VLESS Reality คือวิธีรันพร็อกซีเข้ารหัสที่ ต่อสายตาอะไรก็ตามที่จับตาดูเครือข่าย ดูเหมือนการเข้าชมเว็บไซต์จริงตามปกติ มันจับคู่ทรานสปอร์ต VLESS น้ำหนักเบาของ Xray เข้ากับการจับมือ REALITY ซึ่งยืมลายนิ้วมือ TLS ของเว็บไซต์ของจริงมา เพื่อให้การตรวจสอบแพ็กเก็ตเชิงลึกไม่มีอะไรให้ทำเครื่องหมาย การตั้งค่าใช้เซิร์ฟเวอร์เล็ก ๆ หนึ่งเครื่องและเวลาราวสิบห้านาที

คำตอบสั้น ๆ: คุณเช่าเซิร์ฟเวอร์นอกเครือข่ายที่ถูกกรอง ติดตั้ง Xray บนมัน เปิด VLESS inbound ด้วยความปลอดภัยแบบ REALITY แล้วนำเข้าลิงก์ที่สร้างขึ้นไปยังแอปไคลเอนต์ REALITY ทำส่วนที่ยาก: มันทำให้การจับมือ TLS ของเซิร์ฟเวอร์คุณแยกไม่ออกจากของเว็บไซต์ยอดนิยมของจริง ซึ่งเป็นเหตุผลที่การจับคู่นี้ยังผ่านไปได้ในที่ที่เครื่องมือรุ่นเก่าถูกบล็อก

ประเด็นสำคัญ

  • VLESS คือทรานสปอร์ตเรียบ ๆ ของ Xray ในตัวมันเองไม่มีการเข้ารหัสเลย จึงต้องจับคู่กับชั้นความปลอดภัยเสมอ ในที่นี้คือ REALITY
  • REALITY คือกลเม็ดที่สำคัญ: มันทำให้เซิร์ฟเวอร์ของคุณนำเสนอการจับมือ TLS ของเว็บไซต์บุคคลที่สามของจริง เอาชนะทั้งการเก็บลายนิ้วมือและการหยั่งเชิงรุก โดยไม่ต้องมีโดเมนหรือใบรับรองของตัวเอง
  • นี่คือการโฮสต์เอง คุณต้องมีเซิร์ฟเวอร์ของตัวเอง (VPS ราคาถูก) ในตำแหน่งที่ไม่ถูกกรอง ไม่มีบัญชีให้สมัคร
  • เส้นทางการตั้งค่าที่พบบ่อยสองทาง: แผงควบคุมเว็บ 3x-ui (ง่ายที่สุด) หรือเขียน Xray config ด้วยมือ (ควบคุมได้มากกว่า) ครอบคลุมทั้งสองด้านล่าง
  • มันทรงพลัง แต่มันเป็นของคุณที่ต้องดูแล: เซิร์ฟเวอร์เดียว ไม่มีตัวสำรอง และการบำรุงรักษาต่อเนื่องคือต้นทุนที่แท้จริง

VLESS Reality คืออะไรกันแน่

สามชิ้นส่วนซ้อนกัน และมันช่วยให้แยกแยะมันออกจากกัน

Xray (Xray-core) คือเครื่องยนต์พร็อกซี เป็นลูกหลานที่ยังพัฒนาอยู่ของโครงการ V2Ray มันพูดได้หลายโปรโตคอล VLESS เป็นหนึ่งในนั้น

VLESS คือโปรโตคอลทรานสปอร์ตที่จงใจให้น้อยที่สุด ชื่อของมันบ่งบอกถึงสิ่งที่มันตัดทิ้ง: ที่ซึ่งโปรโตคอล VMess รุ่นเก่าทำการเข้ารหัสของตัวเองและการพิสูจน์ตัวตนแบบอิงเวลา VLESS ทิ้งทั้งหมดนั้นและไม่ขนการเข้ารหัสของตัวเองเลย ฟังดูเหมือนการลดทอนจนกว่าคุณจะเห็นจุดประสงค์ ด้วยการหลีกทางออกไป VLESS ปล่อยให้ชั้นความปลอดภัยเฉพาะทำการเข้ารหัส ด้วยภาระที่น้อยกว่าและลายเซ็นบนสายที่สะอาดกว่า

