Konfiguracja Xray VLESS Reality: przewodnik krok po kroku
VLESS Reality to sposób na uruchomienie szyfrowanego proxy, które dla wszystkiego obserwującego sieć wygląda jak zwykła wizyta na prawdziwej stronie internetowej. Łączy lekki transport VLESS z Xray z uzgadnianiem REALITY, które pożycza odcisk palca TLS prawdziwej witryny, więc głęboka inspekcja pakietów nie ma czego oznaczyć. Konfiguracja wymaga jednego małego serwera i około piętnastu minut.
Krótka odpowiedź: wynajmujesz serwer poza filtrowaną siecią, instalujesz na nim Xray, włączasz przychodzące VLESS z zabezpieczeniem REALITY i importujesz wygenerowany link do aplikacji klienckiej. REALITY robi tę trudną część: czyni uzgadnianie TLS Twojego serwera nieodróżnialnym od prawdziwej, popularnej witryny, dlatego ta kombinacja wciąż przechodzi tam, gdzie starsze narzędzia są blokowane.
Najważniejsze wnioski
- VLESS to bezpretensjonalny transport Xray. Sam z siebie nie niesie żadnego szyfrowania, więc zawsze jest łączony z warstwą zabezpieczeń — tutaj z REALITY.
- REALITY to sztuczka, która się liczy: sprawia, że Twój serwer prezentuje uzgadnianie TLS prawdziwej, zewnętrznej witryny, pokonując zarówno odcisk palca, jak i aktywne sondowanie, bez potrzeby własnej domeny czy certyfikatu.
- To jest samodzielnie hostowane. Potrzebujesz własnego serwera (taniego VPS) w lokalizacji, która nie jest filtrowana — nie ma konta do założenia.
- Dwie częste ścieżki konfiguracji: panel webowy 3x-ui (najłatwiejszy) albo ręcznie pisany config Xray (więcej kontroli). Obie są omówione poniżej.
- Jest potężne, ale to Ty je prowadzisz: jeden serwer, brak przełączania awaryjnego i bieżące utrzymanie to prawdziwe koszty.
Czym VLESS Reality naprawdę jest
Trzy elementy układają się razem i pomaga je rozdzielić.
Xray (Xray-core) to silnik proxy — aktywnie utrzymywany potomek projektu V2Ray. Mówi kilkoma protokołami; VLESS jest jednym z nich.
VLESS to celowo minimalny protokół transportowy. Nazwa sygnalizuje, co pomija: tam, gdzie starszy protokół VMess robił własne szyfrowanie i uwierzytelnianie oparte na znacznikach czasu, VLESS porzuca to wszystko i nie niesie żadnego własnego szyfrowania. Brzmi to jak krok wstecz, dopóki nie zobaczysz sensu. Pozostając z boku, VLESS pozwala dedykowanej warstwie zabezpieczeń wykonać szyfrowanie, z mniejszym narzutem i czystszą sygnaturą na łączu.
REALITY to ta warstwa zabezpieczeń i to powód, dla którego ta konfiguracja jest warta zachodu. Problem, który rozwiązuje, jest konkretny. Normalne proxy TLS musi przedstawić certyfikat, a certyfikat to odcisk palca. Certyfikaty podpisane samodzielnie wyglądają podejrzanie; certyfikat dla Twojej własnej domeny wiąże serwer z Tobą i można go wyliczyć. Co gorsza, systemy cenzury prowadzą aktywne sondowanie: same łączą się z podejrzanym serwerem, by zobaczyć, jak się zachowuje. Większość przebrań oblewa ten test.
Odpowiedzią REALITY jest przestać udawać, a zacząć pożyczać. Zamiast serwować własny certyfikat, Twój serwer kończy prawdziwe uzgadnianie TLS 1.3 używając tożsamości prawdziwej, popularnej witryny, którą wskażesz. Upoważniony klient — taki, który trzyma Twój klucz publiczny i pasujący krótki identyfikator — zostaje skierowany do proxy. Każdy inny, w tym rządowy sondujący, zostaje przezroczyście przekazany do tej prawdziwej witryny i widzi jej prawdziwy, ważny certyfikat. Nie ma żadnej anomalii do wykrycia, bo dla obserwatora z zewnątrz połączenie jest prawdziwym połączeniem z prawdziwą witryną.
