VLESS Reality: guia do protocolo em 2026

VLESS Reality é o protocolo que continua funcionando onde outros falham. Se você está procurando VPN que funcione na Rússia, Irã, China, ou Paquistão em 2026, provavelmente bateu na mesma parede que todo mundo bate. Handshakes WireGuard são mortos em segundos. OpenVPN é mal melhor. Maioria dos modos "stealth" ou "ofuscados" das marcas grandes é pattern-matched também.

O protocolo que tem aguentado é VLESS Reality. É a razão técnica pela qual um pequeno número de VPNs de consumidor (incluindo Fexyn) continua funcionando em redes pesadas de DPI enquanto os nomes conhecidos são bloqueados.

Esta é a versão longa. O que Reality realmente é, por que funciona, onde não funciona, e onde se posiciona em relação a outros protocolos de circunvenção de censura que você pode ter ouvido.

O que é VLESS Reality

VLESS é um protocolo de transporte do projeto XRay-core, originalmente construído por desenvolvedores na China que precisavam de algo que o Great Firewall não conseguisse detectar.

Reality é um recurso por cima do VLESS, lançado em Xray-core v1.8.0 no início de 2023. Truques anteriores de ofuscação tentavam fazer o tráfego VPN parecer HTTPS. Reality não aproxima. Realiza um handshake TLS 1.3 real para um site público real, e encaminha o certificado real daquele site ao cliente.

Três coisas são reais:

O handshake TLS é um handshake TLS 1.3 real, byte-idêntico ao que seu navegador mandaria.
O certificado que o servidor retorna é um certificado real, assinado por uma CA real, pra um domínio real como www.microsoft.com.
O alvo do handshake é um site de produção real que já serve milhões de usuários legítimos.

Não há nada falso pra detectar. A decepção é estrutural: escondida dentro do handshake, uma pequena quantidade de material criptográfico pré-compartilhado identifica clientes autenticados. Tudo que um observador pode ver é HTTPS genuíno pra um host que eles não podem se dar ao luxo de bloquear.

Por que "parece HTTPS" não foi suficiente

DPI não precisa descriptografar seu tráfego pra identificar o protocolo carregando. Só precisa reconhecer a forma do tráfego no fio.

A iniciação de handshake do WireGuard é sempre exatamente 148 bytes, com campo de tipo de 1 byte, três bytes zero reservados, índice de remetente de 4 bytes, e chave pública efêmera de 32 bytes. A estrutura nunca varia. TSPU da Rússia pode detectar WireGuard com precisão próxima de 100% no primeiro pacote.

OpenVPN tem padrões de timing e framing reconhecível de canal de controle. Great Firewall bloqueia confiavelmente há anos.

Ferramentas anteriores de ofuscação tentaram esquivar disso:

obfs4 envolveu tráfego em camada projetada pra parecer ruído aleatório. Depois DPI começou a sinalizar streams de alta entropia que não combinavam com qualquer protocolo conhecido. Ruído aleatório é conspícuo quando tudo ao redor tem estrutura.
Shadowsocks tem o mesmo problema de entropia. Variantes AEAD ajudaram, mas a ausência de handshake TLS permaneceu detectável. DPI chinês sinaliza streams Shadowsocks quando mostram payloads de alta entropia desde o pacote um, sem handshake precedente.
Trojan foi além realizando handshake TLS real e servindo um site de aparência real a probers não autenticados. A quebra: Trojan usa certificado auto-emitido, e logs Certificate Transparency tornam esses certificados trivialmente distinguíveis dos certs reais Microsoft ou Cloudflare que estavam tentando imitar.

O padrão entre todos: tentaram imitar tráfego normal sem ser de fato tráfego normal. Dada análise suficiente, a imitação se quebra.

Como Reality realmente funciona

Passo a passo, o que acontece quando seu cliente conecta:

1. ClientHello. O cliente Fexyn abre conexão TCP pro servidor Fexyn e manda ClientHello TLS 1.3. O campo SNI carrega o hostname real de site público real (usamos alvos rotativos de alto tráfego — www.microsoft.com é o exemplo canônico). O ClientHello é gerado por uTLS pra imitar fingerprint atual de Chrome, Firefox, ou Safari exatamente. Qualquer DPI olhando pro ClientHello vê navegador normal abrindo conexão pra Microsoft.

