VLESS nedir? Sansür direnci için inşa edilmiş protokol
VLESS bir proxy protokolü. WireGuard veya OpenVPN'in yaptığına benzer şekilde, trafiğini şifreli bir tünel üzerinden A noktasından B noktasına taşıyor. Fark VLESS'in yapmadığı şeyde: trafiğini kendisi şifrelemiyor. O işi TLS'e devrediyor ve aradan çekiliyor.
2020'de RPRX takma adıyla bilinen geliştirici tarafından yapılan bu tasarım seçimi, Çin, Rusya veya İran'da internet kullanmaya çalışıyorsan çok önemli oluyor.
VMess sorunu
VLESS'i anlamak için ondan önce gelene anlamalısın. VMess, V2Ray'in orijinal protokolüydü, 2018 civarında Çin anti-sansür topluluğunda popüler olan bir proxy platformu. VMess çalışıyordu ama zamanla giderek acı veren bir tasarım sorunu vardı.
VMess payload'ını kendi şifreleme katmanıyla şifreliyor. Teoride iyi. Ama bunu bir TLS bağlantısı içinde de çalıştırıyorsun, çünkü internet üzerinden şifrelenmemiş VMess trafiği göndermek herhangi bir DPI sistemi tarafından hemen işaretlenir. Yani gerçek veri akışı şöyle görünüyor:
VMess: [TLS şifreleme [VMess şifreleme [gerçek verin]]]
Her şeyi iki kez şifreliyorsun. VMess katmanı gereksiz çünkü TLS zaten gizlilik, bütünlük ve kimlik doğrulama sağlıyor. Sıfır güvenlik faydası için performans bedeli ödüyorsun.
VLESS o iç şifrelemeyi çıkarıyor:
VLESS: [TLS şifreleme [VLESS header [gerçek verin]]]
VLESS header'ı küçük, adres türüne göre yaklaşık 25 ile 50 byte arası. OpenVPN'le karşılaştır, paket başına 100+ byte overhead ekliyor. VLESS şifrelemeyi yapması için TLS'e güveniyor (ki çok iyi yapıyor) ve kendini yönlendirme bilgisiyle sınırlıyor: trafiğin nereye gitmesi gerektiği ve istemciyi tanımlamak için bir UUID.
İsim bunu doğrudan yansıtıyor. VLESS "VMess Less" demek. Daha az overhead, daha az karmaşıklık.
VLESS protokol seviyesinde nasıl çalışır
VLESS bağlantısı düz bir akışı takip ediyor. Çoklu-tur handshake yok, anahtar değişimi dansı yok. Protokol VLESS trafiği akmaya başladığında TLS'in zaten her şeyi hallettiğini varsayıyor.
Bağlandığında olan şey:
İstemci sunucuya TLS bağlantısı açıyor. Bu standart TLS 1.3 handshake, herhangi bir HTTPS websitesini ziyaret ettiğinde tarayıcının yaptığıyla aynı. Hiçbir şeyi VPN trafiği olarak tanımlamıyor.
TLS kurulduğunda istemci VLESS istek header'ını gönderiyor:
Versiyon (1 byte) | UUID (16 byte) | Addons Length | Command | Adres
Versiyon byte'ı mevcut spec'te her zaman 0. UUID kimlik doğrulama token'ın, istemci ve sunucu arasında paylaşılan sır. Komut genelde TCP proxy için 0x01 veya UDP için 0x02. Sonra hedef adres geliyor, sunucuya trafiğini nereye iletmesi gerektiğini söylüyor.
Sunucu UUID'i doğruluyor, istenen hedefe bağlanıyor ve veri proxy'lemeye başlıyor. Başarı durumunda yanıt header'ı yok. Veri sadece akmaya başlıyor. Bu kasıtlı: kabloda daha az byte, parmak izi alacak daha az şey.
