Pourquoi VLESS + Reality, et quand en avez-vous besoin
Un simple tunnel WireGuard ou OpenVPN est excellent pour la confidentialite, mais dans les pays a forte censure il a une faiblesse : l'inspection approfondie des paquets (DPI) peut reconnaitre le protocole a son empreinte et le bloquer, meme sans lire ce qu'il y a a l'interieur. C'est exactement ce qui se passe en Russie, ou les operateurs bloquent les VPN au niveau des boitiers TSPU sur chaque reseau et ou les regulateurs ont pousse vers un blocage total du trafic VPN.
Reality est la meilleure reponse actuelle a cela. C'est un transport pour le protocole VLESS (du projet Xray) qui fait ressembler votre connexion a une visite ordinaire d'un vrai site HTTPS populaire. Il emprunte le veritable handshake TLS de ce site, de sorte que pour la DPI d'un censeur votre trafic est indiscernable d'une navigation normale - et contrairement aux anciennes astuces il survit au sondage actif : si un censeur se connecte a votre serveur pour le tester sans la bonne cle, le serveur le redirige discretement vers le vrai site que vous empruntez, de sorte qu'il ne voit qu'un site web ordinaire et ne se doute de rien. Mieux encore, Reality ne necessite aucun nom de domaine ni aucun certificat TLS a vous. Nous allons le configurer via 3X-UI, un panneau web qui fait les parties difficiles a votre place.
- Un VPS base sur KVM bon marche fonctionnant sous Ubuntu 22.04 ou 24.04. Pour contourner la censure, choisissez un emplacement hors du pays qui bloque, idealement avec une IP fraiche et propre.
- Un acces SSH root (votre fournisseur vous l'envoie par e-mail).
- Environ 20 minutes. C'est un cran au-dessus d'un VPN de base, mais le panneau garde cela gerable.
root.Etape 1 : Se connecter et mettre a jour le serveur
Connectez-vous en SSH (remplacez par l'IP de votre serveur) et installez les dernieres mises a jour :
ssh root@YOUR_SERVER_IP
apt update && apt upgrade -y
Etape 2 : Installer le panneau 3X-UI
3X-UI s'installe avec une seule commande. Executez-la et repondez aux invites - lorsque cela vous est demande, definissez un nom d'utilisateur, un mot de passe solide et un port pour le panneau :
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
Une fois termine, ouvrez le menu de gestion a tout moment en tapant :
x-ui
Depuis ce menu, vous pouvez voir (et modifier) le port du panneau, l'identifiant et le chemin d'acces secret. Notez ces trois elements - vous en avez besoin pour ouvrir le panneau dans votre navigateur.
Etape 3 : Se connecter et verrouiller le panneau
Ouvrez le panneau dans votre navigateur en utilisant les valeurs de l'etape precedente :
http://YOUR_SERVER_IP:PANEL_PORT/ACCESS_PATH
Connectez-vous, puis renforcez-le immediatement dans Panel Settings :
- Changez l'identifiant pour un nom d'utilisateur unique et un long mot de passe si ce n'est pas deja fait.
- Conservez le chemin d'acces secret (la partie aleatoire de l'URL) - il masque le panneau aux scanners.
- Faites ecouter le panneau sur un port non evident, et ne reutilisez jamais votre port VPN pour lui.
Pendant que vous etes dans Panel Settings, activez aussi TCP BBR - c'est un simple interrupteur et cela accelere nettement la connexion, surtout quand le serveur est loin.