Jeśli chcesz szerszego kontekstu, dlaczego takie narzędzia istnieją, jak Iran, Rosja i Chiny blokują VPN-y omawia systemy głębokiej inspekcji pakietów i aktywnego sondowania, które REALITY ma za zadanie przetrwać.
Czego potrzebujesz, zanim zaczniesz
- VPS (wirtualny serwer prywatny) w lokalizacji, która nie jest za zaporą ogniową, którą próbujesz przekroczyć. Każda mała instancja z aktualnym Debianem lub Ubuntu jest w porządku.
- Dostęp SSH do tego serwera, jako root lub użytkownik sudo.
- Około piętnastu minut.
Jedną rzeczą, której nie potrzebujesz, jest własna nazwa domeny czy certyfikat TLS. Usunięcie tego wymogu to główna wygoda REALITY i spora część tego, dlaczego ta konfiguracja jest szybsza do postawienia niż proxy oparte na TLS-i-domenie, które ją poprzedzały.
Konfiguracja, ścieżka A: panel 3x-ui
Jeśli wolisz klikać niż edytować JSON, panel 3x-ui to najczęstsza droga, a klucze generuje za Ciebie. Numerowane kroki:
- Zdobądź VPS i połącz się. Utwórz serwer u swojego dostawcy, potem połącz się przez SSH:
ssh root@your-server-ip. - Uruchom skrypt instalacyjny. Wklej jednowierszowy instalator z pliku README projektu 3x-ui. Instaluje on panel i Xray oraz wypisuje adres panelu, port i login.
- Zaloguj się i zabezpiecz. Otwórz URL panelu w przeglądarce i zaloguj się. Natychmiast zmień domyślną nazwę użytkownika, hasło i ścieżkę panelu — odsłonięty panel z domyślnymi poświadczeniami to najczęstszy sposób, w jaki te konfiguracje zostają skompromitowane.
- Utwórz przychodzące. Dodaj nowe przychodzące, ustaw protokół na VLESS i ustaw Security na REALITY.
- Pozwól panelowi uzupełnić kryptografię. Użyj przycisków, by wygenerować UUID, parę kluczy x25519 i krótki identyfikator. Dla celu i SNI wybierz prawdziwą witrynę, która spełnia kryteria z sekcji poniżej.
- Wyeksportuj i zaimportuj. Zapisz, potem skopiuj link udostępniania albo zeskanuj kod QR do aplikacji klienckiej. Ten jeden link zawiera wszystko, czego klient potrzebuje.
To cały przepływ. Panel robi dokładnie to, co ścieżka ręczna; po prostu ukrywa plik konfiguracyjny.
Konfiguracja, ścieżka B: config Xray ręcznie
Ścieżka ręczna daje Ci więcej kontroli i żadnych dodatkowych ruchomych części. Uruchomisz dwa polecenia, by wygenerować poświadczenia, a potem napiszesz jeden plik konfiguracyjny.
- Zainstaluj Xray-core. Użyj oficjalnego instalatora z projektu XTLS Xray-core. Umieszcza on plik binarny i usługę systemd na serwerze.
- Wygeneruj poświadczenia. Uruchom
xray uuiddla identyfikatora klienta, potemxray x25519dla pary kluczy. Trzymaj klucz prywatny na serwerze; klucz publiczny idzie do Twoich klientów. - Napisz config. Minimalne przychodzące VLESS z REALITY wygląda tak:
{ "inbounds": [{ "port": 443, "protocol": "vless", "settings": { "clients": [{ "id": "PASTE-UUID", "flow": "xtls-rprx-vision" }], "decryption": "none" }, "streamSettings": { "network": "tcp", "security": "reality", "realitySettings": { "dest": "example.com:443", "serverNames": ["example.com"], "privateKey": "PASTE-PRIVATE-KEY", "shortIds": ["", "0123abcd"] } } }], "outbounds": [{ "protocol": "freedom" }] } - Zrestartuj i sprawdź. Zrestartuj usługę Xray i potwierdź, że nasłuchuje na porcie 443.
