VLESS Reality là một cách chạy một proxy mã hóa mà, đối với bất cứ thứ gì đang theo dõi mạng, trông giống một lượt truy cập thông thường vào một trang web thật. Nó kết hợp lớp truyền tải VLESS gọn nhẹ của Xray với bước bắt tay REALITY, vốn mượn dấu vân tay TLS của một trang web đích thực để deep packet inspection không có gì để gắn cờ. Việc thiết lập cần một máy chủ nhỏ và khoảng mười lăm phút.

Trả lời ngắn gọn: bạn thuê một máy chủ bên ngoài mạng bị lọc, cài Xray lên đó, bật một inbound VLESS với bảo mật REALITY, và nhập liên kết được tạo ra vào một ứng dụng client. REALITY làm phần khó: nó khiến bước bắt tay TLS của máy chủ bạn không thể phân biệt được với bước bắt tay của một trang web thật, phổ biến, đó là lý do tổ hợp này vẫn lọt qua được nơi các công cụ cũ hơn bị chặn.

Điểm chính

  • VLESS là lớp truyền tải không màu mè của Xray. Tự bản thân nó không mang theo mã hóa, nên nó luôn được ghép với một lớp bảo mật — ở đây là REALITY.
  • REALITY là mánh quan trọng: nó khiến máy chủ của bạn trình ra bước bắt tay TLS của một trang web bên thứ ba thật, đánh bại cả việc lập dấu vân tay lẫn việc thăm dò chủ động mà không cần tên miền hay chứng chỉ của riêng bạn.
  • Đây là tự lưu trữ. Bạn cần máy chủ của riêng mình (một VPS giá rẻ) ở một vị trí không bị lọc — không có tài khoản nào để đăng ký.
  • Hai đường thiết lập phổ biến: bảng điều khiển web 3x-ui (dễ nhất) hoặc một cấu hình Xray viết tay (nhiều kiểm soát hơn). Cả hai đều được đề cập bên dưới.
  • Nó mạnh mẽ, nhưng nó là của bạn để vận hành: một máy chủ, không có dự phòng, và việc bảo trì thường xuyên là những chi phí thực sự.

VLESS Reality thực ra là gì

Ba phần xếp chồng lên nhau, và việc tách bạch chúng sẽ hữu ích.

Xray (Xray-core) là động cơ proxy — một hậu duệ được duy trì tích cực của dự án V2Ray. Nó nói được vài giao thức; VLESS là một trong số đó.

VLESS là một giao thức truyền tải tối giản một cách có chủ đích. Cái tên báo hiệu điều nó bỏ đi: nơi giao thức VMess cũ hơn tự làm mã hóa và xác thực dựa trên dấu thời gian, VLESS bỏ tất cả những thứ đó và không mang theo mã hóa nào của riêng mình. Điều đó nghe như một sự xuống cấp cho đến khi bạn thấy được điểm mấu chốt. Bằng cách đứng tránh ra, VLESS để cho một lớp bảo mật chuyên trách lo việc mã hóa, với ít chi phí phụ hơn và một dấu vân tay sạch hơn trên đường truyền.

REALITY là lớp bảo mật đó, và nó là lý do thiết lập này đáng để mất công. Vấn đề nó giải quyết rất cụ thể. Một proxy TLS thông thường phải trình ra một chứng chỉ, và một chứng chỉ là một dấu vân tay. Chứng chỉ tự ký trông đáng ngờ; một chứng chỉ cho tên miền của riêng bạn gắn máy chủ với bạn và có thể bị liệt kê ra. Tệ hơn, các hệ thống kiểm duyệt chạy các cuộc thăm dò chủ động: chính họ kết nối đến một máy chủ đáng ngờ để xem nó hành xử ra sao. Hầu hết các ngụy trang đều thất bại bài kiểm tra đó.

Câu trả lời của REALITY là ngừng giả vờ và bắt đầu mượn. Thay vì phục vụ chứng chỉ của riêng mình, máy chủ của bạn hoàn thành một bước bắt tay TLS 1.3 thật bằng cách dùng danh tính của một trang web đích thực, phổ biến mà bạn chỉ định. Một client được ủy quyền — một client giữ khóa công khai của bạn và một short ID khớp — được dẫn vào proxy. Bất kỳ ai khác, kể cả một kẻ thăm dò của chính phủ, được chuyển tiếp một cách trong suốt đến trang web thật đó và thấy chứng chỉ thật, hợp lệ của nó. Không có dị thường nào để phát hiện, vì đối với một người quan sát bên ngoài, kết nối là một kết nối thật đến một trang web thật.

