Reality — это технология, которая в 2023 году тихо появилась в коммитах Xray-core, а к 2026 году стала фактическим стандартом для VPN-сервисов в России, Иране и Китае. Её главная идея — сделать VPN-трафик неотличимым не от «какого-то HTTPS», а конкретно от обращения к реальным сайтам вроде microsoft.com или samsung.com. Разбираем, как это работает изнутри.
Проблема, которую решает Reality
До Reality стандартный способ обхода DPI выглядел так: VPN-трафик заворачивался в TLS 1.3, маскируясь под обычный HTTPS. Этого долго хватало, но у подхода всплыли две болевые точки.
TLS fingerprint
Каждое TLS-приложение имеет уникальный «отпечаток» — порядок шифров в ClientHello, поддерживаемые расширения, формат сертификата. Браузер Chrome подписывается одним способом, мобильный Safari — другим, библиотека Go — третьим. Современные DPI вроде российской ТСПУ научились различать эти отпечатки и помечать «подозрительные» — например, типичный fingerprint VPN-клиента V2Ray.
Активные пробы
ТСПУ и Great Firewall научились делать активные пробы. Это работает так: DPI замечает подозрительный TLS-трафик, запоминает IP и порт сервера, и через некоторое время сам пытается к нему подключиться. Если сервер ведёт себя как настоящий веб-сайт — отлично, идём дальше. Если отдаёт что-то странное (например, не имеет HTML-страницы по корневому URL или отвечает на нестандартные запросы) — IP попадает в чёрный список.
Старая маскировка перестала работать
К концу 2022 года всё больше серверов с обычным VLESS+TLS оказывались в блок-листах ТСПУ. Связать это с конкретным трафиком пользователя было сложно — DPI определял именно сами серверы и блокировал их по IP.
Что такое SNI и зачем он подменяется
SNI (Server Name Indication) — это поле в начале TLS-рукопожатия, в котором клиент сообщает серверу, к какому домену он хочет подключиться. Важно: SNI передаётся в открытом виде. То есть провайдер видит, какой домен вы запрашиваете, даже если потом весь трафик зашифрован.
В обычном VPN-сценарии в SNI указывается домен VPN-сервера — например, vpn.example.com. DPI видит «вон тот незнакомый домен» — и уже это вызывает подозрение, особенно если IP не имеет HTML-страницы.
Reality радикально решает эту проблему: в SNI клиент указывает домен реального крупного сайта (microsoft.com, samsung.com, yandex.ru), к которому DPI никогда не придерётся. И этот домен — действительно настоящий: если кто-то проверит, он увидит легитимный TLS-сертификат настоящего Microsoft.
Принцип работы Reality: подробно
Reality встраивается в TLS-рукопожатие на стороне сервера. Принцип такой:
- Клиент инициирует TLS-соединение к VPN-серверу, но в SNI указывает «маскировочный» домен (например, www.microsoft.com)
- VPN-сервер видит входящее соединение и параллельно открывает соединение к настоящему microsoft.com
- Сервер начинает «миксовать»: пакеты от настоящего microsoft.com он пропускает к клиенту прозрачно
- Внутри ClientHello клиент незаметно вшивает специальный токен (зашифрованный публичным ключом сервера)
- Если сервер видит «свой» токен — он перехватывает соединение и дальше отдаёт VPN-трафик
- Если токена нет (например, это случайный сканер или активная проба ТСПУ) — сервер прозрачно проксирует весь трафик к настоящему microsoft.com
Идеальная маскировка
Снаружи всё выглядит как нормальное HTTPS-соединение к microsoft.com: правильный SNI, настоящий сертификат Microsoft, корректные ответы. ТСПУ не за что зацепиться. Даже если DPI попробует активную пробу — сервер ведёт себя как зеркало microsoft.com и отдаст настоящую страницу.
Что видит DPI и что видит настоящий клиент
| Параметр | Обычный VLESS+TLS | VLESS+Reality |
|---|---|---|
| SNI в ClientHello | vpn-server.com | microsoft.com |
| Видимый TLS fingerprint | V2Ray/Xray | Имитация Chrome |
| TLS-сертификат | Let's Encrypt vpn-server | Настоящий cert Microsoft |
| Ответ на пробу DPI | Странное поведение | Настоящая страница microsoft.com |
| IP в блок-листах | Высокий риск | Минимальный |
| Активные пробы ТСПУ | Распознают сервер | Не отличают от настоящего сайта |
XTLS-Vision — оптимизация поверх Reality
Reality часто комбинируется с XTLS-Vision — оптимизацией, которая снижает оверхед и улучшает скорость. Идея простая: для большинства HTTPS-сайтов (которые сами по себе уже шифрованы TLS) нет смысла гонять трафик через двойное шифрование VLESS+TLS. XTLS-Vision определяет такие случаи и пропускает trafик в режиме «raw», экономя CPU и латентность.
