VLESS Reality est une façon de faire tourner un proxy chiffré qui, pour tout ce qui surveille le réseau, ressemble à une visite ordinaire d'un vrai site web. Il associe le transport léger VLESS de Xray à la poignée de main REALITY, qui emprunte l'empreinte TLS d'un site authentique de sorte que l'inspection profonde de paquets n'ait rien à signaler. La configuration demande un petit serveur et une quinzaine de minutes.

Réponse courte : vous louez un serveur hors du réseau filtré, vous y installez Xray, vous activez un inbound VLESS avec la sécurité REALITY, et vous importez le lien généré dans une application cliente. REALITY fait le plus dur : il rend la poignée de main TLS de votre serveur indiscernable de celle d'un vrai site web populaire, et c'est pourquoi cette combinaison passe encore là où des outils plus anciens se font bloquer.

Points clés

  • VLESS est le transport sans fioritures de Xray. Seul, il ne porte aucun chiffrement, il est donc toujours associé à une couche de sécurité — ici, REALITY.
  • REALITY est l'astuce qui compte : il fait présenter à votre serveur la poignée de main TLS d'un vrai site tiers, déjouant à la fois la prise d'empreinte et le sondage actif sans avoir besoin de votre propre domaine ni certificat.
  • C'est auto-hébergé. Il vous faut votre propre serveur (un VPS bon marché) dans un lieu non filtré — il n'y a aucun compte à créer.
  • Deux voies de configuration courantes : le panneau web 3x-ui (le plus simple) ou une config Xray écrite à la main (plus de contrôle). Les deux sont couvertes ci-dessous.
  • C'est puissant, mais c'est à vous de le faire tourner : un seul serveur, aucun basculement de secours, et la maintenance continue sont les vrais coûts.

Ce qu'est réellement VLESS Reality

Trois éléments s'empilent, et il est utile de les distinguer.

Xray (Xray-core) est le moteur de proxy — un descendant activement maintenu du projet V2Ray. Il parle plusieurs protocoles ; VLESS est l'un d'eux.

VLESS est un protocole de transport délibérément minimal. Son nom signale ce qu'il laisse de côté : là où le protocole VMess, plus ancien, faisait son propre chiffrement et son authentification fondée sur des horodatages, VLESS abandonne tout cela et ne porte aucun chiffrement propre. Cela ressemble à une régression jusqu'à ce qu'on en saisisse l'intérêt. En restant à l'écart, VLESS laisse une couche de sécurité dédiée se charger du chiffrement, avec moins de surcharge et une signature plus nette sur le câble.

REALITY est cette couche de sécurité, et c'est la raison pour laquelle cette configuration en vaut la peine. Le problème qu'elle résout est précis. Un proxy TLS normal doit présenter un certificat, et un certificat est une empreinte. Les certificats auto-signés ont l'air suspects ; un certificat pour votre propre domaine relie le serveur à vous et peut être énuméré. Pire, les systèmes de censure lancent des sondages actifs : ils se connectent eux-mêmes à un serveur suspect pour voir comment il se comporte. La plupart des déguisements échouent à ce test.

La réponse de REALITY est de cesser de faire semblant et de se mettre à emprunter. Au lieu de servir son propre certificat, votre serveur complète une vraie poignée de main TLS 1.3 en utilisant l'identité d'un site web authentique et populaire que vous désignez. Un client autorisé — détenteur de votre clé publique et d'un short ID correspondant — est orienté vers le proxy. Tout autre, y compris un sondeur gouvernemental, est transmis de façon transparente vers ce vrai site web et voit son vrai certificat, valide. Il n'y a aucune anomalie à détecter, car pour un observateur extérieur la connexion est une vraie connexion vers un vrai site.

Si vous voulez le contexte plus large expliquant pourquoi de tels outils existent, comment l'Iran, la Russie et la Chine bloquent les VPN couvre les systèmes d'inspection profonde de paquets et de sondage actif que REALITY est conçu pour survivre.

Ce qu'il vous faut avant de commencer

  • Un VPS (serveur privé virtuel) dans un lieu qui n'est pas derrière le pare-feu que vous cherchez à franchir. Toute petite instance faisant tourner un Debian ou un Ubuntu récent fait l'affaire.
  • Un accès SSH à ce serveur, en root ou en utilisateur sudo.
  • Une quinzaine de minutes.

Une chose dont vous n'avez pas besoin, c'est votre propre nom de domaine ni un certificat TLS. Supprimer cette exigence est le principal atout pratique de REALITY, et une grande part de la raison pour laquelle cette configuration est plus rapide à monter que les proxys à TLS et domaine qui l'ont précédée.

