Glosario
VLESS Reality vs Trojan-GFW
Ambos realizan handshakes TLS reales. Trojan usa tu propio certificado; Reality usa el de un tercero. Reality sobrevive a la comparación con Certificate Transparency; Trojan cada vez menos.
Trojan-GFW (lanzado en 2019) y VLESS Reality (lanzado en 2023) ambos apuntan al mismo problema y usan enfoques relacionados pero diferentes. Reality es el sucesor arquitectónico; Trojan todavía funciona en algunos entornos pero es cada vez más detectable.
De un vistazo
| Trojan-GFW | VLESS Reality + Vision | |
|---|---|---|
| Lanzamiento | 2019 | 2023 |
| Handshake TLS | Real, hacia tu propio dominio | Real, hacia dominio público de tercero |
| Certificado | Propio (Let's Encrypt típico) | Cert real de tercero (Microsoft, etc.) |
| Respuesta a sondeo activo | Tu propio servidor placeholder | Sitio real de tercero |
| Vulnerabilidad ante Certificate Transparency | Sí — tu cert está en logs CT | No — no controlas el cert |
| Complejidad de setup | Moderada | Mayor (configuración de host de camuflaje) |
| Tasas de detección (China/Rusia 2026) | Moderada, subiendo | <5% |
El modelo Trojan
Trojan realiza un handshake TLS 1.3 real hacia un servidor que controlas, usando un certificado que obtuviste (Let's Encrypt típicamente). Los clientes autenticados tunelizan; las conexiones no autenticadas (probadores activos) son servidas un sitio web placeholder que también configuras.
La defensa: el handshake es real, el certificado es real, el sitio web placeholder es real. Para la observación pasiva, esto parece HTTPS común hacia tu dominio.
La vulnerabilidad: Certificate Transparency. Los logs CT contienen cada certificado TLS emitido por las CAs principales. Si el probador activo de un censor obtiene tu certificado durante un sondeo, puede compararlo contra lo que dicen los registros CT sobre tu dominio — y el patrón de cert de tu despliegue Trojan es reconocible.
Específicamente: un sitio web de producción real típicamente tiene un certificado que ha sido válido por meses o años, ha sido renovado múltiples veces, tiene un campo de organización tipo corporativo. Un despliegue Trojan típicamente tiene un cert Let's Encrypt emitido hace días o semanas para un dominio sin otra historia de cert de producción. El patrón es una bandera.
Sofisticados despliegues de DPI — el GFW de China, cada vez más otros — miran los registros CT durante el sondeo activo y detectan despliegues Trojan por estos patrones. La detección no es perfecta pero es significativa.
El modelo Reality
Reality NO usa tu propio certificado. El servidor Reality reenvía el certificado de un sitio público real (microsoft.com, cloudflare.com, apple.com). Los clientes autenticados tunelizan dentro de la sesión TLS establecida; las conexiones no autenticadas son enrutadas de forma transparente al sitio público real.
El certificado que el probador activo ve es el certificado real de Microsoft (o Cloudflare, o Apple). Los registros CT coinciden. El certificado es lo que ven los usuarios reales cuando se conectan a ese dominio. No hay desajuste cert-vs-CT tipo Trojan porque no hay falsificación.
El costo es operativo: Reality requiere que el servidor mantenga el proxy TLS en tiempo real hacia el host de camuflaje. La configuración es más compleja que Trojan.
Resistencia al sondeo activo
Ambos protocolos manejan el DPI pasivo de manera similar — handshake TLS real significa que la entropía y el timing coinciden con normas HTTPS. La diferencia está en el sondeo activo.
Trojan: el probador conecta, obtiene tu sitio placeholder, puede comparar tu certificado contra CT por inconsistencias. Vulnerable.
Reality: el probador conecta, es enrutado de forma transparente al sitio real de Microsoft, ve el certificado real de Microsoft, ve la respuesta real de Microsoft. Indistinguible de una visita normal a Microsoft.
Esta es la ventaja estructural que Reality tiene sobre Trojan. La asimetría de detección ha estado creciendo a medida que la detección basada en CT madura.
El flow Vision
Reality con el flow Vision (xtls-rprx-vision) elimina aún más el patrón TLS-en-TLS visible en el análisis de tráfico. Trojan no tiene un equivalente; el patrón de TLS interno dentro de TLS externo es detectable a través del análisis de tráfico aunque los handshakes individualmente sean reales.
Para usuarios en mercados donde la detección por análisis de tráfico es sofisticada (China específicamente, cada vez más Rusia), Reality + Vision es significativamente más resistente que Trojan.
Cuándo funciona cada uno
Trojan: entornos de censura de dificultad media. El filtrado de Irán atrapa algunos despliegues Trojan; el de Emiratos atrapa algunos. El patrón: self-hosters sofisticados manteniendo higiene cuidadosa de dominios obtienen vida útil más larga de Trojan; los despliegues casuales fallan más rápido.
Reality: todos los mercados donde Trojan falla. China, Rusia, Irán, Emiratos, Arabia Saudí, Pakistán. Más el resto de los mercados donde Trojan todavía funciona (Reality también funciona ahí).
En 2026, la recomendación práctica es Reality. Trojan todavía tiene algo de vida útil operativa pero la trayectoria de detección es desfavorable.
Self-hosting
Trojan es más fácil de self-hostear. Herramientas estándar, configuración mínima más allá de dominio + certificado.
Reality requiere elegir un host de camuflaje, configurar la lógica de proxy, gestionar el flow Vision, elegir y rotar shortIds. Herramientas especializadas (XRay-core); más piezas móviles.
Para usuarios que quieren self-hostear con máxima simplicidad, Trojan es más amigable. Para usuarios que quieren máxima resistencia a la detección, Reality es mejor a pesar de la complejidad.
Qué entrega Fexyn
Reality con el flow Vision como Fexyn Stealth. No entregamos Trojan como protocolo primario porque Reality es operativamente mejor en nuestros mercados objetivo. Algunos proveedores comerciales ofrecen ambos como opciones de protocolo configurables.
Prueba Fexyn gratis por 7 días — Reality + Vision en todos los planes.
Términos relacionados
Prueba Fexyn gratis por 7 días
App para Windows disponible ahora en Beta. WireGuard, VLESS Reality y OpenVPN, sin registros de historial de navegación, consultas DNS ni contenido del tráfico.
Ver precios