YouTube para sua Mãe: VLESS + Reality sem Dores de Cabeça, Consoles ou Configurações Complexas
Descubra como contornar restrições de acesso à internet utilizando VLESS e Reality, uma solução eficaz e de fácil implementação para acessar serviços como o YouTube, mesmo para usuários menos experientes em tecnologia.
MundiX News·09 de maio de 2026·8 min de leitura·👁 9 views
Sem rodeios: hoje vou explicar como recuperei o acesso normal ao YouTube e, o mais importante, como compartilhei essa facilidade com meus pais, que não entendem absolutamente nada sobre roteamento, protocolos ou "esses seus VPNs". Abaixo, uma captura de tela do meu painel, que está funcionando há pouco mais de um mês, e o tráfego mostra que está operando muito bem – pelo menos minha mãe assiste ao YouTube regularmente.
Logo de início, devo ressaltar: não sou um engenheiro de redes no sentido clássico da palavra. Minha área de atuação é mais voltada para automação e desenvolvimento de scripts. No entanto, graças à situação atual (sarcasmo), as novas restrições são um excelente motivador para o aprendizado. E tenho certeza de que não sou o único nessa situação.
Antes de começar: por que a "clássica" já não funciona mais
Não é segredo que serviços VPN tradicionais como OpenVPN ou o popular WireGuard já não são tão eficazes. Suas assinaturas aprenderam a ser detectadas por sistemas de análise profunda de tráfego (o infame DPI - Deep Packet Inspection), seus IPs são bloqueados, a velocidade é limitada ou simplesmente "cortada" no nível do provedor. Sim, você pode pular de um serviço para outro, mas há riscos. Compra uma assinatura, e no mês seguinte o serviço é bloqueado em massa, e o dinheiro fica retido. Outra história é ter seu próprio servidor. Nele, você faz o que quiser (dentro da legislação vigente, é claro).
Em termos de custo, alugar um VPS simples no exterior sai não mais caro do que uma assinatura paga de uma VPN intermediária. Como bônus, você ganha uma plataforma onde pode armazenar seus dados, hospedar seus projetos pessoais ou bots. Em resumo – só vantagens.
Demorei para decidir se escreveria ou não este material, pois o tema é bastante delicado no momento. Mas se olharmos puramente do ponto de vista do estudo do mecanismo em si – somos apenas entusiastas da engenharia, desvendando o funcionamento de protocolos modernos, certo?
O que é VLESS + Reality?
Para que você não se sinta como em uma aula de Química onde perdeu algumas aulas por doença e já estão discutindo ligações covalentes, quando na última aula que você assistiu estudava a biografia de Mendeleev, um pouco de teoria.
Para entender de onde veio o VLESS, vamos repassar rapidamente os tipos de protocolos existentes:
OpenVPN e IPsec: Esta é a clássica. Pesados, confiáveis, corporativos. Eles criptografam o tráfego de forma robusta, mas têm uma desvantagem nas realidades atuais – são muito "barulhentos". Seu processo de estabelecimento de conexão tem uma estrutura clara, que os sistemas de análise profunda de tráfego identificam.
WireGuard: Rápido, leve, moderno. Ideal para conectar sua casa de campo ao servidor doméstico. Mas para contornar a censura, ele não foi pensado nem um pouco. Ele tem tamanhos previsíveis dos primeiros pacotes. Os censores nem precisam quebrar a criptografia – eles simplesmente veem um padrão familiar e… Não faz sentido continuar.
Shadowsocks: A primeira resposta séria de entusiastas chineses ao Great Firewall da China. Ele transforma o tráfego em "ruído branco" ilegível. Por muito tempo isso salvou, até que o DPI ficou mais inteligente e começou a usar sondagens ativas. O DPI não apenas ouvia passivamente o tráfego, mas começava a "bater" ativamente em portas suspeitas. O censor pegava um pacote da sua sessão, alterava um pouco a parte criptografada e o enviava para o seu servidor. Um servidor web legítimo, ao receber essa bagunça em vez de um handshake TLS normal, emitiria um erro padrão de nível de aplicação. Mas o servidor proxy, esperando a estrutura rígida de criptografia do Shadowsocks, ao receber um pacote corrompido, se comportava de forma atípica – ele emitia um erro de autorização específico ou simplesmente quebrava a conexão TCP com um pacote RST sem explicações. Essa diferença de reação se tornava a assinatura pela qual esse protocolo era identificado.
