Глоссарий
VLESS Reality vs Trojan-GFW
Оба делают настоящий TLS handshake. Trojan использует свой сертификат; Reality — сертификат третьей стороны. Reality переживает сравнение Certificate Transparency; Trojan всё чаще нет.
Trojan-GFW (2019) и VLESS Reality (2023) решают одну задачу разными подходами. Reality — архитектурный преемник; Trojan ещё работает в части сред, но детектируется всё чаще.
Сравнение
| Trojan-GFW | VLESS Reality + Vision | |
|---|---|---|
| Год | 2019 | 2023 |
| TLS handshake | Настоящий, к твоему домену | Настоящий, к стороннему публичному домену |
| Сертификат | Свой (обычно Let's Encrypt) | Настоящий сертификат третьей стороны (Microsoft и т.п.) |
| Ответ на active probing | Твой placeholder-сервер | Настоящий сторонний сайт |
| Уязвимость к Certificate Transparency | Да — твой сертификат в CT-логах | Нет — сертификат не твой |
| Сложность настройки | Средняя | Выше (настройка маскировочного хоста) |
| Детекция (Китай/Россия 2026) | Средняя, растёт | <5% |
Модель Trojan
Trojan делает настоящий TLS 1.3 handshake к серверу, который ты контролируешь, с сертификатом, который ты получил (обычно Let's Encrypt). Аутентифицированные клиенты туннелируются; неаутентифицированные соединения (active proberы) получают placeholder-сайт, который ты тоже настраиваешь.
Защита: handshake настоящий, сертификат настоящий, placeholder-сайт настоящий. Для пассивного наблюдателя выглядит как обычный HTTPS к твоему домену.
Уязвимость: Certificate Transparency. CT-логи содержат каждый TLS-сертификат, выпущенный мейнстримными CA. Если active prober цензора получит твой сертификат во время пробы, он сравнит его с записями CT по твоему домену — и паттерн сертификата Trojan-развёртывания узнаётся.
Конкретно: настоящий production-сайт обычно имеет сертификат, валидный месяцы или годы, обновлённый много раз, с организационным полем корпоративного стиля. Trojan-развёртывание обычно имеет Let's Encrypt сертификат, выпущенный дни или недели назад, для домена без production-истории. Паттерн — флаг.
Сложные DPI-системы — китайский GFW, всё чаще другие — смотрят CT-записи во время active probing и детектируют Trojan-развёртывания по этим паттернам. Детекция не идеальная, но значимая.
Модель Reality
Reality НЕ использует свой сертификат. Сервер Reality форвардит сертификат настоящего публичного сайта (microsoft.com, cloudflare.com, apple.com). Аутентифицированные клиенты туннелируются внутри установленной TLS-сессии; неаутентифицированные соединения прозрачно проксируются на настоящий сайт.
Сертификат, который видит active prober, — это настоящий сертификат Microsoft (или Cloudflare, или Apple). Записи CT совпадают. Сертификат тот же, что видят настоящие пользователи. Нет рассинхрона "сертификат vs CT", потому что нет фейка.
Цена операционная: Reality требует, чтобы сервер держал TLS-проксирование к маскировочному хосту в реальном времени. Конфигурация сложнее Trojan.
Устойчивость к active probing
Оба обрабатывают пассивный DPI похоже — настоящий TLS handshake означает, что энтропия и тайминг соответствуют HTTPS-нормам. Разница — в active probing.
Trojan: prober соединяется, получает твой placeholder-сайт, может сравнить сертификат с CT на нестыковки. Уязвим.
Reality: prober соединяется, получает прозрачно проксированный настоящий сайт Microsoft, видит настоящий сертификат Microsoft, видит настоящий ответ. Неотличимо от обычного визита на Microsoft.
Это структурное преимущество Reality над Trojan. Асимметрия детекции растёт по мере зрелости CT-детекции.
Vision flow
Reality с Vision flow (xtls-rprx-vision) дополнительно убирает паттерн TLS-в-TLS, видимый в анализе трафика. У Trojan эквивалента нет; паттерн "TLS внутри TLS" детектируется через анализ трафика, даже если оба handshake настоящие.
Для пользователей в рынках со сложным анализом трафика (Китай конкретно, всё чаще Россия) Reality + Vision заметно устойчивее Trojan.
Когда что работает
Trojan: среды цензуры средней сложности. Иранские фильтры ловят часть Trojan-развёртываний; ОАЭ — часть. Паттерн: опытные self-hosters с аккуратной гигиеной доменов получают более долгий срок жизни Trojan; casual-развёртывания падают быстрее.
Reality: все рынки, где Trojan не работает. Китай, Россия, Иран, ОАЭ, Саудовская Аравия, Пакистан. Плюс остальные рынки, где Trojan ещё работает (Reality там тоже работает).
В 2026 практическая рекомендация — Reality. У Trojan ещё есть операционный ресурс, но траектория детекции неблагоприятна.
Self-hosting
Trojan проще хостить. Стандартный тулчейн, минимум настроек кроме домена и сертификата.
Reality требует выбора маскировочного хоста, настройки прокси-логики, управления Vision flow, выбора и ротации shortIds. Специализированный тулчейн (XRay-core); больше движущихся частей.
Кто хочет хостить максимально просто — Trojan дружелюбнее. Кто хочет максимальную устойчивость к детекции — Reality лучше, несмотря на сложность.
Что поставляет Fexyn
Reality + Vision flow как Fexyn Stealth. Trojan как основной протокол не поставляем, потому что Reality операционно лучше в наших целевых рынках. Часть коммерческих провайдеров предлагает оба как настраиваемые опции.
Попробуй Fexyn бесплатно 7 дней — Reality + Vision на каждом плане.
Связанные термины
Попробуй Fexyn бесплатно 7 дней
Приложение для Windows доступно сейчас в бета-версии. WireGuard, VLESS Reality и OpenVPN — без логов истории просмотров, DNS-запросов и содержимого трафика.
Цены