2. Autenticação dentro do handshake. Escondido dentro da extensão key-share (que TLS 1.3 mantém criptografada de observação passiva), o cliente passa um shortId mais uma chave pública X25519. O servidor valida. Autenticação é invisível de fora do handshake.

3. O servidor conecta ao alvo real. Concorrente com o passo 2, o servidor Fexyn abre sua própria conexão TLS ao real www.microsoft.com. Realiza handshake legítimo. Microsoft não sabe ou se importa que Fexyn está fazendo isso; parece mais um proxy reverso.

4. O certificado real é encaminhado de volta. A cadeia de certificado que Microsoft retorna é entregue ao cliente. O cliente verifica do mesmo jeito que navegador faria. A cadeia é genuína, os SCTs estão em Certificate Transparency, o emissor é CA pública.

5a. Clientes autenticados tunelam. Se o passo 2 passou, o servidor usa a sessão TLS estabelecida como transporte pra frames VLESS. Dados VPN fluem dentro do que parece sessão HTTPS pra Microsoft.

5b. Clientes não autenticados são encaminhados. Se um prober de censor conecta sem credenciais válidas, o servidor proxia transparentemente pro real www.microsoft.com. Recebe conteúdo Microsoft real. Cabeçalhos reais. Registros TLS reais. Tudo real. O servidor é indistinguível de proxy reverso legítimo na frente da Microsoft.

Esse é o jogo inteiro. Um observador passivo vê HTTPS pra Microsoft. Um prober ativo recebe Microsoft. A única coisa que distingue um cliente Reality real de qualquer outro visitante Microsoft é o shortId criptografado na extensão key-share, que o censor não pode ler.

Resistência a probing ativo

Censores não só analisam tráfego passivamente. Probam.

Quando Great Firewall vê conexão que pode ser proxy, despacha sua própria conexão pro mesmo servidor dentro de minutos. Se a resposta do servidor difere de serviço legítimo, o IP é bloqueado.

É assim que toda implantação Trojan eventualmente é pega. Um prober conecta, falha em autenticar, e o servidor retorna página web placeholder. O placeholder pode servir bem pra HTML, mas o certificado não combina com o que Certificate Transparency diz que aquele domínio deveria ter. Ou os cabeçalhos de resposta HTTP são sutilmente diferentes do software real que o domínio alega rodar. Inconsistências pequenas, mas suficientes.

Reality não tem nada pra comparar contra porque não há falso. O prober ativo é conectado à Microsoft real. Mesmo certificado que Certificate Transparency espera. Mesmos cabeçalhos que Microsoft serve. Mesmo conteúdo que Microsoft hospeda. Não há inconsistência pra achar.

O ataque restante é reputação de IP: notar que um IP recebe conexões de usuários residenciais e também faz proxy pra Microsoft, e que esse padrão é incomum. TSPU da Rússia teve sucesso limitado com isso, bloqueando algumas faixas VPS que combinam com o padrão. A taxa de detecção contra Reality bem implantado de IPs com aparência residencial ainda está abaixo de 5% baseado em relatórios da comunidade até início de 2026.

O Vision flow e por que TLS-em-TLS importa

Há uma sutileza que vale entender. Quando você tunela tráfego VPN dentro de conexão TLS, todo site HTTPS que visita pelo túnel gera seu próprio handshake TLS. Isso cria registros TLS aninhados dentro de registros TLS: padrão "TLS-em-TLS" visível através de análise de tráfego mesmo quando os dados são criptografados.

O XTLS Vision flow (xtls-rprx-vision) detecta quando o payload interno já é protegido por TLS e o passa adiante com wrapping mínimo adicional. O TLS Reality externo lida com autenticação e framing; o TLS interno de aplicação flui sem criptografia redundante.

Um paper USENIX de 2024 confirmou que tráfego VLESS+Vision é estatisticamente indistinguível de conexão HTTPS direta ao host de camuflagem, mesmo sob análise de tamanho de pacote e timing. Sem Vision, o padrão TLS-em-TLS ainda seria sinal de detecção viável.

Fexyn envia VLESS Reality com Vision flow por padrão. Você não tem que pensar nisso.

Por que importa: a corrida armamentista do DPI

A luta no nível de protocolo em 2026 está acontecendo em três frentes principais.

