راهاندازی Xray VLESS Reality: یک راهنمای گامبهگام
VLESS Reality راهی است برای اجرای یک پروکسی رمزشده که، برای هر چیزی که شبکه را تماشا میکند، شبیه یک بازدید معمولی از یک وبسایت واقعی بهنظر میرسد. انتقالِ سبکوزنِ VLESS از Xray را با دستدادنِ REALITY جفت میکند، که اثرانگشت TLSِ یک سایت اصیل را قرض میگیرد تا بازرسی عمیق بسته چیزی برای علامتزدن نداشته باشد. راهاندازی یک سرور کوچک و حدود پانزده دقیقه میبرد.
پاسخ کوتاه: یک سرور بیرون از شبکهٔ فیلترشده اجاره میکنید، Xray را رویش نصب میکنید، یک ورودیِ VLESS با امنیت REALITY روشن میکنید، و لینکِ تولیدشده را در یک اپ کلاینت وارد میکنید. REALITY بخش سخت را انجام میدهد: دستدادنِ TLSِ سرور شما را از دستدادنِ یک وبسایتِ واقعی و پرطرفدار غیرقابلتمایز میکند، که همین دلیلی است که این ترکیب هنوز جایی عبور میکند که ابزارهای قدیمیتر مسدود میشوند.
نکات کلیدی
- VLESS انتقالِ بیپیرایهٔ Xray است. بهخودیِخود هیچ رمزنگاریای حمل نمیکند، پس همیشه با یک لایهٔ امنیتی جفت میشود — اینجا، REALITY.
- REALITY همان ترفندی است که اهمیت دارد: کاری میکند سرور شما دستدادنِ TLSِ یک سایتِ شخصِثالثِ واقعی را عرضه کند، که هم اثرانگشتگیری و هم کاوش فعال را شکست میدهد بدون آنکه به دامنه یا گواهیِ خودتان نیاز باشد.
- این خودمیزبان است. به سرور خودتان (یک VPS ارزان) در مکانی که فیلتر نشده نیاز دارید — هیچ حسابی برای ثبتنام نیست.
- دو مسیر راهاندازیِ رایج: پنل وبِ 3x-ui (آسانترین) یا یک پیکربندی Xrayِ دستنوشته (کنترل بیشتر). هر دو در زیر پوشش داده شدهاند.
- قدرتمند است، اما اجرایش با خودتان است: یک سرور، بدون جایگزینِ خودکار، و نگهداریِ جاری هزینههای واقعیاند.
VLESS Reality واقعاً چیست
سه قطعه روی هم چیده میشوند، و کمک میکند آنها را از هم جدا کنیم.
Xray (Xray-core) موتور پروکسی است — یک نوادهٔ فعالانه نگهداریشده از پروژهٔ V2Ray. چند پروتکل صحبت میکند؛ VLESS یکی از آنهاست.
VLESS یک پروتکل انتقالِ عامدانه کمینه است. نام به آنچه کنار میگذارد اشاره میکند: جایی که پروتکل قدیمیترِ VMess رمزنگاریِ خودش و احرازِ هویتِ مبتنی بر مهرِ زمانی را انجام میداد، VLESS همهٔ آن را کنار میگذارد و هیچ رمزنگاریِ خودش را حمل نمیکند. این تا وقتی که نکتهاش را ببینید شبیه یک تنزل بهنظر میرسد. با کنارماندن از سر راه، VLESS اجازه میدهد یک لایهٔ امنیتیِ اختصاصی کارِ رمزکردن را انجام دهد، با سربار کمتر و یک امضای تمیزتر روی سیم.
