VLESS+Reality на VPS: настройка против ТСПУ в России

Классическая связка VLESS+WS+TLS требует собственного домена, валидного сертификата Let's Encrypt и обратного прокси. Это работает, но создаёт два слабых места. Во-первых, домен можно занести в реестр блокировок - и весь ваш трафик падает разом. Во-вторых, ТСПУ умеет пассивно профилировать TLS-отпечаток (JA3) и поведение сервера: свежий домен с единственным посетителем и сертификатом, выпущенным вчера, выглядит подозрительно при долгосрочном анализе.

Reality решает обе проблемы радикально. Сервер не предъявляет свой сертификат - вместо этого при подключении он проксирует TLS-хендшейк к настоящему стороннему сайту (поле dest) и подменяет ответ только для легитимного клиента, знающего приватный ключ x25519. Сторонний наблюдатель видит:

• настоящий сертификат настоящего крупного сайта (например, реальный сертификат Microsoft);
• корректный TLS 1.3 ServerHello без аномалий;
• правильную цепочку доверия, которую невозможно отличить от прямого визита на этот сайт.

Заблокировать такое соединение по SNI или сертификату означает заблокировать сам microsoft.com. РКН на это не идёт. Именно поэтому в 2026 году Reality остаётся самым устойчивым массовым протоколом обхода ТСПУ.

ТСПУ (технические средства противодействия угрозам) - это оборудование DPI, установленное у операторов связи и управляемое централизованно. В отличие от старых чёрных списков по IP, ТСПУ работает на уровне протоколов и применяет три класса воздействия:

• Пассивная классификация. Анализ отпечатков: handshake WireGuard, заголовки OpenVPN, QUIC-сигнатуры, паттерны Shadowsocks без плагина. Совпало - соединение режется или замедляется (троттлинг).
• Блокировка по SNI. ТСПУ читает поле SNI в открытой части ClientHello и блокирует по имени домена ещё до установления шифрованного канала. Так падают VLESS+WS на запрещённых доменах.
• Активное зондирование (active probing). Самое опасное. ТСПУ само подключается к подозрительному IP:443 и проверяет, ведёт ли сервер себя как заявленный сайт. Если сервер на запрос как к microsoft.com отвечает не так, как настоящий Microsoft, - IP помечается как прокси.

Reality закрывает все три вектора одновременно: отпечаток - это настоящий TLS 1.3, SNI - это имя легитимного крупного сайта, а на активное зондирование сервер отвечает реальным проксированным ответом dest-сайта, потому что у зонда нет приватного ключа и он получает ровно то, что получил бы при прямом обращении к dest.

Reality реализован в Xray-core (форк V2Ray с XTLS). После получения root-доступа к офшорной VPS установите Xray официальным скриптом:

bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

Сгенерируйте всё необходимое:

# пара ключей x25519 (privateKey -> сервер, publicKey -> клиент)
xray x25519

# UUID клиента
xray uuid

# shortId: случайная hex-строка чётной длины (2-16 символов)
openssl rand -hex 8

Сохраните privateKey для сервера, а publicKey, UUID и shortId понадобятся клиенту. Никакой сертификат и никакой домен на этом шаге не требуются - в этом и смысл Reality.

Это самая важная и самая часто проваливаемая часть настройки. dest - сайт, чей хендшейк сервер будет проксировать; serverNames - список SNI, которые сервер примет от клиента. Если выбрать их плохо, Reality легко вычисляется. Критерии хорошего dest на 2026 год:

• Сайт не должен быть заблокирован в России - иначе ТСПУ режет соединение к нему по SNI ещё на входе. Это исключает большинство Google-доменов и ряд CDN.
• Полная поддержка TLS 1.3 и HTTP/2 (Reality требует TLS 1.3). Проверка: openssl s_client -connect domen:443 -tls1_3 должен отдавать сертификат без ошибок.
• Сайт - крупный иностранный, с высоким органическим трафиком, чтобы соединения к нему не выделялись статистически. Идеальны зарубежные сайты, размещённые НЕ в РФ и НЕ за российскими CDN.
• dest и serverName должны указывать на один и тот же реальный хост. Подмена (dest=сайт-A, sni=сайт-B) ломает проверку при активном зондировании.
• Не используйте «дефолтные» примеры из чужих гайдов (microsoft.com у всех подряд). Массовое использование одного dest само становится сигнатурой. Подберите менее очевидный, но крупный TLS 1.3 хост.

Разумные кандидаты-классы (проверьте актуальность сами перед запуском): крупные иностранные медиа-порталы, инфраструктурные домены западных вендоров, не попавшие в реестр. Перед боевым использованием прогоните dest через curl -sI https://domen --tls-max 1.3 с российского IP и убедитесь, что он открывается напрямую без блокировки.

Минимальный серверный inbound в /usr/local/etc/xray/config.json:

{
  "inbounds": [{
    "listen": "0.0.0.0",
    "port": 443,
    "protocol": "vless",
    "settings": {
      "clients": [{ "id": "ВАШ_UUID", "flow": "xtls-rprx-vision" }],
      "decryption": "none"
    },
    "streamSettings": {
      "network": "tcp",
      "security": "reality",
      "realitySettings": {
        "dest": "ВАШ_DEST:443",
        "serverNames": ["ВАШ_DEST"],
        "privateKey": "ВАШ_PRIVATE_KEY",
        "shortIds": ["ВАШ_SHORT_ID"]
      }
    }
  }],
  "outbounds": [{ "protocol": "freedom" }]
}

Перезапуск: systemctl restart xray. Флаг xtls-rprx-vision снижает «двойное шифрование» и нагрузку CPU.

После запуска убедитесь, что сервер не «прокалывается» на зонде. Подключитесь к своему IP так, как это сделал бы ТСПУ - без правильного ключа:

openssl s_client -connect ВАШ_IP:443 -servername ВАШ_DEST

В ответе вы должны увидеть настоящий сертификат вашего dest-сайта и корректную цепочку - ровно то же, что при прямом обращении к dest. Если вместо этого возвращается ошибка, самоподписанный сертификат или пустой ответ - конфигурация Reality неверна, и такой сервер активное зондирование быстро вычислит.

Дополнительно: держите на порту 443 только Reality (не вешайте рядом «голый» прокси-порт), используйте shortId разумной длины и периодически меняйте UUID при подозрении на компрометацию ключа. Для клиента ссылка импорта имеет вид vless://UUID@IP:443?security=reality&sni=ВАШ_DEST&fp=chrome&pbk=PUBLIC_KEY&sid=SHORT_ID&flow=xtls-rprx-vision&type=tcp#name и открывается в v2rayNG, Nekoray, V2Box или sing-box. Параметр fp=chrome подделывает JA3-отпечаток под браузер Chrome.

Reality прячет протокол, но не меняет физику: ваш выходной IP принадлежит серверу, на котором стоит Xray. Если это VPS в российском дата-центре, то весь смысл теряется - трафик не покидает зону российской фильтрации, а сам провайдер подчиняется тем же предписаниям, что и операторы с ТСПУ. Поэтому сервер должен стоять вне РФ.

Наши офшорные VPS в Финляндии, Исландии и Румынии дают чистый выходной IP, никогда не числившийся в VPN-реестрах, root-доступ сразу после оплаты и юрисдикцию вне досягаемости российских предписаний о раскрытии. Финляндия - минимальная задержка до Москвы (прямой пиринг), Исландия - наилучшая приватность. Для постоянной нагрузки или нескольких пользователей подойдёт выделенный сервер с гарантированными ядрами. Регистрация только по email, KYC нет, оплата Bitcoin, Monero и USDT TRC-20.