Trojan e VMess: O próximo estágio da evolução. Os engenheiros perceberam que parecer "ruído branco" era suspeito. Era preciso parecer um site HTTPS comum. O Trojan escondia o tráfego dentro de uma conexão web padrão. Mas era difícil de configurar: exigia um domínio próprio, um servidor web real (Nginx), a compra de certificados. Geralmente, funciona até hoje, mas dá trabalho.
E aqui entra o VLESS
O que é VLESS? O nome diz tudo – é um protocolo do qual removeram tudo o que era supérfluo (less – menos). Estritamente falando, VLESS nem é um protocolo de criptografia. É um transporte (protocolo de transmissão) o mais leve e primitivo possível. Os desenvolvedores do VLESS tomaram uma decisão genial: por que sobrecarregar o protocolo com sua própria criptografia, se de qualquer forma vamos envolvê-lo em HTTPS (TLS) padrão, que já é perfeitamente criptografado?
VLESS é apenas um "tubo vazio", que não possui absolutamente nenhuma assinatura ou marca de identificação própria. Ele funciona instantaneamente.
Mas um "tubo vazio" por si só é indefeso. Para que ele passe com segurança por todos os cordões de isolamento do provedor, ele precisa ser embrulhado em algo. E é aqui que, em conjunto com o VLESS, entra o Reality.
A tecnologia Reality não apenas criptografa o tráfego. Ela realiza a substituição de SNI (Server Name Indication) e mascara sua conexão como uma solicitação absolutamente legítima a um grande recurso confiável. Para o provedor, seu tráfego parece que você simplesmente acessou a documentação no microsoft.com ou está baixando atualizações dos servidores da Apple (dependendo do que você configurar especificamente). A conexão é estabelecida pelo padrão TLS 1.3, os pacotes não possuem padrões suspeitos, e em caso de sondagem ativa (se o DPI tentar "bater" no seu servidor) – o servidor fingirá de bobo e redirecionará o verificador para o site real da Microsoft. Nível de mascaramento: Deus (pelo menos é o que me parece).
E a principal diferença do Trojan – você não precisa mais comprar seu próprio domínio e configurar um servidor web. Reality permite "parasitar" certificados de terceiros. Você literalmente pega um certificado público da Microsoft ou Apple e faz os censores pensarem que ele é seu. Isso elimina muita dor de cabeça na configuração.
Na prática: configurando um servidor em 10 minutos
Parece que terminamos a teoria, podemos passar para a prática. Antigamente, para configurar seu próprio proxy, era preciso ser um usuário Linux confiante: mexer em arquivos de configuração via nano, configurar certificados via Let's Encrypt e lidar com Nginx. Hoje, tudo isso é feito em três cliques (claro, aqui houve um truque de marketing, ainda é preciso mexer um pouco, mas menos).
Passo 1. Servidor e portas
Precisaremos de qualquer VPS estrangeiro. Escolha o plano mais barato – para nossas tarefas, 1 núcleo e 512 MB de RAM são suficientes. Afinal, quanto mais caro, mais complexa a modificação do servidor. Um detalhe importante: muitos hosts têm um firewall externo. Portanto, além das configurações que descreverei a seguir, você precisará abrir duas portas no painel de controle do host: uma para o painel de administração (qualquer uma de 10.000 a 60.000) e outra para o tráfego – estritamente 443 (TCP/UDP). Cada host tem suas próprias configurações, então o suporte deles pode te ajudar com isso se você não conseguir abrir essas portas.
Passo 2. Instalando a "inteligência"
Já disse que não sou engenheiro e prefiro ter um painel de controle à minha frente, em vez de um terminal. Portanto, você pode seguir meu caminho – instalar o painel 3X-UI. Esta é uma interface gráfica onde você pode criar perfis com o mouse, controlar o tráfego e, em geral, interagir com o servidor através do 3X-UI é muito mais conveniente do que através do terminal. Conectamos ao servidor e instalamos o painel 3X-UI, isso é feito com este comando – digite-o no terminal:
Em seguida, respondemos às perguntas, o script pedirá login, senha e porta para o painel. Crie e insira. Pronto, a parte do servidor está instalada! Podemos passar para a configuração da sua conexão.