TSPU da Rússia está operacional desde 2021 e agora fica em todo provedor russo licenciado. Bloqueia WireGuard, OpenVPN, IKEv2, L2TP, VLESS plano sem Reality, e SOCKS5 com alta precisão. Roskomnadzor bloqueou 469 serviços VPN por nome em fevereiro 2026. Rússia também está experimentando bloquear VLESS genérico (sem Reality) desde fim de 2025. Reality com Vision ainda passa porque o host de camuflagem é algo que Roskomnadzor não pode bloquear sem quebrar serviços essenciais.

Great Firewall da China tem sido o ambiente mais difícil pra VPNs desde pelo menos 2009. A escalada de abril 2026 fisicamente desconectou milhares de servidores relay e adicionou análise de entropia, inspeção de SNI QUIC, e identificação DoH. Detecção Shadowsocks agora atinge 30-60% de precisão. Reality continua funcionando porque o fluxo de camuflagem parece HTTPS normal pra um host que GFW não pode bloquear.

MITM de fingerprint TLS do Irã é uma fera diferente. Infraestrutura de filtragem do Irã realiza MITM parcial em handshakes TLS durante períodos de turbulência, procurando fingerprints de protocolo dentro de tráfego criptografado. WireGuard e OpenVPN planos não sobrevivem. Reality sobrevive, porque o handshake do Reality é, por construção, handshake real pra site real.

DPI mandado pela BTK da Turquia, repressão PTA do Paquistão (dezembro 2025), e filtragem TE Data do Egito todos rodam versões mais leves do mesmo manual. A filtragem no nível de protocolo continua escalando; Reality continua se adaptando porque não há handshake falso pra fingerprint.

VLESS Reality vs outros protocolos

Protocolo	Resistência a DPI	Velocidade	Maturidade	Quando usar
WireGuard	Nenhuma — fingerprinted pela iniciação de 148 bytes	Mais rápido	Produção	Redes abertas. Em qualquer lugar sem filtragem ativa de VPN.
OpenVPN	Baixa — handshake e timing reconhecíveis	Mais lento que WireGuard	Maduro	Fallback de compatibilidade. Redes levemente filtradas.
Shadowsocks (AEAD)	Moderada — análise de entropia pega na China	Rápido	Maduro	Redes chinesas mais antigas antes da escalada 2024.
V2Ray VMess	Baixa-moderada	Moderado	Envelhecendo	Implantações XRay legadas.
Trojan-GFW	Moderada — pego por incompatibilidades de transparência de certificado	Rápido	Maduro	Melhoria sobre Shadowsocks; ainda detectável por probing ativo.
Hysteria 2	Moderada — fingerprints QUIC	Muito rápido em redes com perda	Recente	Redes móveis com alta perda de pacote; alguns ambientes leves de censura.
NaiveProxy	Alta — usa stack de rede própria do Chrome	Moderado	Recente	Quando precisa de indistinguibilidade nível-navegador pra HTTP/2.
VLESS Reality + Vision	Mais alta — handshake TLS real, certificado real, alvo real	Moderada (overhead de handshake TCP)	Produção	Rússia, China, Irã, EAU, Arábia Saudita, Paquistão, Turquia. Em qualquer lugar com DPI ativo.

O resumo honesto: em qualquer país que não está ativamente tentando bloquear tráfego VPN, WireGuard ganha em velocidade. Assim que a rede começa a filtrar protocolos, a resposta é qualquer variante Reality que seu provedor envie. Hysteria tem vantagens de velocidade em redes móveis com perda mas seu fingerprint QUIC ainda é sinal de detecção. NaiveProxy é tecnicamente forte mas tem footprint implantado menor, o que significa menos provedores enviando e menos usuários pra se misturar.

Comparamos os principais protocolos de circunvenção de censura em detalhe se quer ir mais fundo que essa tabela.

Por que maioria das grandes VPNs não envia Reality

Essa foi a pergunta que tivemos antes de começar o Fexyn, e tem algumas respostas.

Reality requer XRay-core. XRay é codebase Go originalmente construído pra self-hosters na China. As marcas grandes de VPN todas enviam suas próprias stacks de protocolo (NordLynx do NordVPN é WireGuard customizado, Lightway do ExpressVPN é protocolo customizado, Mullvad e ProtonVPN rodam WireGuard modificado). Nenhuma delas reconstruiu suas frotas de servidor e clientes ao redor de codebase open-source de ecossistema diferente. Fazer corretamente é projeto de engenharia significativo.

Reality requer alvos reais de camuflagem. Você não pode apontar Reality a domínio que controla. Um censor notaria que milhares de usuários conectam a domínio hospedado no mesmo VPS que seu servidor VPN. Você precisa usar grandes sites públicos (Microsoft, Cloudflare, Apple) e rotear por eles transparentemente. As marcas grandes não construíram essa infraestrutura.

