DuduVPN

VLESS REALITY چیست و چرا از فیلتر عبور می‌کند؟

6 دقیقه مطالعه

VLESS REALITY دقیقاً چیست؟

«VLESS REALITY» معمولاً به یک ترکیب رایج در اکوسیستم Xray اشاره دارد: پروتکل VLESS به‌عنوان لایهٔ انتقال/احراز هویت، و REALITY به‌عنوان روشی برای استتار و برقراری ارتباطی که از بیرون شبیه یک اتصال عادی HTTPS دیده می‌شود.

برای روشن‌تر شدن موضوع، این ترکیب را می‌توان به دو بخش تقسیم کرد:

  • VLESS: یک پروتکل سبک برای تونل‌سازی که خودش به‌صورت پیش‌فرض رمزنگاریِ سنگین انجام نمی‌دهد و بیشتر روی این حساب می‌کند که رمزنگاری/پوشش در «ترنسپورت» (مثل TLS) اتفاق بیفتد. همین باعث می‌شود سربار کمتر و پیاده‌سازی ساده‌تری نسبت به برخی گزینه‌های قدیمی‌تر داشته باشد.
  • REALITY (XTLS/Reality): مکانیزمی در Xray-core که با تکیه بر TLS 1.3 و تقلید دقیق ویژگی‌های مرورگرها، ارتباط را شبیه ترافیک معمول وب نمایش می‌دهد و در عین حال طوری طراحی شده که پروبینگ فعال و تشخیص مبتنی بر الگو را سخت‌تر کند.

در عمل، وقتی از VLESS REALITY استفاده می‌شود، اتصال شما از دید بسیاری از ابزارهای فیلترینگ شبیه باز کردن یک وب‌سایت معمولی با HTTPS است؛ نه یک «فیلترشکن» با الگوی ثابت و قابل امضا.

فیلترینگ معمولاً چگونه VPNها را تشخیص می‌دهد؟

برای فهمیدن اینکه چرا REALITY گاهی «دور می‌زند»، باید روش‌های رایج فیلترینگ را شناخت. سیستم‌های مسدودسازی معمولاً یکی یا ترکیبی از این تکنیک‌ها را به‌کار می‌گیرند:

1) مسدودسازی IP

ساده‌ترین راه این است که IP سرور VPN در لیست سیاه قرار بگیرد. در این حالت هر پروتکلی روی آن IP اجرا شود ممکن است به مشکل بخورد.

2) تشخیص الگو (Fingerprinting)

بسیاری از پروتکل‌ها در دست‌دادن (Handshake)، ترتیب بسته‌ها، سایز بسته‌ها یا ویژگی‌های TLS «اثر انگشت» دارند. DPI (بازرسی عمیق بسته‌ها) می‌تواند این الگوها را شناسایی کند.

3) فیلترینگ مبتنی بر SNI/دامنه

در HTTPS، بخشی به نام SNI (Server Name Indication) در ابتدای اتصال می‌تواند نام دامنه را لو بدهد. برخی فیلترینگ‌ها با دیدن SNI مربوط به سرویس‌های خاص، اتصال را قطع یا کند می‌کنند.

4) پروبینگ فعال (Active Probing)

این روش پیشرفته‌تر است: سامانهٔ فیلترینگ خودش به IPهای مشکوک اتصال می‌زند و سعی می‌کند بفهمد پشت آن سرویس واقعاً چیست. اگر سرور پاسخ «غیرعادی» بدهد یا معلوم شود VPN است، IP سریع‌تر بلاک می‌شود.

REALITY چه کاری می‌کند که تشخیص سخت‌تر شود؟

REALITY با چند ایدهٔ کلیدی، شانس موفقیت برخی روش‌های بالا را کم می‌کند (نه اینکه آن‌ها را برای همیشه بی‌اثر کند).

1) شبیه‌سازی اتصال HTTPS واقعی

REALITY تلاش می‌کند دست‌دادن TLS از نظر شکل و جزئیات شبیه مرورگرهای واقعی باشد. این موضوع شامل مواردی مثل:

  • TLS fingerprint شبیه کروم/فایرفاکس (در سطح ClientHello)
  • استفاده از ویژگی‌های رایج TLS 1.3
  • انتخاب پارامترها و افزونه‌هایی که به ترافیک عادی وب شباهت دارد

در نتیجه، DPI که دنبال امضای مشخص برخی VPNها می‌گردد، کمتر «چیزی غیرعادی» می‌بیند.

