v2raytun

VLESS Reality — что под капотом

Подробный разбор протокола, на котором работают серверы v2raytun.

Контекст

VLESS Reality — это эволюция протокола VLESS от команды XTLS. Появился в 2023 году как ответ на проблемы более ранних схем маскировки (V2Ray + WS + TLS, Trojan, Naive).

Главная идея — «заимствовать» TLS-сертификат и handshake у настоящего сайта, через который и маскируется трафик. Сторонний наблюдатель видит SNI, скажем, www.microsoft.com, валидный сертификат от Microsoft, и думает, что соединение с настоящим Microsoft. По факту — поверх этого handshake разворачивается приватный туннель.

XTLS Vision

Vision — это слой, который оптимизирует производительность поверх TLS:

  • Первые несколько пакетов идут классическим TLS — для надёжного «обмана» инспекции.
  • После согласования — переключение в режим прямой передачи (без двойного шифрования полезной нагрузки).
  • Это даёт скорость на уровне обычного HTTPS-трафика (без двойной криптографии WS+TLS, как в старых схемах).

В цифрах: типичная V2Ray+WS+TLS отдаёт 70–80% от пропускной способности канала. Reality+Vision — 92–98%. Разница ощутима на 4K-стримах и больших файлах.

Готов попробовать v2raytun?

Триал на 3 дня. Без карты. Активация в Telegram за 30 секунд.

Открыть Telegram-бот Личный кабинет

Сертификаты

В Reality нет собственного TLS-сертификата сервера. Сервер «крадёт» сертификат при handshake:


client → server: ClientHello, SNI=www.example.com
server → real example.com: проверяет, что сертификат валидный
server → client: уже свой ServerHello с подменённым ключом

Стороннему наблюдателю — это идеальный TLS до настоящего хоста. Атакующий, который попробует поднять MITM, упрётся в то, что у него нет приватного ключа подменённого сайта.

Чем отличается от Trojan

TrojanVLESS Reality

|---|---|---|

МаскировкаПод HTTPS-сайтПод произвольный сайт через подмену
ПроизводительностьTLS double-encryptionXTLS Vision, прямой режим
Сложность настройкиСредняяВысокая (но в готовых клиентах прозрачна)
Защита от активных атакСредняя (детектируется по тайминг-паттернам)Высокая (не отличается от настоящего HTTPS)

Чем отличается от классического V2Ray

V2Ray — это движок, в нём есть много протоколов: VMess, VLESS (без Reality), Trojan, Shadowsocks, WebSocket-обёртки. Reality — это конкретный современный режим VLESS, поверх движка V2Ray (или Xray-core, форка).

Если коротко: «V2Ray» — это машина, «VLESS Reality» — конкретная конфигурация двигателя.

Что использует v2raytun

На всех серверах поднят Xray-core с предконфигурированным VLESS Reality. SNI чередуется между несколькими крупными CDN (Microsoft, Cloudflare, AWS) — у нас на сервере крутится небольшой кэш-демон, который выбирает подходящий маскировочный домен под регион клиента.

С точки зрения клиента — всё это невидимо. Получил ключ в боте, импортировал в v2raytun, подключился.