REALITY คือชั้นความปลอดภัยนั้น และมันคือเหตุผลที่การตั้งค่านี้คุ้มกับความยุ่งยาก ปัญหาที่มันแก้นั้นเฉพาะเจาะจง พร็อกซี TLS ปกติต้องนำเสนอใบรับรอง และใบรับรองคือลายนิ้วมือ ใบรับรองที่ลงนามเองดูน่าสงสัย ใบรับรองสำหรับโดเมนของคุณเองผูกเซิร์ฟเวอร์เข้ากับคุณและสามารถถูกไล่นับได้ ที่แย่กว่านั้น ระบบเซ็นเซอร์รันการหยั่งเชิงรุก: พวกมันเชื่อมต่อไปยังเซิร์ฟเวอร์ที่น่าสงสัยด้วยตัวเองเพื่อดูว่ามันทำตัวอย่างไร การพรางตัวส่วนใหญ่สอบตกบททดสอบนั้น

คำตอบของ REALITY คือเลิกแสร้งทำและเริ่มยืมมา แทนที่จะให้บริการใบรับรองของตัวเอง เซิร์ฟเวอร์ของคุณทำการจับมือ TLS 1.3 ของจริงให้สมบูรณ์โดยใช้ตัวตนของเว็บไซต์ยอดนิยมของแท้ที่คุณกำหนด ไคลเอนต์ที่ได้รับอนุญาต ตัวที่ถือกุญแจสาธารณะของคุณและ short ID ที่ตรงกัน จะถูกนำทางเข้าสู่พร็อกซี ส่วนคนอื่น ๆ รวมถึงตัวหยั่งของรัฐ จะถูกส่งต่ออย่างโปร่งใสไปยังเว็บไซต์ของจริงนั้นและเห็นใบรับรองที่แท้จริงและถูกต้องของมัน ไม่มีสิ่งผิดปกติให้ตรวจจับ เพราะสำหรับผู้สังเกตจากภายนอก การเชื่อมต่อนั้นคือการเชื่อมต่อจริงไปยังเว็บไซต์จริง

ถ้าคุณอยากได้บริบทที่กว้างกว่าว่าทำไมเครื่องมืออย่างนี้จึงมีอยู่ วิธีที่อิหร่าน รัสเซีย และจีนบล็อก VPN ครอบคลุมระบบการตรวจสอบแพ็กเก็ตเชิงลึกและการหยั่งเชิงรุกที่ REALITY ถูกสร้างมาเพื่อเอาตัวรอด

สิ่งที่คุณต้องมีก่อนเริ่ม

  • VPS (เซิร์ฟเวอร์ส่วนตัวเสมือน) ในตำแหน่งที่ไม่อยู่หลังไฟร์วอลล์ที่คุณพยายามจะข้าม อินสแตนซ์เล็ก ๆ ตัวใดที่รัน Debian หรือ Ubuntu รุ่นใหม่ก็ใช้ได้
  • การเข้าถึง SSH ไปยังเซิร์ฟเวอร์นั้น ในฐานะ root หรือผู้ใช้ที่มีสิทธิ์ sudo
  • เวลาราวสิบห้านาที

สิ่งหนึ่งที่คุณไม่จำเป็นต้องมีคือชื่อโดเมนของตัวเองหรือใบรับรอง TLS การตัดข้อกำหนดนั้นออกคือความสะดวกหลักของ REALITY และเป็นส่วนใหญ่ของเหตุผลที่การตั้งค่านี้สร้างขึ้นได้เร็วกว่าพร็อกซีแบบ TLS-และ-โดเมนที่มีมาก่อนหน้า

การตั้งค่า เส้นทาง A: แผงควบคุม 3x-ui

ถ้าคุณอยากคลิกมากกว่าแก้ JSON แผงควบคุม 3x-ui คือเส้นทางที่พบบ่อยที่สุด และมันสร้างกุญแจให้คุณ ขั้นตอนที่เรียงเป็นข้อ:

  1. หา VPS และเชื่อมต่อ สร้างเซิร์ฟเวอร์กับผู้ให้บริการของคุณ แล้ว SSH เข้าไป: ssh root@your-server-ip
  2. รันสคริปต์ติดตั้ง วางตัวติดตั้งบรรทัดเดียวจาก README ของโครงการ 3x-ui มันติดตั้งแผงควบคุมและ Xray และพิมพ์ที่อยู่แผงควบคุม พอร์ต และข้อมูลล็อกอินออกมา
  3. ล็อกอินและล็อกมันให้แน่น เปิด URL ของแผงควบคุมในเบราว์เซอร์และลงชื่อเข้าใช้ เปลี่ยนชื่อผู้ใช้ รหัสผ่าน และเส้นทางแผงควบคุมเริ่มต้นทันที แผงควบคุมที่เปิดเผยพร้อมข้อมูลรับรองเริ่มต้นคือวิธีที่พบบ่อยที่สุดที่การตั้งค่าเหล่านี้ถูกเจาะ
  4. สร้าง inbound เพิ่ม inbound ใหม่ ตั้งโปรโตคอลเป็น VLESS และตั้ง Security เป็น REALITY
  5. ให้แผงควบคุมเติมส่วนคริปโตให้ ใช้ปุ่มเพื่อสร้าง UUID, คู่กุญแจ x25519 และ short ID สำหรับปลายทางและ SNI ให้เลือกเว็บไซต์ของจริงที่ตรงตามเกณฑ์ในหัวข้อด้านล่าง
  6. ส่งออกและนำเข้า บันทึก แล้วคัดลอกลิงก์แชร์หรือสแกนคิวอาร์โค้ดเข้าสู่แอปไคลเอนต์ของคุณ ลิงก์เดียวนั้นมีทุกอย่างที่ไคลเอนต์ต้องการ

นั่นคือกระบวนการทั้งหมด แผงควบคุมทำสิ่งที่เส้นทางแบบมือทำพอดี มันแค่ซ่อนไฟล์ config ไว้

การตั้งค่า เส้นทาง B: เขียน Xray config ด้วยมือ

เส้นทางแบบมือให้คุณควบคุมได้มากกว่าและไม่มีชิ้นส่วนเคลื่อนไหวเพิ่ม คุณจะรันสองคำสั่งเพื่อสร้างข้อมูลรับรอง แล้วเขียนไฟล์ config หนึ่งไฟล์

  1. ติดตั้ง Xray-core ใช้ตัวติดตั้งอย่างเป็นทางการจาก โครงการ XTLS Xray-core มันวางไบนารีและบริการ systemd ไว้บนเซิร์ฟเวอร์
  2. สร้างข้อมูลรับรอง รัน xray uuid สำหรับ ID ของไคลเอนต์ แล้ว xray x25519 สำหรับคู่กุญแจ เก็บกุญแจส่วนตัวไว้บนเซิร์ฟเวอร์ กุญแจสาธารณะส่งไปยังไคลเอนต์ของคุณ
  3. เขียน config VLESS inbound ขั้นต่ำพร้อม REALITY หน้าตาแบบนี้:
    {
      "inbounds": [{
        "port": 443,
        "protocol": "vless",
        "settings": {
          "clients": [{ "id": "PASTE-UUID", "flow": "xtls-rprx-vision" }],
          "decryption": "none"
        },
        "streamSettings": {
          "network": "tcp",
          "security": "reality",
          "realitySettings": {
            "dest": "example.com:443",
            "serverNames": ["example.com"],
            "privateKey": "PASTE-PRIVATE-KEY",
            "shortIds": ["", "0123abcd"]
          }
        }
      }],
      "outbounds": [{ "protocol": "freedom" }]
    }
  4. รีสตาร์ตและตรวจสอบ รีสตาร์ตบริการ Xray และยืนยันว่ามันกำลังรับฟังอยู่บนพอร์ต 443
  5. สร้างลิงก์ไคลเอนต์ ประกอบ URL แชร์จาก UUID กุญแจสาธารณะของคุณ short ID และ SNI คนส่วนใหญ่สร้างมันครั้งเดียวแล้วใช้ซ้ำ