Passo 3. Configurando o Reality
Abra o navegador, digite http://IP_do_seu_servidor:PORTA, faça login e vá para a seção Inbounds (Conexões de Entrada), onde criamos uma nova conexão:
Protocol:vless.
Port:443 (Isso é crucial. O Reality deve funcionar na porta HTTPS padrão, caso contrário, toda a mascaramento desmoronará).
Security:reality.
No bloco Reality, escolha uTLS:chrome (imitamos o handshake do navegador Chrome).
Target e SNI: Insira o site doador no qual vamos parasitar. Por exemplo, www.microsoft.com:443 e www.microsoft.com respectivamente (tenho a sensação de que nesta etapa é possível usar algum domínio russo, mas honestamente não tentei, e não quero quebrar uma conexão já existente e funcionando).
Clique em Get new cert (geração de chaves) e no botão de geração de ShortID (localizado ao lado deste campo).
Nas configurações do cliente (abaixo), certifique-se de selecionar Flow:xtls-rprx-vision. Isso esconde os tempos e tamanhos de pacotes específicos dentro do nosso túnel TLS. Clique em "Criar".
Passo crítico: escondendo o painel de scanners
Para que o endereço IP do seu servidor não seja banido antes que você comece a fazer qualquer coisa com ele, recomendo esconder o painel? Para quê? O DPI escaneia constantemente a internet. Ele bate na porta aberta do seu painel (por exemplo, 54321), vê a interface de uma ferramenta para contornar bloqueios e adiciona seu IP à lista negra. Essencialmente, para que isso não aconteça, precisamos esconder o painel. Vá para as configurações do 3X-UI (Panel Settings) -> Configurações de segurança. Encontre o campo URI Path e insira qualquer frase aleatória com barras. Por exemplo: /my-secret-door/. Salve e reinicie o painel. O que mudou? Agora, se um bot censor bater na sua porta http://IP:54321/, o servidor retornará um erro "404 Not Found". O painel só abrirá se você digitar o endereço exato: http://IP:54321/my-secret-door/.
Lado do cliente: o "botão para fazer o bem" para os pais
O problema mais comum em soluções caseiras é como explicar para a mãe ou esposa o que são chaves x25519 ou por que é preciso mudar o modo TUN. A resposta é banalmente simples: você não consegue explicar. Na melhor das hipóteses, elas acenarão com a cabeça e continuarão "assistindo ao seu Solovyov". Elas precisam de um Telegram proibido funcionando ou de um YouTube sem malabarismos.
Para o lado do cliente, optei pelo aplicativo Hiddify. Ele tem uma interface simples e um sistema de auto-configuração (você simplesmente seleciona Rússia e ele se ajusta aos bloqueios na Rússia – onde não é necessário, o tráfego sai do seu IP nativo).
O processo de transferência de configurações para o consumidor final (neste caso, parentes próximos e tecnicamente não preparados) é o seguinte:
No nosso painel 3X-UI, clique no código QR do perfil e copie o link (ele começa com vless://...).
Envie este link para seus pais em um mensageiro com a instrução: "Baixe o Hiddify, clique no sinal de mais no canto superior direito → "Adicionar da área de transferência". E agora clique no botão redondo enorme no meio da tela."
Pronto. A conexão foi estabelecida. Como mencionei acima, o aplicativo se ajusta ao regime de restrições, mas ainda recomendo fuçar nas configurações e configurar o tunelamento separado. Não vou detalhar isso.