Etape 4 : Creer l'inbound VLESS + Reality
C'est l'etape centrale, et le panneau fait la cryptographie a votre place. Dans le panneau, ouvrez Inbounds et cliquez sur Add Inbound, puis definissez :
- Protocol :
vless. - Port :
443. Utiliser le port HTTPS standard permet au trafic de se fondre dans la masse. Si un reseau fortement censure se met plus tard a brider votre trafic sur le443, essayez de deplacer l'inbound vers un port haut aleatoire tel que43821- certains systemes DPI evitent l'inspection approfondie sur les ports non standard pour economiser des ressources. Le compromis : le443ressemble a du HTTPS normal, un port haut non. - Security :
reality. C'est ce qui fait fonctionner la magie. - Dest / Target : un vrai site HTTPS a imiter. Il doit etre etranger (hors du pays qui vous bloque), non bloque la-bas, et prendre en charge le TLS 1.3 et HTTP/2. Les donneurs eprouves sont
www.microsoft.com:443,www.samsung.com:443,www.nvidia.com:443ouwww.apple.com:443. Evitez les sites qui sont bloques ou brides la ou vous etes (en Russie cela signifie Google, Instagram, Facebook et X) et evitez tout ce qui est derriere Cloudflare - et plus le ping depuis votre VPS est bas, mieux c'est (visez moins de ~30 ms), idealement dans le meme centre de donnees. Le 3X-UI moderne vous suggere meme une paire Target et SNI ; vous pouvez l'accepter ou definir la votre. - SNI / Server Names : le domaine exact du site que vous avez choisi ci-dessus (par exemple
www.samsung.com) - il doit correspondre a ce que la cible sert.
Cliquez maintenant sur les boutons du panneau pour generer la paire de cles (les cles publique et privee x25519) et les shortIds - Reality en a besoin, et le panneau les remplit automatiquement. Assurez-vous que le flow est defini sur xtls-rprx-vision - c'est le choix standard pour Reality : c'est ce qui masque le motif revelateur "TLS dans TLS" et rend le tunnel bien plus rapide. Enregistrez l'inbound.
Avance, optionnel : dans les reseaux les plus agressifs, certains utilisateurs basculent le transport de l'inbound vers XHTTP pour une resilience supplementaire face a l'analyse comportementale. C'est plus recent et les avis divergent, alors traitez cela comme une experimentation plutot que comme le choix par defaut - Reality classique avec Vision fonctionne pour la grande majorite.
Etape 5 : Ouvrir le pare-feu
Autorisez SSH, votre port inbound (443) et le port du panneau de l'etape 2, puis activez le pare-feu. Remplacez PANEL_PORT par le port reel de votre panneau :
ufw allow 22/tcp
ufw allow 443/tcp
ufw allow PANEL_PORT/tcp
ufw enable
22), autorisez plutot ce port avant ufw enable, sinon vous vous verrouillerez dehors.Le chemin d'acces secret ajoute a un mot de passe fort protege le panneau sur ce port ouvert. Si vous preferez le garder totalement cache, n'autorisez pas le port du panneau ci-dessus - accedez plutot au panneau via un tunnel SSH depuis votre propre ordinateur, puis ouvrez http://localhost:8080 dans votre navigateur :
ssh -L 8080:localhost:PANEL_PORT root@YOUR_SERVER_IP
Etape 6 : Obtenir votre lien de connexion
De retour dans Inbounds, trouvez le client que vous venez de creer et ouvrez son QR code ou le lien de partage vless:// (le panneau montre les deux). Ce simple lien contient tout ce dont une application client a besoin - l'adresse, les cles et les parametres Reality. Sur un telephone, vous scannerez le QR code ; sur un ordinateur, vous collerez le lien.
Pour ajouter d'autres appareils plus tard, creez un autre client dans le meme inbound - chaque personne obtient son propre lien.
Etape 7 : Installer une application client et se connecter
Reality fonctionne avec n'importe quel client moderne base sur Xray. Choisissez votre plateforme ci-dessous, importez le lien de l'etape 6, et connectez-vous.