- Zbuduj link klienta. Złóż URL udostępniania z UUID, Twojego klucza publicznego, krótkiego identyfikatora i SNI. Większość ludzi generuje to raz i używa ponownie.
Kilka pól zarabia tu na siebie. flow ustawione na xtls-rprx-vision włącza XTLS Vision, który przycina podwojone szyfrowanie tunelowania TLS wewnątrz TLS, więc jest zarazem szybsze i cichsze. dest i serverNames to pożyczona tożsamość. privateKey łączy się w parę z kluczem publicznym, który trzyma Twój klient, a shortIds pozwala jednemu serwerowi odróżniać klientów.
Wybór "dest" — jedna decyzja, która ma znaczenie
Witryna docelowa, którą pożyczasz, to różnica między wtopieniem się a wyróżnieniem. Celuj w witrynę, która:
- Obsługuje TLS 1.3 i HTTP/2 (REALITY potrzebuje nowoczesnego uzgadniania do naśladowania).
- Nie jest już zablokowana tam, gdzie są Twoi klienci — ukrywasz się wewnątrz jej ruchu, więc musi być osiągalna.
- Jest hostowana poza Twoim własnym krajem i nie jest niczym niezwykłym, by ktoś stamtąd ją odwiedzał.
- Nie jest Twoją własną domeną i nie jest maleńkim ani niejasnym hostem, który wyglądałby dziwnie jako cel.
Zrób to dobrze, a ruch Twojego serwera jest statystycznie nudny. Zrób to źle — zablokowana witryna albo taka, która naprawdę nie obsługuje uzgadniania, które deklarujesz — a uczyniłeś się bardziej rzucającym się w oczy, a nie mniej.
Podłączanie klienta
Ten sam link połączenia działa na różnych platformach; importujesz go do tego klienta, który pasuje do Twojego urządzenia.
- Windows / Linux: v2rayN i podobne klienty desktopowe.
- Android: v2rayNG.
- iOS: aplikacje, które obsługują VLESS z REALITY i przepływem Vision — Shadowrocket, Streisand i V2Box to częste wybory. Wklej link albo zeskanuj kod QR.
Czegokolwiek użyjesz, po połączeniu zrób szybkie sprawdzenie: potwierdź, że Twój publiczny IP zmienił się na adres serwera i że DNS nie wycieka poza tunelem. Proxy, które po cichu wycieka, niweczy cały sens.
W czym jest dobre — i jego prawdziwe ograniczenia
Uczciwa wersja oferty jest krótka. VLESS Reality jest dziś jednym z najbardziej niezawodnych sposobów na wyprowadzenie połączenia z mocno filtrowanej sieci. Pokonuje aktywne sondowanie, które łapie prostsze narzędzia, nie potrzebuje domeny ani certyfikatu, a z Vision koszt wydajności jest mały. Akurat do problemu cenzury jest doskonałe.
Ale samodzielne hostowanie to kompromis, a nie darmowy obiad, i koszty warto powiedzieć wprost:
- To pojedynczy punkt awarii. Jeden serwer, jeden adres IP. Jeśli ten IP zostanie zablokowany albo Twój dostawca oznaczy instancję, jesteś bez sieci, bez przełączania awaryjnego, dopóki nie odbudujesz gdzie indziej.
- To Ty jesteś operatorem. Łatanie systemu operacyjnego, aktualizowanie Xray, utrzymywanie kluczy i panelu w bezpieczeństwie: ta praca się nie kończy. Nieaktualny panel albo użyte ponownie domyślne hasło to realne ryzyko, a nie hipotetyczne.
- Zasięg zależy od klienta. Trasowanie całego urządzenia, obsługa DNS i bezpieczne zachowanie, gdy tunel pada, to tutaj zadanie klienta, a klienty się różnią. Pełny VPN normalizuje to zachowanie; konfiguracja proxy zostawia więcej z tego Tobie. Ten kontrast to sedno Shadowsocks kontra VPN.
