O que é Reality (protocolo Reality)

Reality é um mecanismo de transporte pra tráfego VPN, adicionado ao XRay-core na versão 1.8.0 no início de 2023. É usado mais frequentemente com o protocolo VLESS; a combinação geralmente é escrita "VLESS Reality" ou só "Reality".

O problema que Reality resolve: como você constrói uma conexão VPN que deep packet inspection não consegue detectar? Ferramentas de obfuscation antigas (Shadowsocks, Trojan, VLESS puro) tentavam fazer tráfego parecer HTTPS. O problema de detecção que todos enfrentaram: o handshake TLS é falso, o certificado é autoemitido, ou o comportamento durante active probing diverge de um site real.

Reality é estruturalmente diferente. Faz handshake TLS 1.3 real pra um site público real como microsoft.com, e encaminha o certificado real do site pro cliente. O handshake TLS é real. A cadeia de certificado é real. O site ao qual você parece estar conectando é um serviço de produção real do qual milhões de usuários legítimos conectam.

Como funciona

Quando um cliente conecta num servidor Reality:

1. O cliente envia um TLS 1.3 ClientHello com o SNI de um site público real (microsoft.com, cloudflare.com, apple.com — o operador escolhe).
2. Escondido dentro da extensão key-share criptografada, o cliente passa um shortId e chave pública X25519 pra autenticar.
3. O servidor Reality abre sua própria conexão TLS pro site real e faz handshake legítimo.
4. O certificado que o site real retorna é encaminhado pro cliente. A cadeia valida contra CAs confiáveis porque é certificado real de CAs reais.
5. Clientes autenticados recebem sessão tunelada dentro da conexão TLS estabelecida. Clientes não autenticados recebem proxy transparente pro site real, então qualquer prober recebe resposta real.

Não há handshake falso pra detectar. A decepção é estrutural — uma pequena peça de material criptográfico escondida dentro de um handshake TLS de outra forma genuíno.

O Vision flow

Um vetor sutil de detecção: quando tráfego VPN roda dentro de um túnel TLS, o payload criptografado contém seus próprios handshakes TLS (todo site HTTPS que você visita pelo túnel gera um). Isso cria um padrão TLS-em-TLS detectável por análise de tráfego.

O Vision flow (xtls-rprx-vision) elimina isso. Detecta quando o payload interno já é protegido por TLS e passa adiante com wrapping adicional mínimo. O TLS Reality externo lida com autenticação e framing; o TLS de aplicação interno flui sem criptografia redundante.

O resultado é que tráfego VLESS+Reality+Vision é estatisticamente muito próximo de uma conexão HTTPS direta pro host de camuflagem — o padrão TLS-em-TLS que protocolos de obfuscation antigos vazavam acabou.

Quando importa

Reality é exagero em redes sem filtragem ativa de VPN. WireGuard é mais rápido e simples; use ele onde funciona.

Reality importa em países onde protocolos VPN padrão são bloqueados: Rússia (TSPU), China (Great Firewall), Irã (Filtering Resistance Agency), Paquistão (PTA), EAU e Arábia Saudita (DPI em nível de carrier), Turquia (BTK). Nessas redes, Reality com Vision é atualmente o protocolo VPN consumidor mais confiável.

Como o Fexyn entrega

Fexyn Stealth é nossa produtização de VLESS Reality com o Vision flow. O cliente recebe o alvo de camuflagem, shortId e chaves X25519 da nossa API no momento do connect, então atualizações de configuração não exigem release do cliente. Fingerprints uTLS são mantidas atualizadas pra que o ClientHello case com Chrome, Firefox ou Safari recente.

O motor de rotação do Fexyn tenta WireGuard primeiro por default; se isso é bloqueado, muda pra Stealth automaticamente. Usuários em redes restritivas conhecidas (Rússia, Irã, China) podem fixar Stealth como default.

Leia mais no guia do protocolo Reality, VLESS Reality no Fexyn e Como VLESS Reality torna tráfego VPN invisível pra censores.

Experimente o Fexyn grátis por 7 dias — Stealth está incluso em todo plano.