Xray VLESS Reality einrichten: Eine Schritt-für-Schritt-Anleitung
VLESS Reality ist eine Möglichkeit, einen verschlüsselten Proxy zu betreiben, der für alles, was das Netzwerk beobachtet, wie ein gewöhnlicher Besuch einer echten Website aussieht. Es paart Xrays leichtgewichtigen VLESS-Transport mit dem REALITY-Handshake, der den TLS-Fingerabdruck einer echten Seite borgt, sodass Deep Packet Inspection nichts zu markieren hat. Die Einrichtung braucht einen kleinen Server und etwa fünfzehn Minuten.
Kurze Antwort: Du mietest einen Server außerhalb des gefilterten Netzwerks, installierst Xray darauf, schaltest ein VLESS-Inbound mit REALITY-Sicherheit ein und importierst den generierten Link in eine Client-App. REALITY erledigt den schweren Teil: Es macht den TLS-Handshake deines Servers ununterscheidbar von dem einer echten, beliebten Website, weshalb diese Kombination noch durchkommt, wo ältere Werkzeuge blockiert werden.
Die wichtigsten Punkte
- VLESS ist Xrays schnörkelloser Transport. Für sich allein trägt es keine Verschlüsselung, also wird es immer mit einer Sicherheitsschicht gepaart — hier REALITY.
- REALITY ist der entscheidende Trick: Es lässt deinen Server den TLS-Handshake einer echten Drittanbieter-Seite präsentieren und schlägt sowohl Fingerprinting als auch aktives Sondieren, ohne eine eigene Domain oder ein eigenes Zertifikat zu brauchen.
- Das ist selbst gehostet. Du brauchst deinen eigenen Server (einen günstigen VPS) an einem Ort, der nicht gefiltert wird — es gibt kein Konto, für das man sich anmelden muss.
- Zwei gängige Einrichtungswege: das 3x-ui-Web-Panel (am einfachsten) oder eine von Hand geschriebene Xray-Konfiguration (mehr Kontrolle). Beide werden unten behandelt.
- Es ist mächtig, aber es liegt an dir, es zu betreiben: ein Server, kein Failover und laufende Wartung sind die echten Kosten.
Was VLESS Reality eigentlich ist
Drei Teile stapeln sich zusammen, und es hilft, sie zu trennen.
Xray (Xray-core) ist die Proxy-Engine — ein aktiv gepflegter Nachfahre des V2Ray-Projekts. Es spricht mehrere Protokolle; VLESS ist eines davon.
VLESS ist ein bewusst minimales Transportprotokoll. Der Name signalisiert, was es weglässt: Wo das ältere VMess-Protokoll seine eigene Verschlüsselung und zeitstempelbasierte Authentifizierung betrieb, lässt VLESS all das fallen und trägt keine eigene Verschlüsselung. Das klingt nach einem Rückschritt, bis du den Sinn siehst. Indem es sich heraushält, lässt VLESS eine dedizierte Sicherheitsschicht das Verschlüsseln übernehmen, mit weniger Aufwand und einer saubereren Signatur auf der Leitung.
REALITY ist diese Sicherheitsschicht, und sie ist der Grund, warum diese Einrichtung die Mühe wert ist. Das Problem, das sie löst, ist spezifisch. Ein normaler TLS-Proxy muss ein Zertifikat präsentieren, und ein Zertifikat ist ein Fingerabdruck. Selbstsignierte Zertifikate sehen verdächtig aus; ein Zertifikat für deine eigene Domain bindet den Server an dich und kann aufgezählt werden. Schlimmer noch: Zensursysteme betreiben aktive Sondierungen — sie verbinden sich selbst mit einem verdächtigen Server, um zu sehen, wie er sich verhält. Die meisten Tarnungen bestehen diesen Test nicht.
REALITYs Antwort ist, das Vortäuschen aufzugeben und stattdessen zu borgen. Statt ein eigenes Zertifikat auszuliefern, schließt dein Server einen echten TLS-1.3-Handshake unter der Identität einer echten, beliebten Website ab, die du benennst. Ein autorisierter Client — einer, der deinen öffentlichen Schlüssel und eine passende Short-ID hält — wird in den Proxy gelenkt. Alle anderen, einschließlich eines staatlichen Sondierers, werden transparent an diese echte Website weitergeleitet und sehen deren echtes, gültiges Zertifikat. Es gibt keine Anomalie zu erkennen, denn für einen Beobachter von außen ist die Verbindung eine echte Verbindung zu einer echten Seite.
