашого сервера невідрізнюваним від рукостискання справжнього популярного вебсайту, через що ця комбінація досі проходить там, де старіші інструменти блокуються.

Головне

  • VLESS — це транспорт Xray без надмірностей. Сам собою він не несе шифрування, тож його завжди поєднують із шаром безпеки — тут із REALITY.
  • REALITY — це той трюк, що важить: вона змушує ваш сервер подавати TLS-рукостискання справжнього стороннього сайту, перемагаючи й зняття відбитка, й активне зондування, без потреби у власному домені чи сертифікаті.
  • Це самостійне розгортання. Вам потрібен власний сервер (дешевий VPS) у місці, що не фільтрується, — немає облікового запису, щоб реєструватися.
  • Два поширені шляхи налаштування: вебпанель 3x-ui (найпростіше) чи написана вручну конфігурація Xray (більше контролю). Обидва розглянуто нижче.
  • Він потужний, але керувати ним вам: один сервер, без резервування, і постійне обслуговування — це справжні витрати.

Що таке VLESS Reality насправді

Три частини складаються разом, і їх корисно розділити.

Xray (Xray-core) — це проксі-рушій, активно підтримуваний нащадок проєкту V2Ray. Він говорить кількома протоколами; VLESS — один із них.

VLESS — це навмисно мінімальний транспортний протокол. Назва сигналізує про те, що він лишає поза: там, де старіший протокол VMess робив власне шифрування й автентифікацію на основі позначок часу, VLESS відкидає все це й не несе жодного власного шифрування. Це звучить як пониження, поки ви не побачите суть. Лишаючись осторонь, VLESS дає виділеному шару безпеки робити шифрування з меншими накладними витратами й чистішою сигнатурою на дроті.

REALITY — це той шар безпеки, і саме вона є причиною, чому це налаштування варте клопоту. Проблема, яку вона розв'язує, специфічна. Звичайний TLS-проксі має подати сертифікат, а сертифікат — це відбиток. Самопідписані сертифікати виглядають підозріло; сертифікат для вашого власного домену прив'язує сервер до вас і його можна перелічити. Гірше, системи цензури запускають активні зонди: вони самі під'єднуються до підозрілого сервера, щоб подивитися, як він поводиться. Більшість маскувань цей тест провалюють.

Відповідь REALITY — перестати прикидатися й почати запозичувати. Замість того щоб подавати власний сертифікат, ваш сервер завершує справжнє рукостискання TLS 1.3, використовуючи особу справжнього популярного вебсайту, який ви призначаєте. Уповноваженого клієнта — того, хто тримає ваш публічний ключ і відповідний короткий ID — спрямовують у проксі. Будь-хто інший, включно з державним зондувальником, прозоро переадресовується на той справжній вебсайт і бачить його справжній, дійсний сертифікат. Немає аномалії, яку можна виявити, бо для зовнішнього спостерігача це з'єднання — справжнє з'єднання зі справжнім сайтом.

Якщо ви хочете ширший контекст того, чому існують такі інструменти, матеріал як Іран, Росія та Китай блокують VPN охоплює системи глибокої перевірки пакетів та активного зондування, які REALITY створена пережити.

Що вам потрібно перед початком

  • VPS (віртуальний приватний сервер) у місці, що не за фаєрволом, який ви намагаєтеся подолати. Підійде будь-який невеликий інстанс зі свіжим Debian чи Ubuntu.
  • SSH-доступ до того сервера, як root чи sudo-користувач.
  • Близько п'ятнадцяти хвилин.

Одна річ, яка вам не потрібна, — це власне доменне ім'я чи TLS-сертифікат. Усунення цієї вимоги — головна зручність REALITY й значна частина того, чому це налаштування швидше підняти, ніж проксі з TLS-і-доменом, що передували йому.

Налаштування, шлях A: панель 3x-ui

Якщо ви радше клацали б, ніж редагували JSON, панель 3x-ui — найпоширеніший шлях, і вона генерує ключі за вас. Пронумеровані кроки:

  1. Отримайте VPS і під'єднайтеся. Створіть сервер у вашого провайдера, потім зайдіть по SSH: ssh root@your-server-ip.
  2. Запустіть скрипт встановлення. Вставте однорядковий інсталятор із README проєкту 3x-ui. Він встановлює панель і Xray та виводить адресу панелі, порт і логін.
  3. Увійдіть і захистіть її. Відкрийте URL панелі в браузері й увійдіть. Негайно змініть стандартні ім'я користувача, пароль і шлях панелі — відкрита панель зі стандартними обліковими даними — це найпоширеніший спосіб, у який ці налаштування компрометуються.
  4. Створіть вхідне з'єднання. Додайте нове вхідне з'єднання, встановіть протокол на VLESS і встановіть Security на REALITY.
  5. Дайте панелі заповнити криптографію. Скористайтеся кнопками, щоб згенерувати UUID, пару ключів x25519 і короткий ID. Для призначення й SNI оберіть справжній сайт, що відповідає критеріям у розділі нижче.
  6. Експортуйте та імпортуйте. Збережіть, потім скопіюйте посилання для поширення чи відскануйте QR-код у ваш клієнтський застосунок. Це єдине посилання містить усе, що потрібно клієнту.