มีฟิลด์ไม่กี่ตัวที่ทำหน้าที่สำคัญตรงนี้ flow ที่ตั้งเป็น xtls-rprx-vision เปิดใช้ XTLS Vision ซึ่งตัดการเข้ารหัสซ้อนสองชั้นของการทันเนล TLS ภายใน TLS ออก จึงทั้งเร็วกว่าและเงียบกว่า dest และ serverNames คือตัวตนที่ยืมมา privateKey จับคู่กับกุญแจสาธารณะที่ไคลเอนต์ของคุณถือไว้ และ shortIds ช่วยให้เซิร์ฟเวอร์เดียวแยกแยะไคลเอนต์ได้

การเลือก "dest" การตัดสินใจหนึ่งเดียวที่สำคัญ

เว็บไซต์ปลายทางที่คุณยืมมาคือความต่างระหว่างการกลมกลืนกับการโดดเด่นออกมา จงเล็งหาเว็บไซต์ที่:

  • รองรับ TLS 1.3 และ HTTP/2 (REALITY ต้องการการจับมือสมัยใหม่เพื่อเลียนแบบ)
  • ไม่ ถูกบล็อกอยู่แล้วในที่ที่ไคลเอนต์ของคุณอยู่ คุณกำลังซ่อนตัวอยู่ในทราฟฟิกของมัน ดังนั้นมันต้องเข้าถึงได้
  • โฮสต์อยู่นอกประเทศของคุณเอง และไม่ใช่เรื่องผิดปกติที่คนที่นั่นจะเข้าชม
  • ไม่ใช่โดเมนของคุณเอง และไม่ใช่โฮสต์เล็กจิ๋วหรือไม่เป็นที่รู้จักที่จะดูแปลกในฐานะปลายทาง

ทำสิ่งนี้ให้ถูกต้องแล้วทราฟฟิกของเซิร์ฟเวอร์คุณก็น่าเบื่อในเชิงสถิติ ทำมันผิด ทั้งเว็บไซต์ที่ถูกบล็อก หรือเว็บไซต์ที่ไม่ได้รองรับการจับมือที่คุณอ้างจริง ๆ แล้วคุณก็ทำให้ตัวเองโดดเด่นขึ้น ไม่ใช่น้อยลง

การเชื่อมต่อไคลเอนต์

ลิงก์การเชื่อมต่อเดียวกันใช้ได้ข้ามแพลตฟอร์ม คุณนำเข้ามันไปยังไคลเอนต์ตัวใดก็ตามที่เข้ากับอุปกรณ์ของคุณ

  • Windows / Linux: v2rayN และไคลเอนต์เดสก์ท็อปที่คล้ายกัน
  • Android: v2rayNG
  • iOS: แอปที่รองรับ VLESS พร้อม REALITY และ flow แบบ Vision อย่าง Shadowrocket, Streisand และ V2Box เป็นตัวเลือกที่พบบ่อย วางลิงก์หรือสแกนคิวอาร์โค้ด

ไม่ว่าคุณจะใช้อะไร ให้ตรวจสอบอย่างรวดเร็วหลังเชื่อมต่อ: ยืนยันว่า IP สาธารณะของคุณเปลี่ยนเป็นของเซิร์ฟเวอร์แล้ว และ DNS ไม่ได้รั่วเลี่ยงรอบทันเนล พร็อกซีที่รั่วอย่างเงียบ ๆ ทำลายจุดประสงค์ทั้งหมด

จุดที่มันเก่ง และข้อจำกัดที่แท้จริง

เวอร์ชันตรงไปตรงมาของการเสนอขายนั้นสั้น VLESS Reality คือหนึ่งในวิธีที่เชื่อถือได้ที่สุดในวันนี้ที่จะนำการเชื่อมต่อออกจากเครือข่ายที่ถูกกรองหนัก มันเอาชนะการหยั่งเชิงรุกที่จับเครื่องมือที่ง่ายกว่าได้ มันไม่ต้องการโดเมนหรือใบรับรอง และด้วย Vision ต้นทุนด้านประสิทธิภาพก็น้อย สำหรับปัญหาการเซ็นเซอร์โดยเฉพาะ มันยอดเยี่ยม