2) پنهان‌کردن سرویس پشت یک «ظاهر معتبر»

در تنظیمات REALITY معمولاً یک دامنهٔ «پوششی» (ServerName) انتخاب می‌شود که روی اینترنت عادی و قابل دسترس است. در بیرون، اتصال شما شبیه رفتن به همان دامنه دیده می‌شود.

نکتهٔ مهم: این کار «دامنه‌فرانتینگ» کلاسیک نیست (که در آن CDN ترافیک را به مقصد دیگری هدایت می‌کرد)، بلکه بیشتر یک استتار در سطح دست‌دادن TLS و رفتار سرور در مقابل درخواست‌های غیرمجاز است.

3) ضدپروبینگ با fallback

یکی از نقاط ضعف بسیاری از سرویس‌های تونل این است که اگر کسی بدون کلید/شناسهٔ درست به پورت سرور بزند، سرور پاسخ ویژه‌ای می‌دهد که لو می‌رود.

در REALITY، اگر کلاینت نتواند پارامترهای درست (مثل کلید عمومی/شناسه کوتاه) را ارائه کند، سرور می‌تواند رفتاری شبیه یک سرور وب عادی نشان دهد (مثلاً درخواست را به یک مقصد پوششی فوروارد کند). این باعث می‌شود پروبینگ فعال سخت‌تر نتیجه‌گیری کند که «این قطعاً VPN است».

4) نیاز نداشتن به گواهی (Certificate) اختصاصی

در بسیاری از راهکارهای مبتنی بر TLS، داشتن گواهی معتبر برای دامنه یک الزام عملی است. REALITY به‌گونه‌ای طراحی شده که بدون مدیریت کلاسیک گواهی، همچنان یک دست‌دادن باورپذیر بسازد و اعتبارسنجی را با مکانیزم‌های خودش انجام دهد (مثل کلید عمومی و شناسه‌ها). این ویژگی هم راه‌اندازی را ساده‌تر می‌کند و هم برخی الگوهای رایج «سرورهای VPN ناشیانه» را کاهش می‌دهد.

نقش VLESS در این ترکیب چیست؟

VLESS را می‌توان یک «قاب سبک» دانست که داخل آن داده‌ها ردوبدل می‌شوند. چون رمزنگاری اصلی در لایهٔ TLS/REALITY اتفاق می‌افتد، VLESS خودش ساده‌تر می‌ماند.

مزیت‌های رایج VLESS (وقتی با ترنسپورت‌های مدرن استفاده می‌شود):

  • سربار کمتر نسبت به برخی پروتکل‌های قدیمی‌تر
  • انعطاف‌پذیری بالا در Xray (همراه با TCP/WS/gRPC و…)
  • سازگاری با سناریوهای چندکاربره از طریق UUID

البته باید توجه داشت که «بهتر بودن» همیشه مطلق نیست؛ انتخاب درست به شرایط شبکه، نوع فیلترینگ و کیفیت سرور بستگی دارد.

چرا VLESS REALITY در برخی شبکه‌ها بهتر جواب می‌دهد؟

وقتی فیلترینگ عمدتاً روی امضاهای شناخته‌شدهٔ VPN یا روی رفتارهای غیرعادی TLS متمرکز باشد، VLESS REALITY معمولاً کمک می‌کند چون:

  • ترافیک را شبیه HTTPS استاندارد نشان می‌دهد.
  • به پروبینگ فعال کمتر جواب «لو‌دهنده» می‌دهد.
  • امکان انتخاب fingerprint نزدیک به مرورگر واقعی را فراهم می‌کند.

اما اگر مشکل اصلی بلاک IP باشد، REALITY به‌تنهایی معجزه نمی‌کند؛ چون وقتی کل IP بسته است، هر ترافیکی روی آن IP آسیب می‌بیند. در این سناریوها، کیفیت IP، تمیز بودن رنج، و گاهی جابه‌جایی سرور مهم‌تر از نوع پروتکل است.

محدودیت‌ها و ریسک‌های واقعی

استفاده از VLESS REALITY مثل هر ابزار دورزدن فیلترینگ، محدودیت‌هایی دارد:

  • بلاک شدن IP: همچنان رایج‌ترین عامل قطع سرویس است.
  • تنظیمات نادرست: انتخاب نام دامنهٔ پوششی نامناسب، fingerprint غیرواقعی، یا fallback اشتباه می‌تواند ترافیک را مشکوک کند.
  • به‌روزرسانی‌های سمت فیلترینگ: روش‌های DPI ثابت نیستند. ممکن است در مقاطعی سخت‌گیری بیشتر شود.
  • وابستگی به کیفیت مسیر شبکه: حتی اگر شناسایی نشود، ازدحام یا کیفیت بد مسیر می‌تواند سرعت را پایین بیاورد.

