CreateYourVPN Academy
Kurs: So funktioniert es

Eine Maskierungs-Website finden: der Subnetz-Scanner

Wie der Subnetz-Scanner von CreateYourVPN echte Nachbar-Websites findet, als die du dich tarnen kannst (der Reality-SNI/DEST), warum eine nahe Website die beste Tarnung ist und wie du einen Scan startest, liest und stoppst.

In der Lektion über Inbounds haben wir eine Website ausgewählt, als die wir uns tarnen — die beliebte HTTPS-Website, als deren Besuch sich dein VPN-Traffic ausgibt. Diese Wahl ist wichtiger, als sie aussieht, und das Panel hat ein Werkzeug, das sie für dich trifft: den Subnetz-Scanner. Diese Lektion erklärt, was eine gute Maskierungs-Website ausmacht, warum ein Nachbar deines eigenen Servers meist die beste Wahl ist und wie der Scanner solche Nachbarn automatisch findet.

Warum die Maskierungs-Website wichtig ist

Jeder Inbound läuft über VLESS + Reality. Reality lässt deinen Traffic wie einen ganz normalen HTTPS-Besuch bei einer echten, beliebten Website aussehen — und tut das, indem es den ersten Teil eines echten TLS-Handshakes mit dieser Website tatsächlich durchführt. Im Panel erscheint diese Website als Feld „Website, als die du dich tarnst"; im erweiterten Modus teilt es sich in die technischen Parameter DEST (der echte Host, von dem der Handshake „geliehen" wird) und SERVER_NAMES (der Name, den die Apps deiner Nutzer ansagen, der SNI).

Damit die Tarnung hält, muss die Website mehrere Bedingungen gleichzeitig erfüllen:

  • Sie spricht modernes TLS 1.3 und HTTP/2 (ältere Websites verraten den Handshake).
  • Sie ist groß und unauffällig — Traffic zu ihr fällt nicht auf.
  • Sie ist im Land deines Servers nicht blockiert (eine blockierte „Tarnung" macht den ganzen Sinn zunichte).
  • Sie ist vom Server aus schnell erreichbar (der Handshake ist echter Netzwerk-Traffic).

Warum ein Nachbar die beste Tarnung ist

Der letzte Punkt ist der interessante. Dein Server steht in einem Rechenzentrum, umgeben von anderen Maschinen im selben Subnetz — oft andere Kunden desselben Hosting-Anbieters, auf denen ganz gewöhnliche Websites laufen. Sich als einer dieser Nachbarn zu tarnen, hat zwei Vorteile:

  • Die Latenz ist nahezu null. Der DEST-Handshake verlässt das Rechenzentrum nie, also werden Verbindungen schneller aufgebaut.
  • Es fügt sich ein. Traffic von deinem Server zu einer Maschine ein Rack weiter ist genau das, was ein Rechenzentrum den ganzen Tag sieht.

Der Haken: Du kennst deine Nachbarn nicht auswendig. Genau dafür ist der Scanner da.

Was der Subnetz-Scanner tut

Der Scanner bittet deinen Server, leise seine eigene Nachbarschaft abzuklopfen und zurückzumelden, welche Nachbarn gute Reality-Tarnungen abgeben würden.

Der Server prüft seine Netzwerk-Nachbarn — die Maschinen mit nahen IP-Adressen: zuerst sein eigenes Subnetz, dann einen breiteren Block um sich herum (standardmäßig ein /20).

Für jeden Nachbarn, der antwortet, prüft sie den Handshake: bietet er TLS 1.3 und kündigt er HTTP/2 an? Nur solche taugen als Reality-Dests.

Die bestätigten Websites werden gesammelt, entdoppelt und deinem Server zugeordnet gespeichert. Das Panel zeigt sie als gebrauchsfertige Vorschläge an.

Der Scan läuft automatisch beim ersten Einrichten eines Servers, sodass die Vorschläge meist schon da sind, wenn du das Inbound-Formular öffnest. Du kannst ihn aber auch jederzeit von Hand starten.

Der Scanner liest nur — er öffnet eine normale Verbindung zu jedem Nachbarn und schaut sich den TLS-Handshake an, genau wie es jeder Browser täte. Er ändert nichts an diesen Maschinen und speichert nichts außer den bestätigten Domainnamen.