Nếu bạn muốn bối cảnh rộng hơn về lý do các công cụ như thế này tồn tại, cách Iran, Nga và Trung Quốc chặn VPN đề cập đến các hệ thống deep packet inspection và thăm dò chủ động mà REALITY được tạo ra để sống sót trước.

Bạn cần gì trước khi bắt đầu

  • Một VPS (máy chủ riêng ảo) ở một vị trí không nằm sau tường lửa bạn đang cố vượt qua. Bất kỳ máy nhỏ nào chạy một bản Debian hay Ubuntu gần đây đều ổn.
  • Quyền truy cập SSH vào máy chủ đó, với tư cách root hoặc một người dùng sudo.
  • Khoảng mười lăm phút.

Một thứ bạn không cần là tên miền của riêng bạn hay một chứng chỉ TLS. Việc loại bỏ yêu cầu đó là tiện ích chính của REALITY, và là một phần lớn lý do thiết lập này dựng lên nhanh hơn các proxy dùng TLS-và-tên-miền trước nó.

Thiết lập, đường A: bảng điều khiển 3x-ui

Nếu bạn muốn nhấn chuột hơn là sửa JSON, bảng điều khiển 3x-ui là đường phổ biến nhất, và nó tạo các khóa cho bạn. Các bước được đánh số:

  1. Lấy một VPS và kết nối. Tạo máy chủ với nhà cung cấp của bạn, rồi SSH vào: ssh root@your-server-ip.
  2. Chạy script cài đặt. Dán trình cài đặt một dòng từ README của dự án 3x-ui. Nó cài bảng điều khiển và Xray, và in ra một địa chỉ bảng điều khiển, cổng, và thông tin đăng nhập.
  3. Đăng nhập và khóa nó lại. Mở URL bảng điều khiển trong một trình duyệt và đăng nhập. Ngay lập tức thay đổi tên người dùng, mật khẩu, và đường dẫn bảng điều khiển mặc định — một bảng điều khiển bị phơi bày với thông tin đăng nhập mặc định là cách phổ biến nhất khiến các thiết lập này bị xâm phạm.
  4. Tạo inbound. Thêm một inbound mới, đặt giao thức thành VLESS, và đặt Security thành REALITY.
  5. Để bảng điều khiển điền phần mật mã. Dùng các nút để tạo UUID, cặp khóa x25519, và một short ID. Cho phần đích và SNI, chọn một trang web thật đáp ứng các tiêu chí trong mục bên dưới.
  6. Xuất và nhập. Lưu lại, rồi sao chép liên kết chia sẻ hoặc quét mã QR vào ứng dụng client của bạn. Một liên kết duy nhất đó chứa mọi thứ client cần.

Đó là toàn bộ quy trình. Bảng điều khiển đang làm chính xác điều mà đường thủ công làm; nó chỉ giấu đi tệp cấu hình.

Thiết lập, đường B: cấu hình Xray bằng tay

Đường thủ công cho bạn nhiều kiểm soát hơn và không có thêm bộ phận chuyển động nào. Bạn sẽ chạy hai lệnh để tạo thông tin xác thực, rồi viết một tệp cấu hình.

  1. Cài Xray-core. Dùng trình cài đặt chính thức từ dự án XTLS Xray-core. Nó đặt tệp nhị phân và một dịch vụ systemd lên máy chủ.
  2. Tạo thông tin xác thực. Chạy xray uuid để có một ID client, rồi xray x25519 để có một cặp khóa. Giữ khóa riêng tư trên máy chủ; khóa công khai đi đến các client của bạn.
  3. Viết cấu hình. Một inbound VLESS tối thiểu với REALITY trông như thế này:
    {
      "inbounds": [{
        "port": 443,
        "protocol": "vless",
        "settings": {
          "clients": [{ "id": "PASTE-UUID", "flow": "xtls-rprx-vision" }],
          "decryption": "none"
        },
        "streamSettings": {
          "network": "tcp",
          "security": "reality",
          "realitySettings": {
            "dest": "example.com:443",
            "serverNames": ["example.com"],
            "privateKey": "PASTE-PRIVATE-KEY",
            "shortIds": ["", "0123abcd"]
          }
        }
      }],
      "outbounds": [{ "protocol": "freedom" }]
    }
  4. Khởi động lại và kiểm tra. Khởi động lại dịch vụ Xray và xác nhận nó đang lắng nghe trên cổng 443.
  5. Dựng liên kết client. Ghép URL chia sẻ từ UUID, khóa công khai của bạn, một short ID, và SNI. Hầu hết mọi người tạo cái này một lần và tái sử dụng nó.

