Glosario
Qué es VLESS
Un protocolo VPN diseñado para parecer indistinguible del tráfico HTTPS común — usado para derrotar el DPI en países censurados.
VLESS es un protocolo VPN que corre sobre XRay (un fork de v2ray-core). Fue construido específicamente para usuarios en países donde los protocolos VPN estándar son identificados por huella y bloqueados por deep packet inspection.
La característica titular es el modo Reality. Las VPNs "obfuscadas" estándar intentan hacer que su handshake parezca HTTPS — pero el handshake que generan no es real, y el DPI usualmente puede notarlo. VLESS Reality hace algo diferente: realiza un handshake TLS 1.3 real hacia un sitio web público real. El certificado servido de regreso es el certificado real. El SNI es el SNI real. Para el DPI, la conexión es estructuralmente idéntica a cualquier otra sesión HTTPS hacia ese host.
Cómo funciona Reality
El flujo:
- El cliente Fexyn abre una conexión TCP a un servidor Fexyn y envía un ClientHello de TLS 1.3 con el SNI de un sitio público real (microsoft.com, cloudflare.com, o un host similar de alto tráfico). Una pequeña pieza de material de autenticación (shortId + clave pública X25519) está oculta dentro de la extensión cifrada key-share.
- El servidor Fexyn abre su propia conexión TLS hacia el sitio real real y reenvía el handshake.
- El certificado que el sitio real devuelve fluye de regreso al cliente sin cambios — es el certificado real de la CA real. La cadena valida. El handshake completa.
- Los clientes autenticados obtienen una sesión VPN tunelizada dentro de la conexión TLS 1.3 establecida. Los probadores no autenticados son enrutados de forma transparente al sitio real, así que obtienen una respuesta real.
Para el DPI observando el cable, el tráfico parece una sesión HTTPS de navegador normal hacia un sitio público mayor. Mismo SNI que la conexión de cualquier otra persona hacia ese sitio. Mismo certificado. Mismo timing y comportamiento de handshake que un navegador real.
Para bloquear esto, el censor tendría que bloquear el host del handshake — y ese host es algo como Microsoft o Cloudflare, del cual la mayor parte del otro tráfico de internet en el país también depende. El daño colateral es demasiado alto.
Por qué esto es estructuralmente diferente
La mayoría de los enfoques de "obfuscación" parten de un protocolo VPN e intentan disfrazarlo como HTTPS. VLESS Reality parte de HTTPS real y carga datos VPN dentro. La diferencia importa: "parece HTTPS a un vistazo rápido" es identificable por huella; "es HTTPS, indistinguible de cualquier otra sesión HTTPS al mismo host" no lo es.
En países que corren TSPU (Rusia), GFW (China), o DPI mandado por BTK (Turquía), esto importa. Una conexión WireGuard estándar es throttleada en segundos. VLESS Reality sigue funcionando.
Costo
VLESS Reality es más pesado que WireGuard:
- Latencia extra del handshake TLS 1.3 (~100-200 ms más en el connect inicial).
- Más CPU en el cliente por la criptografía más pesada.
- Sobrecarga por paquete ligeramente mayor que WireGuard.
Vale la pena cuando WireGuard está bloqueado. Es exagerado cuando WireGuard funciona bien.
Cómo Fexyn lo entrega
Fexyn Stealth es VLESS Reality. El motor de rotación de Fexyn intenta WireGuard primero por defecto; si WireGuard falla o es throttleado, hace fallback a Stealth. Los usuarios en redes restrictivas conocidas (Turquía, Rusia, Irán, China) pueden fijar Stealth como predeterminado en los ajustes de la app.
Lee más en VLESS Reality en Fexyn, Qué es el protocolo VLESS, y VLESS Reality explicado.
Prueba Fexyn gratis por 7 días — Stealth está incluido en todos los planes.
Términos relacionados
Prueba Fexyn gratis por 7 días
App para Windows disponible ahora en Beta. WireGuard, VLESS Reality y OpenVPN, sin registros de historial de navegación, consultas DNS ni contenido del tráfico.
Ver precios