Коротко: XTLS-Reality маскирует ваш туннель под обычный HTTPS к реальному сайту (например microsoft.com). DPI не может отличить Reality от легитимного трафика. Лучший протокол маскировки на 2026 год.

Проблема — почему обычный TLS недостаточен

Долгое время стандартный подход был такой: зашифровать трафик через TLS и направить на сервер. Провайдер видит зашифрованный поток — содержимое недоступно. Казалось бы, достаточно.

Но системы DPI научились анализировать не содержимое а паттерны трафика:

Итог: даже полностью зашифрованный VLESS+TLS-трафик DPI может идентифицировать как «туннель» и заблокировать. Именно эту проблему решает Reality.

Что такое XTLS-Reality

XTLS-Reality — технология маскировки разработанная командой XTLS в 2023 году. Принципиально новый подход: вместо «спрятать туннель» — «сделать туннель неотличимым от легитимного HTTPS».

Ключевая идея: сервер Happ не предъявляет собственный TLS-сертификат. Вместо этого он «заимствует» TLS-сессию у реального крупного сайта — например www.microsoft.com или www.apple.com.

Что видит DPI: клиент подключается к серверу, сервер предъявляет валидный сертификат от microsoft.com, TLS-рукопожатие выглядит как от браузера Chrome, трафик идёт на порт 443. Это обычный HTTPS к Microsoft. Блокировать нечего.

Как работает Reality — технически

Шаг 1 — Клиент инициирует TLS Happ на вашем устройстве отправляет TLS ClientHello с SNI = www.microsoft.com и fingerprint Chrome. DPI видит: браузер Chrome подключается к microsoft.com.
Шаг 2 — Сервер перехватывает и проверяет Сервер Happ получает ClientHello. Если в запросе есть специальный идентификатор (Short ID) — значит это клиент Happ. Если нет — это настоящий браузер или сканер.
Шаг 3a — Для настоящего браузера Если нет Short ID — сервер проксирует соединение к настоящему microsoft.com и отдаёт его реальный сертификат. Браузер или сканер видит настоящий сайт Microsoft. Полная имитация.
Шаг 3b — Для клиента Happ Если Short ID совпадает — сервер переключается в режим VLESS-туннеля. Клиент и сервер обмениваются данными туннеля, замаскированными под TLS-сессию с microsoft.com.
Шаг 4 — Обмен данными Весь дальнейший трафик выглядит как HTTPS к microsoft.com. DPI не может отличить его от реального обращения к сайту Microsoft.

Ключевой момент: сервер Happ никогда не предъявляет собственный сертификат. Он использует реальные TLS-параметры настоящего сайта. Это принципиально отличает Reality от всех предыдущих технологий маскировки.

Reality vs обычный TLS — в чём разница

VLESS + обычный TLS
Собственный TLS-сертификат сервера
Сертификат от Let's Encrypt или самоподписанный
DPI видит нестандартный сертификат
TLS fingerprint клиента Xray — отличается от браузера
SNI ведёт на реальный домен но сертификат другой
Можно идентифицировать по несоответствию
VLESS + XTLS-Reality
Реальный сертификат от microsoft.com / apple.com
TLS fingerprint браузера Chrome или Firefox
DPI видит легитимный HTTPS
SNI совпадает с сертификатом
При проверке сканером — отвечает реальный сайт
Невозможно заблокировать не заблокировав Microsoft

Reality vs другие протоколы

ПротоколМаскировкаСкоростьБлокируемость
OpenVPNНетСредняяЛегко
WireGuardНетВысокаяЛегко
ShadowsocksЧастичнаяСредняяИногда
VLESS + TLSЧастичнаяВысокаяИногда
VLESS + WebSocket CDNХорошаяСредняяСложно
VLESS + XTLS-RealityМаксимальнаяМаксимальнаяПрактически нет
Crypt5 (Happ)ВысокаяВысокаяСложно в 4G

Анатомия ключа Reality

Ключ VLESS+Reality содержит специфические параметры которых нет в других протоколах:

vless://uuid@server:443?security=reality&pbk=PublicKey&sid=ShortID&sni=www.microsoft.com&fp=chrome&type=tcp#Name
uuid
Ваш уникальный идентификатор — удостоверяет что вы авторизованный пользователь сервера
server:443
IP или домен сервера Happ и порт (обычно 443 — стандартный HTTPS)
pbk
Public Key — публичный ключ сервера для Reality. Используется для криптографической аутентификации
sid
Short ID — короткий идентификатор который клиент вставляет в TLS-рукопожатие. Сервер по нему отличает клиентов Happ от обычных браузеров
sni
Server Name Indication — какой сайт имитируем. Обычно крупные домены: www.microsoft.com, www.apple.com, www.amazon.com
fp
Fingerprint — какой браузер имитируем. chrome, firefox, safari, edge, ios, android. Определяет набор TLS-расширений в ClientHello

TLS Fingerprint — что это и зачем

Каждый браузер при TLS-соединении отправляет ClientHello — первое сообщение установки соединения. В нём содержится список поддерживаемых шифров, расширений, версий протокола, эллиптических кривых. Этот набор уникален для каждого браузера и его версии — это и есть TLS fingerprint или JA3-fingerprint.

DPI умеет распознавать fingerprint Xray-клиентов — они исторически отличались от браузеров. Reality с параметром fp=chrome заставляет Happ отправлять в точности такой же ClientHello как Chrome — DPI не может отличить Happ от реального браузера.

Доступные fingerprint в Happ:

Ключ с XTLS-Reality — через @AnonInetBot

Максимальная маскировка — труднее всего заблокировать

Ограничения Reality

Reality — лучший протокол маскировки, но не идеален для всех ситуаций:

Reality в Happ

Happ использует Xray-core с полной поддержкой XTLS-Reality. Когда вы получаете ключ через @AnonInetBot — вы автоматически получаете оптимально настроенный Reality-ключ.

Что настроено в ключах Happ:

Ключи Reality особенно эффективны на домашнем WiFi и офисных сетях. Для мобильных сетей рекомендуем иметь оба типа — Reality и Crypt5.

Частые вопросы

Может ли провайдер заблокировать Reality?

Теоретически — только заблокировав сам сайт который Reality имитирует (microsoft.com, apple.com). Практически это невозможно — эти сайты критически важны для работы Windows, Office, iPhone и других продуктов. Их блокировка вызовет масштабные сбои для миллионов пользователей.

Reality и обычный TLS — в чём риск для обычного TLS?

Обычный VLESS+TLS можно заблокировать анализом TLS-сертификата (неизвестный издатель) или fingerprint клиента (не похож на браузер). Reality устраняет оба этих вектора атаки — сертификат реальный, fingerprint браузерный.

Почему ключ Reality длиннее обычного VLESS?

Потому что содержит дополнительные параметры: pbk (публичный ключ), sid (Short ID), fp (fingerprint). Это нормально — просто скопируйте целиком и добавьте через «+» в Happ.

Reality работает на всех устройствах?

Да — Android, iPhone, Windows, macOS, Linux. Happ поддерживает Reality на всех платформах. Ключ один и тот же работает везде.

Можно ли использовать Reality без Happ?

Reality — открытый стандарт реализованный в Xray-core. Его поддерживают другие Xray-клиенты: v2rayN (Windows), NekoBox (Android), v2rayNG. Но Happ предоставляет более удобный интерфейс и готовые ключи.

Попробовать XTLS-Reality

Максимальная маскировка · 1 день бесплатно · Все платформы

Читайте также