Reality é mais difícil de suportar. Quando uma conexão Reality falha, os modos de falha se ramificam: pode ser o domínio de camuflagem, o shortId, as chaves X25519, o fingerprint uTLS, a conexão do servidor ao alvo de camuflagem, ou meia dúzia de outras coisas. WireGuard falha de três jeitos e você pode diagnosticar cada um em 30 segundos. Reality requer mais profundidade na equipe de suporte.

Maioria das VPNs não teve que. Se sua base de clientes está nos EUA, UK, e Alemanha, WireGuard funciona bem. O fosso Reality existe pra usuários em países onde WireGuard não funciona. Esse é mercado comercial menor, que é por que as marcas otimizadas pro mercado maior não investem nele.

Fizemos a escolha oposta. Fexyn foi construído primariamente pra usuários em mercados pesados de censura: Rússia, Turquia, Golfo, Paquistão, Irã. Nesses mercados, Reality não é recurso. É a única coisa que funciona.

Como Fexyn envia Reality

Fexyn Stealth é nossa produtização de VLESS Reality com Vision flow. Os detalhes técnicos:

Lado do servidor: XRay-core v26+ em todo servidor Fexyn (Frankfurt, Helsinki, Cyprus, Ashburn).
Alvos de camuflagem: conjunto rotativo de sites públicos de alto tráfego; o cliente recebe configuração completa da nossa API no tempo de conexão, então o alvo de camuflagem pode ser atualizado sem release de cliente.
Fingerprint uTLS: combina fingerprints atuais de Chrome, Firefox, e Safari; atualizamos conforme navegadores atualizam pra que o fingerprint nunca fique velho.
Autenticação: shortId por dispositivo mais chaves X25519 por servidor, rotacionadas a cada 24 horas via nossa PKI.
Vision flow: habilitado por padrão, elimina o padrão TLS-em-TLS.

Maioria dos usuários não precisa tocar nada disso. O motor de rotação de protocolo do Fexyn tenta Fexyn Bolt (WireGuard) primeiro porque é mais rápido. Se Bolt é bloqueado ou estrangulado pela sua rede, o cliente troca pra Stealth automaticamente. Não precisa configurar nada.

Em países onde Bolt sabidamente não funciona (Rússia, Irã, China), pine Stealth como padrão nas configurações do app. Documentamos isso nas páginas de país: Rússia, Paquistão, EAU, Arábia Saudita, Turquia.

Quando Reality é a resposta errada

Reality não é grátis.

Latência. Reality adiciona cerca de 100ms ao setup de conexão comparado com WireGuard, por causa do handshake TLS extra ao alvo de camuflagem. Depois disso, tráfego em curso é aproximadamente o mesmo que qualquer outra sessão TLS.
Overhead TCP. Reality roda sobre TCP. WireGuard roda sobre UDP. Em redes com perda (móvel, Wi-Fi congestionado), head-of-line blocking do TCP causa travamentos ocasionais que UDP evitaria.
CPU no cliente. O handshake TLS 1.3 do Reality é mais pesado que o handshake Noise do WireGuard. Em celulares mais velhos ou máquinas de baixa potência, vai notar a diferença no tempo de conexão.

Se está conectando de rede sem DPI (sua conexão doméstica em São Paulo, aeroporto em Lisboa, escritório no Porto), não há razão pra pagar esses custos. WireGuard é mais rápido, mais simples, e funciona bem.

A decisão é essencialmente: alguma coisa entre você e a internet aberta está tentando bloquear VPNs? Se sim, use Stealth. Se não, use Bolt. O app Fexyn toma a decisão automaticamente por padrão.

Taxas reais de detecção

Baseado em testes da comunidade e nossa própria telemetria de servidor até início de 2026:

País	WireGuard	OpenVPN	VLESS Reality
Rússia (TSPU)	Bloqueado instantaneamente	Bloqueado ou estrangulado	~95% sucesso
China (GFW)	Bloqueado	Bloqueado	Funciona, bloqueios ocasionais de faixa de IP
Irã	Bloqueado	Intermitente	Funciona
Turquia (BTK)	Bloqueado durante incidentes	Estrangulado	Funciona
EAU (Etisalat / du)	Estrangulado	Estrangulado	Funciona
Paquistão (PTA)	Bloqueado desde dez 2025	Bloqueado	~80% sucesso
Arábia Saudita (CITC)	Estrangulado, varia por operadora	Estrangulado	Funciona

A taxa de sucesso russa é limitada principalmente por bloqueio de reputação de IP em faixas VPS específicas, não por detecção de protocolo. Os 80% do Paquistão refletem que o DPI da PTA está acelerando e mesmo Reality ocasionalmente degrada em operadoras específicas em horários específicos. Nenhum protocolo dá 100% de confiabilidade em todo lugar; Reality é o mais próximo que se consegue em 2026.

