Что такое VLESS?
VLESS — прокси-протокол. Перемещает трафик из точки A в точку B через зашифрованный туннель, похоже на WireGuard или OpenVPN. Разница — в том, чего VLESS не делает: он не шифрует сам трафик. Эту работу он передаёт TLS и не мешается.
Это решение, принятое разработчиком под ником RPRX в 2020, оказывается важно, если ты пытаешься пользоваться интернетом в Китае, России или Иране.
Проблема VMess
Чтобы понять VLESS, нужно понять предшественника. VMess — оригинальный протокол V2Ray, прокси-платформы, ставшей популярной в китайском анти-цензурном сообществе около 2018. VMess работал, но имел дизайн-проблему, ставшую болезненней со временем.
VMess шифрует payload своим слоем шифрования. В теории нормально. Но ты также запускаешь это внутри TLS-соединения, потому что нешифрованный VMess в интернете моментально флагируется любым DPI. Реальный flow данных:
VMess: [TLS encryption [VMess encryption [твои данные]]]
Шифруешь всё дважды. Слой VMess избыточен, потому что TLS уже даёт confidentiality, integrity и authentication. Платишь performance-цену за нулевой security-выигрыш.
VLESS убирает внутреннее шифрование:
VLESS: [TLS encryption [VLESS header [твои данные]]]
VLESS-заголовок крошечный, ~25–50 байт в зависимости от типа адреса. Сравни с OpenVPN, добавляющим 100+ байт overhead на пакет. VLESS доверяет TLS делать шифрование (что TLS делает очень хорошо) и ограничивается routing-информацией: куда трафик должен идти, и UUID для идентификации клиента.
Имя отражает это напрямую. VLESS = «VMess Less». Меньше overhead, меньше сложности.
Как работает VLESS на уровне протокола
VLESS-соединение следует прямолинейному flow. Нет multi-round handshake, нет танца с обменом ключей. Протокол предполагает, что TLS уже всё разрулил к моменту, когда VLESS-трафик начинает течь.
Что происходит при подключении:
Клиент открывает TLS-соединение к серверу. Стандартный TLS 1.3 handshake, идентичный тому, что браузер делает при заходе на любой HTTPS-сайт. Ничто не идентифицирует это как VPN-трафик.
После установки TLS клиент шлёт VLESS request header:
Version (1 байт) | UUID (16 байт) | Addons Length | Command | Address
Version-байт всегда 0 в текущей спеке. UUID — токен аутентификации, общий секрет клиента и сервера. Command обычно 0x01 для TCP-прокси или 0x02 для UDP. Затем destination-адрес — куда форвардить.
Сервер валидирует UUID, подключается к назначению и начинает проксировать данные. В success-кейсе ответного header нет. Данные просто текут. Это намеренно: меньше байт на проводе — меньше для fingerprint.
Что удивляет людей, приходящих с традиционных VPN-протоколов: у VLESS нет встроенного шифрования, проверок целостности на собственном header, replay-защиты на VLESS-уровне. Всё это обрабатывается TLS. Если каким-то образом запустить VLESS без TLS (не делай так) — UUID передастся в plaintext, и любой может перехватить сессию. Протокол имеет смысл только внутри TLS-туннеля.
Форк XRay и где живёт VLESS
VLESS создал RPRX, который также разработал XTLS, делающий Reality возможным. В ноябре 2020 RPRX форкнул V2Ray, создав XRay-core после лицензионного спора по XTLS. Мейнтейнеры V2Ray имели опасения по лицензии XTLS; RPRX хотел двигаться быстрее и шипить XTLS на условиях, которые контролирует. Так XRay стал собственным проектом.
Форк не был враждебным, но расколол сообщество. V2Ray продолжил развитие отдельно, со временем добавив свою реализацию VLESS. XRay двигался быстрее на протокольных инновациях. Сегодня, когда говорят про VLESS на практике, почти всегда имеют в виду реализацию XRay.
XRay-core — больше 35,900 звёзд на GitHub и 208 контрибьюторов. Один из самых активно поддерживаемых анти-цензурных инструментов в мире, хотя почти всё развитие и обсуждения на китайском. Английская документация есть, но часто неполная или устаревшая. Чтобы понять, что конкретная фича XRay делает, обычно приходится читать Go-исходник. Мы много времени читали этот исходник.
Нет RFC для VLESS, нет стандартизации IETF, нет формальной спеки. Протокол определяется реализацией. Это беспокоит некоторых, особенно с background в дизайне протоколов. Не беспокоит пользователей в Шанхае, кому нужно, чтобы работало завтра.
Reality: расширение, меняющее всё
VLESS сам — чистый, минимальный прокси. VLESS с Reality — нечто другое.
Reality представлен в XRay-core v1.8.0 в начале 2023 и решил проблему, мучавшую каждый предыдущий анти-цензурный инструмент: TLS-сертификат сервера.
С традиционными TLS-прокси сервер должен иметь сертификат. Можно взять у Let's Encrypt, но теперь домен зарегистрирован на тебя. Цензор может сканировать все IP, найти серверы с определёнными характеристиками сертификата и заблокировать. Хуже — могут делать active probing: подключиться, проверить сертификат, если не совпадает с настоящим сайтом — флаг.
Reality переворачивает это. У сервера нет своего сертификата. Вместо этого он берёт TLS-сертификат настоящего сайта, например www.microsoft.com. Когда цензор пробирует сервер, получает легитимный сертификат Microsoft и настоящий контент Microsoft. Только клиенты с правильным Reality private key могут установить реальный прокси-туннель.
Где VLESS реально используется
VLESS популярен ровно там, где ожидаешь: в странах, где правительство активно блокирует VPN-трафик.
