CreateYourVPN Academy
Curso: cómo funciona todo

Inbounds y túnel dividido

Qué es un inbound en CreateYourVPN: enmascararse como un sitio web, bloqueo de torrents y túnel dividido — qué tráfico pasa por la VPN y cuál va directo.

"Inbound" es la palabra más técnica del panel, pero la idea detrás de ella es simple: es un punto de entrada configurado a tu VPN en un servidor concreto. En la lección de terminología comparamos los inbounds con las puertas de un edificio — ahora vamos a ver de qué está hecha esa puerta y cuáles son sus ajustes.

Qué es un inbound

Cuando la app de un usuario se conecta a tu servidor, no llama «al servidor en general» — llama a un inbound concreto, y recibe exactamente las reglas que configuraste en ese inbound: bajo qué sitio web disfrazarse, si cortar los torrents, qué tráfico enviar fuera de la VPN.

Un mismo nodo de trabajo puede alojar varios inbounds con distintos ajustes. Por ejemplo:

  • «🇩🇪 Alemania» — un inbound normal para todos;
  • «🇩🇪 Alemania · sin torrents» — lo mismo, pero con bloqueo de BitTorrent;
  • «🇩🇪 Alemania · solo sitios bloqueados» — solo los sitios inaccesibles sin VPN pasan por él.

Todo inbound funciona sobre el protocolo VLESS + Reality — el mismo que hace que el tráfico VPN parezca visitas HTTPS normales a un sitio web popular.

El nombre del inbound es lo que ve el usuario en su app como nombre del servidor. Nómbralos con claridad: país + ciudad, o el propósito («🇫🇮 Finlandia», «🎬 Streaming»).

Crear un inbound

En la página del clúster, haz clic en "Nuevo inbound". En el formulario:

  1. Protocolo — VLESS + Reality (el único, y el recomendado).
  2. Servidor — en qué nodo de trabajo levantar el punto de entrada. Los inbounds viven solo en nodos conectados — no puedes crear un inbound en un master "puro".
  3. Nombre — ese mismo nombre para tus usuarios, con bandera incluida.
  4. Sitio web para enmascarar — bajo qué sitio se disfraza el tráfico. Elige un sitio HTTPS de gran tamaño que funcione sin fallos en el país del servidor: Google/Microsoft/Apple para Europa y EE. UU., Yandex o VK para Rusia. En el modo avanzado del panel puedes ajustar los parámetros a mano (DEST, SERVER_NAMES, FINGERPRINT) — pero la mayoría de la gente nunca lo necesita.
  5. Túnel dividido y Bloquear torrents — se explican a continuación.
  6. Ruta — a qué ruta vincular el nuevo punto de entrada (puedes elegir "Sin ruta" y vincularlo más tarde — pero recuerda de la lección 4: un inbound fuera de una ruta es invisible para los usuarios).

El primer inbound del clúster se vincula automáticamente a la ruta predeterminada — para que la suscripción funcione de inmediato. Los siguientes los vinculas tú mismo: al crearlos, desde el inspector (la acción "Añadir a la ruta"), o arrastrando en el diagrama.

Bloqueo de torrents

El interruptor "Bloquear torrents" corta el tráfico de BitTorrent directamente en el servidor. Esto importa: el bloqueo funciona incluso si el usuario desactiva todas las reglas en su app — no se puede evitar editando la configuración. Está activado por defecto para los inbounds nuevos: los torrents en un VPS son una causa habitual de quejas por parte de los proveedores de hosting.

Túnel dividido

El túnel dividido responde a la pregunta: ¿qué tráfico pasa por la VPN, y cuál va directo? Configuras las reglas una vez en el inbound, y se entregan automáticamente a las apps de los usuarios — los usuarios no tienen que configurar nada.

Los escenarios clásicos:

  • Todo excepto lo local. El banco, los servicios gubernamentales y los sitios locales van directos (no les gustan las direcciones extranjeras); todo lo demás pasa por la VPN.
  • Solo la lista. Solo los sitios bloqueados pasan por la VPN; todo lo demás va directo, sin pérdida de velocidad.

Tres listas de reglas

La sección "Túnel dividido" tiene tres bloques independientes:

BloqueQué describeEjemplos
Sitios webSitios concretos y zonas de dominioexample.com (incluidos los subdominios), *.ru (toda la zona)
GeoSiteCategorías de servicios predefinidasgoogle, netflix, telegram, category-ads-all (anuncios)
GeoIPPaíses y redes enteras por IPru, cn, private (red local), 10.0.0.0/8

Cada bloque tiene un modo:

  • "Todo por VPN" — el bloque está desactivado;
  • "Todo excepto la lista" — los elementos de la lista van directos, sin pasar por la VPN; todo lo demás pasa por la VPN;
  • "Solo la lista" — solo los elementos de la lista pasan por la VPN; todo lo demás va directo.

Las listas se rellenan con "chips": pega dominios separados por comas o saltos de línea; GeoSite y GeoIP tienen ajustes predefinidos de un solo clic.

Los modos "Todo excepto la lista" y "Solo la lista" no se pueden combinar dentro de un mismo inbound — establecen comportamientos opuestos para "todo el resto" del tráfico. El panel simplemente no te dejará elegir una combinación conflictiva.

Cómo llegan las reglas al usuario

Las reglas se añaden a la suscripción y se aplican en la app del usuario. Todas las apps recomendadas (Happ, v2rayN/v2rayNG, Streisand, V2Box) las reciben automáticamente; los routers también son compatibles — OpenWRT y Keenetic. Y si un usuario importa la suscripción en alguna app exótica que no entiende las reglas, la VPN sigue funcionando — simplemente todo el tráfico pasa por el túnel.

Un detalle ya se ha resuelto por ti: distintos inbounds pueden llevar distintas reglas, y cada "servidor" en la app del usuario trae las suyas propias — cambia a otro servidor, obtén sus reglas.

Puntos clave

  • Un inbound = un punto de entrada en un nodo: camuflaje + reglas de tráfico + el nombre que ve el usuario.
  • Un mismo servidor puede alojar varios inbounds para distintos propósitos.
  • El bloqueo de torrents funciona en el servidor y no se puede eludir desde el cliente.
  • Túnel dividido: tres listas (sitios, categorías, países), modos "todo excepto" / "solo la lista", entrega automática a las apps.
  • Un inbound sin ruta es invisible — no olvides vincularlo.

A continuación

Un inbound puede ser algo más que una puerta — puede ser un conjunto de varios servidores en fila, donde el tráfico entra en un país y sale en otro.

On this page