WireGuard在VPN协议里口碑很好。速度快、协议现代、密码学优秀。几乎所有认真的VPN协议对比,WireGuard都排在前列。
但在中国,它被识别封锁的速度以秒计算。有时候更快。
Xray Reality在技术圈子以外几乎没有知名度。它不出现在主流VPN评测里,没有任何商业推广。但它是2026年在GFW后面真正稳定可用的协议——其他大多数方案已经被封。
理解原因,需要看GFW实际上在检测什么。
防火墙检测的是流量的"形状"
你发送数据时,数据以数据包的形式传输。每个包有头部(元数据:去哪里、是什么类型)和载荷(实际内容)。加密保护载荷——GFW看不到你发的内容。
但GFW不需要读取内容就能判断你在做什么。它看的是流量的形态——数据包的模式、时序、握手顺序、协议特征。每种网络流量都有其特征性的形态,GFW被训练来识别它们。
这叫做深度包检测(DPI)。GFW封锁VPN不是因为能读取你的数据,而是因为VPN流量看起来和普通网络流量不同——即使在加密状态下也是如此。
为什么WireGuard被立刻识别
WireGuard的设计目标是性能和简洁,不是隐藏自己是什么。它的握手特征明显,默认使用UDP在特定端口,数据包结构有可识别的特征,现代DPI系统在毫秒内就能识别。
这不是WireGuard的设计缺陷——它从来不是为绕过审查设计的,而是为在允许VPN的环境中使用。在那样的环境里,它很优秀。在主动封锁VPN协议的防火墙后面,可识别性是致命的。
Xray Reality的工作原理
Xray Reality不试图隐藏VPN流量。它替换了VPN握手。
用Reality连接时发生的事:你的客户端发起标准的TLS 1.3握手——每个HTTPS网站用的都是这个协议。但不是直接连接到你的服务器,而是与一个真实的合法域名完成这个握手——一个真实存在、证书可公开验证的大型网站。
结果:GFW看到一个指向合法域名的TLS 1.3连接。检查握手,证书有效。流量模式符合正常HTTPS。没有什么可以封锁——因为从GFW的角度来看,你在访问一个合法网站。
你的实际流量在这个建立好的TLS会话内传输,对任何不知道要找什么的检测来说都是不可见的。
对比
| Xray Reality | WireGuard | OpenVPN | WG+混淆 | |
|---|---|---|---|---|
| 中国可用 | 可用——稳定 | 不可用——秒封 | 不可用 | 不稳定 |
| 俄罗斯可用(2026) | 可用 | 协议被封 | 协议被封 | 不可靠 |
| 流量特征 | 真实TLS——无特征 | 明显的UDP模式 | 可识别 | 混淆层可见 |
| 抗DPI | 是——DPI确认合法 | 否 | 否 | 部分 |
| 速度 | 全速 | 全速 | 较慢 | 混淆开销 |
| 需要自建服务器 | 是 | 否 | 否 | 是 |
主动探测抗性
GFW使用一种叫主动探测的技术:检测到可疑连接时,主动向疑似节点服务器发起连接,确认判断。很多声称不可识别的协议在这一步失败——服务器的响应方式暴露了它是VPN节点。
Reality专门针对主动探测做了设计。当GFW的探测连接到Reality服务器时,服务器的响应方式和合法的伪装域名完全一致——因为Reality的实现对未认证连接会回退到伪装域名的行为。探测得到它期望从正常HTTPS服务器得到的响应,然后离开。
配置的权衡
Reality的弱点是需要服务端配置。无法从App Store下载一个Reality应用然后连接到共享服务器。协议需要你自己的VPS,并且需要正确配置——选择合适的伪装域名、配置证书、服务端和客户端参数匹配。
正确配置之后,它稳定且全速运行。客户端应用——iOS上的Shadowrocket、Android上的v2rayNG或V2RayTun、桌面端的Hiddify——在服务端配置就位后使用很简单,复杂性完全在服务端。
WireGuard在几乎所有指标上都优于Reality,除了一个——能不能通过GFW。如果你在没有审查的国家,用WireGuard。如果你在中国、俄罗斯、伊朗或土耳其,WireGuard的便利性无关紧要。重要的是流量能不能通过检测。Reality能通过。WireGuard不能。