Security VLESS — поле в VLESS-ключе, которое определяет уровень шифрования и тип маскировки трафика. Это техническая деталь, но от её значения зависит, будет ли ваш VPN работать в России в 2026 году. Самые важные значения — none, tls, reality, xtls. Разберём каждое: что оно делает, в каких случаях нужно, и почему security=reality стало стандартом для российского рынка.
Что такое поле security в VLESS
VLESS-ключ выглядит так:
vless://uuid@host:port?type=tcp&security=reality&pbk=...&sni=...#name
Поле security задаёт, какая криптография и маскировка применяется к трафику. Возможные значения:
- none — без TLS-шифрования. Только на проверенных доверенных линиях. В РФ не используется.
- tls — обычный TLS (как HTTPS). Безопасно, но в РФ DPI распознаёт VLESS+TLS по особенностям TLS-handshake.
- reality — Reality-маскировка под чужой сайт. Идеально для РФ.
- xtls — устаревший вариант XTLS, сейчас почти не используется.
Security=reality: что это даёт
Reality — современная транспортная схема для VLESS, разработанная RPRX (мейнтейнер xray-core). Главные свойства:
- SNI чужого сайта. В TLS-handshake пишется имя реального стороннего сервиса (microsoft.com, cloudflare.com).
- Без своего сертификата. Reality использует сертификат целевого сайта — DPI не видит «свой» серт VPN.
- Active probing-резистентность. Если ТСПУ попробует «зондировать» ваш сервер тестовыми пакетами, Reality фронтит к настоящему сайту, и DPI получает ответ настоящего Microsoft / Cloudflare.
- Минимальный overhead. Скорость близкая к raw TCP.
Архитектурно Reality невозможно заблокировать без блокировки HTTPS как класса. Поэтому в РФ 2026 это самый рабочий вариант.
Security=tls: когда подходит
Обычный TLS — безопасно, но в РФ распознаётся по нескольким признакам:
- Свой сертификат сервера (часто Let’s Encrypt) — DPI видит его в TLS-handshake.
- SNI вашего собственного домена — DPI может его связать с VPN-инфраструктурой.
- Уникальный fingerprint TLS-стека (без xtls) — идентифицируется.