Configuration, voie A : le panneau 3x-ui

Si vous préférez cliquer plutôt qu'éditer du JSON, le panneau 3x-ui est la voie la plus courante, et il génère les clés à votre place. Les étapes numérotées :

  1. Procurez-vous un VPS et connectez-vous. Créez le serveur chez votre fournisseur, puis connectez-vous en SSH : ssh root@your-server-ip.
  2. Lancez le script d'installation. Collez l'installateur en une ligne issu du README du projet 3x-ui. Il installe le panneau et Xray, et affiche une adresse de panneau, un port et un identifiant.
  3. Connectez-vous et verrouillez le tout. Ouvrez l'URL du panneau dans un navigateur et connectez-vous. Changez immédiatement le nom d'utilisateur, le mot de passe et le chemin du panneau par défaut — un panneau exposé avec des identifiants par défaut est la façon la plus courante dont ces configurations se font compromettre.
  4. Créez l'inbound. Ajoutez un nouvel inbound, réglez le protocole sur VLESS, et réglez la sécurité sur REALITY.
  5. Laissez le panneau remplir la cryptographie. Utilisez les boutons pour générer l'UUID, la paire de clés x25519 et un short ID. Pour la destination et le SNI, choisissez un vrai site qui répond aux critères de la section ci-dessous.
  6. Exportez et importez. Enregistrez, puis copiez le lien de partage ou scannez le QR code dans votre application cliente. Ce seul lien contient tout ce dont le client a besoin.

Voilà tout le déroulé. Le panneau fait exactement ce que fait la voie manuelle ; il se contente de masquer le fichier de config.

Configuration, voie B : config Xray à la main

La voie manuelle vous donne plus de contrôle et aucune pièce mobile en plus. Vous lancerez deux commandes pour générer les identifiants, puis vous écrirez un fichier de config.

  1. Installez Xray-core. Utilisez l'installateur officiel du projet XTLS Xray-core. Il place le binaire et un service systemd sur le serveur.
  2. Générez les identifiants. Lancez xray uuid pour un identifiant client, puis xray x25519 pour une paire de clés. Gardez la clé privée sur le serveur ; la clé publique va à vos clients.
  3. Écrivez la config.Un inbound VLESS minimal avec REALITY ressemble à ceci :
    {
      "inbounds": [{
        "port": 443,
        "protocol": "vless",
        "settings": {
          "clients": [{ "id": "PASTE-UUID", "flow": "xtls-rprx-vision" }],
          "decryption": "none"
        },
        "streamSettings": {
          "network": "tcp",
          "security": "reality",
          "realitySettings": {
            "dest": "example.com:443",
            "serverNames": ["example.com"],
            "privateKey": "PASTE-PRIVATE-KEY",
            "shortIds": ["", "0123abcd"]
          }
        }
      }],
      "outbounds": [{ "protocol": "freedom" }]
    }
  4. Redémarrez et vérifiez. Redémarrez le service Xray et confirmez qu'il écoute sur le port 443.
  5. Construisez le lien client. Assemblez l'URL de partage à partir de l'UUID, de votre clé publique, d'un short ID et du SNI. La plupart des gens le génèrent une fois et le réutilisent.

Quelques champs méritent leur place ici. flow réglé sur xtls-rprx-vision active XTLS Vision, qui supprime le double chiffrement consistant à tunneliser du TLS dans du TLS, ce qui le rend à la fois plus rapide et plus discret. dest et serverNames sont l'identité empruntée. privateKey s'apparie avec la clé publique que détient votre client, et shortIds permet à un seul serveur de distinguer les clients.

Choisir un « dest » — la seule décision qui compte

Le site de destination que vous empruntez fait la différence entre se fondre dans la masse et se faire remarquer. Visez un site qui :

  • Prend en charge TLS 1.3 et HTTP/2 (REALITY a besoin d'une poignée de main moderne à imiter).
  • N'est pas déjà bloqué là où se trouvent vos clients — vous vous cachez dans son trafic, il doit donc être accessible.
  • Est hébergé hors de votre propre pays et qu'il n'est pas inhabituel pour quelqu'un de là-bas de visiter.
  • N'est pas votre propre domaine, et n'est pas un hôte minuscule ou obscur qui aurait l'air étrange comme destination.

Faites-le bien et le trafic de votre serveur est statistiquement banal. Faites-le mal — un site bloqué, ou un site qui ne prend pas vraiment en charge la poignée de main que vous revendiquez — et vous vous êtes rendu plus visible, pas moins.

Connecter un client

Le même lien de connexion fonctionne sur toutes les plateformes ; vous l'importez dans le client qui convient à votre appareil.

  • Windows / Linux : v2rayN et les clients de bureau similaires.
  • Android : v2rayNG.
  • iOS : les applications qui prennent en charge VLESS avec REALITY et le flow Vision — Shadowrocket, Streisand et V2Box sont des choix courants. Collez le lien ou scannez le QR.

Quel que soit votre choix, faites une vérification rapide après la connexion : confirmez que votre IP publique est devenue celle du serveur, et que le DNS ne fuit pas en dehors du tunnel. Un proxy qui fuit en silence anéantit l'intérêt de l'opération.

Ce en quoi il excelle — et ses vraies limites

La version franche de l'argumentaire est courte. VLESS Reality est, aujourd'hui, l'une des façons les plus fiables de faire sortir une connexion d'un réseau fortement filtré. Il déjoue le sondage actif qui piège les outils plus simples, il n'a besoin ni de domaine ni de certificat, et avec Vision le coût en performances est faible. Pour le problème de la censure en particulier, il est excellent.