REALITY همان لایهٔ امنیتی است، و دلیلی است که این راهاندازی ارزش دردسر را دارد. مشکلی که حل میکند مشخص است. یک پروکسی TLSِ معمولی باید یک گواهی عرضه کند، و یک گواهی یک اثرانگشت است. گواهیهای خودامضا مشکوک بهنظر میرسند؛ گواهی برای دامنهٔ خودتان سرور را به شما گره میزند و میتوان آن را برشمرد. بدتر، سامانههای سانسور کاوشهای فعال اجرا میکنند: خودشان به یک سرور مشکوک وصل میشوند تا ببینند چطور رفتار میکند. بیشتر لباسهای مبدل در آن آزمون شکست میخورند.
پاسخِ REALITY این است که تظاهر را کنار بگذارد و قرضگرفتن را آغاز کند. بهجای عرضهٔ گواهیِ خودش، سرور شما یک دستدادنِ واقعیِ TLS 1.3 را با هویتِ یک وبسایتِ اصیل و پرطرفدار که شما تعیین میکنید کامل میکند. یک کلاینتِ مجاز — یکی که کلید عمومی شما و یک short ID منطبق را در اختیار دارد — به درون پروکسی هدایت میشود. هرکس دیگری، از جمله یک کاوشگر دولتی، بهطور شفاف به آن وبسایتِ واقعی ارجاع داده میشود و گواهیِ واقعی و معتبرش را میبیند. هیچ ناهنجاریای برای شناسایی نیست، چون برای یک ناظرِ بیرونی، اتصال یک اتصالِ واقعی به یک سایتِ واقعی است.
اگر زمینهٔ گستردهتری برای اینکه چرا ابزارهایی مانند این وجود دارند میخواهید، چگونه ایران، روسیه و چین VPNها را مسدود میکنند سامانههای بازرسی عمیق بسته و کاوش فعالی را که REALITY برای دوامآوردن در برابرشان ساخته شده پوشش میدهد.
پیش از شروع به چه چیزی نیاز دارید
- یک VPS (سرور مجازی اختصاصی) در مکانی که پشت دیوار آتشی که میکوشید از آن عبور کنید نباشد. هر نمونهٔ کوچکی که یک Debian یا Ubuntu نسبتاً جدید اجرا میکند خوب است.
- دسترسی SSH به آن سرور، بهعنوان root یا یک کاربر sudo.
- حدود پانزده دقیقه.
یک چیزی که به آن نیاز ندارید نام دامنهٔ خودتان یا یک گواهی TLS است. برداشتنِ آن الزام مزیتِ اصلیِ REALITY است، و بخش بزرگی از دلیلی که این راهاندازی سریعتر از پروکسیهای TLSودامنهای که پیش از آن آمدند برپا میشود.
راهاندازی، مسیر A: پنل 3x-ui
اگر ترجیح میدهید کلیک کنید تا اینکه JSON ویرایش کنید، پنل 3x-ui رایجترین مسیر است، و کلیدها را برایتان تولید میکند. گامهای شمارهگذاریشده:
- یک VPS بگیرید و وصل شوید. سرور را با ارائهدهندهتان بسازید، سپس با SSH وارد شوید:
ssh root@your-server-ip. - اسکریپت نصب را اجرا کنید. نصبکنندهٔ تکخطی را از README پروژهٔ 3x-ui بچسبانید. پنل و Xray را نصب میکند، و یک نشانیِ پنل، پورت، و لاگین چاپ میکند.
- وارد شوید و قفلش کنید. نشانیِ پنل را در یک مرورگر باز کنید و وارد شوید. بیدرنگ نام کاربری، گذرواژه، و مسیر پیشفرض پنل را تغییر دهید — یک پنلِ در معرضِ دیدبا اعتبارنامههای پیشفرض رایجترین راهی است که این راهاندازیها به خطر میافتند.
- ورودی را بسازید. یک ورودیِ جدید بیفزایید، پروتکل را روی VLESS بگذارید، و امنیت را روی REALITY بگذارید.
- بگذارید پنل بخش رمزنگاری را پُر کند. از دکمهها برای تولید UUID، جفتکلیدِ x25519، و یک short ID استفاده کنید. برای مقصد و SNI، یک سایتِ واقعی انتخاب کنید که معیارهای بخشِ زیر را برآورده میکند.
