Reality + XTLS — что у нас под капотом

Большинство пользователей выбирают сервис по простому критерию: «быстро и стабильно работает». Это правильный критерий — и под ним лежит конкретная технология, которая обеспечивает результат. Эта статья — для тех, кому интересно, как именно это устроено.

Под капотом у Neva стек VLESS + Reality + XTLS-Vision. Звучит как набор аббревиатур; разберём по порядку, что каждая делает и зачем.

Контекст: почему обычные туннели стали слабее

До 2022 года типичный шифрованный туннель работал через WireGuard или OpenVPN. Их ключевая особенность — узнаваемый сетевой паттерн. Пакеты WireGuard начинаются с фиксированных байтов handshake, OpenVPN — характерный TLS-handshake к нестандартным портам. Современная сетевая инспекция (DPI) опознаёт такие паттерны за миллисекунды.

Если сеть, через которую ты выходишь, активно фильтрует трафик — протоколы со стабильным сетевым отпечатком деградируют: соединение рвётся, пинг растёт, видеосвязь начинает заикаться. Это не магия и не «провайдер плохой» — это работа алгоритмов, которые видят пакеты и сравнивают с базой сигнатур.

Reality решает эту проблему по-другому: вместо «попытаться спрятаться» он притворяется обычным посещением реального сайта.

Что такое Reality

Reality — это надстройка над VLESS-протоколом. Когда твой клиент устанавливает соединение к нашему серверу, происходит примерно следующее:

1. Клиент инициирует TLS-handshake к microsoft.com (или другому крупному, повсеместно посещаемому сайту — называется target host).
2. Наш сервер пропускает этот handshake до настоящего microsoft.com, получает оттуда настоящий ответ — с настоящим сертификатом, всеми правильными расширениями, корректным ServerHello.
3. Дальше происходит обмен криптографической логикой: клиент и сервер используют заранее известный публичный ключ для деривации общего секрета. Этот шаг для DPI выглядит как обычное продолжение TLS-сессии.
4. После handshake канал переходит в режим передачи данных. Между клиентом и сервером — шифрованный туннель внутри TLS-соединения, которое для всех посредников выглядит как «пользователь смотрит microsoft.com».

Что важно: сертификат microsoft.com — настоящий, не подделанный. Клиент и сервер не подменяют центральный CA, не уговаривают браузер доверять ложному сертификату. Reality использует факт, что любой TLS-handshake до любого доступного публичного сайта неотличим от обычной активности.

Почему DPI не справляется

Алгоритмы инспекции работают на статистике. Они видят миллионы пакетов в секунду и ищут аномалии: «этот handshake необычный», «ключи короче, чем у настоящего TLS», «расширения переставлены».

С Reality аномалий нет:

• TLS-handshake идентичен настоящему microsoft.com — те же cipher suites, тот же порядок расширений, те же extensions.
• Сертификат настоящий, выдан настоящим CA, проходит проверку.
• TLS-fingerprint (так называемый JA3/JA4) совпадает с fingerprint реального браузера, обращающегося к microsoft.com.
• Поведение в timing — handshake занимает столько же миллисекунд, сколько настоящий, потому что часть его действительно проходит через настоящий microsoft.com.

Чтобы DPI заблокировал соединение Reality — он должен заблокировать соединение к microsoft.com в принципе. Чего не сделает ни одна сеть, кроме самых жёстких корпоративных.

XTLS-Vision: как ускорить передачу данных

Reality решает задачу маскировки. Вторая часть — передача данных после установки соединения. Тут на сцене XTLS-Vision.

В обычной TLS-сессии, когда внутри неё идёт ещё один шифрованный канал (как в туннеле), получается «шифрование внутри шифрования». Двойная криптография съедает до 30-40% производительности на больших объёмах трафика — видеоконференции, 4K-стримы, передача файлов.

XTLS-Vision устраняет двойное шифрование там, где это безопасно. Технически:

• Внутри установленного TLS-канала клиент посылает уже-зашифрованный трафик (HTTPS — HTTPS не нуждается в дополнительном шифровании, он уже защищён).
• Vision-режим определяет такие пакеты по сигнатуре и пропускает их через ядро без повторной расшифровки и зашифровки.
• Метаданные (DNS, control-сообщения) по-прежнему идут с двойным шифрованием — там это нужно.

Результат: пропускная способность близка к WireGuard, при этом DPI-устойчивость как у Reality. Скорость и невидимость одновременно — то, ради чего стек собирается.

