CreateYourVPN Academy
Kurs: So funktioniert es

Inbounds und Split-Tunneling

Was ein Inbound in CreateYourVPN ist: Tarnung als Website, Torrent-Blockierung und Split-Tunneling — welcher Traffic durchs VPN läuft und welcher direkt.

„Inbound“ ist das technischste Wort im Panel, aber die Idee dahinter ist einfach: Es ist ein konfigurierter Einstiegspunkt in dein VPN auf einem bestimmten Server. In der Lektion Terminologie haben wir Inbounds mit den Türen eines Gebäudes verglichen — schauen wir uns jetzt an, woraus eine solche Tür besteht und was ihre Einstellungen sind.

Was ein Inbound ist

Wenn sich die App eines Nutzers mit deinem Server verbindet, klopft sie nicht an „den Server im Allgemeinen“ — sie klopft an einen bestimmten Inbound und bekommt genau die Regeln, die du in diesem Inbound festgelegt hast: als welche Website er sich tarnt, ob Torrents abgeschnitten werden, welcher Traffic am VPN vorbeigeschickt wird.

Ein einzelner Worker-Node kann mehrere Inbounds mit unterschiedlichen Einstellungen hosten. Zum Beispiel:

  • „🇩🇪 Deutschland“ — ein normaler Inbound für alle;
  • „🇩🇪 Deutschland · keine Torrents“ — derselbe, aber mit BitTorrent-Blockierung;
  • „🇩🇪 Deutschland · nur blockierte Seiten“ — nur Seiten, die ohne VPN nicht erreichbar sind, laufen darüber.

Jeder Inbound läuft auf dem Protokoll VLESS + Reality — genau dem, das VPN-Traffic wie gewöhnliche HTTPS-Besuche einer populären Website aussehen lässt.

Der Name des Inbounds ist das, was der Nutzer in seiner App als Servername sieht. Benenne sie klar: Land + Stadt oder Zweck („🇫🇮 Finnland“, „🎬 Streaming“).

Einen Inbound erstellen

Klicke auf der Cluster-Seite auf „Neuer Inbound“. Im Formular:

  1. Protokoll — VLESS + Reality (das einzige, und das empfohlene).
  2. Server — auf welchem Worker-Node der Einstiegspunkt hochgefahren werden soll. Inbounds leben nur auf verbundenen Nodes — du kannst keinen Inbound auf einem „reinen“ Master erstellen.
  3. Name — genau der Name für deine Nutzer, Flagge inklusive.
  4. Website zur Tarnung — als welche Site sich der Traffic tarnt. Wähle eine große HTTPS-Site, die im Land des Servers einwandfrei funktioniert: Google/Microsoft/Apple für Europa und die USA, Yandex oder VK für Russland. Im erweiterten Modus des Panels kannst du die Parameter von Hand feinjustieren (DEST, SERVER_NAMES, FINGERPRINT) — aber die meisten brauchen das nie.
  5. Split-Tunneling und Torrents blockieren — weiter unten behandelt.
  6. Route — an welche Route der neue Einstiegspunkt gebunden wird (du kannst „Keine Route“ wählen und später binden — aber denk an Lektion 4: Ein Inbound außerhalb einer Route ist für Nutzer unsichtbar).

Der erste Inbound des Clusters wird automatisch an die Standard-Route gebunden — damit das Abonnement sofort funktioniert. Alle folgenden bindest du selbst: bei der Erstellung, im Inspektor (die Aktion „Route zuweisen“) oder per Ziehen im Diagramm.

Torrent-Blockierung

Der Schalter „Torrents blockieren“ schneidet BitTorrent-Traffic direkt auf dem Server ab. Das ist wichtig: Die Blockierung funktioniert selbst dann, wenn der Nutzer alle Regeln in seiner App deaktiviert — sie lässt sich nicht durch Bearbeiten der Konfiguration umgehen. Bei neuen Inbounds ist sie standardmäßig aktiviert: Torrents auf einem VPS sind eine häufige Quelle von Beschwerden der Hosting-Anbieter.

Split-Tunneling

Split-Tunneling beantwortet die Frage: Welcher Traffic läuft durchs VPN, und welcher direkt? Du legst die Regeln einmal im Inbound fest, und sie werden automatisch an die Apps der Nutzer übermittelt — Nutzer müssen nichts konfigurieren.

Die klassischen Szenarien:

  • Alles außer lokal. Bank, Behördendienste und lokale Websites laufen direkt (sie mögen keine ausländischen Adressen); alles andere läuft durchs VPN.
  • Nur die Liste. Nur blockierte Websites laufen durchs VPN; alles andere läuft direkt, ohne Geschwindigkeitsverlust.

Drei Regel-Listen

Der Abschnitt „Split-Tunneling“ hat drei unabhängige Blöcke:

BlockWas er beschreibtBeispiele
WebsitesBestimmte Sites und Domainzonenexample.com (inklusive Subdomains), *.ru (die ganze Zone)
GeoSiteFertige Dienstkategoriengoogle, netflix, telegram, category-ads-all (Werbung)
GeoIPGanze Länder und Netzwerke nach IPru, cn, private (lokales Netzwerk), 10.0.0.0/8

Jeder Block bekommt einen Modus:

  • „Alles über VPN“ — der Block ist aus;
  • „Alles außer Liste“ — Einträge auf der Liste laufen direkt, am VPN vorbei; alles andere läuft durchs VPN;
  • „Nur die Liste“ — nur Einträge auf der Liste laufen durchs VPN; alles andere läuft direkt.

Listen werden mit „Chips“ gefüllt: Füge Domains getrennt durch Kommas oder Zeilenumbrüche ein; GeoSite und GeoIP haben Voreinstellungen per Klick.

Die Modi „Alles außer Liste“ und „Nur die Liste“ lassen sich innerhalb eines Inbounds nicht mischen — sie legen entgegengesetztes Verhalten für „den gesamten Rest“ des Traffics fest. Das Panel lässt dich keine widersprüchliche Kombination wählen.

Wie die Regeln den Nutzer erreichen

Die Regeln werden dem Abonnement hinzugefügt und in der App des Nutzers durchgesetzt. Alle empfohlenen Apps (Happ, v2rayN/v2rayNG, Streisand, V2Box) erhalten sie automatisch; Router werden ebenfalls unterstützt — OpenWRT und Keenetic. Und importiert ein Nutzer das Abonnement in eine exotische App, die die Regeln nicht versteht, funktioniert das VPN trotzdem weiter — der gesamte Traffic läuft dann einfach durch den Tunnel.

Eine Feinheit ist für dich bereits geregelt: Verschiedene Inbounds können unterschiedliche Regeln tragen, und jeder „Server“ in der App des Nutzers bringt seine eigenen mit — wechselt er zu einem anderen Server, gelten dessen Regeln.

Zum Merken

  • Ein Inbound = ein Einstiegspunkt auf einem Node: Tarnung + Traffic-Regeln + der Name, den der Nutzer sieht.
  • Ein Server kann mehrere Inbounds für verschiedene Zwecke hosten.
  • Torrent-Blockierung funktioniert auf dem Server und lässt sich vom Client aus nicht umgehen.
  • Split-Tunneling: drei Listen (Sites, Kategorien, Länder), Modi „alles außer“ / „nur Liste“, automatische Zustellung an Apps.
  • Ein Inbound ohne Route ist unsichtbar — vergiss nicht, ihn zu binden.

Als Nächstes

Ein Inbound kann mehr sein als nur eine Tür — er kann eine Kette aus mehreren Servern sein, bei der Traffic in einem Land eintritt und in einem anderen austritt.

On this page