Что такое Reality (протокол Reality)

Reality — механизм транспорта VPN-трафика, добавленный в XRay-core в версии 1.8.0 в начале 2023. Чаще всего используется с протоколом VLESS; связку обычно пишут "VLESS Reality" или просто "Reality".

Задача, которую решает Reality: как построить VPN-соединение, которое deep packet inspection не сможет детектировать? Ранние обфускационные инструменты (Shadowsocks, Trojan, plain VLESS) пытались сделать трафик похожим на HTTPS. Все они упирались в проблему детекции: их TLS handshake фейковый, сертификат самовыпущенный или поведение при active probing отличается от настоящего сайта.

Reality структурно отличается. Он делает настоящий TLS 1.3 handshake к настоящему публичному сайту вроде microsoft.com и форвардит реальный сертификат этого сайта клиенту. TLS handshake настоящий. Цепочка сертификатов настоящая. Сайт, к которому ты якобы подключаешься, — настоящий production-сервис, к которому подключаются миллионы легитимных пользователей.

Как это работает

Когда клиент соединяется с сервером Reality:

1. Клиент отправляет TLS 1.3 ClientHello с SNI настоящего публичного сайта (microsoft.com, cloudflare.com, apple.com — оператор выбирает).
2. Внутри зашифрованного расширения key-share клиент передаёт shortId и X25519 публичный ключ для аутентификации.
3. Сервер Reality открывает собственное TLS-соединение к настоящему сайту и делает легитимный handshake.
4. Сертификат, который возвращает настоящий сайт, форвардится клиенту. Цепочка валидируется относительно доверенных CA, потому что это настоящий сертификат от настоящих CA.
5. Аутентифицированные клиенты получают туннелированную сессию внутри установленного TLS-соединения. Неаутентифицированные клиенты прозрачно проксируются на настоящий сайт, так что любой prober получает настоящий ответ.

Нет фейкового handshake для детекции. Обман структурный — маленький кусок криптоматериала, спрятанный внутри в остальном настоящего TLS handshake.

Vision flow

Тонкий вектор детекции: когда VPN-трафик идёт внутри TLS-туннеля, шифрованный payload содержит свои TLS handshake (каждый HTTPS-сайт, который ты посещаешь через туннель, генерирует один). Это создаёт паттерн TLS-в-TLS, детектируемый через анализ трафика.

Vision flow (xtls-rprx-vision) убирает это. Он детектирует, что внутренний payload уже TLS-защищён, и пропускает его с минимальной дополнительной обёрткой. Внешний Reality TLS обрабатывает аутентификацию и framing; внутренний application TLS течёт без избыточного шифрования.

В результате трафик VLESS+Reality+Vision статистически очень близок к прямому HTTPS-соединению с маскировочным хостом — паттерн TLS-в-TLS, который текли ранее обфусцированные протоколы, ушёл.

Когда это важно

Reality избыточен в сетях без активной фильтрации VPN. WireGuard быстрее и проще; используй его, где он работает.

Reality важен в странах, где блокируют стандартные VPN-протоколы: Россия (TSPU), Китай (GFW), Иран (Filtering Resistance Agency), Пакистан (PTA), ОАЭ и Саудовская Аравия (carrier-level DPI), Турция (BTK). В этих сетях Reality + Vision сейчас самый надёжный потребительский VPN-протокол.

Как Fexyn его поставляет

Fexyn Stealth — наша продуктивизация VLESS Reality + Vision flow. Клиент получает маскировочный target, shortId и X25519-ключи от нашего API при подключении, поэтому обновления конфигурации не требуют релиза клиента. uTLS-фингерпринты держатся актуальными, чтобы ClientHello соответствовал свежему Chrome, Firefox или Safari.

Rotation engine Fexyn сначала пробует WireGuard по умолчанию; если он заблокирован, автоматически переключается на Stealth. Пользователи в известных рестриктивных сетях (Россия, Иран, Китай) могут зафиксировать Stealth по умолчанию.

Подробнее в гиде по протоколу Reality, VLESS Reality на Fexyn и Как VLESS Reality делает VPN-трафик невидимым для цензоров.

Попробуй Fexyn бесплатно 7 дней — Stealth включён в каждый план.