Inboundy a dělené tunelování
Co je inbound v CreateYourVPN: maskování za web, blokování torrentů a dělené tunelování — který provoz jde přes VPN a který přímo.
"Inbound" je nejtechničtější slovo v panelu, ale myšlenka za ním je jednoduchá: je to nakonfigurovaný vstupní bod do vaší VPN na konkrétním serveru. V lekci o terminologii jsme inboundy přirovnali ke dveřím budovy — teď se podívejme, z čeho se takové dveře skládají a jaká mají nastavení.
Co je inbound
Když se aplikace uživatele připojí k vašemu serveru, neklepe na "server obecně" — klepe na konkrétní inbound a dostane přesně ta pravidla, která jste v daném inboundu nastavili: za jaký web se maskovat, zda uřezávat torrenty, který provoz posílat kolem VPN.
Jeden pracovní uzel může hostit několik inboundů s různým nastavením. Například:
- "🇩🇪 Německo" — běžný inbound pro všechny;
- "🇩🇪 Německo · bez torrentů" — totéž, ale s blokováním BitTorrentu;
- "🇩🇪 Německo · jen zablokované weby" — přes něj jde jen to, co bez VPN není dostupné.
Každý inbound běží na protokolu VLESS + Reality — na tom, díky kterému VPN provoz vypadá jako obyčejné HTTPS návštěvy oblíbeného webu.
Název inboundu je to, co uživatel vidí ve své aplikaci jako název serveru. Pojmenovávejte je srozumitelně: země + město nebo účel ("🇫🇮 Finsko", "🎬 Streaming").
Vytvoření inboundu
Na stránce clusteru klikněte na "Nový inbound". Ve formuláři:
- Protokol — VLESS + Reality (jediný a zároveň doporučený).
- Server — na kterém pracovním uzlu vstupní bod spustit. Inboundy žijí jen na připojených uzlech — na "čistém" masteru inbound vytvořit nelze.
- Název — ten samý název pro vaše uživatele, včetně vlajky.
- Web pro maskování — za jaký web se provoz vydává. Vyberte velký HTTPS web, který bez problémů funguje v zemi daného serveru: Google/Microsoft/Apple pro Evropu a USA, Yandex nebo VK pro Rusko. V pokročilém režimu panelu si můžete parametry doladit ručně (DEST, SERVER_NAMES, FINGERPRINT) — ale většina lidí to nikdy nepotřebuje.
- Dělené tunelování a Blokovat torrenty — probíráme níže.
- Trasa — ke které trase nový vstupní bod přiřadit (můžete zvolit "Bez trasy" a přiřadit ji později — ale pamatujte z lekce 4: inbound mimo trasu je pro uživatele neviditelný).
První inbound clusteru se automaticky přiřadí k výchozí trase — takže odběr funguje hned. Všechny další přiřazujete sami: při vytváření, z inspektoru (akce "Přidat do trasy"), nebo přetažením na diagramu.
Blokování torrentů
Přepínač "Blokovat torrenty" uřízne provoz BitTorrentu přímo na serveru. To je důležité: blok funguje i tehdy, když uživatel v aplikaci vypne všechna pravidla — nelze ho obejít úpravou konfigurace. U nových inboundů je ve výchozím stavu zapnutý: torrenty na VPS jsou běžným zdrojem stížností od poskytovatelů hostingu.
Dělené tunelování
Dělené tunelování odpovídá na otázku: který provoz jde přes VPN a který přímo? Pravidla nastavíte jednou v inboundu a automaticky se doručí do aplikací uživatelů — ti nemusí nic nastavovat.
Klasické scénáře:
- Všechno kromě lokálního. Banka, státní služby a lokální weby jdou přímo (nemají rády zahraniční adresy); všechno ostatní jde přes VPN.
- Jen seznam. Přes VPN jde jen to, co je zablokované; všechno ostatní jde přímo, beze ztráty rychlosti.
Tři seznamy pravidel
Sekce "Dělené tunelování" má tři nezávislé bloky:
| Blok | Co popisuje | Příklady |
|---|---|---|
| Weby | Konkrétní weby a doménové zóny | example.com (včetně subdomén), *.ru (celá zóna) |
| GeoSite | Hotové kategorie služeb | google, netflix, telegram, category-ads-all (reklamy) |
| GeoIP | Celé země a sítě podle IP | ru, cn, private (lokální síť), 10.0.0.0/8 |
Každý blok má svůj režim:
- "Vše přes VPN" — blok je vypnutý;
- "Vše kromě seznamu" — položky ze seznamu jdou přímo, kolem VPN; všechno ostatní jde přes VPN;
- "Pouze seznam" — přes VPN jdou jen položky ze seznamu; všechno ostatní jde přímo.
Seznamy se plní pomocí "čipů": vložte domény oddělené čárkami nebo novými řádky; GeoSite a GeoIP mají předvolby na jedno kliknutí.
Režimy "Vše kromě seznamu" a "Pouze seznam" nelze v jednom inboundu kombinovat — nastavují opačné výchozí chování pro "zbytek" provozu. Panel prostě nedovolí vybrat konfliktní kombinaci.
Jak se pravidla dostanou k uživateli
Pravidla se přidají k odběru a vynucují se v aplikaci uživatele. Všechny doporučené aplikace (Happ, v2rayN/v2rayNG, Streisand, V2Box) je přijímají automaticky; podporovány jsou i routery — OpenWRT a Keenetic. A pokud uživatel naimportuje odběr do nějaké exotické aplikace, která pravidlům nerozumí, VPN dál funguje — veškerý provoz prostě jde tunelem.
Jedna jemnost je za vás vyřešená: různé inboundy mohou nést různá pravidla a každý "server" v aplikaci uživatele přináší ta svá — přepnutím na jiný server dostane jeho pravidla.
Klíčové poznatky
- Inbound = vstupní bod na uzlu: maskování + pravidla provozu + název, který vidí uživatel.
- Jeden server může hostit několik inboundů pro různé účely.
- Blokování torrentů funguje na serveru a klient ho nemůže obejít.
- Dělené tunelování: tři seznamy (weby, kategorie, země), režimy "vše kromě" / "jen seznam", automatické doručení do aplikací.
- Inbound bez trasy je neviditelný — nezapomeňte ho přiřadit.
Co dál
Inbound může být víc než jen jedny dveře — může to být sada několika serverů v řadě, kde provoz vstupuje v jedné zemi a vystupuje v jiné.
Trasy a vyvažování zátěže
Co je trasa v CreateYourVPN, jak ji vytvořit za minutu, k čemu jsou dobré prázdné trasy a jak systém rozděluje uživatele mezi servery.
Multihop: řetězce serverů
Jak vytvořit multihop inbound v CreateYourVPN: provoz vstupuje na jednom serveru a vystupuje z jiného. Proč byste to chtěli, jak ho vytvořit a co vidí uživatel.