Wenn du den weiteren Kontext willst, warum es Werkzeuge wie dieses gibt, behandelt wie Iran, Russland und China VPNs blockieren die Deep-Packet-Inspection- und aktiven Sondierungssysteme, die REALITY zu überleben gebaut ist.
Was du vor dem Start brauchst
- Einen VPS (virtuellen privaten Server) an einem Ort, der nicht hinter der Firewall liegt, die du zu überwinden versuchst. Jede kleine Instanz mit einem aktuellen Debian oder Ubuntu reicht.
- SSH-Zugang zu diesem Server, als root oder als sudo-Nutzer.
- Etwa fünfzehn Minuten.
Eines, was du nicht brauchst, ist eine eigene Domain oder ein TLS-Zertifikat. Diese Anforderung zu entfernen ist REALITYs Hauptbequemlichkeit und ein großer Teil davon, warum diese Einrichtung schneller aufzusetzen ist als die TLS-und-Domain-Proxys, die ihr vorausgingen.
Einrichtung, Weg A: das 3x-ui-Panel
Wenn du lieber klickst als JSON bearbeitest, ist das 3x-ui-Panel der gängigste Weg, und es generiert die Schlüssel für dich. Die nummerierten Schritte:
- Hol dir einen VPS und verbinde dich. Erstelle den Server bei deinem Anbieter, dann verbinde dich per SSH:
ssh root@your-server-ip. - Führe das Installationsskript aus. Füge den einzeiligen Installer aus der README des 3x-ui-Projekts ein. Er installiert das Panel und Xray und gibt eine Panel-Adresse, einen Port und einen Login aus.
- Melde dich an und sichere es ab. Öffne die Panel-URL in einem Browser und melde dich an. Ändere sofort den Standard-Benutzernamen, das Passwort und den Panel-Pfad — ein offenliegendes Panel mit Standard-Zugangsdaten ist die häufigste Art, wie diese Setups kompromittiert werden.
- Erstelle das Inbound. Füge ein neues Inbound hinzu, setze das Protokoll auf VLESS und setze Security auf REALITY.
- Lass das Panel die Krypto ausfüllen. Nutze die Schaltflächen, um die UUID, das x25519-Schlüsselpaar und eine Short-ID zu generieren. Für das Ziel und die SNI wähle eine echte Seite, die die Kriterien im Abschnitt weiter unten erfüllt.
- Exportiere und importiere. Speichere, dann kopiere den Teilen-Link oder scanne den QR-Code in deine Client-App. Dieser eine Link enthält alles, was der Client braucht.
Das ist der gesamte Ablauf. Das Panel tut genau das, was der manuelle Weg tut; es verbirgt nur die Konfigurationsdatei.
Einrichtung, Weg B: Xray-Konfiguration von Hand
Der manuelle Weg gibt dir mehr Kontrolle und keine zusätzlichen beweglichen Teile. Du führst zwei Befehle aus, um Zugangsdaten zu generieren, und schreibst dann eine Konfigurationsdatei.
- Installiere Xray-core. Nutze den offiziellen Installer vom XTLS-Xray-core-Projekt. Er legt die Binärdatei und einen systemd-Dienst auf dem Server ab.
- Generiere Zugangsdaten. Führe
xray uuidfür eine Client-ID aus, dannxray x25519für ein Schlüsselpaar. Behalte den privaten Schlüssel auf dem Server; der öffentliche Schlüssel geht an deine Clients. - Schreibe die Konfiguration. Ein minimales VLESS-Inbound mit REALITY sieht so aus:
{ "inbounds": [{ "port": 443, "protocol": "vless", "settings": { "clients": [{ "id": "PASTE-UUID", "flow": "xtls-rprx-vision" }], "decryption": "none" }, "streamSettings": { "network": "tcp", "security": "reality", "realitySettings": { "dest": "example.com:443", "serverNames": ["example.com"], "privateKey": "PASTE-PRIVATE-KEY", "shortIds": ["", "0123abcd"] } } }], "outbounds": [{ "protocol": "freedom" }] } - Neu starten und prüfen. Starte den Xray-Dienst neu und bestätige, dass er auf Port 443 lauscht.
