Por que VLESS + Reality, e quando voce precisa
Um tunel simples de WireGuard ou OpenVPN e otimo para a privacidade, mas em paises com censura pesada ele tem uma fraqueza: a deep packet inspection (DPI) consegue reconhecer o protocolo pela sua impressao digital e bloquea-lo, mesmo sem ler o que ha dentro. E exatamente isso que vem acontecendo na Russia, onde as operadoras bloqueiam VPNs nas caixas TSPU em toda a rede e os reguladores empurraram em direcao ao bloqueio total do trafego VPN.
Reality e a melhor resposta atual para isso. E um transporte para o protocolo VLESS (do projeto Xray) que faz sua conexao parecer uma visita comum a um site HTTPS real e popular. Ele toma emprestado o handshake TLS genuino desse site, entao para a DPI de um censor o seu trafego e indistinguivel de uma navegacao normal - e ao contrario de truques mais antigos, ele sobrevive ao active probing: se um censor se conecta ao seu servidor para testa-lo sem a chave correta, o servidor silenciosamente o encaminha para o site real que voce esta tomando emprestado, entao ele so ve um site comum e nao suspeita de nada. O melhor de tudo: o Reality nao precisa de nome de dominio nem de certificado TLS proprio. Vamos configura-lo atraves do 3X-UI, um painel web que faz as partes dificeis por voce.
- Um VPS baseado em KVM barato rodando Ubuntu 22.04 ou 24.04. Para contornar a censura, escolha uma localizacao fora do pais que faz o bloqueio, idealmente com um IP novo e limpo.
- Acesso SSH como root (seu provedor envia isso por email).
- Cerca de 20 minutos. E um passo acima de uma VPN basica, mas o painel mantem tudo administravel.
root.Passo 1: Conectar e atualizar o servidor
Faca login via SSH (substitua pelo IP do seu servidor) e instale as ultimas atualizacoes:
ssh root@YOUR_SERVER_IP
apt update && apt upgrade -y
Passo 2: Instalar o painel 3X-UI
O 3X-UI se instala com um unico comando. Execute-o e responda aos prompts - quando solicitado, defina um nome de usuario, uma senha forte e uma porta para o painel:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
Quando terminar, abra o menu de gerenciamento a qualquer momento digitando:
x-ui
A partir desse menu voce pode ver (e alterar) a porta do painel, o login e o caminho de acesso secreto. Anote essas tres coisas - voce precisa delas para abrir o painel no seu navegador.
Passo 3: Fazer login e proteger o painel
Abra o painel no seu navegador usando os valores do passo anterior:
http://YOUR_SERVER_IP:PANEL_PORT/ACCESS_PATH
Faca login e, em seguida, reforce a seguranca imediatamente em Panel Settings:
- Altere o login para um nome de usuario unico e uma senha longa se ainda nao o fez.
- Mantenha o caminho de acesso secreto (a parte aleatoria da URL) - ele esconde o painel dos scanners.
- Configure o painel para escutar em uma porta nao obvia, e nunca reutilize a porta da sua VPN para ele.
Enquanto voce esta em Panel Settings, ative tambem o TCP BBR - e um unico botao e ele acelera visivelmente a conexao, especialmente quando o servidor esta longe.
Passo 4: Criar o inbound VLESS + Reality
Este e o passo central, e o painel faz a criptografia por voce. No painel, abra Inbounds e clique em Add Inbound, depois defina:
- Protocolo:
vless. - Porta:
443. Usar a porta HTTPS padrao faz o trafego se misturar. Se mais tarde uma rede fortemente censurada comecar a estrangular voce na443, tente mover o inbound para uma porta alta aleatoria como43821- alguns sistemas de DPI pulam a inspecao profunda em portas nao padrao para economizar recursos. O trade-off: a443parece HTTPS normal, uma porta alta nao. - Seguranca:
reality. E isso que faz a magica funcionar. - Dest / Target: um site HTTPS real para se passar por ele. Ele precisa ser estrangeiro (fora do pais que bloqueia voce), nao estar bloqueado la e suportar TLS 1.3 e HTTP/2. Doadores comprovados sao
www.microsoft.com:443,www.samsung.com:443,www.nvidia.com:443ouwww.apple.com:443. Evite sites que estejam bloqueados ou estrangulados onde voce esta (na Russia isso significa Google, Instagram, Facebook e X) e evite qualquer coisa atras do Cloudflare - e quanto menor o ping do seu VPS, melhor (mire em menos de ~30 ms), idealmente no mesmo data center. O 3X-UI moderno ate sugere um par de Target e SNI para voce; voce pode aceita-lo ou definir o seu proprio. - SNI / Server Names: o dominio exato do site que voce escolheu acima (por exemplo
www.samsung.com) - ele precisa corresponder ao que o target serve.
Agora clique nos botoes do painel para gerar o par de chaves (as chaves publica e privada x25519) e os shortIds - o Reality precisa deles, e o painel os preenche automaticamente. Certifique-se de que o flow esteja definido como xtls-rprx-vision - e a escolha padrao para o Reality: e o que esconde o padrao revelador de "TLS dentro de TLS" e torna o tunel muito mais rapido. Salve o inbound.
Avancado, opcional: nas redes mais agressivas alguns usuarios trocam o transporte do inbound para XHTTP para obter resistencia extra contra a analise comportamental. E mais novo e as opinioes divergem, entao trate-o como um experimento e nao como o padrao - o Reality simples com Vision funciona para a grande maioria.
