CreateYourVPN Academy
Kurz: Jak to funguje

Inboundy a dělené tunelování

Co je inbound v CreateYourVPN: maskování za web, blokování torrentů a dělené tunelování — který provoz jde přes VPN a který přímo.

"Inbound" je nejtechničtější slovo v panelu, ale myšlenka za ním je jednoduchá: je to nakonfigurovaný vstupní bod do vaší VPN na konkrétním serveru. V lekci o terminologii jsme inboundy přirovnali ke dveřím budovy — teď se podívejme, z čeho se takové dveře skládají a jaká mají nastavení.

Co je inbound

Když se aplikace uživatele připojí k vašemu serveru, neklepe na "server obecně" — klepe na konkrétní inbound a dostane přesně ta pravidla, která jste v daném inboundu nastavili: za jaký web se maskovat, zda uřezávat torrenty, který provoz posílat kolem VPN.

Jeden pracovní uzel může hostit několik inboundů s různým nastavením. Například:

  • "🇩🇪 Německo" — běžný inbound pro všechny;
  • "🇩🇪 Německo · bez torrentů" — totéž, ale s blokováním BitTorrentu;
  • "🇩🇪 Německo · jen zablokované weby" — přes něj jde jen to, co bez VPN není dostupné.

Každý inbound běží na protokolu VLESS + Reality — na tom, díky kterému VPN provoz vypadá jako obyčejné HTTPS návštěvy oblíbeného webu.

Název inboundu je to, co uživatel vidí ve své aplikaci jako název serveru. Pojmenovávejte je srozumitelně: země + město nebo účel ("🇫🇮 Finsko", "🎬 Streaming").

Vytvoření inboundu

Na stránce clusteru klikněte na "Nový inbound". Ve formuláři:

  1. Protokol — VLESS + Reality (jediný a zároveň doporučený).
  2. Server — na kterém pracovním uzlu vstupní bod spustit. Inboundy žijí jen na připojených uzlech — na "čistém" masteru inbound vytvořit nelze.
  3. Název — ten samý název pro vaše uživatele, včetně vlajky.
  4. Web pro maskování — za jaký web se provoz vydává. Vyberte velký HTTPS web, který bez problémů funguje v zemi daného serveru: Google/Microsoft/Apple pro Evropu a USA, Yandex nebo VK pro Rusko. V pokročilém režimu panelu si můžete parametry doladit ručně (DEST, SERVER_NAMES, FINGERPRINT) — ale většina lidí to nikdy nepotřebuje.
  5. Dělené tunelování a Blokovat torrenty — probíráme níže.
  6. Trasa — ke které trase nový vstupní bod přiřadit (můžete zvolit "Bez trasy" a přiřadit ji později — ale pamatujte z lekce 4: inbound mimo trasu je pro uživatele neviditelný).

První inbound clusteru se automaticky přiřadí k výchozí trase — takže odběr funguje hned. Všechny další přiřazujete sami: při vytváření, z inspektoru (akce "Přidat do trasy"), nebo přetažením na diagramu.

Blokování torrentů

Přepínač "Blokovat torrenty" uřízne provoz BitTorrentu přímo na serveru. To je důležité: blok funguje i tehdy, když uživatel v aplikaci vypne všechna pravidla — nelze ho obejít úpravou konfigurace. U nových inboundů je ve výchozím stavu zapnutý: torrenty na VPS jsou běžným zdrojem stížností od poskytovatelů hostingu.

Dělené tunelování

Dělené tunelování odpovídá na otázku: který provoz jde přes VPN a který přímo? Pravidla nastavíte jednou v inboundu a automaticky se doručí do aplikací uživatelů — ti nemusí nic nastavovat.

Klasické scénáře:

  • Všechno kromě lokálního. Banka, státní služby a lokální weby jdou přímo (nemají rády zahraniční adresy); všechno ostatní jde přes VPN.
  • Jen seznam. Přes VPN jde jen to, co je zablokované; všechno ostatní jde přímo, beze ztráty rychlosti.

Tři seznamy pravidel

Sekce "Dělené tunelování" má tři nezávislé bloky:

BlokCo popisujePříklady
WebyKonkrétní weby a doménové zónyexample.com (včetně subdomén), *.ru (celá zóna)
GeoSiteHotové kategorie služebgoogle, netflix, telegram, category-ads-all (reklamy)
GeoIPCelé země a sítě podle IPru, cn, private (lokální síť), 10.0.0.0/8

Každý blok má svůj režim:

  • "Vše přes VPN" — blok je vypnutý;
  • "Vše kromě seznamu" — položky ze seznamu jdou přímo, kolem VPN; všechno ostatní jde přes VPN;
  • "Pouze seznam" — přes VPN jdou jen položky ze seznamu; všechno ostatní jde přímo.

Seznamy se plní pomocí "čipů": vložte domény oddělené čárkami nebo novými řádky; GeoSite a GeoIP mají předvolby na jedno kliknutí.

Režimy "Vše kromě seznamu" a "Pouze seznam" nelze v jednom inboundu kombinovat — nastavují opačné výchozí chování pro "zbytek" provozu. Panel prostě nedovolí vybrat konfliktní kombinaci.

Jak se pravidla dostanou k uživateli

Pravidla se přidají k odběru a vynucují se v aplikaci uživatele. Všechny doporučené aplikace (Happ, v2rayN/v2rayNG, Streisand, V2Box) je přijímají automaticky; podporovány jsou i routery — OpenWRT a Keenetic. A pokud uživatel naimportuje odběr do nějaké exotické aplikace, která pravidlům nerozumí, VPN dál funguje — veškerý provoz prostě jde tunelem.

Jedna jemnost je za vás vyřešená: různé inboundy mohou nést různá pravidla a každý "server" v aplikaci uživatele přináší ta svá — přepnutím na jiný server dostane jeho pravidla.

Klíčové poznatky

  • Inbound = vstupní bod na uzlu: maskování + pravidla provozu + název, který vidí uživatel.
  • Jeden server může hostit několik inboundů pro různé účely.
  • Blokování torrentů funguje na serveru a klient ho nemůže obejít.
  • Dělené tunelování: tři seznamy (weby, kategorie, země), režimy "vše kromě" / "jen seznam", automatické doručení do aplikací.
  • Inbound bez trasy je neviditelný — nezapomeňte ho přiřadit.

Co dál

Inbound může být víc než jen jedny dveře — může to být sada několika serverů v řadě, kde provoz vstupuje v jedné zemi a vystupuje v jiné.

On this page