Geleneksel VPN protokollerinden gelen insanları şaşırtan bir şey: VLESS'in yerleşik şifrelemesi yok, kendi header'ında bütünlük kontrolleri yok, VLESS katmanında replay koruması yok. Hepsi TLS tarafından hallediliyor. VLESS'i bir şekilde TLS olmadan çalıştırırsan (yapma), UUID'in düz metin olarak iletilir ve herkes oturumu ele geçirebilir. Protokol sadece TLS tüneli içinde anlam ifade ediyor.
XRay fork'u ve VLESS nerede yaşıyor
VLESS RPRX tarafından yaratıldı, ki Reality'i mümkün kılan XTLS teknolojisini de geliştirdi. Kasım 2020'de RPRX, XTLS üzerinde lisanslama anlaşmazlığından sonra V2Ray'i fork'lamak için XRay-core'u oluşturdu. V2Ray maintainer'larının XTLS lisansı hakkında endişeleri vardı; RPRX daha hızlı hareket etmek ve XTLS'i kontrol ettiği şartlar altında göndermek istedi. Yani XRay kendi projesi oldu.
Fork tam olarak düşmanca değildi ama topluluğu böldü. V2Ray ayrı geliştirmeye devam etti, sonunda kendi VLESS implementasyonunu ekledi. XRay protokol inovasyonunda daha hızlı hareket etti. Bugün insanlar pratikte VLESS'ten bahsederken neredeyse her zaman XRay implementasyonunu kastediyor.
XRay-core'un GitHub'da 35,900'den fazla yıldızı ve 208 katkıda bulunanı var. Dünyadaki en aktif sürdürülen anti-sansür araçlarından biri, ne var ki neredeyse tüm geliştirme ve tartışma Çince oluyor. İngilizce dokümantasyon var ama sıkça eksik veya güncelliğini yitirmiş. Belirli bir XRay özelliğinin gerçekten ne yaptığını anlamak istersen, genelde Go kaynak kodunu okumakla bitiriyorsun. O kaynak kodunu okumakla çok zaman geçirdik.
VLESS için RFC yok, IETF standardizasyon süreci yok, resmi belirtim belgesi yok. Protokol implementasyonuyla tanımlanıyor. Bu bazı insanları rahatsız ediyor, özellikle önce spec'in geldiği ve implementasyonların takip ettiği protokol tasarım altyapısı olanları. Yarın çalışmasına ihtiyacı olan Şangay'daki kullanıcıları rahatsız etmiyor.
Reality: her şeyi değiştiren uzantı
VLESS tek başına temiz, minimal proxy protokolü. Reality ile VLESS tamamen başka bir şey.
Reality 2023 başında XRay-core v1.8.0'da tanıtıldı ve her önceki anti-sansür aracını rahatsız eden bir sorunu çözdü: sunucunun TLS sertifikası.
Geleneksel TLS proxy'leriyle, sunucunun bir sertifikaya ihtiyacı var. Let's Encrypt'ten alabilirsin ama şimdi domain sana kayıtlı. Sansürcü tüm IP adreslerini tarayabilir, belirli sertifika özelliklerine sahip sunucuları bulabilir ve onları bloklayabilir. Daha kötüsü, aktif sondalama yapabilir: sunucuna bağlan, sertifikayı kontrol et ve gerçek bir websitesiyle eşleşmiyorsa IP'yi işaretle.
Reality bunu tersine çeviriyor. Sunucunun kendi sertifikası yok. Bunun yerine www.microsoft.com gibi gerçek bir websitesinden TLS sertifikasını ödünç alıyor. Bir sansürcü sunucunu sondaladığında, meşru bir Microsoft sertifikası ve gerçek Microsoft içeriği alıyor. Sadece doğru Reality private anahtarına sahip istemciler gerçek proxy tünelini kurabiliyor.
Reality'nin TLS kimlik doğrulamasının nasıl çalıştığı hakkında Reality derinlemesine yazımızda detaylı dökümümüzü yazdık. Kısa versiyon: bugün üretimdeki tespit edilemez olana en yakın şey.