- Baue den Client-Link. Setze die Teilen-URL aus der UUID, deinem öffentlichen Schlüssel, einer Short-ID und der SNI zusammen. Die meisten Menschen generieren das einmal und verwenden es wieder.
Ein paar Felder verdienen hier ihren Platz. flow auf xtls-rprx-vision gesetzt schaltet XTLS Vision ein, das die doppelte Verschlüsselung des Tunnelns von TLS innerhalb von TLS beschneidet, sodass es sowohl schneller als auch leiser ist. dest und serverNames sind die geborgte Identität. privateKey paart sich mit dem öffentlichen Schlüssel, den dein Client hält, und shortIds lässt einen Server Clients auseinanderhalten.
Eine "dest" wählen — die eine Entscheidung, die zählt
Die Zielseite, die du borgst, ist der Unterschied zwischen Aufgehen in der Menge und Herausstechen. Ziele auf eine Seite, die:
- TLS 1.3 und HTTP/2 unterstützt (REALITY braucht einen modernen Handshake, den es nachahmen kann).
- nicht bereits dort blockiert ist, wo deine Clients sind — du versteckst dich in ihrem Verkehr, also muss sie erreichbar sein.
- außerhalb deines eigenen Landes gehostet ist und für jemanden dort nicht ungewöhnlich zu besuchen ist.
- nicht deine eigene Domain ist und kein winziger oder obskurer Host, der als Ziel seltsam aussähe.
Mach das richtig, und der Verkehr deines Servers ist statistisch langweilig. Mach es falsch — eine blockierte Seite oder eine, die den Handshake, den du behauptest, gar nicht wirklich unterstützt — und du hast dich auffälliger gemacht, nicht weniger.
Einen Client verbinden
Derselbe Verbindungslink funktioniert plattformübergreifend; du importierst ihn in den Client, der zu deinem Gerät passt.
- Windows / Linux: v2rayN und ähnliche Desktop-Clients.
- Android: v2rayNG.
- iOS: Apps, die VLESS mit REALITY und den Vision-Flow unterstützen — Shadowrocket, Streisand und V2Box sind gängige Optionen. Füge den Link ein oder scanne den QR.
Was auch immer du nutzt, mach nach dem Verbinden eine schnelle Prüfung: Bestätige, dass sich deine öffentliche IP zu der des Servers geändert hat und dass DNS nicht um den Tunnel herum leakt. Ein Proxy, der still leakt, untergräbt den Sinn.
Wofür es gut ist — und seine echten Grenzen
Die ehrliche Version der Botschaft ist kurz. VLESS Reality ist heute eine der zuverlässigsten Möglichkeiten, eine Verbindung aus einem stark gefilterten Netzwerk herauszubekommen. Es schlägt das aktive Sondieren, das einfachere Werkzeuge erwischt, es braucht keine Domain oder kein Zertifikat, und mit Vision sind die Leistungskosten gering. Speziell für das Zensurproblem ist es ausgezeichnet.
Aber Selbsthosting ist ein Tausch, kein Gratis-Mittagessen, und die Kosten sind es wert, klar gesagt zu werden:
- Es ist ein einzelner Ausfallpunkt. Ein Server, eine IP-Adresse. Wenn diese IP blockiert wird oder dein Anbieter die Instanz markiert, bist du ohne Failover offline, bis du anderswo neu aufbaust.
- Du bist der Betreiber. Das Betriebssystem patchen, Xray aktualisieren, Schlüssel und das Panel sicher halten: Diese Arbeit hört nicht auf. Ein veraltetes Panel oder ein wiederverwendetes Standardpasswort ist ein echtes Risiko, kein hypothetisches.
- Die Abdeckung hängt vom Client ab. Ein ganzes Gerät zu routen, mit DNS umzugehen und sich sicher zu verhalten, wenn der Tunnel abbricht, ist hier Aufgabe des Clients, und Clients variieren. Ein vollständiges VPN standardisiert dieses Verhalten; ein Proxy-Setup überlässt mehr davon dir. Dieser Gegensatz ist das Herzstück von Shadowsocks vs ein VPN.
- Auch die Tarnung braucht Wartung. Ein geborgtes Ziel, das blockiert wird, oder ein Client, der hinter das Protokoll zurückfällt, kann ein leises Setup laut machen.