Китай — самая длинная история с экосистемой V2Ray/XRay. Команда Great Firewall и анти-цензурное сообщество в гонке вооружений годами. VMess, Shadowsocks, Trojan и разные другие протоколы все детектились и блокировались в разное время. VLESS с Reality — current state of the art на анти-цензурной стороне. Работает. Пока.
Россия агрессивно эскалировала в 2025. К февралю 2026 Россия заблокировала 469 VPN-сервисов. В декабре 2025 Роскомнадзор начал целить VLESS конкретно — это говорит, насколько эффективен он стал. Российский DPI (TSPU) изощрённый, но дизайн Reality делает детект чрезвычайно сложным без блокировки всего TLS-трафика к крупным сайтам, что сломало бы половину интернета.
Иран блокирует VPN-трафик во время политических потрясений, что часто. VLESS Reality был одним из надёжных способов поддерживать связность во время отключений интернета.
Паттерн через все три страны одинаков: традиционные VPN-протоколы детектятся в минуты или часы; VLESS с Reality продолжает работать, потому что цензоры не могут отличить от обычного HTTPS без поломки легитимных сайтов.
Большинство VLESS-юзеров — индивидуалы, держащие свои серверы. Арендуешь VPS вне страны, ставишь XRay, настраиваешь VLESS с Reality, делишь детали подключения с теми, кому нужно. Эта grassroots-модель — то, как миллионы в цензурированных странах достают открытый интернет.
Почему NordVPN не предлагает VLESS
Честный вопрос: если VLESS так эффективен, почему крупные VPN-провайдеры его не используют?
Никто не использует. Ни NordVPN, ни ExpressVPN, ни Surfshark, ни ProtonVPN. Пара мелких (Trust.Zone, Octohide) добавили поддержку, но они нишевые.
Реальные причины, не просто незнание.
Экосистема XRay почти полностью документирована на китайском. Кодовая база на Go, хорошо структурирована, но с китайскими комментариями и дизайн-решениями, отражающими китайский контекст цензуры конкретно. Интеграция XRay в коммерческий VPN-продукт требует кого-то, глубоко понимающего и внутренности XRay, и архитектуру продакшен-VPN. Малое пересечение в индустрии.
Также бизнес-расчёт. Клиенты NordVPN в основном в западных странах, где WireGuard работает. Инвестировать инженерное время в VLESS обслуживает сегмент (юзеры в цензурированных странах), который сложнее монетизировать и несёт регуляторный риск.
И сложность интеграции. VLESS с Reality — не drop-in замена WireGuard. Требует TUN-интерфейс, userspace-прокси (вроде tun2socks), аккуратную DNS-обработку и платформо-специфичную маршрутизацию. На Windows одной только настройка всего этого без утечек DNS и потери пакетов заняла у нас недели дебага.
Как мы используем VLESS в Fexyn
Везём VLESS Reality с Vision flow (xtls-rprx-vision) как один из трёх протоколов в Fexyn VPN, рядом с WireGuard и OpenVPN. Это не checkbox-фича. Fexyn Stealth везётся с тем же verification-пайплайном, что Bolt (WireGuard) и Secure (OpenVPN).
На VPN-серверах XRay-core работает с VLESS-inbound'ами на двух транспортах: TCP (порт 443) с Reality, и XHTTP (порт 8444) тоже с Reality. TCP — основной путь. XHTTP — новый транспорт, способный туннелироваться через CDN, если TCP заблокирован.
На клиенте мы запускаем XRay-core локально, подключённый к Wintun TUN-интерфейсу через tun2socks. Весь системный трафик маршрутизируется через туннель. Клиент provisioning&уется через наш API, пишет локальный XRay-config и стартует подключение. Если VLESS-подключение фейлит (или юзер на сети, где не нужен), клиент может автоматически фолбэчить на WireGuard для лучшей производительности.
Верифицируем каждое VLESS-подключение тем же способом, что WireGuard и OpenVPN: проверка публичного IP, traceroute-валидация, interface-bound ping. Если трафик реально не течёт через туннель, подключение помечается как failed.
Протокол добавляет минимальный overhead. VLESS-заголовок стоит 25–50 байт на пакет. TLS 1.3 добавляет свой overhead, но раз TLS всё равно используется ради устойчивости к цензуре, чистая цена выбора VLESS вместо протокола со своим слоем шифрования — фактически отрицательная.
Стоит ли тебе заботиться о VLESS?
Если ты в стране с неограниченным интернетом и просто хочешь быстрый VPN — WireGuard — лучший протокол. Быстрее, в kernel space, формальное доказательство security, кодовая база достаточно мелкая, чтобы один человек её аудитировал за уикенд. Используй WireGuard. Он отличный.
Если ты в стране, где правительство блокирует VPN, или на сети с DPI (это включает некоторые корпоративные сети и университеты) — VLESS с Reality — лучшая опция сегодня. Трафик выглядит как обычное HTTPS-соединение к microsoft.com. Никакая развёрнутая DPI-система не может надёжно отличить от настоящего веб-браузинга.
Если где-то посередине — VPN с поддержкой обоих и автоматическим переключением стоит держать. Условия сети меняются. Отельный Wi-Fi, работающий с WireGuard сегодня, может запустить DPI завтра.
VLESS — не серебряная пуля. Попытки России блокировать его показывают, что цензоры активно изучают протокол. Расширение Reality сильно усложняет детект, но гонка вооружений продолжается. Что важно — VLESS существует, работает и даёт людям в самых цензурированных странах земли способ дойти до открытого интернета.
Это стоит строить.
Fexyn VPN включает VLESS Reality с Vision flow рядом с WireGuard и OpenVPN, с автоматическим переключением. Цены.