В большинстве современных VPN-сервисов используется именно связка VLESS + Reality + XTLS-Vision — это и есть «золотой стандарт 2026 года».
Безопасность Reality
С точки зрения безопасности Reality наследует все гарантии TLS 1.3:
- AEAD-шифры — AES-GCM или ChaCha20-Poly1305, защищающие от подделки и расшифровки
- Perfect Forward Secrecy — взлом одного ключа не раскрывает прошлые сессии
- Curve25519 — современная эллиптическая криптография для обмена ключами
- Аутентификация по публичному ключу сервера — невозможна атака «человек посередине»
Плюс Reality добавляет аутентификацию клиента через ShortID — короткий идентификатор, проверяющий, что подключение действительно «своё». Это защищает от случайных сканеров, которые могли бы пытаться флудить сервер.
Как настраивается сервер Reality
Конфигурация сервера Reality требует нескольких параметров:
- Маскировочный домен (dest) — реальный сайт, под который мы маскируемся. Должен поддерживать TLS 1.3, иметь популярность и не блокировать прокси-трафик.
- Server Names — список SNI, которые сервер принимает. Обычно совпадает с маскировочным доменом.
- Private Key и Public Key — пара X25519-ключей для подписи TLS-сертификатов. Публичный ключ передаётся клиенту в ссылке.
- ShortIDs — короткие идентификаторы для аутентификации клиентов.
- UUID — стандартный VLESS-идентификатор пользователя.
На практике пользователю не нужно вникать в эти детали — VPN-сервис выдаёт готовую ссылку формата vless://...?security=reality&..., которую достаточно импортировать в клиент.
Ограничения Reality
Reality — мощная технология, но не идеальная. У неё есть свои нюансы:
- Не работает с CDN. Маскировочный домен должен быть на отдельном IP, а не за Cloudflare или AWS CloudFront, иначе схема не работает.
- Зависит от выбора домена. Если в качестве маскировки выбран домен, заблокированный в стране пользователя, — Reality не сработает.
- Корректное проксирование «не своих». Сервер должен реально уметь притворяться маскировочным доменом, иначе активная проба раскроет фейк.
- Возможные будущие атаки. Теоретически продвинутый DPI может анализировать тайминги пакетов и находить аномалии — но на 2026 год таких атак в реальной эксплуатации нет.
Reality vs Shadowsocks 2022
Reality — не единственная технология обхода продвинутых DPI. Shadowsocks 2022, ShadowTLS, NaiveProxy используют похожие принципы маскировки. Reality выделяется широкой поддержкой клиентов и плотной интеграцией с экосистемой VLESS/Xray.
Будущее: куда движется маскировка
Тренды развития, которые видны уже сейчас:
- Маскировка под QUIC и HTTP/3. Современные сайты переходят на QUIC поверх UDP. Появляются протоколы вроде Hysteria 2 и TUIC, маскирующиеся под этот трафик.
- Постквантовая криптография. Грядущие квантовые компьютеры угрожают современным алгоритмам. Уже ведутся работы над постквантовыми вариантами TLS и Reality.
- AI-детекция аномалий. DPI учится использовать машинное обучение. В ответ VPN-протоколы будут добавлять рандомизацию таймингов и поведения.
- Распределённые сервера. Один IP с маскировкой — это одна точка отказа. Будущее — за пулом IP с автоматической ротацией.
Итог
Reality — это не просто оптимизация существующего VPN, это смена парадигмы. Вместо того, чтобы маскироваться под «какой-то HTTPS», протокол использует настоящие крупные сайты в качестве прикрытия. С точки зрения DPI ваше VPN-соединение неотличимо от тысяч обычных пользователей, заходящих на microsoft.com или samsung.com.
BRAID VPN использует VLESS+Reality+XTLS-Vision — полную современную связку. Подробности — на странице технологии. Чтобы понять, как именно ТСПУ пытается ловить VPN — прочитайте статью что такое DPI. А чтобы попробовать на практике — получите бесплатный ключ на 7 дней.