Một vài trường đáng giá ở đây. flow đặt thành xtls-rprx-vision bật XTLS Vision, vốn cắt bớt việc mã hóa nhân đôi của đường hầm TLS bên trong TLS, nên nó vừa nhanh hơn vừa lặng hơn. destserverNames là danh tính được mượn. privateKey ghép với khóa công khai mà client của bạn giữ, và shortIds cho phép một máy chủ phân biệt các client với nhau.

Chọn một "dest" — quyết định duy nhất thực sự quan trọng

Trang web đích bạn mượn là khác biệt giữa việc hòa lẫn vào và việc nổi bật lên. Hãy nhắm tới một trang web mà:

  • Hỗ trợ TLS 1.3 và HTTP/2 (REALITY cần một bước bắt tay hiện đại để bắt chước).
  • Chưa bị chặn ở nơi các client của bạn ở — bạn đang ẩn bên trong lưu lượng của nó, nên nó phải truy cập được.
  • Được lưu trữ bên ngoài quốc gia của bạn và không bất thường khi một người ở đó truy cập.
  • Không phải tên miền của riêng bạn, và không phải một host nhỏ hay khó hiểu mà sẽ trông kỳ lạ khi làm một đích đến.

Làm đúng điều này và lưu lượng của máy chủ bạn nhạt nhẽo về mặt thống kê. Làm sai — một trang web bị chặn, hoặc một trang không thực sự hỗ trợ bước bắt tay bạn đang tuyên bố — và bạn đã khiến mình dễ chú ý hơn, không phải kém đi.

Kết nối một client

Cùng một liên kết kết nối hoạt động trên mọi nền tảng; bạn nhập nó vào client nào phù hợp với thiết bị của mình.

  • Windows / Linux: v2rayN và các client desktop tương tự.
  • Android: v2rayNG.
  • iOS: các ứng dụng hỗ trợ VLESS với REALITY và flow Vision — Shadowrocket, Streisand, và V2Box là các lựa chọn phổ biến. Dán liên kết hoặc quét mã QR.

Dù bạn dùng gì, hãy chạy một kiểm tra nhanh sau khi kết nối: xác nhận IP công khai của bạn đã đổi thành của máy chủ, và rằng DNS không bị rò rỉ ra ngoài đường hầm. Một proxy âm thầm rò rỉ thì phá hỏng cả mục đích.

Nó giỏi ở điều gì — và những giới hạn thực sự của nó

Phiên bản trung thực của lời chào mời rất ngắn gọn. VLESS Reality, ngày nay, là một trong những cách đáng tin cậy nhất để đưa một kết nối ra khỏi một mạng bị lọc nặng. Nó đánh bại việc thăm dò chủ động vốn bắt được các công cụ đơn giản hơn, nó không cần tên miền hay chứng chỉ, và với Vision thì chi phí hiệu năng nhỏ. Riêng cho vấn đề kiểm duyệt, nó xuất sắc.

Nhưng tự lưu trữ là một sự đánh đổi, không phải một bữa trưa miễn phí, và các chi phí đáng được nói thẳng:

  • Nó là một điểm hỏng đơn lẻ. Một máy chủ, một địa chỉ IP. Nếu IP đó bị chặn, hoặc nhà cung cấp của bạn gắn cờ máy chủ, thì bạn ngừng hoạt động mà không có dự phòng cho đến khi bạn dựng lại ở nơi khác.
  • Bạn là người vận hành. Vá hệ điều hành, cập nhật Xray, giữ các khóa và bảng điều khiển an toàn: công việc đó không ngừng. Một bảng điều khiển lỗi thời hay một mật khẩu mặc định bị tái sử dụng là một rủi ro thực sự, không phải giả định.
  • Độ phủ tùy thuộc vào client. Định tuyến cả một thiết bị, xử lý DNS, và hành xử an toàn khi đường hầm rớt là việc của client ở đây, và các client thì khác nhau. Một VPN đầy đủ chuẩn hóa hành vi đó; một thiết lập proxy để lại nhiều phần đó cho bạn. Sự tương phản đó là cốt lõi của Shadowsocks vs một VPN.
  • Lớp ngụy trang cũng cần bảo trì. Một đích đến được mượn mà bị chặn, hoặc một client tụt lại sau giao thức, có thể biến một thiết lập lặng lẽ thành ồn ào.