แต่การโฮสต์เองเป็นการแลก ไม่ใช่ของฟรี และต้นทุนก็ควรค่าแก่การพูดให้ชัด:

  • มันเป็นจุดล้มเหลวจุดเดียว เซิร์ฟเวอร์เดียว ที่อยู่ IP เดียว ถ้า IP นั้นถูกบล็อก หรือผู้ให้บริการของคุณทำเครื่องหมายอินสแตนซ์ คุณก็ใช้ไม่ได้โดยไม่มีตัวสำรองจนกว่าคุณจะสร้างใหม่ที่อื่น
  • คุณคือผู้ดำเนินการ การแพตช์ OS การอัปเดต Xray การดูแลกุญแจและแผงควบคุมให้ปลอดภัย: งานนั้นไม่หยุด แผงควบคุมที่ล้าสมัยหรือรหัสผ่านเริ่มต้นที่ถูกใช้ซ้ำคือความเสี่ยงจริง ไม่ใช่เรื่องสมมติ
  • ความครอบคลุมขึ้นอยู่กับไคลเอนต์ การกำหนดเส้นทางทั้งอุปกรณ์ การจัดการ DNS และการทำตัวอย่างปลอดภัยเมื่อทันเนลหลุดเป็นงานของไคลเอนต์ที่นี่ และไคลเอนต์ก็แตกต่างกัน VPN เต็มรูปแบบทำให้พฤติกรรมนั้นเป็นมาตรฐาน ส่วนการตั้งค่าพร็อกซีปล่อยมันไว้ให้คุณมากกว่า ความต่างนั้นคือหัวใจของ Shadowsocks กับ VPN
  • การพรางตัวก็ต้องบำรุงรักษาด้วย ปลายทางที่ยืมมาซึ่งถูกบล็อก หรือไคลเอนต์ที่ตามโปรโตคอลไม่ทัน เปลี่ยนการตั้งค่าที่เงียบให้ดังขึ้นได้

ยังมีแนวทางคู่ขนานที่ควรรู้ไว้ด้วย REALITY ซ่อนพร็อกซีด้วยการเลียนแบบเว็บไซต์ ส่วนโลกของ WireGuard ตอบปัญหาการตรวจสอบแพ็กเก็ตเชิงลึกเดียวกันจากฝั่ง VPN ด้วยการปรับโฉมตัวโปรโตคอลเอง ซึ่งเป็นหัวข้อของ AmneziaWG กับ WireGuard และถ้าคุณอยากได้การเปรียบเทียบระดับพื้นฐานของโปรโตคอลทันเนลเหล่านี้ก่อน WireGuard กับ OpenVPN กับ IKEv2 วางสิ่งที่ต้องแลกไว้ให้เห็น

คำถามที่พบบ่อย

VLESS Reality คืออะไร? มันคือการจับคู่สองสิ่งใน Xray: VLESS โปรโตคอลทรานสปอร์ตน้ำหนักเบาที่ขนทราฟฟิกของคุณ และ REALITY ชั้นความปลอดภัยที่อำพรางการเชื่อมต่อให้เป็นการเข้าชม TLS ปกติไปยังเว็บไซต์ของจริง รวมกันแล้วมันก่อตัวเป็นพร็อกซีที่ระบบเซ็นเซอร์ตรวจจับหรือหยั่งได้ยาก

VLESS Reality เข้ารหัสไหม? ใช่ แต่ไม่ใช่ด้วย VLESS ตัว VLESS เองไม่ขนการเข้ารหัส การเข้ารหัสมาจากเซสชัน TLS 1.3 ของแท้ที่ REALITY สร้างขึ้น ซึ่งเป็นการเข้ารหัสสมัยใหม่ตัวเดียวกับที่รักษาความปลอดภัย HTTPS ทั่วไป ดังนั้นทราฟฟิกของคุณจึงถูกเข้ารหัส การเข้ารหัสแค่อยู่ในชั้น REALITY แทนที่จะอยู่ในทรานสปอร์ต