Что это значит для пользователя

Для тебя как пользователя — три практических следствия:

1. Стабильная связь даже в нестабильных сетях

Обычные шифрованные туннели в сетях с активной фильтрацией начинают терять пакеты, рвать соединения, замедляться. Reality маскируется под легитимный TLS-трафик, поэтому фильтры на него не реагируют. Видеоконференции и звонки идут без срывов.

2. Низкая задержка

Благодаря XTLS-Vision потеря производительности от шифрования минимальна. На быстром канале ты упираешься в скорость самого канала, а не в работу туннеля.

3. Невидимость для метаданных

DNS, SNI, IP назначения — всё внутри шифрованного туннеля. Со стороны провайдера видно «сессия к microsoft.com», и больше ничего.

Что для этого нужно настроить

Самое приятное в этом стеке — со стороны клиента ничего настраивать не нужно. Reality поднимается автоматически по той ссылке-подписке, которую ты получаешь после регистрации. Клиентское приложение (на iOS, Android, macOS, Windows, Linux) разбирает подписку, устанавливает соединение и работает.

Сложности находятся на стороне сервера: правильная настройка target host, генерация ключей, выбор расширений, кэширование сертификатов реального сайта. Ошибка в конфиге означает, что Reality перестаёт быть невидимым — и обнуляется весь смысл.

Поэтому Reality плохо работает «своими руками» на условном VPS: большинство DIY-конфигов неправильно настроены, что и приводит к тому, что у тебя «работает», а через две недели сеть начинает резать. У провайдеров туннеля, у которых это основная работа, конфиги вылизанные.

Историческая справка: откуда взялся Reality

Стек VLESS / VMess / Trojan / Shadowsocks вырос в Китае в 2010-х как ответ на «Великий Файервол». Reality конкретно появился в 2023 году — как развитие идеи Trojan, который маскировался под обычный HTTPS. Trojan ещё имел «свой» сертификат, что в принципе можно было обнаружить через JA3-fingerprint. Reality убрал последний след: теперь fingerprint клиента совпадает с настоящим браузером, сертификат — настоящий, target host — настоящий.

С 2023 в Reality добавили XTLS-Vision (зигзаг разработки внутри проекта Xray-core), потом uTLS-fingerprinting (имитация конкретных браузеров), потом ECH-совместимость (Encrypted Client Hello, скрывающий SNI на уровне самого TLS).

Сегодня Reality — наиболее зрелая технология в своём классе. До конца 2026 года едва ли появится что-то принципиально новое; скорее, будут улучшения деталей.

Что дальше — ECH и Reality++

Два направления развития:

• Encrypted Client Hello (ECH) — стандарт TLS, шифрующий ClientHello (и SNI внутри него). Если ECH массово развернут CDN (Cloudflare уже поддерживает), DPI потеряет последнюю возможность видеть, на какой домен идёт твоё HTTPS-соединение. Reality совместим с ECH — будет работать через него прозрачно.
• uTLS-fingerprinting — мимикрия под точный отпечаток конкретной версии Chrome / Safari / Firefox. Это уровень глубже, чем совпадение по cipher suites: имитируется даже порядок расширений, размер padding'а, точный набор curve preferences. Сегодня это опционально, скоро станет дефолтом.

Так устроен Neva

Когда ты создаёшь аккаунт и получаешь подписку, под капотом подняты:

• VLESS поверх TLS 1.3 к target host'у — стандартный, неотличимый от любого посещения настоящего сайта.
• Reality с прецизионной настройкой target host, ключей и расширений.
• XTLS-Vision для скорости передачи данных.
• uTLS для имитации актуальной версии Chrome.

Конфигурация на твоём устройстве сводится к открытию подписки в совместимом клиенте — и всё. Никаких сертификатов, никаких ключей, никаких целевых хостов. Стек работает «из коробки».

Попробовать бесплатно →

Итог

Reality + XTLS — современный стек для шифрованных туннелей, сочетающий невидимость для DPI и скорость, близкую к WireGuard. Маскировка работает по принципу «не прячься, притворяйся»: соединение не отличается от обычного посещения microsoft.com, потому что оно и есть соединение к microsoft.com (с дополнительной криптологикой поверх).

Со стороны пользователя стек невидим — открыл подписку в клиенте, оно работает. Сложность находится на сервере, и это правильно: пока ты не VPN-провайдер, не нужно тратить выходные на отладку Reality конфигов.