VLESS Reality: что это и почему работает там, где другие протоколы блокируются

Обновлено 2026-07-03

Reality — это надстройка над протоколом VLESS, которая делает VPN-соединение неотличимым от обычного визита на популярный сайт. В отличие от WireGuard или OpenVPN, у которых есть узнаваемая «подпись» в первых же пакетах, Reality заимствует TLS-рукопожатие настоящего домена (например, apple.com) и не даёт системам глубокой инспекции пакетов (DPI) отличить ваш трафик от легитимного HTTPS.

Как это устроено

Классический TLS сначала показывает сертификат сервера — по нему фильтры могут понять, куда вы идёте. Reality вместо своего сертификата на лету подставляет рукопожатие чужого «прикрывающего» сайта (SNI), а реальный обмен ключами прячет внутри. Снаружи это выглядит как обычное соединение с apple.com или microsoft.com. Клиент при этом заранее знает публичный ключ сервера (pbk) и проверяет подлинность — поэтому подмену со стороны провайдера тоже не проведёшь.

Почему Reality устойчив к DPI

Системы DPI блокируют по признакам: узнаваемый handshake, самоподписанные сертификаты, «пустой» SNI, нетипичный размер пакетов. У Reality ничего этого нет — handshake настоящий, SNI указывает на реальный крупный сайт, сертификат берётся у него же. Заблокировать Reality, не заблокировав заодно apple.com, технически трудно.

Reality против Shadowsocks и WireGuard

Shadowsocks шифрует трафик, но не маскирует его под конкретный сайт — при агрессивном DPI его сигнатуру всё же вычисляют. WireGuard быстрый и простой, но его 148-байтный handshake детектируется на раз. Reality — компромисс: скорость близка к WireGuard, а маскировка сильнее, чем у обоих.

Где используется

Reality реализован в ядрах Xray и sing-box. Клиент Orden построен на sing-box и поддерживает VLESS-Reality из коробки: вы вставляете подписку, а приложение само собирает конфиг. Исходный код клиента открыт — можно проверить, что именно делает приложение: github.com/tsyrenov1987/orden-android-client.

Orden — приватный VPN-клиент с открытым кодом

VLESS-Reality + Hysteria2, автопереключение, на устройстве, без логов. Доступ по приглашению.

Открыть Orden →

Частые вопросы

Reality — это то же самое, что VLESS?
Нет. VLESS — это транспортный протокол, а Reality — способ маскировки TLS поверх него. Их используют вместе: «VLESS + Reality».
Нужен ли для Reality свой домен?
Нет. Reality заимствует чужой публичный домен как прикрытие (SNI), свой домен не требуется. Нужен только сервер с настроенным Xray/sing-box.
Reality замедляет соединение?
Незначительно. Накладные расходы на маскировку минимальны, скорость близка к чистому VLESS.