"VLESS" หมายความว่าอย่างไร? มันคือโปรโตคอลทรานสปอร์ตในตระกูล V2Ray/Xray ออกแบบมาเป็นตัวสืบทอดที่เบากว่าของ VMess ชื่อของมันชี้ไปที่สิ่งที่มันตัดออก: มันทำน้อยกว่า โดยเฉพาะอย่างยิ่งการทิ้งการเข้ารหัสในตัวและการพิสูจน์ตัวตนแบบอิงเวลาที่ VMess ขนไว้ ความน้อยที่สุดนั้นคือคุณสมบัติ มันปล่อยการเข้ารหัสให้ TLS หรือ REALITY และทำให้ภาระและลายเซ็นต่ำ

VLESS ดีกว่า VMess ไหม? สำหรับการตั้งค่าซ่อนตัวสมัยใหม่ มักใช่ VLESS เบากว่าและใช้ flow แบบ XTLS Vision ได้ ซึ่ง VMess ทำไม่ได้ และมันจับคู่กับ REALITY ได้อย่างสะอาด VMess ยังใช้ได้และมีการเข้ารหัสในตัวของมันเอง แต่การจับมือของมันเก็บลายนิ้วมือได้ง่ายกว่า ซึ่งเป็นสิ่งที่คุณพยายามหลีกเลี่ยงพอดีบนเครือข่ายที่ถูกกรอง

VLESS Reality ฟรีไหม? ตัวซอฟต์แวร์ฟรี Xray และ REALITY เป็นโอเพนซอร์สโดยไม่มีค่าใช้จ่าย สิ่งที่คุณจ่ายคือเซิร์ฟเวอร์ที่มันรันอยู่ จงระวัง config สาธารณะ "ฟรี" ที่แชร์กันออนไลน์: การใช้มันหมายถึงการกำหนดเส้นทางทราฟฟิกทั้งหมดของคุณผ่านเซิร์ฟเวอร์ของคนแปลกหน้า ด้วยปัญหาความไว้วางใจแบบเดียวกับพร็อกซีฟรีตัวใด ๆ

สรุป

  • VLESS Reality คือพร็อกซีซ่อนตัวแบบโฮสต์เอง: ทรานสปอร์ต VLESS ของ Xray บวกการจับมือ REALITY ซึ่งอำพรางเซิร์ฟเวอร์ให้เป็นเว็บไซต์ของจริง
  • มันเอาชนะการเก็บลายนิ้วมือและการหยั่งเชิงรุกที่บล็อกเครื่องมือที่ง่ายกว่า และมันไม่ต้องการโดเมนหรือใบรับรองของคุณเอง
  • การตั้งค่าคือ VPS หนึ่งเครื่องและ config สั้น ๆ (ผ่านแผงควบคุม 3x-ui หรือไฟล์ที่เขียนด้วยมือ) และตัวเลือกที่สำคัญที่สุดเพียงข้อเดียวคือเว็บไซต์ปลายทางที่คุณยืมมา
  • ต้นทุนคือความเป็นเจ้าของ: เซิร์ฟเวอร์เดียว ไม่มีตัวสำรอง และการบำรุงรักษาที่มาพร้อมการรันโครงสร้างพื้นฐานของตัวเอง

การรันเซิร์ฟเวอร์ VLESS Reality ของตัวเองให้คุณควบคุมได้เต็มที่ โดยแลกกับการเป็นคนที่คอยแพตช์มัน จ่ายค่ามัน และทำให้มันมีชีวิตอยู่ ถ้าคุณอยู่บน iPhone และอยากได้การเชื่อมต่อ WireGuard ที่อำพรางแล้วซึ่งคุณไม่ต้องดำเนินการเอง ไม่มีเซิร์ฟเวอร์ให้เช่า ไม่มีกุญแจให้หมุนเปลี่ยน ไม่มีอีเมลหรือบัญชี นั่นคือฝั่งที่ Snap VPN ถูกสร้างมาเพื่อมัน และมันอยู่บน App Store