- Przebranie też wymaga utrzymania. Pożyczony cel, który zostaje zablokowany, albo klient, który zostaje w tyle za protokołem, może zamienić cichą konfigurację w głośną.
Jest też równoległe podejście warte poznania. REALITY ukrywa proxy, naśladując witrynę; świat WireGuard odpowiada na ten sam problem głębokiej inspekcji pakietów od strony VPN, przekształcając sam protokół, co jest tematem AmneziaWG kontra WireGuard. A jeśli chcesz najpierw podstawowego porównania tych protokołów tunelowych, WireGuard kontra OpenVPN kontra IKEv2 rozkłada kompromisy.
Najczęściej zadawane pytania
Czym jest VLESS Reality? To połączenie dwóch rzeczy w Xray: VLESS, lekkiego protokołu transportowego, który niesie Twój ruch, oraz REALITY, warstwy zabezpieczeń, która maskuje połączenie jako normalną wizytę TLS na prawdziwej stronie internetowej. Razem tworzą proxy, które jest trudne dla systemów cenzury do wykrycia czy zsondowania.
Czy VLESS Reality jest szyfrowane? Tak — ale nie przez VLESS. Sam VLESS nie niesie żadnego szyfrowania. Szyfrowanie pochodzi z prawdziwej sesji TLS 1.3, którą ustanawia REALITY, a jest to to samo nowoczesne szyfrowanie, które zabezpiecza zwykły HTTPS. Więc Twój ruch jest szyfrowany; szyfrowanie po prostu mieszka w warstwie REALITY, a nie w transporcie.
Co oznacza "VLESS"? To protokół transportowy z rodziny V2Ray/Xray, zaprojektowany jako lżejszy następca VMess. Nazwa wskazuje na to, co usuwa: robi mniej, w szczególności porzucając wbudowane szyfrowanie i uwierzytelnianie znacznikami czasu, które niósł VMess. Ten minimalizm jest cechą — zostawia szyfrowanie TLS-owi lub REALITY i utrzymuje narzut oraz sygnatury niskimi.
Czy VLESS jest lepszy niż VMess? Do nowoczesnej stealthowej konfiguracji zwykle tak. VLESS jest lżejszy i może używać przepływu XTLS Vision, czego VMess nie może, oraz łączy się czysto z REALITY. VMess wciąż działa i ma własne wbudowane szyfrowanie, ale jego uzgadnianie jest łatwiejsze do odcisku palca, co jest dokładnie tym, czego próbujesz uniknąć w filtrowanej sieci.
Czy VLESS Reality jest darmowe? Oprogramowanie tak — Xray i REALITY są otwartoźródłowe i bezpłatne. Płacisz za serwer, na którym działa. Uważaj na "darmowe" publiczne configi udostępniane w sieci: użycie jednego oznacza trasowanie całego Twojego ruchu przez serwer obcej osoby, z tym samym problemem zaufania, co każde darmowe proxy.
Podsumowanie
- VLESS Reality to samodzielnie hostowane stealthowe proxy: transport VLESS z Xray plus uzgadnianie REALITY, które maskuje serwer jako prawdziwą stronę internetową.
- Pokonuje odcisk palca i aktywne sondowanie, które blokują prostsze narzędzia, i nie potrzebuje Twojej własnej domeny ani certyfikatu.
- Konfiguracja to jeden VPS i krótki config (albo przez panel 3x-ui, albo ręcznie pisany plik), a jednym najważniejszym wyborem jest witryna docelowa, którą pożyczasz.
- Kosztem jest własność: jeden serwer, brak przełączania awaryjnego i utrzymanie, które przychodzi z prowadzeniem własnej infrastruktury.
Prowadzenie własnego serwera VLESS Reality kupuje Ci pełną kontrolę, kosztem bycia tym, kto utrzymuje go załatanym, opłaconym i żywym. Jeśli jesteś na iPhone i wolałbyś mieć zaciemnione połączenie WireGuard, którego nie musisz obsługiwać — bez serwera do wynajęcia, bez kluczy do rotowania, bez e-maila czy konta — to ta strona, dla której zbudowano Snap VPN, i jest on w App Store.