Perguntas frequentes

VLESS Reality é a mesma coisa que VLESS?

Não. VLESS é o protocolo subjacente. Reality é uma camada de transporte que envolve VLESS num handshake TLS 1.3 real para um site público real. Você pode rodar VLESS sem Reality (maioria das implantações iniciais fez), mas VLESS plano agora é bloqueado na Rússia e em vários outros ambientes DPI. Quando pessoas dizem "VLESS" em 2026, quase sempre querem dizer VLESS Reality com Vision flow.

O Great Firewall pode bloquear Reality?

Pra bloquear Reality completamente, China precisaria bloquear o host de camuflagem — Microsoft, Cloudflare, Apple. Fazer isso quebraria serviços empresariais essenciais pra usuários chineses. Até agora, China não tem disposição de pagar esse preço. O bloqueio ativo contra Reality está na camada de reputação de IP, que pega algumas implantações mas não todas.

Por que encaminhar pra Microsoft em vez de usar seu próprio domínio?

Se usássemos um domínio controlado pelo Fexyn como alvo de camuflagem, toda conexão iria pra um IP Fexyn. Um censor notaria o padrão: usuários residenciais conectando a fexyn-algo.com é cliente VPN reconhecível. Usar site público real significa que nossas conexões se misturam com os milhões de conexões legítimas àquele site todo dia.

Como isso é diferente dos modos "stealth" ou "ofuscados" da NordVPN, ExpressVPN, ProtonVPN?

Esses modos envolvem WireGuard ou OpenVPN em padding similar a TLS. O wrapper faz o tráfego parecer com formato TLS mas não é handshake TLS real — não há certificado real e nem alvo real. DPI na Rússia, Irã, e vários outros mercados tem feito pattern-matching desse estilo de ofuscação desde 2023. Reality é estruturalmente diferente: não há wrapper, o handshake é real.

Preciso configurar Reality eu mesmo?

Não no Fexyn. Cadastre, instale o app, conecte. O app escolhe o protocolo certo pra sua rede. Em mercados pesados de censura, pine Stealth nas configurações pra pular a auto-detecção.

E quanto a Hysteria, NaiveProxy, TUIC?

São todos protocolos interessantes. Hysteria 2 é excelente em redes móveis com perda. NaiveProxy usa código de rede Chrome real então tem indistinguibilidade nível-navegador. TUIC é design baseado em QUIC com propriedades promissoras. Nenhum tem a combinação do Reality de (a) TLS real para sites públicos reais, (b) Vision flow eliminando detecção TLS-em-TLS, e (c) footprint implantado grande o suficiente pra se misturar. Monitoramos eles; agora Reality é a escolha disponível mais forte pros mercados que servimos. Comparação detalhada de protocolos aqui.

Rússia vai bloquear Reality em seguida?

Rússia está investigando. O orçamento Roskomnadzor 2026 inclui ~20 bilhões de rublos por ano pra "infraestrutura permanente de censura de VPN". Mas o problema arquitetural é real: Reality não pode ser bloqueado sem bloquear o host de camuflagem, e os hosts de camuflagem são sites que Rússia não pode se dar ao luxo de quebrar. A resposta pragmática é que Reality continuará funcionando até Rússia estar disposta a quebrar Microsoft e Cloudflare pra usuários ordinários, o que não tem estado disposta a fazer até agora. Acompanhamos a situação e atualizaremos esta página conforme evolui.

Se você está em país onde protocolos VPN padrão param de funcionar, experimente o Fexyn grátis por 7 dias. Sem cartão exigido. Stealth (VLESS Reality com Vision flow) está incluído em todo plano. Usamos preço Tier 4 (US$ 2,99/mês) pra Rússia, Paquistão, e vários outros mercados. Cobrança apenas em crypto pra Rússia; cartão ou crypto em todo lugar.