Fexyn
Fexyn
All posts

ما هو VLESS؟ بروتوكول مبني لمقاومة الرقابة

Fexyn Team··9 min read

VLESS بروتوكول proxy. ينقل مرورك من النقطة A للنقطة B عبر نفق مشفّر، مماثل لما تفعله WireGuard أو OpenVPN. الفرق في ما VLESS لا يفعل: لا يشفّر مرورك بنفسه. يسلّم تلك المهمة لـ TLS ويبتعد.

ذلك الخيار التصميمي، اتخذه مطوّر معروف بـ RPRX في 2020، يتضح أنه يهم كثيراً إذا كنت تحاول استخدام الإنترنت في الصين، روسيا، أو إيران.

مشكلة VMess

لفهم VLESS، تحتاج لفهم ما سبقه. VMess كان البروتوكول الأصلي في V2Ray، منصة proxy أصبحت شعبية في مجتمع مكافحة الرقابة الصيني حوالي 2018. VMess عمل، لكن كان لديه مشكلة تصميم أصبحت مؤلمة بشكل متزايد مع الوقت.

VMess يشفّر حمولتك بطبقة تشفير خاصة به. ذلك جيد نظرياً. لكنك أيضاً تشغّل هذا داخل اتصال TLS، لأن إرسال مرور VMess غير مشفّر عبر الإنترنت سيُشار إليه فوراً من قبل أي نظام DPI. فتدفق البيانات الفعلي يبدو هكذا:

VMess:  [TLS encryption [VMess encryption [your actual data]]]

تشفّر كل شيء مرتين. طبقة VMess زائدة لأن TLS يوفر بالفعل سرية وسلامة ومصادقة. تدفع تكلفة أداء بدون فائدة أمان.

VLESS يستخرج ذلك التشفير الداخلي:

VLESS:  [TLS encryption [VLESS header [your actual data]]]

رأس VLESS صغير، حوالي 25 إلى 50 بايت بحسب نوع العنوان. قارن ذلك بـ OpenVPN الذي يضيف 100+ بايت من overhead لكل حزمة. VLESS يثق بـ TLS ليفعل التشفير (وهو جيد جداً فيه) ويحدّ نفسه بمعلومات التوجيه: أين يجب أن يذهب المرور، وUUID لتحديد العميل.

الاسم يعكس هذا مباشرة. VLESS يعني "VMess Less". أقل overhead، أقل تعقيد.

كيف يعمل VLESS على مستوى البروتوكول

اتصال VLESS يتبع تدفقاً واضحاً. لا handshake متعدد الجولات، لا رقصة تبادل مفاتيح. البروتوكول يفترض أن TLS تعامل مع كل ذلك بحلول الوقت الذي يبدأ فيه مرور VLESS بالتدفق.

هذا ما يحدث عند الاتصال:

العميل يفتح اتصال TLS بالخادم. هذا handshake TLS 1.3 قياسي، مطابق لما يفعله متصفحك عند زيارة أي موقع HTTPS. لا شيء يحدد هويته كمرور VPN.

بمجرد إنشاء TLS، العميل يرسل رأس طلب VLESS:

الإصدار (1 بايت)  |  UUID (16 بايت)  |  طول الإضافات  |  الأمر  |  العنوان

بايت الإصدار دائماً 0 في المواصفات الحالية. UUID رمز المصادقة، سر مشترك بين العميل والخادم. الأمر عادة 0x01 لـ TCP proxy أو 0x02 لـ UDP. ثم يأتي عنوان الوجهة، الذي يخبر الخادم أين يوجّه مرورك.

الخادم يتحقق من UUID، يتصل بالوجهة المطلوبة، ويبدأ proxy للبيانات. لا رأس استجابة في حالة النجاح. البيانات تبدأ بالتدفق فقط. هذا متعمد: bytes أقل على السلك يعني أقل للبصمات.