Wo du ihn findest

Dasselbe Scan-Ergebnis wird überall geteilt, wo die Maskierungs-Website gewählt wird, sodass Vorschläge und Live-Fortschritt synchron bleiben:

  • Im Inbound-Formular, unter dem Feld „Website, als die du dich tarnst" — die Schaltfläche „Websites im Subnetz finden" und, sobald ein Scan gelaufen ist, schnelle Chips mit den gefundenen Domains. Klick auf einen Chip, um das Feld auszufüllen.
  • Im Server-Modal (öffne einen Server aus deinem Cluster), im Abschnitt „Maskierungs-Websites (SNI)" — derselbe Scan mit einer Zusammenfassung, wie viele Websites gefunden wurden.
  • Auf der „In Bearbeitung"-Karte auf der Startseite — während ein frisch hinzugefügter Server noch eingerichtet wird, zeigt sich der Scan-Fortschritt direkt dort.

Die Ergebnisse lesen

Die schnellen Chips zeigen die in deinem Subnetz gefundenen Websites, minus derer, die deine Inbounds bereits nutzen. Während du also Kandidaten für Inbounds verbrauchst, fallen sie aus der Liste, und eine Website, die du wieder freigibst, kommt zurück. Wenn jede gefundene Website bereits in Gebrauch ist, sagt das Panel das und lädt dich ein, eine Domain von Hand einzugeben oder erneut zu scannen.

Ein Nachbar ist eine gute Tarnung, keine magische. Bevorzuge trotzdem einen Kandidaten, der im Land deines Servers nicht blockiert ist — eine große, langweilige Website. Wenn in der Nähe nichts passt, ist die manuelle Eingabe einer bekannten globalen Website (Google, Microsoft, Apple, Cloudflare) immer ein gültiger Rückfall.

Starten, Stoppen und erneut Scannen

  • Starten — drück auf „Websites im Subnetz finden" (oder „Erneut scannen" nach einem vorherigen Durchlauf). Ein breiter Scan dauert etwa eine Minute; die Ergebnisse erscheinen nach und nach, während jedes /24 geprüft wird, sodass du nicht auf das Ganze warten musst, um eine Website zu wählen.
  • Stoppen — genug gefunden? Drück auf „Stopp". Die Schaltfläche wechselt zu „Wird gestoppt…", während der Server das gerade laufende Stück beendet; alles bisher Gefundene bleibt erhalten. Wenn es sich beruhigt hat, gilt der Scan als abgeschlossen und „Erneut scannen" erscheint.
  • Erneut scannen — startet einen frischen Scan und aktualisiert die Kandidatenliste. Nutze es, wenn du den Server verschoben hast oder sich die Nachbarschaft geändert haben könnte.

Du kannst einen Scan mit einem einzigen Klick stoppen — er zeigt kurz „Wird gestoppt…" und beendet sich dann von selbst. Du musst weder zweimal auf Stopp drücken noch vor einem neuen Scan warten.

Das Wichtigste

  • Die Maskierungs-Website (Reality DEST/SNI) muss eine große, nicht blockierte Website mit TLS 1.3 + HTTP/2 sein — und ein Nachbar deines Servers ist meist die beste: schnell und unauffällig.
  • Der Subnetz-Scanner findet diese Nachbarn für dich: er sondiert das /24/20 des Servers, behält die geeigneten Websites und bietet sie als Ein-Klick-Vorschläge an.
  • Er läuft automatisch bei der Einrichtung und kann jederzeit erneut ausgeführt werden — aus dem Inbound-Formular, dem Server-Modal oder der „In Bearbeitung"-Karte.
  • Schnelle Chips = gefundene Websites minus der bereits genutzten; gib eine frei, und sie kommt zurück.
  • Starte, stoppe (ein Klick → „Wird gestoppt…") und scanne bei Bedarf erneut — alles Gefundene bleibt stets erhalten.

Als Nächstes

Ein Inbound kann mehr sein als eine einzige Tür — er kann eine Kette von Servern sein, bei der Traffic in einem Land eintritt und in einem anderen austritt. Jeder Hop wählt seine eigene Maskierungs-Website, sodass sich der Scanner auch dort bezahlt macht.

On this page