Русский
English
Українська
Deutsch
Español
VLESS y VMess: Protocolos Proxy
¿Qué son VMess y VLESS?
VMess y VLESS son protocolos proxy desarrollados como parte del proyecto V2Ray (Proyecto V) para eludir la censura de internet. Están diseñados para disfrazar el tráfico proxy como HTTPS regular, haciéndolos resistentes a la DPI (Inspección Profunda de Paquetes).
VMess (V2Ray Mess) es el primer protocolo de V2Ray. Incluye cifrado y autenticación a nivel de protocolo.
VLESS es una versión ligera de VMess. Elimina el cifrado incorporado (delegado a TLS), lo que reduce la sobrecarga y mejora el rendimiento.
Por qué se necesitan nuevos protocolos
El problema con los proxies clásicos
SOCKS5 — El protocolo no está cifrado. La DPI identifica fácilmente el tráfico SOCKS5 por su handshake.
HTTP CONNECT — El método CONNECT es visible en texto plano. Fácilmente detectable.
OpenVPN — Tiene patrones de tráfico característicos identificables por la DPI.
Shadowsocks — Fue efectivo, pero el GFW (Gran Cortafuegos de China) aprendió a detectarlo mediante sondeos activos y análisis de tráfico.
La solución V2Ray
V2Ray diseñó protocolos que:
- No tienen patrones característicos (parecen HTTPS regular)
- Son resistentes a los sondeos activos
- Soportan múltiples transportes (WebSocket, gRPC, HTTP/2)
- Disfrazan el tráfico proxy dentro de una conexión TLS legítima
VMess en detalle
Cómo funciona
VMess utiliza autenticación basada en UUID y cifrado simétrico. Cada solicitud incluye:
- Autenticación — Un hash de 16 bytes de UUID + marca de tiempo. El servidor verifica el UUID contra su lista.
- Cifrado de encabezado — Cifrado AES-128-CFB de los metadatos de la solicitud.
- Cifrado de datos — AES-128-GCM o ChaCha20-Poly1305 para la carga útil.
Protección contra ataques de repetición
VMess incluye una marca de tiempo en el encabezado de autenticación. El servidor rechaza las solicitudes con una marca de tiempo desactualizada (ventana de 120 segundos) y recuerda los ID procesados para evitar repeticiones.
Desventajas de VMess
- El doble cifrado (VMess + TLS) crea una sobrecarga innecesaria
- Vulnerabilidad a sondeos activos si está mal configurado
- Implementación de protocolo compleja
VLESS en detalle
Diferencias con VMess
VLESS elimina el cifrado incorporado, conservando solo la autenticación basada en UUID. El cifrado se delega completamente a una capa externa (TLS/XTLS).
Ventajas:
- Menos sobrecarga (sin doble cifrado)
- Mayor rendimiento
- Implementación más sencilla
- Mejor compatibilidad con bibliotecas TLS modernas
XTLS (Xray TLS)
XTLS es una versión optimizada de TLS desarrollada para Xray-core. Al transmitir tráfico TLS (solicitudes HTTPS del cliente), XTLS evita el recifrado pasando los datos ya cifrados directamente.
Esto proporciona:
- Reducción del 50-70% en la carga de la CPU
- Mayor rendimiento
- Indistinguibilidad del tráfico TLS regular
VLESS + Reality
Reality es un nuevo mecanismo de ofuscación que permite que un servidor proxy "personifique" un sitio web real existente (por ejemplo, microsoft.com). Cuando la DPI inspecciona el servidor, ve un certificado TLS genuino y el contenido del sitio web real.
Transportes
VMess y VLESS soportan múltiples transportes:
| Transporte | Descripción | Ofuscación |
|---|---|---|
| TCP | Conexión TCP directa | Mínima |
| WebSocket | Vía WebSocket sobre HTTPS | Aparece como una aplicación WebSocket |
| gRPC | Vía gRPC sobre HTTP/2 | Aparece como una API gRPC |
| HTTP/2 | Vía flujo HTTP/2 | Aparece como tráfico HTTP/2 |
| QUIC | Vía QUIC/HTTP3 | Aparece como tráfico QUIC |
| mKCP | Transporte UDP, ofuscación como varios protocolos UDP | Puede disfrazarse como FaceTime, WireGuard |
VLESS vs VMess vs Shadowsocks vs SOCKS5
| Parámetro | VLESS | VMess | Shadowsocks | SOCKS5 |
|---|---|---|---|---|
| Cifrado | Delegado a TLS | Incorporado | Incorporado | Ninguno |
| Evasión DPI | Excelente | Buena | Moderada | Ninguna |
| Sondeo activo | Resistente (Reality) | Moderado | Vulnerable | Vulnerable |
| Rendimiento | Alto (XTLS) | Moderado | Bueno | Alto |
| Configuración | Compleja | Compleja | Moderada | Sencilla |
| Compatibilidad | Xray, V2Ray | V2Ray, Xray | Amplia | Universal |
Clientes y Servidores
Implementaciones de Servidor
Xray-core — La implementación principal que soporta VLESS, VMess, XTLS, Reality. La más actualizada.
V2Ray-core — La implementación original. Soporta VMess y VLESS (sin XTLS).
Sing-box — Una plataforma proxy universal con soporte para todos los protocolos.
Clientes
| Plataforma | Clientes |
|---|---|
| Windows | V2rayN, Nekoray, Clash Verge |
| macOS | V2rayU, ClashX, Surge |
| Linux | V2rayA, Nekoray |
| Android | V2rayNG, SagerNet, NekoBox |
| iOS | Shadowrocket, Quantumult X, Surge |
Aplicaciones Prácticas
Eludir la Censura
El propósito principal es eludir el GFW y otros sistemas DPI. VLESS+Reality+XTLS se considera actualmente la combinación más resistente.
VPN Corporativa
Ofuscar el tráfico VPN como HTTPS para eludir las restricciones del cortafuegos corporativo.
Infraestructura Proxy
VLESS/VMess se pueden utilizar como capa de transporte para servicios proxy, proporcionando cifrado y ofuscación.
Conclusión
VLESS y VMess son protocolos proxy avanzados diseñados para la evasión de DPI. VLESS con XTLS y Reality ofrece actualmente la mejor combinación de rendimiento, seguridad y resistencia a la detección. Para eludir la censura de internet (China, Irán, Rusia), estos protocolos se han convertido en el estándar de facto.