شيء يفاجئ الناس القادمين من بروتوكولات VPN التقليدية: VLESS ليس لديه تشفير مدمج، لا فحوصات سلامة على رأسه الخاص، لا حماية إعادة تشغيل على طبقة VLESS. كل ذلك يتعامل معه TLS. إذا شغّلت VLESS بطريقة ما بدون TLS (لا تفعل)، UUID سيُنقل بنص واضح وأي شخص يستطيع اختطاف الجلسة. البروتوكول يعقل فقط داخل نفق TLS.

XRay fork وأين يعيش VLESS

VLESS أُنشئ من قبل RPRX، الذي طوّر أيضاً تقنية XTLS التي تجعل Reality ممكنة. في نوفمبر 2020، RPRX فرّع V2Ray لإنشاء XRay-core بعد نزاع ترخيص حول XTLS. مشرفو V2Ray كانت لديهم مخاوف بشأن ترخيص XTLS؛ RPRX أراد التحرّك أسرع وشحن XTLS تحت شروط يتحكم بها. فأصبح XRay مشروعاً خاصاً به.

الـ fork لم يكن عدائياً تماماً، لكنه قسّم المجتمع. V2Ray واصل التطوير منفصلاً، أضاف في النهاية تطبيق VLESS الخاص به. XRay تحرّك أسرع في ابتكار البروتوكول. اليوم، عندما يتحدث الناس عن VLESS عملياً، يقصدون شبه دائماً تطبيق XRay.

XRay-core لديه أكثر من 35,900 نجمة على GitHub و208 مساهماً. واحد من أكثر أدوات مكافحة الرقابة المُصانة بنشاط في العالم، رغم أن تقريباً كل التطوير والنقاش يحدث بالصينية. التوثيق الإنجليزي موجود لكنه كثيراً ما يكون غير مكتمل أو قديم. إذا أردت فهم ما تفعله ميزة XRay محددة فعلاً، عادة ينتهي بك المطاف بقراءة كود Go المصدري. قضينا وقتاً كبيراً نقرأ ذلك الكود.

لا يوجد RFC لـ VLESS، لا عملية توحيد IETF، لا وثيقة مواصفات رسمية. البروتوكول يُعرَّف بتطبيقه. هذا يزعج بعض الناس، خاصة من خلفية تصميم بروتوكولات حيث المواصفات تأتي أولاً والتطبيقات تتبع. لا يزعج المستخدمين في شنغهاي الذين يحتاجونه ليعمل غداً.

Reality: الامتداد الذي يغيّر كل شيء

VLESS وحده بروتوكول proxy نظيف بحد أدنى. VLESS مع Reality شيء آخر بالكامل.

Reality قُدّم في XRay-core v1.8.0 أوائل 2023، وحلّ مشكلة طاردت كل أداة سابقة لمكافحة الرقابة: شهادة TLS الخادم.

مع proxies TLS التقليدية، خادمك يحتاج شهادة. تستطيع الحصول على واحدة من Let's Encrypt، لكن الآن النطاق مسجَّل لك. رقيب يستطيع فحص كل عناوين IP، إيجاد خوادم بخصائص شهادة معيّنة، وحظرها. أسوأ، يستطيعون أداء فحص نشط: الاتصال بخادمك، فحص الشهادة، وإذا لم تتطابق مع موقع حقيقي، الإشارة لـ IP.

Reality يقلب هذا. خادمك ليس له شهادة خاصة. بدلاً، يستعير شهادة TLS من موقع حقيقي، مثل www.microsoft.com. عندما يفحص رقيب خادمك، يحصل على شهادة Microsoft شرعية ومحتوى Microsoft حقيقي. فقط العملاء بالمفتاح الخاص الصحيح لـ Reality يستطيعون إنشاء نفق proxy فعلي.

كتبنا تفصيلاً مفصلاً لكيف تعمل مصادقة TLS في Reality في غوصنا العميق في Reality. النسخة القصيرة: أقرب شيء لعدم القابلية للكشف موجود في الإنتاج اليوم.

أين يُستخدَم VLESS فعلياً

VLESS شعبي تماماً في الأماكن التي تتوقعها: دول تحظر فيها الحكومة بنشاط مرور VPN.