Passo 5: Abrir o firewall
Permita SSH, sua porta de inbound (443) e a porta do painel do Passo 2, depois ative o firewall. Substitua PANEL_PORT pela porta real do seu painel:
ufw allow 22/tcp
ufw allow 443/tcp
ufw allow PANEL_PORT/tcp
ufw enable
22), permita essa porta em vez disso antes de ufw enable, ou voce vai se trancar para fora.O caminho de acesso secreto mais uma senha forte mantem o painel seguro nessa porta aberta. Se voce preferir mante-lo totalmente escondido, nao permita a porta do painel acima - em vez disso, acesse o painel atraves de um tunel SSH a partir do seu proprio computador, depois abra http://localhost:8080 no seu navegador:
ssh -L 8080:localhost:PANEL_PORT root@YOUR_SERVER_IP
Passo 6: Obter seu link de conexao
De volta a Inbounds, encontre o cliente que voce acabou de criar e abra o seu QR code ou o link de compartilhamento vless:// (o painel mostra ambos). Esse unico link contem tudo o que um app cliente precisa - o endereco, as chaves e as configuracoes do Reality. No celular voce vai escanear o QR code; no computador voce vai colar o link.
Para adicionar mais dispositivos depois, crie outro cliente dentro do mesmo inbound - cada pessoa recebe o seu proprio link.
Passo 7: Instalar um app cliente e conectar
O Reality funciona com qualquer cliente moderno baseado em Xray. Escolha sua plataforma abaixo, importe o link do Passo 6 e conecte.
Android: instale o v2rayNG - em regioes fortemente censuradas, obtenha-o pelas releases oficiais no GitHub em vez da Play Store, onde ele pode estar ausente ou falsificado. Toque em + no canto superior, escolha Scan QR code, aponte para o QR do painel e depois toque no botao redondo de conectar na parte de baixo.
iPhone e iPad: instale o Streisand (gratis) pela App Store - V2Box e FoXray tambem funcionam bem. Toque em +, escolha Add from QR code ou cole o link vless://, depois ative a conexao e permita o perfil de VPN.
Windows: instale o Hiddify (o mais simples) ou o Nekoray. Copie o link vless://, escolha Add profile -> From clipboard, depois pressione conectar.
macOS: instale o Hiddify (tambem na Mac App Store). Clique em Add profile -> From clipboard depois de copiar o link vless://, depois pressione conectar.
Desktop Linux: use o Hiddify ou o Nekoray. Importe o link vless:// da area de transferencia, selecione o servidor e conecte.
Passo 8: Verificar se funciona
Com o cliente conectado, confirme duas coisas na nossa propria pagina de Ferramentas de rede. Primeiro, que a internet agora ve o IP do seu servidor - mostrado no topo da pagina. Segundo, abra a aba DNS Leak Test: os resolvers listados nao devem pertencer ao seu provedor de internet residencial. Se ambos parecerem corretos, o seu tunel Reality esta ativo.
Erros comuns
- Ma escolha do "dest". Se o site que voce imita for lento, bloqueado onde voce esta, ou nao suportar TLS 1.3, a conexao ficara instavel. Escolha um site grande, rapido e sempre no ar.
- O SNI nao corresponde ao dest. O Server Name deve ser um dominio que o target realmente serve. Incompatibilidades causam desconexoes instantaneas.
- Painel deixado totalmente aberto. Nunca deixe o painel em uma porta adivinhavel com uma senha fraca - e o controle total do seu servidor. Proteja-o com firewall ou acesse-o por tunel.
- Firewall do provedor. Alguns hosts tem seu proprio firewall em um painel de controle por cima do
ufw; certifique-se de que a porta443tambem esteja aberta la. - Porta 443 ja em uso. Se o servidor ja roda um servidor web (Apache ou Nginx) na
443, o inbound nao vai iniciar. Libere essa porta primeiro, ou de ao inbound uma porta diferente. - Fingerprint do cliente nao definido. No cliente, o fingerprint TLS (uTLS) deve ser um navegador real como
chrome. O link de compartilhamento do painel geralmente define isso por voce, mas verifique se a conexao estiver instavel. - Usar um VPS de um pais bloqueado. Um servidor fisicamente dentro da rede censurada pode ser bloqueado na origem. Hospede-o no exterior.
Os limites honestos
O Reality e excelente em esconder que voce esta usando uma VPN dos censores de rede, mas os limites honestos habituais do self-hosting ainda se aplicam: seu provedor pode ver os enderecos IP que se conectam ao seu servidor, e em um VPS o host pode fazer um snapshot da RAM da maquina. Se voce quiser reduzir o que o seu proprio servidor registra em disco, prossiga com o nosso guia sobre como fazer o seu VPS nao manter nenhum log. Tenha em mente que isso tambem e um alvo em movimento: os censores continuam escalando - a TSPU da Russia, por exemplo, adicionou analise comportamental dos tuneis VLESS no inicio de 2026 e comecou a bloquear no nivel de ASN - entao mantenha o Xray e o painel atualizados e esteja pronto para trocar o seu dest ou porta se uma conexao comecar a degradar. E como sempre, uma VPN muda de onde o seu trafego parece vir - ela nao o coloca acima da lei do lugar onde voce vive.
x-ui e escolha atualizar), e faca backup das chaves do inbound em algum lugar seguro.