🌫️ Дымка VPN Открыть бота →

Протокол · Edu

VLESS Reality — протокол обхода DPI на базе TLS-маскировки

Технический разбор: как маскируется под HTTPS и почему работает там, где WireGuard и OpenVPN блокируются

⚡ Открыть @dymka_app_bot → Добавить прокси в Telegram

Telegram работает? Открой бота. Не подключается? Добавь прокси — бот появится сам.

Что такое VLESS Reality

VLESS — это облегчённый транспортный протокол, созданный как эволюция VMess в рамках проекта Xray-core (форк V2Ray). Он убирает избыточные механизмы аутентификации VMess и передаёт голый поток данных внутри TLS-туннеля. Это делает его быстрее и менее заметным для анализаторов трафика.

Reality — это расширение транспортного слоя, которое решает главную проблему классических TLS-прокси: фальшивый сертификат. Обычные TLS-прокси (Trojan, VLESS+TLS) генерируют самоподписанный или Let's Encrypt сертификат для своего домена. Продвинутый DPI может анализировать fingerprint сертификата и детектировать VPN-трафик.

Reality идёт принципиально иным путём. Вместо выдачи собственного сертификата сервер перенаправляет ClientHello к настоящему target-сайту — например, к www.microsoft.com или www.apple.com. DPI видит реальный TLS-handshake с настоящим сертификатом Microsoft. Клиент, знающий правильный x25519 публичный ключ, получает дополнительный туннель внутри этого соединения. Клиент без ключа — просто видит Microsoft.

Практический итог: с точки зрения ТСПУ и глубокой инспекции пакетов, трафик выглядит как обычный HTTPS к легитимному западному ресурсу. Блокировать его — значит блокировать Microsoft или Google, что технически возможно, но политически нецелесообразно. Именно поэтому vless reality протокол устойчиво работает в российских сетях там, где WireGuard и классический OpenVPN давно заблокированы.

Протокол разработан командой RPRX (автор XTLS) и поддерживается в экосистеме Xray-core. Клиенты v2rayNG, Streisand, Hiddify, v2rayN — все понимают Reality-конфиги. Важно: Reality работает только поверх VLESS, не VMess — это принципиальное ограничение архитектуры.

Как работает Reality — handshake под микроскопом

Разберём последовательность установки соединения VLESS Reality пошагово. Именно здесь кроется главное отличие от всех конкурентов.

Шаг 1: ClientHello с настоящим SNI

Клиент (v2rayNG на телефоне) отправляет TLS ClientHello с полем SNI = www.microsoft.com (или другим target site, заданным в конфиге). SNI — это Server Name Indication, расширение TLS, которое указывает, к какому домену обращается клиент. DPI-системы активно анализируют это поле для фильтрации.

Шаг 2: Проверка fingerprint клиента

VPN-сервер получает ClientHello и проверяет два параметра: (1) fingerprint TLS-клиента (набор cipher suites, extensions — должен выглядеть как обычный браузер Chrome/Firefox), и (2) наличие зашитой метки в поле Session ID или uTLS fingerprint. Если fingerprint некорректен — сервер прозрачно проксирует соединение к настоящему Microsoft. Цензор не видит ничего подозрительного.

Шаг 3: TLS-handshake завершается с реальным сертификатом

Сервер возвращает клиенту настоящий TLS-сертификат от Microsoft (или другого target site). Технически это достигается через TLS pass-through к реальному серверу-мишени. Внешний наблюдатель видит стандартный TLS 1.3 handshake с верифицируемым сертификатом от CA (DigiCert, GlobalSign и т.д.). Никакого самоподписанного сертификата, никакого подозрительного домена.

Шаг 4: Туннель VLESS внутри HTTPS

После успешного TLS-handshake клиент и сервер устанавливают внутренний зашифрованный канал VLESS. Данные пользователя проходят через этот туннель. Снаружи это выглядит как продолжение HTTPS-сессии — обмен зашифрованными Application Data записями.

Шаг 5: XTLS-Vision — нулевой padding и zero-RTT

XTLS-Vision работает на уровне inner TLS (TLS внутри TLS). Вместо двойного шифрования Vision передаёт внутренние TLS-записи напрямую, убирая лишний crypto-слой. Дополнительно добавляется padding — случайные байты для выравнивания размеров пакетов. Это скрывает характерные паттерны трафика, которые DPI мог бы использовать для идентификации VPN-сессии. 