الصين لها أطول تاريخ مع نظام V2Ray/XRay. فريق Great Firewall ومجتمع مكافحة الرقابة في سباق تسلّح لسنوات. VMess، Shadowsocks، Trojan، وبروتوكولات أخرى متنوعة كلها كُشفت وحُظرت في أوقات مختلفة. VLESS مع Reality هو حالة الفن الحالية على جانب مكافحة الرقابة. يعمل. الآن.

روسيا صاعدت بقوة في 2025. بحلول فبراير 2026، روسيا حظرت 469 خدمة VPN. في ديسمبر 2025، Roskomnadzor بدأت تستهدف VLESS تحديداً، مما يقول لك شيئاً عن مدى فعاليته. نظام DPI الروسي (TSPU) متطوّر، لكن تصميم Reality يجعل الكشف صعباً للغاية بدون حظر كل مرور TLS لمواقع كبيرة، مما سيكسر نصف الإنترنت.

إيران تحظر مرور VPN خلال الاضطراب السياسي، وهو متكرر. VLESS Reality كان أحد الطرق الأكثر موثوقية للحفاظ على الاتصال خلال إيقافات الإنترنت، رغم أن بنية الفلترة الإيرانية أقل تطوراً تقنياً من الصين أو روسيا.

النمط عبر الدول الثلاث نفسه: بروتوكولات VPN التقليدية تُكشف خلال دقائق أو ساعات، بينما VLESS مع Reality يستمر بالعمل لأن الرقباء لا يستطيعون تمييزه عن مرور HTTPS عادي بدون كسر مواقع شرعية.

معظم مستخدمي VLESS أفراد يشغّلون خوادمهم. تستأجر VPS خارج البلاد، تثبّت XRay، تهيّئ VLESS مع Reality، وتشارك تفاصيل الاتصال مع من يحتاج. هذا النموذج الشعبي كيف يصل ملايين الناس في الدول الخاضعة للرقابة للإنترنت المفتوح.

لماذا لا يقدم NordVPN VLESS

سؤال صادق: إذا كان VLESS فعّالاً جداً، لماذا لا يستخدمه مزودو VPN الكبار؟

لا أحد منهم. ليس NordVPN، ليس ExpressVPN، ليس Surfshark، ليس ProtonVPN. زوج من المزودين الصغار (Trust.Zone، Octohide) أضافوا دعم VLESS، لكنهم متخصصون.

هناك أسباب حقيقية لهذا، ليس فقط جهلاً.

نظام XRay موثَّق بالكامل تقريباً بالصينية. قاعدة الكود في Go، منظَّمة جيداً لكن بتعليقات صينية وقرارات تصميم تعكس سياق الرقابة الصيني تحديداً. دمج XRay في منتج VPN تجاري يتطلب من يفهم بعمق كلاً من داخليات XRay ومعمارية VPN الإنتاجية. هذا تداخل صغير في الصناعة.

هناك أيضاً حساب أعمال. عملاء NordVPN في الغالب في دول غربية حيث WireGuard يعمل بشكل جيد. استثمار وقت هندسي في VLESS يخدم شريحة سوق (مستخدمين في دول خاضعة للرقابة) أصعب لتحقيق الربح ويحمل خطراً تنظيمياً. من منظور أعمال خالص، يعقل تخطيه.

ثم هناك تعقيد التكامل. VLESS مع Reality ليس بديلاً مباشراً لـ WireGuard. يتطلب واجهة TUN، proxy في فضاء المستخدم (مثل tun2socks)، معالجة DNS بعناية، وتهيئة توجيه خاصة بالمنصة. على Windows وحده، جعل كل هذا يعمل بموثوقية بدون تسريب DNS أو إسقاط حزم استغرق منا أسابيع من debug. خصائص الأداء مختلفة عن WireGuard أيضاً، فتحتاج إدارة اتصال واعية بالبروتوكول.