- برونبری و درونبری کنید. ذخیره کنید، سپس لینکِ اشتراک را کپی کنید یا کد QR را به درونِ اپ کلاینتتان اسکن کنید. آن تکلینک هرچه را کلاینت نیاز دارد در خود دارد.
کلِ جریان همین است. پنل دقیقاً همان کاری را میکند که مسیرِ دستی میکند؛ فقط فایل پیکربندی را پنهان میکند.
راهاندازی، مسیر B: پیکربندی Xray با دست
مسیرِ دستی به شما کنترل بیشتر و هیچ اجزای متحرکِ اضافهای نمیدهد. دو فرمان برای تولید اعتبارنامهها اجرا میکنید، سپس یک فایل پیکربندی مینویسید.
- Xray-core را نصب کنید. از نصبکنندهٔ رسمی از پروژهٔ XTLS Xray-core استفاده کنید. باینری و یک سرویس systemd را روی سرور قرار میدهد.
- اعتبارنامهها را تولید کنید.
xray uuidرا برای یک شناسهٔ کلاینت اجرا کنید، سپسxray x25519را برای یک جفتکلید. کلید خصوصی را روی سرور نگه دارید؛ کلید عمومی به کلاینتهایتان میرود. - پیکربندی را بنویسید. یک ورودیِ کمینهٔ VLESS با REALITY اینگونه بهنظر میرسد:
{ "inbounds": [{ "port": 443, "protocol": "vless", "settings": { "clients": [{ "id": "PASTE-UUID", "flow": "xtls-rprx-vision" }], "decryption": "none" }, "streamSettings": { "network": "tcp", "security": "reality", "realitySettings": { "dest": "example.com:443", "serverNames": ["example.com"], "privateKey": "PASTE-PRIVATE-KEY", "shortIds": ["", "0123abcd"] } } }], "outbounds": [{ "protocol": "freedom" }] } - راهاندازی مجدد و بررسی کنید. سرویس Xray را دوباره راهاندازی کنید و تأیید کنید که روی پورت 443 گوش میدهد.
- لینک کلاینت را بسازید. نشانیِ اشتراک را از UUID، کلید عمومیتان، یک short ID، و SNI سرِ هم کنید. بیشتر مردم این را یکبار تولید و دوباره استفاده میکنند.
چند فیلد اینجا نان خود را درمیآورند. flow که روی xtls-rprx-vision تنظیم شده XTLS Vision را روشن میکند، که رمزنگاریِ دوبرابرشدهٔ تونلکردنِ TLS درون TLS را میتراشد، پس هم سریعتر و هم آرامتر است. dest و serverNames همان هویتِ قرضگرفتهاند. privateKey با کلید عمومیای که کلاینت شما در اختیار دارد جفت میشود، و shortIds اجازه میدهد یک سرور کلاینتها را از هم تشخیص دهد.
انتخابِ یک «dest» — تنها تصمیمی که اهمیت دارد
سایتِ مقصدی که قرض میگیرید تفاوتِ میانِ محوشدن در جمع و انگشتنماشدن است. به سایتی نشانه بگیرید که:
- از TLS 1.3 و HTTP/2 پشتیبانی کند (REALITY به یک دستدادنِ مدرن برای تقلید نیاز دارد).
- در جایی که کلاینتهای شما هستند از پیش مسدود نشده باشد — شما درون ترافیکش پنهان میشوید، پس باید قابلدسترس باشد.
- بیرون از کشور خودتان میزبانی شود و بازدید از آن برای کسی آنجا غیرعادی نباشد.
- دامنهٔ خودتان نباشد، و یک میزبانِ کوچک یا گمنام نباشد که بهعنوان یک مقصد عجیب بهنظر برسد.