VLESS gerçekten nerede kullanılıyor
VLESS tam olarak beklediğin yerlerde popüler: hükümetin VPN trafiğini aktif olarak bloklayan ülkelerde.
Çin'in V2Ray/XRay ekosistemiyle en uzun geçmişi var. Büyük Güvenlik Duvarı ekibi ve anti-sansür topluluğu yıllardır silahlanma yarışında. VMess, Shadowsocks, Trojan ve çeşitli diğer protokollerin hepsi farklı zamanlarda tespit edilip bloklandı. Reality ile VLESS anti-sansür tarafında mevcut sanat durumu. Çalışıyor. Şimdilik.
Rusya 2025'te agresif şekilde tırmandırdı. Şubat 2026'ya kadar Rusya 469 VPN servisi blokladı. Aralık 2025'te Roskomnadzor spesifik olarak VLESS'i hedeflemeye başladı, ki bu sana ne kadar etkili olduğu hakkında bir şey söylüyor. Rus DPI sistemi (TSPU) sofistike, ama Reality'nin tasarımı tüm büyük websitelerine TLS trafiğini bloklamadan tespiti aşırı zorlaştırıyor, ki bu internet'in yarısını kıracaktı.
İran politik huzursuzluk sırasında VPN trafiğini bloklar, ki sıkça oluyor. Reality ile VLESS, internet kapatmaları sırasında bağlantıyı sürdürmenin daha güvenilir yollarından biri olmuş, İran'ın filtreleme altyapısı Çin veya Rusya'nınkinden teknik olarak daha az ileri olsa da.
Üç ülke arasındaki patern aynı: geleneksel VPN protokolleri dakikalar veya saatler içinde tespit edilirken, Reality ile VLESS çalışmaya devam ediyor çünkü sansürcüler meşru websitelerini kırmadan onu düzenli HTTPS trafiğinden ayırt edemiyor.
Çoğu VLESS kullanıcısı kendi sunucularını çalıştıran bireyler. Ülke dışında VPS kiralıyorsun, XRay kuruyor, Reality ile VLESS konfigüre ediyor ve bağlantı detaylarını ihtiyacı olan insanlarla paylaşıyorsun. Bu taban modeli sansürlü ülkelerdeki milyonlarca insanın açık internete erişme şekli.
NordVPN neden VLESS sunmuyor
İşte dürüst bir soru: VLESS bu kadar etkiliyse, neden büyük VPN sağlayıcıları kullanmıyor?
Hiçbiri kullanmıyor. NordVPN değil, ExpressVPN değil, Surfshark değil, ProtonVPN değil. Birkaç küçük sağlayıcı (Trust.Zone, Octohide) VLESS desteği ekledi ama niş kalıyorlar.
Sadece cehalet değil, gerçek sebepler var.
XRay ekosistemi neredeyse tamamen Çince belgeleniyor. Kod tabanı Go'da, iyi yapılandırılmış ama Çince yorumlar ve spesifik olarak Çin sansür bağlamını yansıtan tasarım kararlarıyla. XRay'i ticari VPN ürününe entegre etmek hem XRay iç işleyişini hem üretim VPN mimarisini derinden anlayan birini gerektiriyor. Endüstride bu küçük bir örtüşme.
Bir de iş hesabı var. NordVPN'in müşterileri çoğunlukla WireGuard'ın iyi çalıştığı Batı ülkelerinde. VLESS'e mühendislik zamanı yatırmak para kazanması daha zor ve düzenleyici risk taşıyan bir pazar segmentine (sansürlü ülkelerdeki kullanıcılar) hizmet ediyor. Saf iş perspektifinden onu atlamak mantıklı.
Bir de entegrasyon karmaşıklığı var. Reality ile VLESS WireGuard'ın yerine geçen drop-in değil. TUN arayüzü, userspace proxy (tun2socks gibi), dikkatli DNS yönetimi ve platforma-spesifik yönlendirme konfigürasyonu gerektiriyor. Sadece Windows'ta DNS sızdırmadan veya paket düşürmeden tüm bunların güvenilir çalışmasını sağlamak haftalar süren debugging aldı bizden.