Conclusões
Em uma noite e alguns dólares por mês, obtemos uma rede rápida e tolerante a falhas, que não é vista pelos bloqueadores locais. Além disso, ninguém poderá dizer – mas seus dados serão roubados – não serão, pois é um sistema sob seu controle. Sim, as restrições estão aumentando. Sim, novos métodos de análise profunda de pacotes estão surgindo. Mas experimente, estude as tecnologias de rede e lembre-se: qualquer restrição técnica é apenas uma excelente oportunidade para aprimorar suas habilidades de engenharia.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Sem rodeios: hoje vou explicar como recuperei o acesso normal ao YouTube e, o mais importante, como compartilhei essa facilidade com meus pais, que não entendem absolutamente nada sobre roteamento, protocolos ou "esses seus VPNs". Abaixo, uma captura de tela do meu painel, que está funcionando há pouco mais de um mês, e o tráfego mostra que está operando muito bem – pelo menos minha mãe assiste ao YouTube regularmente.
Logo de início, devo ressaltar: não sou um engenheiro de redes no sentido clássico da palavra. Minha área de atuação é mais voltada para automação e desenvolvimento de scripts. No entanto, graças à situação atual (sarcasmo), as novas restrições são um excelente motivador para o aprendizado. E tenho certeza de que não sou o único nessa situação.
Antes de começar: por que a "clássica" já não funciona mais
Não é segredo que serviços VPN tradicionais como OpenVPN ou o popular WireGuard já não são tão eficazes. Suas assinaturas aprenderam a ser detectadas por sistemas de análise profunda de tráfego (o infame DPI - Deep Packet Inspection), seus IPs são bloqueados, a velocidade é limitada ou simplesmente "cortada" no nível do provedor. Sim, você pode pular de um serviço para outro, mas há riscos. Compra uma assinatura, e no mês seguinte o serviço é bloqueado em massa, e o dinheiro fica retido. Outra história é ter seu próprio servidor. Nele, você faz o que quiser (dentro da legislação vigente, é claro).
Em termos de custo, alugar um VPS simples no exterior sai não mais caro do que uma assinatura paga de uma VPN intermediária. Como bônus, você ganha uma plataforma onde pode armazenar seus dados, hospedar seus projetos pessoais ou bots. Em resumo – só vantagens.
Demorei para decidir se escreveria ou não este material, pois o tema é bastante delicado no momento. Mas se olharmos puramente do ponto de vista do estudo do mecanismo em si – somos apenas entusiastas da engenharia, desvendando o funcionamento de protocolos modernos, certo?
O que é VLESS + Reality?
Para que você não se sinta como em uma aula de Química onde perdeu algumas aulas por doença e já estão discutindo ligações covalentes, quando na última aula que você assistiu estudava a biografia de Mendeleev, um pouco de teoria.
Para entender de onde veio o VLESS, vamos repassar rapidamente os tipos de protocolos existentes:
OpenVPN e IPsec: Esta é a clássica. Pesados, confiáveis, corporativos. Eles criptografam o tráfego de forma robusta, mas têm uma desvantagem nas realidades atuais – são muito "barulhentos". Seu processo de estabelecimento de conexão tem uma estrutura clara, que os sistemas de análise profunda de tráfego identificam.
WireGuard: Rápido, leve, moderno. Ideal para conectar sua casa de campo ao servidor doméstico. Mas para contornar a censura, ele não foi pensado nem um pouco. Ele tem tamanhos previsíveis dos primeiros pacotes. Os censores nem precisam quebrar a criptografia – eles simplesmente veem um padrão familiar e… Não faz sentido continuar.
Shadowsocks: A primeira resposta séria de entusiastas chineses ao Great Firewall da China. Ele transforma o tráfego em "ruído branco" ilegível. Por muito tempo isso salvou, até que o DPI ficou mais inteligente e começou a usar sondagens ativas. O DPI não apenas ouvia passivamente o tráfego, mas começava a "bater" ativamente em portas suspeitas. O censor pegava um pacote da sua sessão, alterava um pouco a parte criptografada e o enviava para o seu servidor. Um servidor web legítimo, ao receber essa bagunça em vez de um handshake TLS normal, emitiria um erro padrão de nível de aplicação. Mas o servidor proxy, esperando a estrutura rígida de criptografia do Shadowsocks, ao receber um pacote corrompido, se comportava de forma atípica – ele emitia um erro de autorização específico ou simplesmente quebrava a conexão TCP com um pacote RST sem explicações. Essa diferença de reação se tornava a assinatura pela qual esse protocolo era identificado.