Клиент                     VPN-сервер              Microsoft.com
  |                             |                        |
  |-- ClientHello (SNI=ms.com)->|                        |
  |                             |-- ClientHello -------->|
  |                             |<-- ServerHello+Cert ---|
  |<-- ServerHello+Cert --------|                        |
  |                             |   (проверка fingerprint)
  |=== VLESS туннель (зашифр.) =|                        |
  |                             |                        |
DPI видит: TLS 1.3 к microsoft.com — всё легально

Системы ТСПУ и DPI анализируют первые пакеты соединения для классификации трафика. В случае VLESS Reality они видят: корректный TLS 1.3, SNI на известный легитимный ресурс, реальный сертификат от доверенного CA, fingerprint обычного браузера. Оснований для блокировки нет.

Именно комбинация vless xtls rprx vision reality и vless tcp xtls vision reality делает этот протокол наиболее устойчивым к современным методам DPI-блокировки среди всех коммерчески доступных решений.

VLESS Reality vs WireGuard, OpenVPN, Shadowsocks, AmneziaWG

Протоколы VPN различаются по методу маскировки трафика и устойчивости к блокировкам. Для российской аудитории ключевой параметр — возможность обойти ТСПУ (Технические средства противодействия угрозам), которые применяются для ограничения трафика.

Протокол Обфускация Маскировка под HTTPS Скорость Блокировка ТСПУ
VLESS+Reality+XTLS TLS fingerprint + padding Да, реальный сертификат Высокая (до 500+ Мбит/с) Не блокируется
WireGuard Нет Нет (UDP порты) Очень высокая Блокируется ТСПУ
AmneziaWG Junk packets + headers Частично (UDP обфускация) Высокая В 2025–2026 блокируется ТСПУ в части сетей
OpenVPN Нет (obfs4 опционально) Нет Средняя Блокируется
Shadowsocks Шифрование + случайный порт Нет Высокая Частично блокируется
Trojan TLS (свой сертификат) Да, но свой cert Высокая Иногда детектируется

WireGuard — быстрый и простой в настройке протокол, но использует собственный UDP-протокол на фиксированных портах. ТСПУ легко детектирует и блокирует WireGuard-трафик по характерному handshake. AmneziaWG добавляет мусорные пакеты и изменяет заголовки, но в 2025–2026 включён ТСПУ в список блокируемых и в части сетей уже нестабилен — полноценной HTTPS-маскировки он не даёт.

Shadowsocks маскирует трафик под случайный поток байт, но без TLS-обёртки. Современные DPI-системы умеют детектировать его по статистическим признакам. VLESS Reality принципиально отличается: трафик не просто зашифрован — он выглядит как настоящий HTTPS к конкретному легитимному домену.

Для vless reality vs wireguard и vless reality vs shadowsocks сравнений итог однозначен: в условиях активного DPI-блокирования Reality побеждает за счёт реальной TLS-маскировки с подлинным сертификатом целевого сайта.

VLESS Reality + XHTTP — что это и зачем

XHTTP — это транспортный слой, разработанный командой XTLS как замена WebSocket и gRPC. Он работает поверх HTTP/2 и использует chunked transfer encoding для передачи данных, что делает поток неотличимым от обычной загрузки страниц или стриминга.

Главные преимущества XHTTP перед классическим TCP-транспортом Reality: (1) многопоточность — несколько параллельных HTTP/2 потоков для разных соединений без overhead на создание новых TCP-сессий; (2) лучшая совместимость с корпоративными прокси — HTTP/2-трафик проходит через большинство firewall и прокси-серверов без модификации; (3) дополнительный уровень маскировки — даже если DPI пробьётся через TLS, внутри он увидит HTTP/2-запросы, а не неизвестный бинарный протокол.

Комбинация vless reality xhttp — это то, что используется в Дымке. Это наиболее устойчивая конфигурация для работы в российских сетях: Reality скрывает факт VPN на уровне TLS-handshake, XHTTP скрывает тип трафика на уровне приложения.

На практике XHTTP добавляет незначительный overhead (+5–10 мс latency по сравнению с чистым TCP), но обеспечивает лучшую стабильность в сетях с агрессивным DPI и за корпоративными firewall, которые разрешают только HTTP/HTTPS.

Готовые сервисы на VLESS Reality

Поднять VLESS Reality самостоятельно — задача для технически подготовленных пользователей. Большинству проще воспользоваться готовым сервисом, который берёт на себя инфраструктуру, обновления и поддержку клиентских конфигов.