Fexyn'de VLESS'i nasıl kullanıyoruz
Fexyn VPN'de WireGuard ve OpenVPN'in yanında üç protokolden biri olarak Vision flow ile (xtls-rprx-vision) VLESS Reality çalıştırıyoruz. Bu kutuya tik atan özellik değil. Fexyn Stealth, Bolt (WireGuard) ve Secure (OpenVPN) ile aynı doğrulama pipeline'ıyla geliyor.
VPN sunucularımızda XRay-core iki taşıma katmanında VLESS inbound'larıyla çalışıyor: Reality ile TCP (port 443) ve yine Reality ile XHTTP (port 8444). TCP taşıma katmanı birincil yol. XHTTP, TCP yolu bloklanırsa CDN'ler üzerinden tünel açabilen daha yeni bir taşıma.
İstemci tarafında, tun2socks üzerinden Wintun TUN arayüzüne bağlı yerel olarak XRay-core çalıştırıyoruz. Tüm sistem trafiği tünel üzerinden yönlendiriliyor. İstemci API'mizden credentials provision ediyor, yerel XRay konfigürasyonu yazıyor ve bağlantıyı başlatıyor. VLESS bağlantısı başarısız olursa (veya kullanıcı ona ihtiyaç olmayan bir ağdaysa), istemci daha iyi performans için otomatik olarak WireGuard'a fallback yapabiliyor.
Her VLESS bağlantısını WireGuard ve OpenVPN'i doğruladığımız şekilde doğruluyoruz: halka açık IP kontrolü, traceroute doğrulama ve interface-bağlı ping. Trafik gerçekten tünelden akmıyorsa, bağlantı başarısız olarak işaretleniyor.
Protokol minimal overhead ekliyor. VLESS header maliyetleri paket başına 25-50 byte. TLS 1.3 kendi overhead'ini ekliyor ama sansür direnci için zaten TLS kullanıyor olacaksın, bu yüzden kendi şifreleme katmanı olan bir protokol yerine VLESS seçmenin net maliyeti aslında negatif.
VLESS'i önemsemeli misin
Kısıtlamasız internet erişimli bir ülkedeysen ve sadece hızlı VPN istiyorsan, WireGuard daha iyi protokol. Daha hızlı, kernel space'te çalışıyor, resmi güvenlik kanıtı var ve kod tabanı tek bir kişinin bir hafta sonu denetleyebileceği kadar küçük. WireGuard kullan. Harika.
Hükümetin VPN trafiğini bloklayan bir ülkedeysen veya derin paket inceleme yapan bir ağdaysan (bu bazı kurumsal ağlar ve üniversiteler dahil), Reality ile VLESS bugün mevcut en iyi seçenek. Trafiğin microsoft.com'a normal HTTPS bağlantısı gibi görünüyor. Şu anda deploy edilmiş hiçbir DPI sistemi onu gerçek web tarama'dan güvenilir şekilde ayırt edemiyor.
Ortada bir yerdeysen, iki protokolü destekleyen ve otomatik geçebilen bir VPN'e sahip olmak değerli. Ağ koşulları değişiyor. Bugün WireGuard'la sorunsuz çalışan bir otel Wi-Fi'sı yarın DPI çalıştırabilir.
VLESS gümüş kurşun değil. Rusya'nın onu bloklamak için yaptığı girişimler sansürcülerin protokolü aktif olarak çalıştığını gösteriyor. Reality uzantısı tespiti çok daha zorlaştırıyor ama silahlanma yarışı devam ediyor. Önemli olan VLESS'in var olması, çalışması ve dünyadaki en sansürlü ülkelerdeki bazı insanlara açık internete ulaşma yolu vermesi.
Bunun için inşa etmeye değer.
Fexyn VPN, otomatik protokol geçişiyle WireGuard ve OpenVPN'in yanında Vision flow ile VLESS Reality içeriyor. Fiyatlandırma sayfasında planları kontrol edebilirsin.