كيف نستخدم VLESS في Fexyn

نشغّل VLESS Reality مع Vision flow (xtls-rprx-vision) كأحد ثلاثة بروتوكولات في Fexyn VPN، إلى جانب WireGuard وOpenVPN. هذه ليست ميزة من checkbox. Fexyn Stealth يُشحَن بنفس خط أنابيب التحقق كـ Bolt (WireGuard) وSecure (OpenVPN).

على خوادم VPN لدينا، XRay-core يعمل بمدخلات VLESS على نقلين: TCP (المنفذ 443) مع Reality، وXHTTP (المنفذ 8444) أيضاً مع Reality. نقل TCP المسار الأساسي. XHTTP نقل أحدث يستطيع نفقاً عبر CDNs إذا حُظر مسار TCP.

على جانب العميل، نشغّل XRay-core محلياً، متصلاً بواجهة Wintun TUN عبر tun2socks. كل مرور النظام يوجَّه عبر النفق. العميل يخصّص بيانات الاعتماد من API لدينا، يكتب تكوين XRay محلي، ويبدأ الاتصال. إذا فشل اتصال VLESS (أو إذا كان المستخدم على شبكة لا يحتاجه)، العميل يستطيع تلقائياً السقوط احتياطياً لـ WireGuard لأداء أفضل.

نتحقق من كل اتصال VLESS بنفس الطريقة التي نتحقق بها من WireGuard وOpenVPN: فحص IP عام، تحقق traceroute، وping محدود الواجهة. إذا لم يكن المرور يتدفق فعلاً عبر النفق، الاتصال يُسم فاشلاً.

البروتوكول يضيف overhead أدنى. تكاليف رأس VLESS 25 إلى 50 بايت لكل حزمة. TLS 1.3 يضيف overhead خاصاً به، لكن بما أنك ستستخدم TLS على أي حال لمقاومة الرقابة، التكلفة الصافية لاختيار VLESS فوق بروتوكول بطبقة تشفير خاصة به سالبة فعلياً.

هل يجب أن تهتم بـ VLESS؟

إذا كنت في بلد بوصول إنترنت غير مقيّد وتريد فقط VPN سريعاً، WireGuard البروتوكول الأفضل. أسرع، يعمل في فضاء النواة، له إثبات أمان رسمي، وقاعدة كوده صغيرة بما يكفي ليدققها شخص واحد في عطلة نهاية أسبوع. استخدم WireGuard. رائع.

إذا كنت في بلد تحظر فيه الحكومة مرور VPN، أو إذا كنت على شبكة تؤدي فحص الحزم العميق (يشمل هذا بعض شبكات الشركات والجامعات)، VLESS مع Reality أفضل خيار متوفر اليوم. مرورك يبدو كاتصال HTTPS عادي بـ microsoft.com. لا نظام DPI منشور حالياً يستطيع موثوقاً تمييزه عن تصفّح ويب حقيقي.

إذا كنت في مكان بين، VPN يدعم كلا البروتوكولين ويستطيع التبديل تلقائياً يستحق الامتلاك. ظروف الشبكة تتغير. Wi-Fi فندق يعمل بشكل جيد مع WireGuard اليوم قد يشغّل DPI غداً.

VLESS ليس رصاصة فضية. محاولات روسيا لحظره تظهر أن الرقباء يدرسون البروتوكول بنشاط. امتداد Reality يجعل الكشف أصعب بكثير، لكن سباق التسلح يستمر. ما يهم أن VLESS موجود، يعمل، ويعطي الناس في بعض من أكثر الدول رقابة على الأرض طريقاً للوصول للإنترنت المفتوح.

ذلك يستحق البناء له.

Fexyn VPN يتضمن VLESS Reality مع Vision flow إلى جانب WireGuard وOpenVPN، مع تبديل بروتوكول تلقائي. لمقارنة وجهاً لوجه مع مزود آخر بدون تجاوز DPI، انظر Fexyn مقابل Mullvad. Mullvad ممتاز على الخصوصية لكن لا يشحن بروتوكولاً من فئة Reality. تستطيع فحص الخطط على صفحة التسعير.

ما هو VLESS؟ بروتوكول مبني لمقاومة الرقابة | Fexyn VPN