Por que VLESS + Reality, y cuando lo necesitas
Un tunel WireGuard u OpenVPN sencillo es excelente para la privacidad, pero en paises con censura fuerte tiene una debilidad: la inspeccion profunda de paquetes (DPI) puede reconocer el protocolo por su huella y bloquearlo, incluso sin leer lo que hay dentro. Eso es precisamente lo que ha estado ocurriendo en Rusia, donde los operadores bloquean las VPN en las cajas TSPU de cada red y los reguladores han impulsado el bloqueo total del trafico VPN.
Reality es la mejor respuesta actual a eso. Es un transporte para el protocolo VLESS (del proyecto Xray) que hace que tu conexion parezca una visita normal a un sitio web HTTPS real y popular. Toma prestado el apreton de manos TLS genuino de ese sitio, asi que para la DPI de un censor tu trafico es indistinguible de la navegacion normal - y a diferencia de los trucos mas antiguos sobrevive al sondeo activo: si un censor se conecta a tu servidor para probarlo sin la clave correcta, el servidor lo reenvia en silencio al sitio real que estas tomando prestado, asi que solo ve un sitio web normal y no sospecha nada. Lo mejor de todo es que Reality no necesita ningun nombre de dominio ni certificado TLS propio. Lo configuraremos a traves de 3X-UI, un panel web que hace las partes dificiles por ti.
- Un VPS basado en KVM barato con Ubuntu 22.04 o 24.04. Para eludir la censura, elige una ubicacion fuera del pais que hace el bloqueo, idealmente con una IP nueva y limpia.
- Acceso SSH como root (tu proveedor te lo envia por correo).
- Unos 20 minutos. Esto es un paso mas avanzado que una VPN basica, pero el panel lo mantiene manejable.
root.Paso 1: Conectate y actualiza el servidor
Inicia sesion por SSH (reemplaza con la IP de tu servidor) e instala las ultimas actualizaciones:
ssh root@YOUR_SERVER_IP
apt update && apt upgrade -y
Paso 2: Instala el panel 3X-UI
3X-UI se instala con un solo comando. Ejecutalo y responde a las preguntas - cuando te lo pida, establece un nombre de usuario, una contrasena fuerte y un puerto del panel:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
Cuando termine, abre el menu de gestion en cualquier momento escribiendo:
x-ui
Desde ese menu puedes ver (y cambiar) el puerto del panel, el login y la ruta de acceso secreta. Anota esas tres cosas - las necesitas para abrir el panel en tu navegador.
Paso 3: Inicia sesion y protege el panel
Abre el panel en tu navegador usando los valores del paso anterior:
http://YOUR_SERVER_IP:PANEL_PORT/ACCESS_PATH
Inicia sesion y despues reforzalo de inmediato en Panel Settings:
- Cambia el login a un nombre de usuario unico y una contrasena larga si aun no lo has hecho.
- Manten la ruta de acceso secreta (la parte aleatoria de la URL) - oculta el panel de los escaneres.
- Configura el panel para que escuche en un puerto poco obvio, y nunca reutilices el puerto de tu VPN para el.
Mientras estas en Panel Settings, activa tambien TCP BBR - es un unico interruptor y acelera notablemente la conexion, sobre todo cuando el servidor esta lejos.
Paso 4: Crea el inbound VLESS + Reality
Este es el paso central, y el panel hace la criptografia por ti. En el panel abre Inbounds y haz clic en Add Inbound, luego configura:
- Protocol:
vless. - Port:
443. Usar el puerto HTTPS estandar hace que el trafico se mezcle. Si mas adelante una red muy censurada empieza a limitarte en el443, prueba a mover el inbound a un puerto alto aleatorio como43821- algunos sistemas DPI omiten la inspeccion profunda en puertos no estandar para ahorrar recursos. El compromiso: el443parece HTTPS normal, un puerto alto no. - Security:
reality. Esto es lo que hace que la magia funcione. - Dest / Target: un sitio HTTPS real que suplantar. Debe ser extranjero (fuera del pais que te bloquea), no estar bloqueado alli y admitir TLS 1.3 y HTTP/2. Donantes probados son
www.microsoft.com:443,www.samsung.com:443,www.nvidia.com:443owww.apple.com:443. Evita sitios que esten bloqueados o limitados donde estas (en Rusia eso significa Google, Instagram, Facebook y X) y evita cualquier cosa detras de Cloudflare - y cuanto menor sea el ping desde tu VPS, mejor (apunta a menos de ~30 ms), idealmente en el mismo centro de datos. El 3X-UI moderno incluso te sugiere un par de Target y SNI; puedes aceptarlo o poner el tuyo. - SNI / Server Names: el dominio exacto del sitio que elegiste arriba (por ejemplo
www.samsung.com) - debe coincidir con lo que sirve el target.
Ahora haz clic en los botones del panel para generar el par de claves (las claves publica y privada x25519) y los shortIds - Reality los necesita, y el panel los rellena automaticamente. Asegurate de que el flow este configurado como xtls-rprx-vision - es la opcion estandar para Reality: es lo que oculta el patron delator de "TLS dentro de TLS" y hace el tunel mucho mas rapido. Guarda el inbound.
Avanzado, opcional: en las redes mas agresivas algunos usuarios cambian el transporte del inbound a XHTTP para mayor resistencia frente al analisis de comportamiento. Es mas nuevo y las opiniones difieren, asi que tratalo como un experimento y no como la opcion por defecto - Reality sencillo con Vision funciona para la gran mayoria.
