Sansürlü ülkelerde VLESS Reality WireGuard'ı neden
WireGuard VPN performansını devrimleştirdi. ~4.000 satır kodu, modern kriptografisi ve kernel-seviyesi implementasyonu onu mevcut en hızlı VPN protokolü yapıyor. Ama bağlantın başlamadan önce bloklanırsa hız bir şey ifade etmiyor.
Rusya, Çin, İran ve düzinelerce diğer ülkede deep packet inspection (DPI) sistemleri WireGuard bağlantılarını saniyeler içinde tanımlayıp bloklayabiliyor. Protokolün ayırt edici handshake pattern'i fingerprint almasını kolaylaştırıyor — ve öldürmesini kolaylaştırıyor.
Tespit sorunu
WireGuard sabit bir paket yapısı kullanıyor. Handshake initiation mesajı her zaman tam olarak 148 byte, 1-byte mesaj tipi ve 3 byte rezerve sıfırla başlıyor. Bir ulus-devlet DPI sistemi için bunu tespit etmek trivial:
Tip (1) | Rezerve (3) | Sender Index (4) | Şifrelenmemiş Geçici (32) | ...
Rusya'nın TSPU'su (Tehditlere Karşı Mücadele Teknik Sistemi) WireGuard'ı neredeyse %100 doğrulukla tespit ediyor. İran'ın filtreleme sistemi onu dakikalar içinde blokluyor. Çin'in Great Firewall'u 2023'ten beri WireGuard-benzeri trafik pattern'lerini blokluyor.
OpenVPN biraz daha iyi durumda. TLS handshake'i obfuscate edilebilir, ama trafik analiziyle hâlâ tanımlanabilir. Protokolün control channel'ının modern DPI sistemlerinin tanıdığı ayırt edici timing pattern'leri var.
VLESS Reality nasıl çalışıyor
XTLS Reality'li VLESS temelden farklı bir yaklaşım alıyor. VPN trafiğini gizlemeye çalışmak yerine, trafiği normal HTTPS'ten ayırt edilemez yapıyor.
Reality üzerinden bağlandığında:
- Client'ın diyelim
www.microsoft.comile standart bir TLS 1.3 handshake gibi görünen şeyi başlatıyor - Sunucu hedef siteden gerçek bir TLS sertifikasıyla yanıt veriyor
- Bir sansürcü sunucuyu probe ederse, gerçek microsoft.com'a yönlendiriliyor — gerçek içerik dönüyor
- Sadece doğru özel anahtara sahip client'lar gerçek VPN tunnel'ı kurabiliyor
Reality TLS'i taklit etmiyor. Gerçek TLS altyapısı kullanıyor. Aktif probing yapan bir sansürcü meşru bir web sunucusu görüyor. Sahte sertifika yok, standart tarayıcı davranışından tespit edilebilir sapma yok.
Gerçek dünya sonuçları
Pratikte fark:
| Protokol | Rusya (TSPU) | Çin (GFW) | İran |
|---|---|---|---|
| WireGuard | 30 saniyenin altında bloklu | Bloklu | Bloklu |
| OpenVPN | Bloklu/throttle | Bloklu | Aralıklı |
| VLESS Reality | ~%98 çalışıyor | Çalışıyor | Çalışıyor |
Bunlar teorik rakamlar değil. Bu araçlara günlük dayanan sansürlü ülkelerdeki kullanıcılar tarafından raporlanıyor.
Büyük VPN'ler bunu neden sunmuyor
NordVPN, ExpressVPN ve Surfshark VLESS Reality'yi desteklemiyor. Neden?
Protokol Çinli sansür-karşıtı topluluğundan (Xray/V2Ray ekosistemi) geliyor, Batılı VPN endüstrisinden değil. Entegre etmek Xray core, TUN-bazlı routing ve spesifik TLS kamuflaj mekanizmalarıyla derin aşinalık gerektiriyor. Bazı yargı yetkilerinde trafik obfuscation hakkında karmaşık yasal sorular da getiriyor.
Fexyn Vision flow ile VLESS Reality'yi (xtls-rprx-vision) WireGuard ve OpenVPN'in yanında birinci-sınıf protokol olarak entegre ediyor. Kısıtlanmamış bir ağdayken WireGuard sana maksimum hız veriyor. Sansür tespit edildiğinde, Fexyn otomatik olarak Vision flow ile VLESS Reality'ye geçiyor, trafiğini onu bloklamaya çalışan sistemlere görünmez yapıyor.
Teknik mimari
Implementasyonumuz sunucuda Reality için konfigüre edilmiş VLESS inbound'la Xray Core çalıştırıyor:
- Hedef kamuflajı: Trafik
www.microsoft.com'a gidiyor gibi görünüyor - Short ID'ler: Rotate eden tanımlayıcılar replay saldırılarını önlüyor
- XTLS Vision: Overhead'i azaltan optimize edilmiş TLS işleme
- Otomatik fallback: VLESS bir şekilde bozulursa, sistem OpenVPN'e düşüyor
Client tarafında Fexyn tun2socks üzerinden bir TUN interface yönetiyor, tüm trafiği VLESS tunnel üzerinden yönlendiriyor. Tüm süreç otomatik — kullanıcılar sadece "Bağlan"a basıyor ve client optimal protokolü seçiyor.
Bunun gizlilik için anlamı
Sansür direnci sadece otoriter ülkelerdeki insanlar için değil. Rusya'da VPN'leri bloklayan aynı DPI sistemleri ticari olarak mevcut ve dünya çapında ISP'ler, üniversiteler ve kurumsal ağlar tarafından dağıtılıyor. VPN protokolün fingerprint alınabiliyorsa, gizliliğin ağı kontrol eden kişinin bakmamayı seçmesine bağlı. Bu en çok düşmanca bölgelerden çalışan gazeteciler için önemli — fingerprint alınan protokoller içerikten önce niyeti sızdırıyor.
VLESS Reality o bağımlılığı kaldırıyor. Trafiğin Microsoft'un web sitesini geziyormuşsun gibi görünüyor. Hiç kimse (ne ISP'in, ne ağ admin'i, ne ulus-devlet) onu özel anahtarına erişim olmadan normal web taramasından ayıramıyor.
VPN'in sağlaması gereken gizlilik seviyesi bu: tespit edilmeyeceğini umut etmek değil, edilemeyeceğini bilmek. DPI aşımı olmayan denetlenmiş, güvenlik-odaklı bir alternatife karşı karşılaştırma için Fexyn vs ProtonVPN.