این را درست انتخاب کنید و ترافیک سرور شما از نظر آماری کسلکننده است. اشتباه انتخابش کنید — یک سایتِ مسدودشده، یا یکی که واقعاً از دستدادنی که ادعا میکنید پشتیبانی نمیکند — و خودتان را بیشتر توجهبرانگیز کردهاید، نه کمتر.
وصلکردن یک کلاینت
همان لینکِ اتصال در سراسر پلتفرمها کار میکند؛ آن را در هر کلاینتی که با دستگاهتان جور است وارد میکنید.
- Windows / Linux: v2rayN و کلاینتهای دسکتاپِ مشابه.
- Android: v2rayNG.
- iOS: اپهایی که از VLESS با REALITY و جریانِ Vision پشتیبانی میکنند — Shadowrocket، Streisand، و V2Box انتخابهای رایجاند. لینک را بچسبانید یا QR را اسکن کنید.
هرچه استفاده میکنید، پس از وصلشدن یک بررسیِ سریع اجرا کنید: تأیید کنید که IP عمومی شما به IP سرور تغییر کرده، و اینکه DNS به دور تونل نشت نمیکند. یک پروکسی که بیسروصدا نشت میکند نکته را شکست میدهد.
در چه خوب است — و محدودیتهای واقعیاش
نسخهٔ صادقانهٔ این معرفی کوتاه است. VLESS Reality، امروز، یکی از قابلاتکاترین راهها برای بیرونکشیدنِ یک اتصال از یک شبکهٔ سنگین فیلترشده است. کاوش فعالی را که ابزارهای سادهتر را میگیرد شکست میدهد، به هیچ دامنه یا گواهیای نیاز ندارد، و با Vision هزینهٔ کارایی کوچک است. بهطور خاص برای مشکل سانسور، عالی است.
اما خودمیزبانی یک موازنه است، نه یک ناهار مجانی، و هزینهها ارزش دارند رک گفته شوند:
- یک نقطهٔ واحدِ شکست است. یک سرور، یک آدرس IP. اگر آن IP مسدود شود، یا ارائهدهندهتان نمونه را علامت بزند، تا وقتی جای دیگری بازسازی کنید بدون جایگزینِ خودکار از کار افتادهاید.
- شما اپراتورید. وصلهزدن به سیستمعامل، بهروزکردن Xray، امن نگهداشتنِ کلیدها و پنل: آن کار متوقف نمیشود. یک پنلِ قدیمی یا یک گذرواژهٔ پیشفرضِ بازاستفادهشده یک خطر واقعی است، نه یک فرض.
- پوشش به کلاینت بستگی دارد. مسیریابیِ یک دستگاه کامل، مدیریت DNS، و رفتارِ ایمن وقتی تونل میافتد اینجا کارِ کلاینتاند، و کلاینتها فرق دارند. یک VPN کامل آن رفتار را استانداردسازی میکند؛ یک راهاندازیِ پروکسی بیشترِ آن را به شما واگذار میکند. آن تضاد قلبِ Shadowsocks در برابر یک VPN است.
- لباس مبدل هم به نگهداری نیاز دارد. یک مقصدِ قرضگرفته که مسدود میشود، یا یک کلاینت که از پروتکل عقب میافتد، میتواند یک راهاندازیِ آرام را پُرسروصدا کند.
یک رویکردِ موازی هم هست که ارزش دانستن دارد. REALITY یک پروکسی را با تقلیدِ یک وبسایت پنهان میکند؛ دنیای WireGuard به همان مشکلِ بازرسی عمیق بسته از سمت VPN پاسخ میدهد، با بازآرایی خودِ پروتکل، که موضوعِ AmneziaWG در برابر WireGuard است. و اگر نخست مقایسهٔ سطحزمینِ این پروتکلهای تونل را میخواهید، WireGuard در برابر OpenVPN و IKEv2 موازنهها را شرح میدهد.