Es gibt auch einen parallelen Ansatz, den man kennen sollte. REALITY verbirgt einen Proxy, indem es eine Website nachahmt; die WireGuard-Welt beantwortet dasselbe Deep-Packet-Inspection-Problem von der VPN-Seite, indem sie das Protokoll selbst umformt, was das Thema von AmneziaWG vs WireGuard ist. Und wenn du zuerst den grundlegenden Vergleich dieser Tunnelprotokolle willst, legt WireGuard vs OpenVPN vs IKEv2 die Kompromisse dar.
Häufig gestellte Fragen
Was ist VLESS Reality? Es ist eine Paarung zweier Dinge in Xray: VLESS, ein leichtgewichtiges Transportprotokoll, das deinen Verkehr trägt, und REALITY, eine Sicherheitsschicht, die die Verbindung als einen normalen TLS-Besuch einer echten Website tarnt. Zusammen bilden sie einen Proxy, der für Zensursysteme schwer zu erkennen oder zu sondieren ist.
Ist VLESS Reality verschlüsselt? Ja — aber nicht durch VLESS. VLESS selbst trägt keine Verschlüsselung. Die Verschlüsselung kommt von der echten TLS-1.3-Sitzung, die REALITY aufbaut, was dieselbe moderne Verschlüsselung ist, die gewöhnliches HTTPS absichert. Dein Verkehr ist also verschlüsselt; die Verschlüsselung sitzt nur in der REALITY-Schicht statt im Transport.
Was bedeutet "VLESS"? Es ist ein Transportprotokoll in der V2Ray/Xray-Familie, entworfen als leichterer Nachfolger von VMess. Der Name deutet darauf, was es entfernt: Es tut weniger, vor allem indem es die eingebaute Verschlüsselung und Zeitstempel-Authentifizierung fallen lässt, die VMess trug. Dieser Minimalismus ist das Feature — es überlässt die Verschlüsselung TLS oder REALITY und hält Aufwand und Signaturen niedrig.
Ist VLESS besser als VMess? Für ein modernes Stealth-Setup meist ja. VLESS ist leichter und kann den XTLS-Vision-Flow nutzen, was VMess nicht kann, und es paart sich sauber mit REALITY. VMess funktioniert weiterhin und hat seine eigene Verschlüsselung eingebaut, aber sein Handshake ist leichter per Fingerabdruck zu erkennen, was genau das ist, was du in einem gefilterten Netzwerk zu vermeiden versuchst.
Ist VLESS Reality kostenlos? Die Software schon — Xray und REALITY sind Open Source ohne Kosten. Wofür du zahlst, ist der Server, auf dem es läuft. Sei vorsichtig mit "kostenlosen" öffentlichen Konfigurationen, die online geteilt werden: Eine zu nutzen bedeutet, deinen gesamten Verkehr über den Server eines Fremden zu leiten, mit demselben Vertrauensproblem wie bei jedem kostenlosen Proxy.
Fazit
- VLESS Reality ist ein selbst gehosteter Stealth-Proxy: Xrays VLESS-Transport plus der REALITY-Handshake, der den Server als echte Website tarnt.
- Es schlägt das Fingerprinting und das aktive Sondieren, die einfachere Werkzeuge blockieren, und es braucht keine eigene Domain oder kein eigenes Zertifikat.
- Die Einrichtung ist ein VPS und eine kurze Konfiguration (entweder über das 3x-ui-Panel oder eine von Hand geschriebene Datei), und die einzige wichtigste Wahl ist die Zielseite, die du borgst.
- Der Preis ist Eigentümerschaft: ein Server, kein Failover und der Unterhalt, der mit dem Betrieb eigener Infrastruktur einhergeht.
Einen eigenen VLESS-Reality-Server zu betreiben verschafft dir volle Kontrolle, um den Preis, derjenige zu sein, der ihn gepatcht, bezahlt und am Leben hält. Wenn du auf dem iPhone bist und lieber eine verschleierte WireGuard-Verbindung hättest, die du nicht betreiben musst — kein Server zu mieten, keine Schlüssel zu rotieren, keine E-Mail oder kein Konto —, ist das die Seite, für die Snap VPN gebaut ist, und es ist im App Store erhältlich.