vault: add VLESS-Reality 翻墙回国 project with setup guides

2 - Projects/VLESS-Reality/VLESS-Reality 翻墙回国.md

@@ -0,0 +1,60 @@
+---
+created: "2026-03-15"
+type: project
+status: active
+deadline: ""
+---
+
+# VLESS-Reality 翻墙回国
+
+## 目标
+
+从瑞典通过阿里云国内服务器代理，访问国内地区限制内容（B站、腾讯视频、抖音、小红书等）。
+
+## 架构
+
+```
+光猫(拨号) → iStoreOS(192.168.68.63, 主网关) → Deco BE65(AP) → 所有设备
+                ├── dnsmasq(:53) → 内网DNS + 转发到 OpenClash
+                ├── OpenClash(:7874) → fake-ip + TUN → 翻墙回国 + 广告拦截
+                └── 端口映射 (2200, 443, 51888)
+```
+
+## 关键组件
+
+| 组件 | 位置 | 版本 |
+|------|------|------|
+| Xray-core | `8.138.1.192` (阿里云广州) | v26.2.6 |
+| OpenClash | iStoreOS `192.168.68.63` | v0.47.071 |
+| mihomo | iStoreOS | v1.19.21 |
+| dnsmasq | iStoreOS | 内置 |
+
+## 详细文档
+
+- [[VLESS-REALITY-Setup-Guide|总览文档]]
+- [[VLESS-REALITY-Router-iStoreOS|主网关配置]]
+- [[VLESS-REALITY-Client-macOS|macOS 客户端（外出用）]]
+
+## 核心踩坑
+
+1. **DNS 环路**：OpenClash nameserver 不能用国内 DNS，否则匹配 GEOIP,CN → 走代理 → 代理需要 DNS → 死循环
+2. **OpenClash + AdGuard Home 冲突**：fake-ip 模式的 DNS 劫持与 AGH 抢 53 端口，最终去掉 AGH，由 OpenClash + dnsmasq 接管
+3. **OpenClash 配置覆盖**：自定义 hosts/fake-ip-filter 必须放在 `/etc/openclash/custom/` 专用文件里，直接改 yaml 会被覆盖
+4. **区域绕过必须停用**：翻墙回国场景下 "大陆" 和 "海外" 都不对，选 "停用"
+5. **Deco BE65 限制**：不支持自定义 DHCP 网关/DNS，必须切 AP 模式让 iStoreOS 接管
+
+## 服务器连接信息
+
+| 参数 | 值 |
+|------|-----|
+| 协议 | VLESS |
+| 地址 | `8.138.1.192` |
+| 端口 | `443` |
+| UUID | `04a7cfe3-10f6-4e38-8319-22a604e24018` |
+| Public Key | `RTO_UOk5ncr3DAAYR08g08L0fo5ax9pmGFj8c8lXWgk` |
+| 伪装目标 | `www.microsoft.com` |
+| Flow | `xtls-rprx-vision` |
+
+## 相关
+
+- [[PVE Security Scanner]]