Mais l'auto-hébergement est un compromis, pas un repas gratuit, et les coûts méritent d'être dits clairement :

  • C'est un point de défaillance unique. Un serveur, une adresse IP. Si cette IP est bloquée, ou si votre fournisseur signale l'instance, vous êtes hors service sans aucun basculement de secours jusqu'à ce que vous reconstruisiez ailleurs.
  • L'opérateur, c'est vous. Corriger le système d'exploitation, mettre à jour Xray, garder les clés et le panneau sécurisés : ce travail ne s'arrête pas. Un panneau obsolète ou un mot de passe par défaut réutilisé est un risque réel, pas hypothétique.
  • La couverture dépend du client. Acheminer tout un appareil, gérer le DNS et se comporter sans danger quand le tunnel tombe sont ici le travail du client, et les clients varient. Un VPN complet standardise ce comportement ; une configuration de proxy vous en laisse une plus grande part. Ce contraste est au cœur de Shadowsocks vs un VPN.
  • Le déguisement a lui aussi besoin d'entretien. Une destination empruntée qui se fait bloquer, ou un client qui prend du retard sur le protocole, peut transformer une configuration discrète en configuration bruyante.

Il existe aussi une approche parallèle qu'il vaut la peine de connaître. REALITY cache un proxy en imitant un site web ; le monde de WireGuard répond au même problème d'inspection profonde de paquets du côté VPN en remodelant le protocole lui-même, ce qui fait l'objet de AmneziaWG vs WireGuard. Et si vous voulez d'abord la comparaison de base de ces protocoles de tunnel, WireGuard vs OpenVPN vs IKEv2 expose les compromis.

Questions fréquentes

Qu'est-ce que VLESS Reality ? C'est l'association de deux choses dans Xray : VLESS, un protocole de transport léger qui achemine votre trafic, et REALITY, une couche de sécurité qui déguise la connexion en visite TLS normale vers un vrai site web. Ensemble, ils forment un proxy difficile à détecter ou à sonder pour les systèmes de censure.

VLESS Reality est-il chiffré ? Oui — mais pas par VLESS. VLESS lui-même ne porte aucun chiffrement. Le chiffrement provient de la véritable session TLS 1.3 que REALITY établit, qui est le même chiffrement moderne que celui sécurisant le HTTPS ordinaire. Votre trafic est donc chiffré ; le chiffrement réside simplement dans la couche REALITY plutôt que dans le transport.

Que signifie « VLESS » ? C'est un protocole de transport de la famille V2Ray/Xray, conçu comme un successeur plus léger de VMess. Le nom pointe vers ce qu'il retire : il fait moins, en abandonnant notamment le chiffrement intégré et l'authentification par horodatage que portait VMess. Ce minimalisme est la fonctionnalité — il laisse le chiffrement à TLS ou à REALITY et maintient la surcharge et les signatures à un niveau bas.

VLESS est-il meilleur que VMess ? Pour une configuration furtive moderne, généralement oui. VLESS est plus léger et peut utiliser le flow XTLS Vision, ce que VMess ne peut pas, et il s'associe proprement à REALITY. VMess fonctionne toujours et dispose de son propre chiffrement intégré, mais sa poignée de main est plus facile à identifier par empreinte, ce qui est précisément ce que vous cherchez à éviter sur un réseau filtré.

VLESS Reality est-il gratuit ? Le logiciel l'est — Xray et REALITY sont open source et sans frais. Ce que vous payez, c'est le serveur sur lequel il tourne. Méfiez-vous des configs publiques « gratuites » partagées en ligne : en utiliser une revient à acheminer tout votre trafic à travers le serveur d'un inconnu, avec le même problème de confiance que n'importe quel proxy gratuit.

En résumé

  • VLESS Reality est un proxy furtif auto-hébergé : le transport VLESS de Xray plus la poignée de main REALITY, qui déguise le serveur en vrai site web.
  • Il déjoue la prise d'empreinte et le sondage actif qui bloquent les outils plus simples, et il n'a besoin ni de votre propre domaine ni de certificat.
  • La configuration tient en un VPS et une config courte (soit via le panneau 3x-ui, soit via un fichier écrit à la main), et le choix le plus important de tous est le site de destination que vous empruntez.
  • Le coût, c'est la propriété : un serveur, aucun basculement de secours, et l'entretien qui va de pair avec la gestion de votre propre infrastructure.

Faire tourner votre propre serveur VLESS Reality vous offre un contrôle total, au prix d'être celui qui le maintient à jour, le finance et le garde en vie. Si vous êtes sur iPhone et préféreriez disposer d'une connexion WireGuard obfusquée que vous n'avez pas à exploiter — aucun serveur à louer, aucune clé à changer, aucun e-mail ni compte — c'est le créneau pour lequel Snap VPN est conçu, et il est sur l'App Store.