Дымка VPN — рекомендуемый вариант

Дымка работает на VLESS+Reality+XHTTP — именно той комбинации, которую мы разобрали выше. Серверы в Финляндии, Нидерландах и Германии. Скорость до 500 Мбит/с. Политика no-logs. Управление через Telegram-бот @dymka_app_bot: получить конфиг-ссылку можно за 30 секунд без регистрации. Бесплатный тариф — 1 ГБ в день.

Self-hosted варианты

Если нужен полный контроль — можно поднять собственный сервер на 3X-UI (веб-панель для Xray-core с GUI для управления пользователями и протоколами) или использовать Xray-core напрямую с конфиг-файлом. Amnezia VPN предлагает собственный клиент с поддержкой VLESS Reality для тех, кто хочет минимум ручных настроек на своём VPS. Outline (от Jigsaw/Google) работает на Shadowsocks и не поддерживает Reality — другая ниша.

Для большинства пользователей самостоятельный хостинг избыточен: VPS стоит от 5–7 € в месяц (Hetzner CX11), плюс время на настройку и поддержку. Готовый сервис экономит время и деньги — особенно при цене 50 ₽ за первый месяц.

Попробовать Дымку бесплатно →

Цена

Первый месяц 50 ₽. Дальше 379 ₽/мес. Оплата картой РФ или СБП.

Бесплатно

0 ₽

навсегда

  • ✓ 1 ГБ в день
  • ✓ Без карты и регистрации
  • ✓ Все сервера
Попробовать
Лучшая цена

Месяц

50 ₽

первый месяц, потом 379 ₽

  • ✓ Безлимит трафика
  • ✓ Все устройства
  • ✓ Поддержка 24/7
  • ✓ Карта РФ, СБП
Подключить за 50 ₽

Год

2 990 ₽

≈ 250 ₽/мес, экономия 34%

  • ✓ Безлимит трафика
  • ✓ Все устройства
  • ✓ Лучшая цена в год
Купить год

Как поднять свой VPS с VLESS Reality

Если хотите полный контроль над инфраструктурой — вот минимальный путь. Потребуется VPS за пределами РФ и базовые навыки работы с Linux.

1. Выбор VPS

Лучший выбор для России по соотношению цены, скорости и стабильности: Hetzner (Финляндия, Германия) или Aeza (Нидерланды). CX11 на Hetzner (2 vCPU, 2 ГБ RAM) достаточно для 10–20 пользователей. Выбирайте сервера в Европе — пинг 30–60 мс из России.

2. Установка Xray-core

bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)"

Скрипт установит Xray-core как systemd-сервис. Бинарник окажется в /usr/local/bin/xray, конфиг — в /usr/local/etc/xray/config.json.

3. Генерация ключей

# UUID для пользователя
xray uuid

# x25519 keypair для Reality
xray x25519

Сохраните privateKey (на сервере) и publicKey (передаётся клиенту в конфиге).

4. Конфигурация сервера

{
  "inbounds": [{
    "port": 443,
    "protocol": "vless",
    "settings": {
      "clients": [{"id": "YOUR-UUID", "flow": "xtls-rprx-vision"}],
      "decryption": "none"
    },
    "streamSettings": {
      "network": "tcp",
      "security": "reality",
      "realitySettings": {
        "dest": "www.microsoft.com:443",
        "serverNames": ["www.microsoft.com"],
        "privateKey": "YOUR-PRIVATE-KEY",
        "shortIds": ["YOUR-SHORT-ID"]
      }
    }
  }],
  "outbounds": [{"protocol": "freedom"}]
}

5. Запуск и проверка

systemctl restart xray
systemctl status xray
journalctl -u xray -f

После запуска сгенерируйте VLESS-ссылку для клиента и импортируйте в v2rayNG или v2rayN.

Этот гайд — только для технарей. Если не хочется разбираться с VPS, конфигами и системным администрированием — Дымка делает всё это за вас. Подключение за 30 секунд через @dymka_app_bot.

Частые вопросы о VLESS Reality

Что такое VLESS Reality простыми словами?

+
VLESS Reality — это VPN-протокол, который маскирует трафик под обычное HTTPS-соединение к реальному популярному сайту (например, www.microsoft.com). Сервер DPI или ТСПУ видит стандартное зашифрованное соединение к известному домену и не находит причины для блокировки. Никакого фальшивого сертификата нет — используется настоящий TLS-рукопожатие с реальным сервером-мишенью.

VLESS Reality vs Trojan — что лучше для обхода блокировок?