Це весь процес. Панель робить саме те, що робить ручний шлях; вона просто ховає файл конфігурації.

Налаштування, шлях B: конфігурація Xray вручну

Ручний шлях дає вам більше контролю й жодних зайвих рухомих частин. Ви запустите дві команди, щоб згенерувати облікові дані, потім напишете один файл конфігурації.

  1. Встановіть Xray-core. Скористайтеся офіційним інсталятором від проєкту XTLS Xray-core. Він розміщує бінарний файл і службу systemd на сервері.
  2. Згенеруйте облікові дані. Запустіть xray uuid для ID клієнта, потім xray x25519 для пари ключів. Тримайте приватний ключ на сервері; публічний ключ іде до ваших клієнтів.
  3. Напишіть конфігурацію.Мінімальне вхідне з'єднання VLESS із REALITY виглядає так:
    {
      "inbounds": [{
        "port": 443,
        "protocol": "vless",
        "settings": {
          "clients": [{ "id": "PASTE-UUID", "flow": "xtls-rprx-vision" }],
          "decryption": "none"
        },
        "streamSettings": {
          "network": "tcp",
          "security": "reality",
          "realitySettings": {
            "dest": "example.com:443",
            "serverNames": ["example.com"],
            "privateKey": "PASTE-PRIVATE-KEY",
            "shortIds": ["", "0123abcd"]
          }
        }
      }],
      "outbounds": [{ "protocol": "freedom" }]
    }
  4. Перезапустіть і перевірте. Перезапустіть службу Xray й підтвердьте, що вона слухає на порту 443.
  5. Зберіть посилання клієнта. Складіть URL для поширення з UUID, вашого публічного ключа, короткого ID та SNI. Більшість людей генерують це один раз і повторно використовують.

Кілька полів тут заслуговують на своє місце. flow, встановлене на xtls-rprx-vision, вмикає XTLS Vision, що зрізає подвоєне шифрування тунелювання TLS усередині TLS, тож воно і швидше, і тихіше. dest і serverNames — це запозичена особа. privateKey поєднується з публічним ключем, який тримає ваш клієнт, а shortIds дає одному серверу розрізняти клієнтів.

Вибір «dest» — те єдине рішення, що важить

Сайт призначення, який ви запозичуєте, — це різниця між тим, щоб злитися й виділитися. Цільтеся на сайт, що:

  • Підтримує TLS 1.3 і HTTP/2 (REALITY потрібне сучасне рукостискання, щоб імітувати).
  • Не заблокований там, де ваші клієнти, — ви ховаєтеся всередині його трафіку, тож він має бути досяжним.
  • Розміщений поза вашою власною країною й не є незвичним для відвідування кимось звідти.
  • Не є вашим власним доменом і не є крихітним чи маловідомим хостом, що виглядав би дивно як призначення.

Зробіть це правильно — і трафік вашого сервера статистично нудний. Зробіть це неправильно — заблокований сайт чи такий, що насправді не підтримує рукостискання, яке ви заявляєте, — і ви зробили себе більш помітним, а не менш.

Під'єднання клієнта

Те саме посилання для з'єднання працює на різних платформах; ви імпортуєте його в той клієнт, що пасує вашому пристрою.

  • Windows / Linux: v2rayN і подібні настільні клієнти.
  • Android: v2rayNG.
  • iOS: застосунки, що підтримують VLESS із REALITY та потоком Vision — Shadowrocket, Streisand і V2Box — поширені варіанти. Вставте посилання чи відскануйте QR.

Хай чим ви користуєтеся, після під'єднання зробіть швидку перевірку: підтвердьте, що ваша публічна IP змінилася на серверну й що DNS не витікає повз тунель. Проксі, що тихо витікає, перекреслює сенс.

У чому він добрий — і його справжні межі

Чесна версія пропозиції коротка. VLESS Reality сьогодні — один із найнадійніших способів вивести з'єднання з сильно фільтрованої мережі. Він перемагає активне зондування, що ловить простіші інструменти, йому не потрібен домен чи сертифікат, а з Vision плата за продуктивність мала. Саме для проблеми цензури він чудовий.