Paso 5: Abre el firewall
Permite SSH, tu puerto de inbound (443) y el puerto del panel del Paso 2, luego activa el firewall. Reemplaza PANEL_PORT con tu puerto real del panel:
ufw allow 22/tcp
ufw allow 443/tcp
ufw allow PANEL_PORT/tcp
ufw enable
22), permite ese puerto en su lugar antes de ufw enable, o te quedaras fuera.La ruta de acceso secreta mas una contrasena fuerte mantienen el panel seguro en ese puerto abierto. Si prefieres mantenerlo totalmente oculto, no permitas el puerto del panel de arriba - en su lugar accede al panel a traves de un tunel SSH desde tu propio ordenador, luego abre http://localhost:8080 en tu navegador:
ssh -L 8080:localhost:PANEL_PORT root@YOUR_SERVER_IP
Paso 6: Obten tu enlace de conexion
De vuelta en Inbounds, busca el cliente que acabas de crear y abre su codigo QR o el enlace de compartir vless:// (el panel muestra ambos). Ese unico enlace contiene todo lo que necesita una aplicacion cliente - la direccion, las claves y la configuracion de Reality. En un telefono escanearas el codigo QR; en un ordenador pegaras el enlace.
Para agregar mas dispositivos despues, crea otro cliente dentro del mismo inbound - cada persona obtiene su propio enlace.
Paso 7: Instala una aplicacion cliente y conectate
Reality funciona con cualquier cliente moderno basado en Xray. Elige tu plataforma abajo, importa el enlace del Paso 6 y conectate.
Android: instala v2rayNG - en regiones muy censuradas obtenlo desde los releases oficiales de GitHub y no desde Google Play, donde puede faltar o estar falsificado. Toca + en la esquina superior, elige Scan QR code, apuntalo al QR del panel y luego toca el boton redondo de conexion en la parte inferior.
iPhone y iPad: instala Streisand (gratis) desde la App Store - V2Box y FoXray tambien funcionan bien. Toca +, elige Add from QR code o pega el enlace vless://, luego activa la conexion y permite el perfil de VPN.
Windows: instala Hiddify (lo mas sencillo) o Nekoray. Copia el enlace vless://, elige Add profile -> From clipboard, luego pulsa conectar.
macOS: instala Hiddify (tambien en la Mac App Store). Haz clic en Add profile -> From clipboard despues de copiar el enlace vless://, luego pulsa conectar.
Escritorio Linux: usa Hiddify o Nekoray. Importa el enlace vless:// desde el portapapeles, selecciona el servidor y conectate.
Paso 8: Verifica que funciona
Con el cliente conectado, confirma dos cosas en nuestra propia pagina de Herramientas de red. Primero, que internet ahora ve la IP de tu servidor - mostrada en la parte superior de la pagina. Segundo, abre la pestana DNS Leak Test: los resolvedores listados no deben pertenecer a tu ISP de casa. Si ambos se ven bien, tu tunel Reality esta activo.
Errores comunes
- Mala eleccion de "dest". Si el sitio que suplantas es lento, esta bloqueado donde estas o no admite TLS 1.3, la conexion sera inestable. Elige un sitio grande, rapido y siempre disponible.
- El SNI no coincide con el dest. El Server Name debe ser un dominio que el objetivo realmente sirva. Los desajustes causan desconexiones instantaneas.
- Panel dejado abierto de par en par. Nunca dejes el panel en un puerto adivinable con una contrasena debil - es el control total de tu servidor. Protegelo con firewall o accede por tunel.
- Firewall del proveedor. Algunos hosts tienen su propio firewall en un panel de control ademas de
ufw; asegurate de que el puerto443tambien este abierto alli. - Puerto 443 ya en uso. Si el servidor ya ejecuta un servidor web (Apache o Nginx) en el
443, el inbound no arrancara. Libera ese puerto primero, o asigna al inbound uno diferente. - Huella del cliente no configurada. En el cliente, la huella TLS (uTLS) debe ser un navegador real como
chrome. El enlace de compartir del panel normalmente lo configura por ti, pero comprobalo si la conexion es inestable. - Usar un VPS en un pais bloqueado. Un servidor fisicamente dentro de la red censurada puede bloquearse en el origen. Alojalo en el extranjero.
Los limites honestos
Reality es excelente para ocultar que estas usando una VPN ante los censores de red, pero los limites honestos habituales del autoalojamiento siguen aplicando: tu proveedor puede ver las direcciones IP que se conectan a tu servidor, y en un VPS el host puede capturar la RAM de la maquina. Si quieres reducir lo que tu propio servidor registra en disco, continua con nuestra guia sobre como hacer que tu VPS no guarde registros. Ten en cuenta que esto tambien es un blanco movil: los censores no dejan de escalar - el TSPU de Rusia, por ejemplo, agrego analisis de comportamiento de los tuneles VLESS a principios de 2026 y empezo a bloquear a nivel de ASN - asi que manten Xray y el panel actualizados y prepárate para cambiar tu dest o puerto si una conexion empieza a degradarse. Y como siempre, una VPN cambia el lugar desde donde parece originarse tu trafico - no te pone por encima de la ley de donde vives.
x-ui y elige actualizar) y respalda las claves del inbound en un lugar seguro.