+
Оба протокола маскируются под HTTPS, но Reality имеет принципиальное преимущество: он не выдаёт поддельный TLS-сертификат. Trojan использует самостоятельно выданный сертификат, который можно детектировать по fingerprint. Reality проходит через настоящий TLS-handshake с реальным сайтом-мишенью (target site), что делает его практически неотличимым от легитимного HTTPS-трафика. На практике в России в 2025–2026 Reality справляется с ТСПУ лучше Trojan.

Можно ли заблокировать VLESS Reality?

+
Технически это очень сложно. Для блокировки VLESS Reality потребуется блокировать TLS-трафик к конкретным CDN и популярным доменам (Microsoft, Google, Cloudflare), что фактически означает отключение большей части интернета. Именно поэтому ТСПУ пока не блокирует Reality — слишком высокий «collateral damage». Теоретическая уязвимость: анализ timing и размеров пакетов (traffic fingerprinting), что частично закрывает XTLS-Vision через padding.

Какой клиент использовать для VLESS Reality на Android?

+
Рекомендуемый клиент для Android — v2rayNG (бесплатно, Google Play и GitHub). Также поддерживает VLESS Reality: Hiddify, NekoBox. Импортируйте ссылку-подписку от вашего провайдера — клиент подхватит конфиг автоматически.

Какой клиент для iPhone (iOS) с VLESS Reality?

+
На iOS лучший выбор — Streisand (App Store, бесплатно). Поддерживает VLESS+Reality+XHTTP через ссылку-подписку. Также работают: Hiddify (TestFlight), Shadowrocket (платно, $2.99). Streisand регулярно обновляется и поддерживает последние версии XTLS.

Какой клиент для Windows, macOS, Linux?

+
Windows: v2rayN (бесплатно, GitHub). macOS: v2rayU или Hiddify. Linux: v2ray-core с конфигом вручную или Hiddify AppImage. Все клиенты поддерживают импорт подписки — вставьте ссылку от провайдера и нажмите «Обновить». На Windows и macOS удобнее всего работает v2rayN с системным прокси или TUN-режимом.

Что значит XTLS-Vision и зачем он нужен?

+
XTLS-Vision — это расширение транспортного слоя VLESS, которое передаёт inner TLS (TLS внутри TLS) напрямую, без двойного шифрования. Это даёт два преимущества: (1) скорость — снимается лишний слой crypto; (2) маскировка — внешний TLS выглядит как обычный HTTPS с размерами пакетов, характерными для реального браузера. Vision добавляет padding для скрытия fingerprint размеров пакетов, что затрудняет traffic analysis со стороны DPI.

VLESS Reality замедляет интернет?

+
Незначительно. Накладные расходы VLESS ниже, чем у OpenVPN или WireGuard с AES-256-GCM. XTLS-Vision дополнительно снижает overhead за счёт прямой передачи inner TLS. На практике потери скорости составляют 5–15% по сравнению с прямым подключением — при условии хорошего канала до VPN-сервера. Задержка (latency) зависит от географии сервера, а не от протокола.

Безопасен ли VLESS Reality?

+
Да. VLESS использует TLS 1.3 для шифрования. Reality добавляет аутентификацию через x25519 keypair — клиент без правильного публичного ключа не может установить соединение. Трафик внутри туннеля зашифрован стандартным TLS. Важно: безопасность зависит от доверия к оператору VPN-сервера, как и у любого VPN-решения.

Как настроить VLESS Reality на роутере (Keenetic, OpenWrt)?

+
На OpenWrt: установите пакет xray-core или sing-box, пропишите конфиг в /etc/xray/config.json с клиентскими параметрами Reality (address, uuid, publicKey, serverName), настройте transparent proxy через iptables/nftables. На Keenetic: установите KNDX Entware, затем xray через opkg, конфиг аналогичен OpenWrt. Готовых графических UI для Keenetic нет — только конфиг-файлы. Это требует навыков работы с Linux CLI.

Не хочется возиться с VPS?

Дымка — готовый VLESS+Reality+XHTTP за 30 секунд. Серверы в Европе, no-logs, скорость до 500 Мбит/с.

Бесплатно: 1 ГБ/день. Платно: 50 ₽ первый месяц → 379 ₽/мес → 2990 ₽/год.

⚡ Открыть @dymka_app_bot → Добавить прокси в Telegram

Telegram работает? Открой бота. Не подключается? Добавь прокси — бот появится сам.

Telegram-бот @dymka_app_bot · Финляндия, Нидерланды, Германия

Читать также