VLESS 與 Reality 是什麼?為什麼被稱為「強抗審查」組合
VLESS 是一種輕量的傳輸承載協定,常與 TLS 搭配使用;相較於部分較早的協定,它在設計上更偏向「把複雜度交給外層傳輸與實作品」,讓用戶端與伺服器能以較一致的方式擴充新能力。當 VLESS 走 TCP 並啟用 TLS 時,對外觀察到的連線特徵會更接近一般 HTTPS 流量,這對降低被單純以「非網頁流量」為理由攔截的機率有幫助。
Reality 則進一步處理「TLS 指紋與憑證鏈看起來是否像真實網站」這件事:它會借用某個公開網站上常見的 TLS 握手外觀(例如特定網域的 server name 所對應的憑證與指紋呈現),讓中介設備較難用傳統「自簽憑證/特徵資料庫」方式把流量一眼標成代理。重點在於:這並不代表您真的成為該網站的託管方,而是連線在握手階段對外呈現的特徵與造訪該網域的常見 HTTPS 連線更難區分。
把兩者合在一起時,實務上常會再啟用 XTLS Vision(在 Mihomo 設定裡常見 flow: xtls-rprx-vision)來處理 TLS 內層資料流,目標是兼顧效能與降低可辨識特徵。整體而言,VLESS + Reality 被許多進階使用者視為「在強對抗網路環境下,仍相對有機會維持可用性」的選項之一;實際效果仍取決於線路品質、伺服器設定、目標網域選擇與本地網路政策,沒有任何協定能保證百分之百穿透。
運作原理精簡說明:您該關心的幾個關鍵名詞
在用戶端設定檔中,您最常會看到下列欄位與概念,先建立一致理解,後面填寫時就不容易張冠李戴。
- UUID:用戶身分識別碼,由伺服器端產生並分配給您,必須與伺服器設定完全一致,差一個字元都會驗證失敗。
servername(SNI):對外握手時呈現的伺服器名稱,通常會填「要借用的那個真實網站網域」。請依服務商或您自有伺服器的指示填寫,勿隨意亂改為不相容的網域。reality-opts.public-key:Reality 用的公開金鑰,用於驗證與金鑰交換流程;由伺服器端產生。reality-opts.short-id:短識別碼,用於握手協調;同樣由伺服器端提供,長度與格式需完全符合。flow: xtls-rprx-vision:啟用 XTLS Vision 流程;若伺服器要求 Vision,漏填或多填錯誤的 flow,常會表現為連得上握手但無法穩定傳輸,或乾脆無法連線。
若您使用的是訂閱服務,以上參數多半已內建在訂閱轉換結果裡;本文主要協助您「看得懂欄位」並在需要手動微調或除錯時知道該檢查哪裡。
開始設定前:環境、版本與合規提醒
在動手改設定檔之前,建議先完成下列檢查,可省下大量來回試錯時間。
1. 確認用戶端核心為 Mihomo(Clash Meta)且版本夠新
VLESS、Reality 與 Vision 相關欄位屬於增強型核心能力,請確認您使用的是內建或外掛的 Mihomo 核心,且版本為近期穩定版。若 GUI 與核心版本脫節,可能出現「設定檔語法明明正確,卻被舊核心拒絕」的情況。建議直接從本站下載頁取得已配對測試過的用戶端與核心組合,可減少版本不相容問題。
2. 釐清節點來源與權限
無論節點來自自建或服務商,請確保您擁有合法使用權,並遵守所在地與服務條款對網路連線的規範。本文僅從技術角度說明設定方式,不提供規避法律或服務條款的指引。
3. 備份現有設定
修改 config.yaml 前,請先複製一份備份。Reality 節點常與多個 proxy-groups、rules 交錯引用,一旦語法錯誤可能導致整份設定無法載入。
在 Mihomo 設定 VLESS + Reality 節點(YAML 範例)
將下列區段放入 proxies: 列表中(注意縮排與 - 清單符號)。請把示範值替換成您的實際參數:
proxies:
- name: "VLESS-Reality-Example"
type: vless
server: your-server.example.com
port: 443
uuid: "00000000-0000-0000-0000-000000000000"
network: tcp
tls: true
udp: true
flow: xtls-rprx-vision
servername: www.microsoft.com