Trojan e VMess: O próximo estágio da evolução. Os engenheiros perceberam que parecer "ruído branco" era suspeito. Era preciso parecer um site HTTPS comum. O Trojan escondia o tráfego dentro de uma conexão web padrão. Mas era difícil de configurar: exigia um domínio próprio, um servidor web real (Nginx), a compra de certificados. Geralmente, funciona até hoje, mas dá trabalho.
E aqui entra o VLESS
O que é VLESS? O nome diz tudo – é um protocolo do qual removeram tudo o que era supérfluo (less – menos). Estritamente falando, VLESS nem é um protocolo de criptografia. É um transporte (protocolo de transmissão) o mais leve e primitivo possível. Os desenvolvedores do VLESS tomaram uma decisão genial: por que sobrecarregar o protocolo com sua própria criptografia, se de qualquer forma vamos envolvê-lo em HTTPS (TLS) padrão, que já é perfeitamente criptografado?
VLESS é apenas um "tubo vazio", que não possui absolutamente nenhuma assinatura ou marca de identificação própria. Ele funciona instantaneamente.
Mas um "tubo vazio" por si só é indefeso. Para que ele passe com segurança por todos os cordões de isolamento do provedor, ele precisa ser embrulhado em algo. E é aqui que, em conjunto com o VLESS, entra o Reality.
A tecnologia Reality não apenas criptografa o tráfego. Ela realiza a substituição de SNI (Server Name Indication) e mascara sua conexão como uma solicitação absolutamente legítima a um grande recurso confiável. Para o provedor, seu tráfego parece que você simplesmente acessou a documentação no microsoft.com ou está baixando atualizações dos servidores da Apple (dependendo do que você configurar especificamente). A conexão é estabelecida pelo padrão TLS 1.3, os pacotes não possuem padrões suspeitos, e em caso de sondagem ativa (se o DPI tentar "bater" no seu servidor) – o servidor fingirá de bobo e redirecionará o verificador para o site real da Microsoft. Nível de mascaramento: Deus (pelo menos é o que me parece).
E a principal diferença do Trojan – você não precisa mais comprar seu próprio domínio e configurar um servidor web. Reality permite "parasitar" certificados de terceiros. Você literalmente pega um certificado público da Microsoft ou Apple e faz os censores pensarem que ele é seu. Isso elimina muita dor de cabeça na configuração.
Na prática: configurando um servidor em 10 minutos
Parece que terminamos a teoria, podemos passar para a prática. Antigamente, para configurar seu próprio proxy, era preciso ser um usuário Linux confiante: mexer em arquivos de configuração via nano, configurar certificados via Let's Encrypt e lidar com Nginx. Hoje, tudo isso é feito em três cliques (claro, aqui houve um truque de marketing, ainda é preciso mexer um pouco, mas menos).
Passo 1. Servidor e portas
Precisaremos de qualquer VPS estrangeiro. Escolha o plano mais barato – para nossas tarefas, 1 núcleo e 512 MB de RAM são suficientes. Afinal, quanto mais caro, mais complexa a modificação do servidor. Um detalhe importante: muitos hosts têm um firewall externo. Portanto, além das configurações que descreverei a seguir, você precisará abrir duas portas no painel de controle do host: uma para o painel de administração (qualquer uma de 10.000 a 60.000) e outra para o tráfego – estritamente 443 (TCP/UDP). Cada host tem suas próprias configurações, então o suporte deles pode te ajudar com isso se você não conseguir abrir essas portas.
Passo 2. Instalando a "inteligência"
Já disse que não sou engenheiro e prefiro ter um painel de controle à minha frente, em vez de um terminal. Portanto, você pode seguir meu caminho – instalar o painel 3X-UI. Esta é uma interface gráfica onde você pode criar perfis com o mouse, controlar o tráfego e, em geral, interagir com o servidor através do 3X-UI é muito mais conveniente do que através do terminal. Conectamos ao servidor e instalamos o painel 3X-UI, isso é feito com este comando – digite-o no terminal:
Em seguida, respondemos às perguntas, o script pedirá login, senha e porta para o painel. Crie e insira. Pronto, a parte do servidor está instalada! Podemos passar para a configuração da sua conexão.
