O que é VLESS?
VLESS é um protocolo de proxy. Move o seu tráfego do ponto A para o ponto B através de um túnel criptografado, parecido com o que WireGuard ou OpenVPN faz. A diferença está no que VLESS não faz: ele não criptografa o seu tráfego em si. Entrega esse trabalho ao TLS e sai do caminho.
Essa escolha de design, feita por um desenvolvedor conhecido como RPRX em 2020, importa muito se você está tentando usar a internet na China, Rússia ou Irã.
O problema do VMess
Para entender VLESS, você precisa entender o que veio antes. VMess foi o protocolo original no V2Ray, plataforma de proxy que ficou popular na comunidade anti-censura chinesa por volta de 2018. VMess funcionava, mas tinha um problema de design que ficou cada vez mais doloroso ao longo do tempo.
VMess criptografa seu payload com a própria camada de criptografia. Tudo bem em teoria. Mas você também está rodando isso dentro de uma conexão TLS, porque mandar tráfego VMess não criptografado pela internet seria imediatamente flagrado por qualquer sistema DPI. Então o fluxo de dado real fica assim:
VMess: [criptografia TLS [criptografia VMess [seu dado real]]]
Você está criptografando tudo duas vezes. A camada VMess é redundante porque o TLS já fornece confidencialidade, integridade e autenticação. Você está pagando custo de performance por zero ganho de segurança.
VLESS retira essa criptografia interna:
VLESS: [criptografia TLS [header VLESS [seu dado real]]]
O header VLESS é minúsculo, cerca de 25 a 50 bytes dependendo do tipo de endereço. Compare com OpenVPN, que adiciona 100+ bytes de overhead por pacote. VLESS confia no TLS para fazer a criptografia (ele é muito bom nisso) e se limita a informação de roteamento: para onde o tráfego deve ir, e um UUID para identificar o cliente.
O nome reflete isso diretamente. VLESS significa "VMess Less". Menos overhead, menos complexidade.
Como o VLESS funciona em nível de protocolo
Uma conexão VLESS segue um fluxo direto. Não há handshake multi-rodada, não há dança de troca de chave. O protocolo presume que o TLS já lidou com tudo isso até o momento em que o tráfego VLESS começa a fluir.
O que acontece quando você conecta:
O cliente abre uma conexão TLS para o servidor. É um handshake TLS 1.3 padrão, idêntico ao que o seu navegador faz quando você visita qualquer site HTTPS. Nada nele identifica como tráfego VPN.
Uma vez que o TLS está estabelecido, o cliente manda o header de requisição VLESS:
Versão (1 byte) | UUID (16 bytes) | Tamanho de Addons | Comando | Endereço
O byte de versão é sempre 0 na spec atual. O UUID é seu token de autenticação, segredo compartilhado entre cliente e servidor. O comando é geralmente 0x01 para proxy TCP ou 0x02 para UDP. Em seguida vem o endereço de destino, que diz ao servidor para onde encaminhar seu tráfego.
O servidor valida o UUID, conecta ao destino solicitado e começa a fazer proxy do dado. Não há header de resposta no caso de sucesso. O dado simplesmente começa a fluir. Isso é intencional: menos bytes na rede significa menos para fingerprintar.
Uma coisa que surpreende quem vem de protocolos VPN tradicionais: VLESS não tem criptografia embutida, sem checagem de integridade no próprio header, sem proteção contra replay na camada VLESS. Tudo isso é tratado pelo TLS. Se de alguma forma você rodasse VLESS sem TLS (não rode), seu UUID seria transmitido em texto claro e qualquer um poderia sequestrar a sessão. O protocolo só faz sentido dentro de um túnel TLS.
O fork XRay e onde o VLESS vive
VLESS foi criado pelo RPRX, que também desenvolveu a tecnologia XTLS que torna o Reality possível. Em novembro de 2020, RPRX deu fork no V2Ray para criar XRay-core após disputa de licenciamento sobre XTLS. Os mantenedores do V2Ray tinham preocupações sobre a licença XTLS; RPRX quis se mover mais rápido e entregar XTLS sob termos que ele controlasse. Então XRay virou projeto próprio.
O fork não foi exatamente hostil, mas dividiu a comunidade. V2Ray continuou desenvolvimento separado, eventualmente adicionando a própria implementação VLESS. XRay se moveu mais rápido em inovação de protocolo. Hoje, quando as pessoas falam de VLESS na prática, quase sempre se referem à implementação XRay.