reality-opts:
public-key: "YOUR_REALITY_PUBLIC_KEY_BASE64"
short-id: "0123456789abcdef"欄位說明補充:udp: true 讓 UDP 流量可走同一節點,對遊戲、語音與部分影音協定較友善;若伺服器明確不支援 UDP,再改為 false 或依服務商文件調整。skip-cert-verify 原則上應維持預設(不跳過驗證);僅在確知風險且為暫時除錯時才考慮開啟,並不建議長期使用。
若您的服務商提供的是 VLESS URI 或訂閱連結,請優先使用用戶端的「從剪貼簿匯入」或「更新訂閱」功能;手動謄寫最容易在 short-id、public-key 或 UUID 上出現抄錯。
代理群組與規則:讓節點真的被用到
新增節點後,別忘了把它放進 proxy-groups,並確認 rules 會把目標流量導向該群組。以下是一個最小可運作的示意(請與您現有檔案合併,而非整份覆蓋):
proxy-groups:
- name: "PROXY"
type: select
proxies:
- VLESS-Reality-Example
- DIRECT
rules:
- GEOIP,CN,DIRECT
- MATCH,PROXY實務上大多使用者會搭配更細的規則(例如 GEOSITE、自訂網域清單、分流媒體與 AI 服務等)。若您希望系統性學習規則撰寫與外部規則集,可一併參考站內使用文件中的分流觀念說明,再回頭調整自己的 rules 區段。
DNS 與 Reality 連線:為什麼「能 ping 卻不能用」
Reality 對 servername 與實際連線目標是否一致、以及 SNI 展示是否符合伺服器預期非常敏感。部分使用者會遇到「延遲測試有數字,但網頁打不開」的狀況,常見原因包括:
- 本機 DNS 洩漏或污染:真實解析行為與代理預期不一致,導致連到錯誤的入口或中間設備插入重置。建議在 Mihomo 中啟用完整的 DNS 設定(含
fake-ip或適合您環境的模式),並測試是否仍有洩漏。 - 錯誤的
server與servername組合:例如server填 IP,但servername與伺服器端允許的借用網域不匹配;或複製訂閱時其中一欄被截斷。 - Flow 設定與伺服器不一致:一邊開 Vision、一邊未開,或版本不相容,都可能出現握手看似成功、應用層卻異常的情況。
建議在調整 DNS 後重新載入設定,並以實際瀏覽與應用程式連線測試為準,不要只依賴單一指標。
常見錯誤與排查順序
依下列順序檢查,通常能快速縮小問題範圍。
1. 設定檔語法與載入錯誤
若用戶端提示 YAML 解析失敗,請先確認縮排是否一律使用空白鍵(避免 Tab 與空白混用),且 reality-opts 為節點底下的子鍵,不可與 proxies 同層級放錯位置。
2. 認證失敗或立即斷線
優先重新核對 UUID、public-key、short-id 是否與伺服器端完全一致。這三項是 Reality 場景下最高頻的錯誤來源。
3. 只有部分網站無法開啟
可能是規則把該網域導到錯誤群組,或該網站需要特定 SNI/ALPN 組合。可暫時將規則簡化為全走代理測試(僅作診斷用),確認無誤後再恢復精細分流。
4. 效能不如預期
Reality 主要強項在對抗辨識與封鎖,並不保證絕對速度。若您的主要訴求是高吞吐、高丟包環境下的頻寬利用率,可同時評估 Hysteria2、TUIC 等基於 QUIC 的協定,並在代理群組中並存多種節點做測速選擇。
小結:把協定能力變成「日常好用」的體驗
學會 VLESS + Reality 的參數意義後,您會更容易判讀訂閱內容、自行除錯,也能在服務商更新節點時快速跟上。對多數人而言,穩定的 GUI、與核心版本一致的發行通道,以及清楚的 DNS/規則觀念,往往比單一「最強協定」更能決定日常體驗。
若您希望省去手動拼湊核心與外掛的時間,建議使用已整合 Mihomo 並預先調校過常見選項的用戶端;與自行從零散來源組裝相比,這類版本通常在前置檢查、錯誤提示與更新節奏上更一致,長期維護成本也較低。您可以直接前往本站下載頁依平台取得安裝包,匯入訂閱後再依本文核對 Reality 相關欄位是否解析正確。