به همین دلیل، برخورد درست این است که REALITY را یک «تکنیک کاهش احتمال شناسایی» بدانید، نه تضمین دائمی.

مقایسهٔ سریع با گزینه‌های رایج دیگر

VLESS REALITY در برابر VMess

VMess قدیمی‌تر است و در برخی کلاینت‌ها/تنظیمات هنوز استفاده می‌شود، اما در سال‌های اخیر تمرکز بیشتر روی VLESS و ترنسپورت‌های مدرن بوده است. VLESS معمولاً سبک‌تر است و با REALITY ترکیب رایج‌تری دارد.

در برابر Trojan

Trojan هم روی ایدهٔ «شبیه HTTPS بودن» سوار است، اما REALITY به‌طور خاص روی ضدپروبینگ و تقلید دقیق‌تر اثرانگشت TLS در Xray مشهور شده است. هر دو می‌توانند خوب باشند؛ تفاوت در پیاده‌سازی، سرور و شرایط شبکه تعیین‌کننده است.

در برابر Shadowsocks/WireGuard

  • Shadowsocks در برخی شرایط ساده و سریع است، اما اگر فیلترینگ دنبال امضاهای شناخته‌شده باشد ممکن است نیاز به پلاگین/استتار بیشتر پیدا کند.
  • WireGuard از نظر فنی عالی و سریع است، ولی اثرانگشت شبکه‌ای‌اش بسیار مشخص است و در برخی شبکه‌ها زودتر شناسایی یا محدود می‌شود.

چه چیزهایی در تنظیمات REALITY مهم است؟

بدون ورود به جزئیات حساس، چند اصل عمومی برای کاهش خطا:

  • انتخاب یک دامنهٔ پوششی که واقعاً روی اینترنت پایدار است و الگوی TLS آن رایج است.
  • انتخاب fingerprint نزدیک به مرورگرهای معمول (مثل Chrome) در کلاینت.
  • اطمینان از اینکه fallback منطقی است (تا در پروبینگ فعال، رفتار سرور غیرعادی دیده نشود).
  • به‌روز نگه داشتن Xray-core و کلاینت‌ها؛ بسیاری از بهبودهای ضدتشخیص در نسخه‌های جدید می‌آید.

جمع‌بندی: چرا «دور می‌زند»؟

VLESS REALITY به این دلیل در بسیاری از سناریوها موفق‌تر دیده می‌شود که به‌جای پنهان‌کاری سطحی، روی شبیه‌سازی دقیق ترافیک عادی وب و کاهش نشانه‌های قابل امضا تمرکز می‌کند و هم‌زمان با ضدپروبینگ، شناسایی فعال را سخت‌تر می‌سازد. با این حال، هیچ پروتکلی جای کیفیت IP و تنظیم درست را نمی‌گیرد و در برابر بلاک مستقیم IP مصونیت کامل ندارد.

یک راه ساده برای امتحان‌کردن (CTA)

اگر هدف، استفادهٔ آماده و کم‌دردسر از کانفیگ‌های مبتنی بر VLESS REALITY است، سرویس DuduVPN امکان دریافت و مدیریت اتصال را از طریق ربات تلگرام فراهم می‌کند. برای شروع می‌توان به این لینک مراجعه کرد: https://t.me/duduvpnsbot 🙂

مقالات مرتبط

VPNی که سر شب قطع نشود را چطور انتخاب کنم؟

راهنمای عملی انتخاب VPN پایدار: از انتخاب پروتکل و سرور تا تنظیمات کلاینت، تست‌های قبل از خرید و نکته‌های ریز برای قطع‌نشدن شب‌ها.

«بدون‌لاگ» در VPN یعنی دقیقا چی ثبت نمی‌شود؟

بدون‌لاگ یعنی چه و چه چیزهایی هنوز ممکن است ثبت شود؟ نگاه فنی به انواع لاگ، DNS، پرداخت و متن سیاست حریم خصوصی سرویس‌های VPN.

VPN روی موبایل: iOS و اندروید را سریع راه بیندازیم

راهنمای عملی راه‌اندازی VPN روی iOS و اندروید با WireGuard و VLESS+REALITY، نکات DNS و باتری، و رفع خطاهای رایج اتصال روی موبایل.

وی‌پی‌ان دقیقاً چیست و چه‌طور کار می‌کند؟

وقتی VPN روشن می‌شود، ترافیک شما از یک تونل رمزگذاری‌شده به سرور می‌رود و IP و مسیر ارتباط عوض می‌شود. این متن با مثال‌های واقعی توضیحش می‌دهد.