پرسشهای پرتکرار
VLESS Reality چیست؟ جفتی از دو چیز در Xray است: VLESS، یک پروتکل انتقالِ سبکوزن که ترافیک شما را حمل میکند، و REALITY، یک لایهٔ امنیتی که اتصال را به شکل یک بازدید TLSِ معمولی از یک وبسایت واقعی درمیآورد. این دو با هم یک پروکسی میسازند که شناسایی یا کاوشش برای سامانههای سانسور سخت است.
آیا VLESS Reality رمزشده است؟ بله — اما نه توسط VLESS. خودِ VLESS هیچ رمزنگاریای حمل نمیکند. رمزنگاری از نشستِ اصیلِ TLS 1.3 میآید که REALITY برقرار میکند، که همان رمزنگاریِ مدرنی است که HTTPSِ معمولی را ایمن میکند. پس ترافیک شما رمزشده است؛ رمزنگاری فقط بهجای انتقال در لایهٔ REALITY ساکن است.
«VLESS» یعنی چه؟ یک پروتکل انتقال در خانوادهٔ V2Ray/Xray است، طراحیشده بهعنوان جانشینی سبکتر برای VMess. نام به آنچه برمیدارد اشاره میکند: کمتر less انجام میدهد، بهویژه با کنارگذاشتنِ رمزنگاریِ داخلی و احرازِ هویتِ مهرِ زمانی که VMess حمل میکرد. آن کمینهگرایی همان ویژگی است — رمزنگاری را به TLS یا REALITY واگذار میکند و سربار و امضاها را پایین نگه میدارد.
آیا VLESS بهتر از VMess است؟ برای یک راهاندازیِ استلثِ مدرن، معمولاً بله. VLESS سبکتر است و میتواند جریانِ XTLS Vision را استفاده کند، که VMess نمیتواند، و تمیز با REALITY جفت میشود. VMess هنوز کار میکند و رمزنگاریِ خودش را داخل دارد، اما دستدادنش آسانتر اثرانگشتگیری میشود، که دقیقاً همان چیزی است که روی یک شبکهٔ فیلترشده میکوشید از آن پرهیز کنید.
آیا VLESS Reality رایگان است؟ نرمافزار هست — Xray و REALITY متنباز و بیهزینهاند. آنچه بابتش پول میدهید سروری است که رویش اجرا میشود. از کانفیگهای عمومیِ «رایگانِ» بهاشتراکگذاشتهشده آنلاین برحذر باشید: استفاده از یکی یعنی مسیریابیِ کل ترافیک شما از میان سرورِ یک غریبه، با همان مشکل اعتمادِ هر پروکسیِ رایگان.
جمعبندی
- VLESS Reality یک پروکسیِ استلثِ خودمیزبان است: انتقالِ VLESSِ Xray بهعلاوهٔ دستدادنِ REALITY، که سرور را به شکل یک وبسایت واقعی درمیآورد.
- اثرانگشتگیری و کاوش فعالی را که ابزارهای سادهتر را مسدود میکند شکست میدهد، و به دامنه یا گواهیِ خودتان نیاز ندارد.
- راهاندازی یک VPS و یک پیکربندیِ کوتاه است (یا از طریق پنل 3x-ui یا یک فایلِ دستنوشته)، و تنها مهمترین انتخاب همان سایتِ مقصدی است که قرض میگیرید.
- هزینه، مالکیت است: یک سرور، بدون جایگزینِ خودکار، و نگهداریای که با اجرای زیرساختِ خودتان میآید.
اجرای سرورِ VLESS Reality خودتان به شما کنترلِ کامل میدهد، به بهای آنکه کسی باشید که آن را وصلهخورده، پرداختشده، و زنده نگه میدارد. اگر روی iPhone هستید و ترجیح میدهید یک اتصال WireGuardِ مبهمشده داشته باشید که مجبور به ادارهاش نباشید — بدون سروری برای اجاره، بدون کلیدی برای چرخاندن، بدون ایمیل یا حساب — آن همان سمتی است که Snap VPN برایش ساخته شده، و روی App Store است.