Cũng có một cách tiếp cận song song đáng biết. REALITY giấu một proxy bằng cách bắt chước một trang web; thế giới WireGuard trả lời cùng vấn đề deep packet inspection từ phía VPN bằng cách định hình lại chính giao thức, đó là chủ đề của AmneziaWG vs WireGuard. Và nếu bạn muốn so sánh ở mức cơ bản các giao thức đường hầm này trước, WireGuard vs OpenVPN vs IKEv2 trình bày các sự đánh đổi.

Câu hỏi thường gặp

VLESS Reality là gì? Đó là sự ghép đôi của hai thứ trong Xray: VLESS, một giao thức truyền tải gọn nhẹ mang lưu lượng của bạn, và REALITY, một lớp bảo mật ngụy trang kết nối thành một lượt truy cập TLS thông thường đến một trang web thật. Cùng nhau, chúng tạo thành một proxy mà các hệ thống kiểm duyệt khó phát hiện hay thăm dò.

VLESS Reality có được mã hóa không? Có — nhưng không phải bởi VLESS. Bản thân VLESS không mang theo mã hóa. Phần mã hóa đến từ phiên TLS 1.3 đích thực mà REALITY thiết lập, vốn là cùng loại mã hóa hiện đại bảo vệ HTTPS thông thường. Vậy nên lưu lượng của bạn được mã hóa; phần mã hóa chỉ nằm trong lớp REALITY thay vì lớp truyền tải.

"VLESS" nghĩa là gì? Đó là một giao thức truyền tải trong họ V2Ray/Xray, được thiết kế như một hậu duệ nhẹ hơn của VMess. Cái tên chỉ vào điều nó loại bỏ: nó làm ít hơn, đáng chú ý nhất là bỏ đi phần mã hóa tích hợp và xác thực dấu thời gian mà VMess mang theo. Tính tối giản đó chính là tính năng — nó để việc mã hóa cho TLS hoặc REALITY và giữ chi phí phụ cùng dấu vân tay ở mức thấp.

VLESS có tốt hơn VMess không? Cho một thiết lập tàng hình hiện đại, thường là có. VLESS nhẹ hơn và có thể dùng flow XTLS Vision, điều mà VMess không thể, và nó ghép sạch sẽ với REALITY. VMess vẫn hoạt động và có mã hóa tích hợp của riêng nó, nhưng bước bắt tay của nó dễ lập dấu vân tay hơn, đó chính là điều bạn đang cố tránh trên một mạng bị lọc.

VLESS Reality có miễn phí không? Phần mềm thì có — Xray và REALITY là mã nguồn mở không tốn phí. Cái bạn trả tiền là máy chủ mà nó chạy trên đó. Hãy cảnh giác với các cấu hình công khai "miễn phí" được chia sẻ trên mạng: dùng một cái nghĩa là định tuyến toàn bộ lưu lượng của bạn qua máy chủ của một người lạ, với cùng vấn đề niềm tin như bất kỳ proxy miễn phí nào.

Kết luận

  • VLESS Reality là một proxy tàng hình tự lưu trữ: lớp truyền tải VLESS của Xray cộng với bước bắt tay REALITY, vốn ngụy trang máy chủ thành một trang web thật.
  • Nó đánh bại việc lập dấu vân tay và thăm dò chủ động vốn chặn các công cụ đơn giản hơn, và nó không cần tên miền hay chứng chỉ của riêng bạn.
  • Thiết lập là một VPS và một cấu hình ngắn (qua bảng điều khiển 3x-ui hoặc một tệp viết tay), và lựa chọn quan trọng nhất là trang web đích bạn mượn.
  • Chi phí là quyền sở hữu: một máy chủ, không có dự phòng, và việc bảo trì đi kèm với việc vận hành hạ tầng của riêng bạn.

Chạy máy chủ VLESS Reality của riêng bạn mua cho bạn toàn quyền kiểm soát, đổi lại việc bạn là người giữ nó được vá, được trả tiền, và còn sống. Nếu bạn dùng iPhone và thà có một kết nối WireGuard được obfuscate mà bạn không phải vận hành — không máy chủ để thuê, không khóa để xoay vòng, không email hay tài khoản — thì đó là phía mà Snap VPN được xây dựng cho, và nó có trên App Store.