Passo 3. Configurando o Reality
Abra o navegador, digite http://IP_do_seu_servidor:PORTA, faça login e vá para a seção Inbounds (Conexões de Entrada), onde criamos uma nova conexão:
Protocol:vless.
Port:443 (Isso é crucial. O Reality deve funcionar na porta HTTPS padrão, caso contrário, toda a mascaramento desmoronará).
Security:reality.
No bloco Reality, escolha uTLS:chrome (imitamos o handshake do navegador Chrome).
Target e SNI: Insira o site doador no qual vamos parasitar. Por exemplo, www.microsoft.com:443 e www.microsoft.com respectivamente (tenho a sensação de que nesta etapa é possível usar algum domínio russo, mas honestamente não tentei, e não quero quebrar uma conexão já existente e funcionando).
Clique em Get new cert (geração de chaves) e no botão de geração de ShortID (localizado ao lado deste campo).
Nas configurações do cliente (abaixo), certifique-se de selecionar Flow:xtls-rprx-vision. Isso esconde os tempos e tamanhos de pacotes específicos dentro do nosso túnel TLS. Clique em "Criar".
Passo crítico: escondendo o painel de scanners
Para que o endereço IP do seu servidor não seja banido antes que você comece a fazer qualquer coisa com ele, recomendo esconder o painel? Para quê? O DPI escaneia constantemente a internet. Ele bate na porta aberta do seu painel (por exemplo, 54321), vê a interface de uma ferramenta para contornar bloqueios e adiciona seu IP à lista negra. Essencialmente, para que isso não aconteça, precisamos esconder o painel. Vá para as configurações do 3X-UI (Panel Settings) -> Configurações de segurança. Encontre o campo URI Path e insira qualquer frase aleatória com barras. Por exemplo: /my-secret-door/. Salve e reinicie o painel. O que mudou? Agora, se um bot censor bater na sua porta http://IP:54321/, o servidor retornará um erro "404 Not Found". O painel só abrirá se você digitar o endereço exato: http://IP:54321/my-secret-door/.
Lado do cliente: o "botão para fazer o bem" para os pais
O problema mais comum em soluções caseiras é como explicar para a mãe ou esposa o que são chaves x25519 ou por que é preciso mudar o modo TUN. A resposta é banalmente simples: você não consegue explicar. Na melhor das hipóteses, elas acenarão com a cabeça e continuarão "assistindo ao seu Solovyov". Elas precisam de um Telegram proibido funcionando ou de um YouTube sem malabarismos.
Para o lado do cliente, optei pelo aplicativo Hiddify. Ele tem uma interface simples e um sistema de auto-configuração (você simplesmente seleciona Rússia e ele se ajusta aos bloqueios na Rússia – onde não é necessário, o tráfego sai do seu IP nativo).
O processo de transferência de configurações para o consumidor final (neste caso, parentes próximos e tecnicamente não preparados) é o seguinte:
No nosso painel 3X-UI, clique no código QR do perfil e copie o link (ele começa com vless://...).
Envie este link para seus pais em um mensageiro com a instrução: "Baixe o Hiddify, clique no sinal de mais no canto superior direito → "Adicionar da área de transferência". E agora clique no botão redondo enorme no meio da tela."
Pronto. A conexão foi estabelecida. Como mencionei acima, o aplicativo se ajusta ao regime de restrições, mas ainda recomendo fuçar nas configurações e configurar o tunelamento separado. Não vou detalhar isso.
Conclusões
Em uma noite e alguns dólares por mês, obtemos uma rede rápida e tolerante a falhas, que não é vista pelos bloqueadores locais. Além disso, ninguém poderá dizer – mas seus dados serão roubados – não serão, pois é um sistema sob seu controle. Sim, as restrições estão aumentando. Sim, novos métodos de análise profunda de pacotes estão surgindo. Mas experimente, estude as tecnologias de rede e lembre-se: qualquer restrição técnica é apenas uma excelente oportunidade para aprimorar suas habilidades de engenharia.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
