Glosario
Qué es Reality (protocolo Reality)
Un transporte para VLESS que realiza un handshake TLS real hacia un sitio público real, reenviando el certificado real de ese sitio para que el DPI vea HTTPS común.
Reality es un mecanismo de transporte para tráfico VPN, agregado a XRay-core en la versión 1.8.0 a inicios de 2023. Se usa más frecuentemente con el protocolo VLESS; la combinación normalmente se escribe "VLESS Reality" o solo "Reality".
El problema que Reality resuelve: ¿cómo construyes una conexión VPN que el deep packet inspection no pueda detectar? Las herramientas de obfuscación anteriores (Shadowsocks, Trojan, VLESS plano) intentaban hacer que el tráfico pareciera HTTPS. El problema de detección que todas tenían: su handshake TLS es falso, su certificado es auto-emitido, o su comportamiento durante el sondeo activo difiere del de un sitio web real.
Reality es estructuralmente diferente. Realiza un handshake TLS 1.3 real hacia un sitio público real como microsoft.com, y reenvía el certificado real de ese sitio al cliente. El handshake TLS es real. La cadena de certificados es real. El sitio al que pareces conectarte es un servicio de producción real al que millones de usuarios legítimos conectan.
Cómo funciona
Cuando un cliente conecta a un servidor Reality:
- El cliente envía un ClientHello de TLS 1.3 con el SNI de un sitio público real (microsoft.com, cloudflare.com, apple.com — el operador elige).
- Oculto dentro de la extensión cifrada key-share, el cliente pasa un
shortIdy una clave pública X25519 para autenticarse. - El servidor Reality abre su propia conexión TLS hacia el sitio real real y realiza un handshake legítimo.
- El certificado que el sitio real devuelve es reenviado al cliente. La cadena valida contra CAs confiables porque es un certificado real de CAs reales.
- Los clientes autenticados obtienen una sesión tunelizada dentro de la conexión TLS establecida. Los clientes no autenticados son enrutados de forma transparente al sitio real, así que cualquier probador obtiene una respuesta real.
No hay handshake falso que detectar. La decepción es estructural — una pequeña pieza de material criptográfico oculta dentro de un handshake TLS de otra forma genuino.
El flow Vision
Un vector de detección sutil: cuando el tráfico VPN corre dentro de un túnel TLS, el payload cifrado contiene sus propios handshakes TLS (cada sitio HTTPS que visitas a través del túnel genera uno). Esto crea un patrón TLS-en-TLS detectable a través del análisis de tráfico.
El flow Vision (xtls-rprx-vision) elimina esto. Detecta cuándo el payload interno ya está protegido por TLS y lo pasa con envoltura adicional mínima. El TLS exterior de Reality maneja la autenticación y framing; el TLS interno de aplicación fluye sin cifrado redundante.
El resultado es que el tráfico VLESS+Reality+Vision es estadísticamente muy cercano a una conexión HTTPS directa al host de camuflaje — el patrón TLS-en-TLS que los protocolos obfuscados anteriores filtraban se ha ido.
Cuándo importa
Reality es exagerado en redes sin filtrado activo de VPN. WireGuard es más rápido y simple; úsalo donde funcione.
Reality importa en países donde los protocolos VPN estándar son bloqueados: Rusia (TSPU), China (Gran Firewall), Irán (Filtering Resistance Agency), Pakistán (PTA), Emiratos y Arabia Saudí (DPI a nivel operador), Turquía (BTK). En esas redes, Reality con Vision es actualmente el protocolo VPN de consumo más confiable.
Cómo Fexyn lo entrega
Fexyn Stealth es nuestra productización de VLESS Reality con el flow Vision. El cliente recibe el objetivo de camuflaje, shortId y claves X25519 desde nuestra API al momento de conectar, así que las actualizaciones de configuración no requieren un release del cliente. Las huellas uTLS se mantienen actualizadas para que el ClientHello coincida con un Chrome, Firefox o Safari reciente.
El motor de rotación de Fexyn intenta WireGuard primero por defecto; si está bloqueado, cambia a Stealth automáticamente. Los usuarios en redes restrictivas conocidas (Rusia, Irán, China) pueden fijar Stealth como predeterminado.
Lee más en la guía del protocolo Reality, VLESS Reality en Fexyn, y Cómo VLESS Reality hace invisible el tráfico VPN para los censores.
Prueba Fexyn gratis por 7 días — Stealth está incluido en todos los planes.
Términos relacionados
Prueba Fexyn gratis por 7 días
App para Windows disponible ahora en Beta. WireGuard, VLESS Reality y OpenVPN, sin registros de historial de navegación, consultas DNS ni contenido del tráfico.
Ver precios