XRay-core tem mais de 35.900 estrelas no GitHub e 208 contribuidores. É uma das ferramentas anti-censura mais ativamente mantidas no mundo, embora quase todo o desenvolvimento e discussão aconteça em chinês. A documentação em inglês existe mas frequentemente é incompleta ou desatualizada. Se você quer entender o que uma feature específica do XRay faz, normalmente acaba lendo o código fonte em Go. Passamos muito tempo lendo esse código fonte.
Não há RFC para VLESS, sem processo de padronização IETF, sem documento formal de especificação. O protocolo é definido pela sua implementação. Isso incomoda algumas pessoas, particularmente as que vêm de design de protocolo onde a spec vem primeiro e implementações seguem. Não incomoda os usuários em Xangai que precisam que funcione amanhã.
Reality: a extensão que muda tudo
VLESS por si só é um protocolo de proxy limpo e mínimo. VLESS com Reality é outra coisa.
Reality foi introduzida no XRay-core v1.8.0 no início de 2023, e resolveu um problema que assolou toda ferramenta anti-censura anterior: o certificado TLS do servidor.
Com proxies TLS tradicionais, seu servidor precisa de um certificado. Você pode pegar um do Let's Encrypt, mas agora o domínio está registrado em você. Um censor pode escanear todos os endereços IP, achar servidores com certas características de certificado, e bloqueá-los. Pior, podem fazer probing ativo: conectar ao seu servidor, checar o certificado, e se não bate com um site real, marcar o IP.
Reality inverte isso. Seu servidor não tem certificado próprio. Em vez disso, ele "empresta" o certificado TLS de um site real, como www.microsoft.com. Quando um censor sonda o seu servidor, recebe um certificado Microsoft legítimo e conteúdo Microsoft real. Só clientes com a chave privada Reality correta podem estabelecer o túnel proxy real.
Escrevemos um detalhamento de como a autenticação TLS do Reality funciona em nossa análise profunda do Reality. A versão curta: é o que existe mais perto de indetectável em produção hoje.
Onde o VLESS é realmente usado
VLESS é popular exatamente nos lugares que você espera: países onde o governo bloqueia ativamente tráfego VPN.
China tem o histórico mais longo com o ecossistema V2Ray/XRay. A equipe da Great Firewall e a comunidade anti-censura estão em corrida armamentista há anos. VMess, Shadowsocks, Trojan e vários outros protocolos foram detectados e bloqueados em momentos diferentes. VLESS com Reality é o estado da arte atual no lado anti-censura. Funciona. Por enquanto.
Rússia escalou agressivamente em 2025. Em fevereiro de 2026, a Rússia tinha bloqueado 469 serviços VPN. Em dezembro de 2025, a Roskomnadzor começou a alvejar VLESS especificamente, o que diz algo sobre o quanto ele tinha ficado eficaz. O sistema DPI russo (TSPU) é sofisticado, mas o design do Reality torna a detecção extremamente difícil sem bloquear todo tráfego TLS para sites grandes, o que quebraria metade da internet.
Irã bloqueia tráfego VPN durante agitação política, o que é frequente. VLESS Reality tem sido uma das formas mais confiáveis de manter conectividade durante apagões de internet, embora a infraestrutura de filtragem do Irã seja menos tecnicamente avançada que a da China ou Rússia.
O padrão entre os três países é o mesmo: protocolos VPN tradicionais são detectados em minutos ou horas, enquanto VLESS com Reality continua funcionando porque os censores não conseguem distinguir do tráfego HTTPS regular sem quebrar sites legítimos.
A maior parte dos usuários VLESS são indivíduos rodando os próprios servidores. Você aluga um VPS fora do país, instala XRay, configura VLESS com Reality, e compartilha os detalhes da conexão com gente que precisa. Esse modelo grassroots é como milhões de pessoas em países censurados acessam a internet aberta.
Por que NordVPN não oferece VLESS
Pergunta honesta: se VLESS é tão eficaz, por que os principais provedores de VPN não usam?
Nenhum deles usa. NordVPN não, ExpressVPN não, Surfshark não, ProtonVPN não. Alguns provedores pequenos (Trust.Zone, Octohide) adicionaram suporte VLESS, mas são nicho.
Há razões reais para isso, não só ignorância.
