Подробнее о протоколе Reality
Принцип работы Reality прост, но гениален. При попытке детектирования сервера ТСПУ отправляет в наш VPS пробу: «Какой у тебя TLS-сертификат?». Reality не выдаёт собственный сертификат — он проксирует TLS-handshake к настоящему целевому сайту, и DPI получает подлинный Server Hello напрямую от этого сайта. Авторизованным же клиентам сервер отдаёт временный сертификат, подписанный своим приватным X25519-ключом. Активному прободу не за что зацепиться.
Критичный момент для России: целевой сайт (SNI) должен быть из белого списка разрешённых российских ресурсов, иначе в режиме whitelist ТСПУ заблокирует соединение ещё на этапе handshake. Правильный выбор — крупные российские ресурсы: yandex.ru, mail.ru, vk.com, max.ru, ok.ru, ozon.ru, wildberries.ru, 2gis.ru. Эти домены гарантированно в белом списке и отлично работают как маскировка.
В отличие от обычного TLS-маскинга (где сервер использует собственный сертификат, который можно отследить), Reality неотличим от случайного HTTPS-сайта. На сегодня это самый продвинутый из публичных способов противодействия активному пробингу.
Reality поддерживается во всех современных Xray-клиентах: v2RayTun, Happ, v2rayNG, Streisand, Shadowrocket, NekoBox, Hiddify Next, Karing. Конфиг приходит как обычная vless://-строка с дополнительными параметрами (pbk — public key, sni — целевой сайт, sid — short id).
Reality — это не отдельный VPN-сервис, а технология. Чтобы его использовать, нужен VPN-сервер, у которого Reality настроен. Большинство современных сервисов в РФ-фокус-сегменте уже на нём, и SNI выставлен правильно — на разрешённый российский домен.