Але самостійне розгортання — це компроміс, а не безкоштовний обід, і про витрати варто сказати прямо:

  • Це єдина точка відмови. Один сервер, одна IP-адреса. Якщо ця IP заблокується чи ваш провайдер позначить інстанс, ви лежите без резервування, поки не перебудуєте десь в іншому місці.
  • Оператор — це ви. Латання ОС, оновлення Xray, тримання ключів і панелі в безпеці: ця робота не припиняється. Застаріла панель чи повторно використаний стандартний пароль — це справжній ризик, а не гіпотетичний.
  • Покриття залежить від клієнта. Маршрутизація цілого пристрою, опрацювання DNS і безпечна поведінка, коли тунель падає, — тут це робота клієнта, а клієнти різняться. Повноцінний VPN стандартизує цю поведінку; налаштування проксі лишає більше її вам. Цей контраст — серце матеріалу Shadowsocks проти VPN.
  • Маскування теж потребує обслуговування. Запозичене призначення, що блокується, чи клієнт, що відстає від протоколу, можуть зробити тихе налаштування гучним.

Є також паралельний підхід, про який варто знати. REALITY ховає проксі, імітуючи вебсайт; світ WireGuard відповідає на ту саму проблему глибокої перевірки пакетів із боку VPN, переформовуючи сам протокол, що є темою матеріалу AmneziaWG проти WireGuard. А якщо ви хочете спершу базове порівняння цих тунельних протоколів, матеріал WireGuard проти OpenVPN проти IKEv2 викладає компроміси.

Поширені запитання

Що таке VLESS Reality? Це поєднання двох речей у Xray: VLESS, легкого транспортного протоколу, що несе ваш трафік, і REALITY, шару безпеки, що маскує з'єднання під звичайний візит TLS на справжній вебсайт. Разом вони утворюють проксі, який системам цензури важко виявити чи прозондувати.

Чи VLESS Reality зашифрований? Так — але не VLESS. Сам VLESS не несе шифрування. Шифрування походить зі справжньої сесії TLS 1.3, яку встановлює REALITY, тобто того самого сучасного шифрування, що убезпечує звичайний HTTPS. Тож ваш трафік зашифрований; шифрування просто живе в шарі REALITY, а не в транспорті.

Що означає «VLESS»? Це транспортний протокол у родині V2Ray/Xray, спроєктований як легший наступник VMess. Назва вказує на те, що він прибирає: він робить менше, найпомітніше відкидаючи вбудоване шифрування й автентифікацію за позначками часу, що їх ніс VMess. Цей мінімалізм і є функцією — він лишає шифрування на TLS чи REALITY й тримає накладні витрати та сигнатури низькими.

Чи VLESS кращий за VMess? Для сучасного стелс-налаштування зазвичай так. VLESS легший і може використовувати потік XTLS Vision, чого VMess не може, і він чисто поєднується з REALITY. VMess досі працює й має власне вбудоване шифрування, але його рукостискання легше зняти за відбитком, що є саме тим, чого ви намагаєтеся уникнути у фільтрованій мережі.

Чи VLESS Reality безкоштовний? Програмне забезпечення — так: Xray і REALITY мають відкритий код безкоштовно. Ви платите за сервер, на якому воно працює. Стережіться «безкоштовних» публічних конфігурацій, поширених онлайн: користуватися такою означає проводити весь ваш трафік через сервер незнайомця, з тією самою проблемою довіри, що й у будь-якого безкоштовного проксі.

Підсумок

  • VLESS Reality — це самостійно розгорнутий стелс-проксі: транспорт VLESS від Xray плюс рукостискання REALITY, що маскує сервер під справжній вебсайт.
  • Він перемагає зняття відбитка й активне зондування, що блокують простіші інструменти, і йому не потрібен власний домен чи сертифікат.
  • Налаштування — це один VPS і коротка конфігурація (чи то через панель 3x-ui, чи через написаний вручну файл), і найважливіший єдиний вибір — це сайт призначення, який ви запозичуєте.
  • Ціна — це володіння: один сервер, без резервування, і догляд, що йде з керуванням власною інфраструктурою.

Запуск власного сервера VLESS Reality купує вам повний контроль ціною того, що ви — той, хто тримає його залатаним, оплаченим і живим. Якщо ви на iPhone і радше мали б обфусковане з'єднання WireGuard, яким не треба керувати, — без сервера в оренду, без ключів для ротації, без пошти чи облікового запису, — це той бік, для якого збудовано Snap VPN, і він є в App Store.