O ecossistema XRay é quase totalmente documentado em chinês. A base de código está em Go, bem estruturada mas com comentários em chinês e decisões de design que refletem o contexto de censura chinesa especificamente. Integrar XRay num produto VPN comercial exige alguém que entende profundamente tanto os internos do XRay quanto a arquitetura VPN de produção. É uma pequena sobreposição na indústria.
Há também um cálculo de negócio. Os clientes da NordVPN estão majoritariamente em países ocidentais onde WireGuard funciona bem. Investir tempo de engenharia em VLESS serve um segmento (usuários em países censurados) que é mais difícil de monetizar e carrega risco regulatório. De pura perspectiva de negócio, faz sentido pular.
E há a complexidade de integração. VLESS com Reality não é um substituto drop-in para WireGuard. Exige interface TUN, proxy de userspace (como tun2socks), tratamento cuidadoso de DNS e configuração de roteamento específica de plataforma. Só no Windows, fazer tudo isso funcionar de forma confiável sem vazar DNS ou perder pacotes nos custou semanas de debug. As características de performance são diferentes do WireGuard também, então você precisa de gerenciamento de conexão consciente do protocolo.
Como usamos VLESS na Fexyn
Rodamos VLESS Reality com o Vision flow (xtls-rprx-vision) como um de três protocolos no Fexyn VPN, ao lado de WireGuard e OpenVPN. Isso não é feature de checkbox. Fexyn Stealth chega com o mesmo pipeline de verificação de Bolt (WireGuard) e Secure (OpenVPN).
Nos nossos servidores VPN, XRay-core roda com inbounds VLESS em dois transportes: TCP (porta 443) com Reality, e XHTTP (porta 8444) também com Reality. O transporte TCP é o caminho primário. XHTTP é um transporte mais novo que pode tunelar via CDNs se o caminho TCP for bloqueado.
No lado do cliente, rodamos XRay-core localmente, conectado a uma interface Wintun TUN via tun2socks. Todo o tráfego do sistema roteia pelo túnel. O cliente provisiona credenciais da nossa API, escreve uma config XRay local e inicia a conexão. Se a conexão VLESS falha (ou se o usuário está em rede onde não é necessário), o cliente pode automaticamente fazer fallback para WireGuard por melhor performance.
Verificamos toda conexão VLESS do mesmo modo que verificamos WireGuard e OpenVPN: checagem de IP público, validação de traceroute e ping ligado à interface. Se o tráfego não está realmente fluindo pelo túnel, a conexão é marcada como falha.
O protocolo adiciona overhead mínimo. Custos de header VLESS são 25 a 50 bytes por pacote. TLS 1.3 adiciona o próprio overhead, mas como você usaria TLS de qualquer modo para resistência a censura, o custo líquido de escolher VLESS sobre um protocolo com a própria camada de criptografia é na verdade negativo.
Você deve se importar com VLESS?
Se você está num país com acesso irrestrito à internet e só quer uma VPN rápida, WireGuard é o protocolo melhor. É mais rápido, roda em kernel space, tem prova formal de segurança, e a base de código é pequena o bastante para uma única pessoa auditar num fim de semana. Use WireGuard. Ele é ótimo.
Se você está num país onde o governo bloqueia tráfego VPN, ou se está numa rede que faz inspeção profunda de pacotes (isso inclui algumas redes corporativas e universidades), VLESS com Reality é a melhor opção disponível hoje. Seu tráfego se parece com uma conexão HTTPS normal para microsoft.com. Nenhum sistema DPI atualmente em uso consegue distinguir confiavelmente de navegação web real.
Se você está em algum lugar entre os dois, uma VPN que suporta ambos os protocolos e pode trocar automaticamente vale a pena. Condições de rede mudam. Um Wi-Fi de hotel que funciona bem com WireGuard hoje pode rodar DPI amanhã.
VLESS não é bala de prata. As tentativas da Rússia de bloqueá-lo mostram que censores estão estudando ativamente o protocolo. A extensão Reality torna a detecção muito mais difícil, mas a corrida armamentista continua. O que importa é que VLESS existe, funciona, e dá a pessoas em alguns dos países mais censurados do mundo um caminho para alcançar a internet aberta.
Vale a pena construir para isso.
Fexyn VPN inclui VLESS Reality com o Vision flow ao lado de WireGuard e OpenVPN, com troca automática de protocolo. Para um head-to-head com outro provedor sem evasão de DPI, veja Fexyn vs Mullvad. A Mullvad é excelente em privacidade mas não entrega protocolo da classe Reality. Você pode conferir planos na nossa página de pricing.