Android : installez v2rayNG - dans les regions fortement censurees, procurez-vous-le depuis les releases officielles sur GitHub plutot que sur le Play Store, ou il peut etre absent ou falsifie. Appuyez sur + dans le coin superieur, choisissez Scan QR code, pointez-le vers le QR du panneau, puis appuyez sur le bouton rond de connexion en bas.
iPhone et iPad : installez Streisand (gratuit) depuis l'App Store - V2Box et FoXray fonctionnent bien aussi. Appuyez sur +, choisissez Add from QR code ou collez le lien vless://, puis activez la connexion et autorisez le profil VPN.
Windows : installez Hiddify (le plus simple) ou Nekoray. Copiez le lien vless://, choisissez Add profile -> From clipboard, puis appuyez sur connecter.
macOS : installez Hiddify (aussi sur le Mac App Store). Cliquez sur Add profile -> From clipboard apres avoir copie le lien vless://, puis appuyez sur connecter.
Bureau Linux : utilisez Hiddify ou Nekoray. Importez le lien vless:// depuis le presse-papiers, selectionnez le serveur et connectez-vous.
Etape 8 : Verifier que cela fonctionne
Avec le client connecte, confirmez deux choses sur notre propre page Outils reseau. D'abord, qu'internet voit desormais l'IP de votre serveur - affichee en haut de la page. Ensuite, ouvrez l'onglet DNS Leak Test : les resolveurs listes ne doivent pas appartenir a votre FAI domestique. Si les deux sont corrects, votre tunnel Reality est en service.
Erreurs courantes
- Mauvais choix de "dest". Si le site que vous imitez est lent, bloque la ou vous etes, ou ne prend pas en charge le TLS 1.3, la connexion sera instable. Choisissez un gros site rapide et toujours en ligne.
- Le SNI ne correspond pas au dest. Le Server Name doit etre un domaine que la cible sert reellement. Les incoherences provoquent des deconnexions instantanees.
- Panneau laisse grand ouvert. Ne laissez jamais le panneau sur un port devinable avec un mot de passe faible - c'est le controle total de votre serveur. Mettez-le derriere un pare-feu ou accedez-y par tunnel.
- Pare-feu du fournisseur. Certains hebergeurs ont leur propre pare-feu dans un panneau de controle en plus de
ufw; assurez-vous que le port443y est aussi ouvert. - Port 443 deja utilise. Si le serveur fait deja tourner un serveur web (Apache ou Nginx) sur le
443, l'inbound ne demarrera pas. Liberez d'abord ce port, ou donnez-en un autre a l'inbound. - Empreinte client non definie. Dans le client, l'empreinte TLS (uTLS) doit etre celle d'un vrai navigateur comme
chrome. Le lien de partage du panneau la definit generalement pour vous, mais verifiez-la si la connexion est instable. - Utiliser un VPS d'un pays bloque. Un serveur physiquement a l'interieur du reseau censure peut etre bloque a la source. Hebergez-le a l'etranger.
Les limites honnetes
Reality est excellent pour cacher que vous utilisez un VPN aux censeurs du reseau, mais les limites honnetes habituelles de l'auto-hebergement s'appliquent toujours : votre fournisseur peut voir les adresses IP qui se connectent a votre serveur, et sur un VPS l'hote peut capturer la RAM de la machine. Si vous voulez reduire ce que votre propre serveur enregistre sur le disque, poursuivez avec notre guide sur comment faire en sorte que votre VPS ne conserve aucun log. Gardez aussi a l'esprit que c'est une cible mouvante : les censeurs ne cessent d'escalader - le TSPU russe, par exemple, a ajoute l'analyse comportementale des tunnels VLESS debut 2026 et s'est mis a bloquer au niveau des ASN - alors gardez Xray et le panneau a jour et soyez pret a changer de dest ou de port si une connexion commence a se degrader. Et comme toujours, un VPN change l'endroit d'ou votre trafic semble provenir - il ne vous place pas au-dessus de la loi de l'endroit ou vous vivez.
x-ui et choisissez update), et sauvegardez les cles de l'inbound dans un endroit sur.