CreateYourVPN Academy
Kursus: Sådan virker det

Find et maskeringswebsted: subnet-scanneren

Hvordan CreateYourVPN's subnet-scanner finder rigtige nabowebsteder, du kan maskere dig som (Reality SNI/DEST), hvorfor et nærliggende websted er den bedste kamuflage, og hvordan du starter, læser og stopper en scanning.

I lektionen om inbounds valgte vi et websted at maskere sig som — det populære HTTPS-websted, din VPN-trafik udgiver sig for at være. Det valg betyder mere, end det ser ud til, og panelet har et værktøj, der træffer det for dig: subnet-scanneren. Denne lektion forklarer, hvad et godt maskeringswebsted er, hvorfor en nabo til din egen server som regel er det bedste, og hvordan scanneren finder disse naboer automatisk.

Hvorfor maskeringswebstedet betyder noget

Hver inbound kører på VLESS + Reality. Reality får din trafik til at ligne et helt almindeligt HTTPS-besøg på et rigtigt, populært websted — og gør det ved rent faktisk at gennemføre første del af et ægte TLS-håndtryk med det websted. I panelet vises dette websted som feltet "Websted at maskere sig som"; i avanceret tilstand deles det op i de tekniske parametre DEST (den rigtige vært, håndtrykket lånes fra) og SERVER_NAMES (navnet, som dine brugeres apps annoncerer, altså SNI).

For at forklædningen holder, skal webstedet opfylde flere betingelser på én gang:

  • Det taler moderne TLS 1.3 og HTTP/2 (ældre websteder afslører håndtrykket).
  • Det er stort og uanseeligt — trafik til det skiller sig ikke ud.
  • Det er ikke blokeret i serverens land (et blokeret "dække" ødelægger hele pointen).
  • Det er hurtigt tilgængeligt fra serveren (håndtrykket er ægte netværkstrafik).

Hvorfor en nabo er det bedste dække

Det sidste punkt er det interessante. Din server står i et datacenter, omgivet af andre maskiner i samme subnet — ofte andre kunder hos den samme hostingudbyder, der kører helt almindelige websteder. At maskere sig som en af disse naboer har to fordele:

  • Ventetiden er næsten nul. DEST-håndtrykket forlader aldrig datacentret, så forbindelser oprettes hurtigere.
  • Det går i ét med mængden. Trafik fra din server til en maskine ét rack væk er præcis, hvad et datacenter ser hele dagen.

Hagen: du kender ikke dine naboer udenad. Det er netop det, scanneren er til for.

Hvad subnet-scanneren gør

Scanneren beder din server om stille og roligt at afsøge sit eget nabolag og rapportere tilbage, hvilke naboer der ville udgøre gode Reality-dæk.

Serveren afsøger sine netværksnaboer — maskinerne med nærliggende IP-adresser: først sit eget subnet, derefter en bredere blok omkring sig (som standard et /20).

For hver nabo, der svarer, kontrollerer den håndtrykket: tilbyder den TLS 1.3 og annoncerer HTTP/2? Kun disse kvalificerer sig som Reality-dest.

De bekræftede websteder samles, dubletter fjernes, og de gemmes på din server. Panelet viser dem som klar-til-brug-forslag.

Scanningen kører automatisk første gang en server sættes op, så når du åbner inbound-formularen, er forslagene som regel allerede der. Du kan også køre den manuelt når som helst.

Scanneren læser kun — den åbner en almindelig forbindelse til hver nabo og ser på TLS-håndtrykket, præcis som enhver browser ville gøre. Den ændrer intet på de maskiner og gemmer intet ud over de domænenavne, den bekræftede.

Hvor du finder den

Det samme scanningsresultat deles alle steder, hvor maskeringswebstedet vælges, så forslagene og live-forløbet holdes synkroniseret:

  • I inbound-formularen, under feltet "Websted at maskere sig som" — knappen "Find websteder i subnettet" og, når en scanning er kørt, hurtige chips med de fundne domæner. Klik på et chip for at udfylde feltet.
  • I serverens modal (åbn en server fra din klynge), i afsnittet "Maskeringswebsteder (SNI)" — den samme scanning med et resumé af, hvor mange websteder der blev fundet.
  • På "i gang"-kortet på forsiden — mens en netop tilføjet server stadig sættes op, vises scanningsforløbet lige der.

Sådan læser du resultaterne

Hurtig-chippene viser de websteder, der er fundet i dit subnet, minus dem, dine inbounds allerede bruger. Så efterhånden som du bruger kandidater på inbounds, falder de af listen, og et websted, du frigiver, kommer tilbage. Hvis hvert fundet websted allerede er i brug, siger panelet det og inviterer dig til at indtaste et domæne manuelt eller scanne igen.

En nabo er et godt dække, ikke et magisk. Foretræk alligevel en kandidat, der ikke er blokeret i serverens land — et stort, kedeligt websted. Hvis intet i nærheden passer, er det altid en gyldig nødløsning at indtaste et velkendt globalt websted manuelt (Google, Microsoft, Apple, Cloudflare).

Start, stop og gen-scanning

  • Start — tryk på "Find websteder i subnettet" (eller "Scan igen" efter en tidligere kørsel). En bred scanning tager omkring et minut; resultaterne dukker gradvist op, efterhånden som hvert /24 kontrolleres, så du behøver ikke vente på hele den for at vælge et websted.
  • Stop — fundet nok? Tryk på "Stop". Knappen ændres til "Stopper…", mens serveren gør den del færdig, den er i gang med; alt fundet indtil videre bevares. Når det falder til ro, markeres scanningen som færdig, og "Scan igen" dukker op.
  • Scan igen — kører en frisk scanning og opdaterer kandidatlisten. Brug den, hvis du har flyttet serveren, eller hvis nabolaget kan have ændret sig.

Du kan stoppe en scanning med et enkelt klik — den viser "Stopper…" kort og afslutter så af sig selv. Der er ingen grund til at trykke Stop to gange eller vente, før du starter en ny scanning.

Vigtigste pointer

  • Maskeringswebstedet (Reality DEST/SNI) skal være et stort, ikke-blokeret TLS 1.3 + HTTP/2-websted — og en nabo til din server er som regel det bedste: hurtigt og uanseeligt.
  • Subnet-scanneren finder disse naboer for dig: den afsøger serverens /24/20, beholder de websteder, der kvalificerer sig, og tilbyder dem som forslag med ét klik.
  • Den kører automatisk ved opsætning og kan køres igen når som helst, fra inbound-formularen, servermodalen eller i-gang-kortet.
  • Hurtig-chips = fundne websteder minus dem, der allerede bruges; frigiv et, så kommer det tilbage.
  • Start, stop (ét klik → "Stopper…") og scan igen efter behov — alt fundet bevares altid.

Op næste

En inbound kan være mere end en enkelt dør — den kan være en kæde af servere, hvor trafik kommer ind i ét land og forlader i et andet. Hvert hop vælger sit eget maskeringswebsted, så scanneren gør også nytte der.

On this page