Encontrar un sitio de enmascaramiento: el escáner de subred
Cómo el escáner de subred de CreateYourVPN encuentra sitios web vecinos reales por los que puedes hacerte pasar (el SNI/DEST de Reality), por qué un sitio cercano es el mejor camuflaje y cómo iniciar, leer y detener un escaneo.
En la lección sobre inbounds elegimos un sitio web para enmascarar — el popular sitio HTTPS por cuyas visitas se hace pasar tu tráfico VPN. Esa elección importa más de lo que parece, y el panel tiene una herramienta que la hace por ti: el escáner de subred. Esta lección explica qué es un buen sitio de enmascaramiento, por qué un vecino de tu propio servidor suele ser el mejor y cómo el escáner encuentra a esos vecinos automáticamente.
Por qué importa el sitio de enmascaramiento
Cada inbound funciona sobre VLESS + Reality. Reality hace que tu tráfico parezca una visita HTTPS corriente a un sitio web real y popular — y lo consigue completando de verdad la primera parte de un handshake TLS real con ese sitio. En el panel, este sitio aparece como el campo «Sitio web para enmascarar»; en el modo avanzado se divide en los parámetros técnicos DEST (el host real del que se «toma prestado» el handshake) y SERVER_NAMES (el nombre que anuncian las apps de tus usuarios, el SNI).
Para que el disfraz se sostenga, el sitio debe cumplir varias condiciones a la vez:
- Habla TLS 1.3 y HTTP/2 modernos (los sitios antiguos delatan el handshake).
- Es grande y anodino — el tráfico hacia él no destaca.
- No está bloqueado en el país de tu servidor (una «tapadera» bloqueada arruina todo el propósito).
- Es rápidamente accesible desde el servidor (el handshake es tráfico de red real).
Por qué un vecino es la mejor tapadera
El último punto es el interesante. Tu servidor está en un centro de datos, rodeado de otras máquinas de la misma subred — a menudo otros clientes del mismo proveedor de hosting, que alojan sitios web perfectamente ordinarios. Hacerse pasar por uno de esos vecinos tiene dos ventajas:
- La latencia es casi nula. El handshake DEST nunca sale del centro de datos, así que las conexiones se establecen más rápido.
- Se mimetiza. El tráfico de tu servidor a una máquina que está a un rack de distancia es exactamente lo que un centro de datos ve todo el día.
El truco: no te sabes de memoria a tus vecinos. Precisamente para eso está el escáner.
Qué hace el escáner de subred
El escáner pide a tu servidor que sondee discretamente su propio vecindario e informe de qué vecinos servirían como buenas tapaderas para Reality.
El servidor sondea a sus vecinos de red — las máquinas con direcciones IP cercanas: primero su propia subred, luego un bloque más amplio a su alrededor (un /20 por defecto).
Para cada vecino que responde, comprueba el handshake: ¿ofrece TLS 1.3 y anuncia HTTP/2? Solo esos sirven como dests de Reality.
Los sitios confirmados se recopilan, se eliminan duplicados y se guardan asociados a tu servidor. El panel los muestra como sugerencias listas para usar.
El escaneo se ejecuta automáticamente la primera vez que se configura un servidor, de modo que cuando abres el formulario de inbound las sugerencias suelen estar ya ahí. También puedes lanzarlo a mano en cualquier momento.
El escáner solo lee — abre una conexión normal a cada vecino y observa el handshake TLS, exactamente como haría cualquier navegador. No cambia nada en esas máquinas y no almacena más que los nombres de dominio confirmados.
Dónde encontrarlo
El mismo resultado del escaneo se comparte en todos los sitios donde se elige el sitio de enmascaramiento, así que las sugerencias y el progreso en vivo se mantienen sincronizados:
- En el formulario de inbound, bajo el campo «Sitio web para enmascarar» — el botón «Buscar sitios en la subred» y, una vez ejecutado un escaneo, chips rápidos con los dominios encontrados. Haz clic en un chip para rellenar el campo.
- En la ventana modal del servidor (abre un servidor desde tu clúster), en la sección «Sitios de enmascaramiento (SNI)» — el mismo escaneo con un resumen de cuántos sitios se encontraron.
- En la tarjeta «en curso» de la página de inicio — mientras un servidor recién añadido aún se está configurando, el progreso del escaneo se muestra ahí mismo.
Leer los resultados
Los chips rápidos muestran los sitios encontrados en tu subred, menos los que ya usan tus inbounds. Así, a medida que gastas candidatos en inbounds, desaparecen de la lista, y un sitio que liberas vuelve a aparecer. Si todos los sitios encontrados ya están en uso, el panel lo indica y te invita a introducir un dominio a mano o a volver a escanear.
Un vecino es una buena tapadera, no una mágica. Aun así, prefiere un candidato que no esté bloqueado en el país de tu servidor — un sitio grande y aburrido. Si nada cercano encaja, introducir a mano un sitio global conocido (Google, Microsoft, Apple, Cloudflare) es siempre una alternativa válida.
Iniciar, detener y volver a escanear
- Iniciar — pulsa «Buscar sitios en la subred» (o «Volver a escanear» tras una pasada previa). Un escaneo amplio tarda alrededor de un minuto; los resultados aparecen de forma gradual a medida que se comprueba cada
/24, así que no tienes que esperar a que termine todo para elegir un sitio. - Detener — ¿encontraste suficientes? Pulsa «Detener». El botón cambia a «Deteniendo…» mientras el servidor termina el bloque en el que está; todo lo encontrado hasta ahora se conserva. Cuando se asienta, el escaneo se marca como terminado y aparece «Volver a escanear».
- Volver a escanear — ejecuta un escaneo nuevo y actualiza la lista de candidatos. Úsalo si moviste el servidor o si el vecindario pudo cambiar.
Puedes detener un escaneo con un solo clic — mostrará brevemente «Deteniendo…» y luego terminará por sí solo. No hace falta pulsar Detener dos veces ni esperar antes de iniciar un nuevo escaneo.
Lo esencial
- El sitio de enmascaramiento (DEST/SNI de Reality) debe ser un sitio grande, no bloqueado y con TLS 1.3 + HTTP/2 — y un vecino de tu servidor suele ser el mejor: rápido y anodino.
- El escáner de subred encuentra a esos vecinos por ti: sondea el
/24–/20del servidor, se queda con los sitios que califican y los ofrece como sugerencias de un clic. - Se ejecuta automáticamente en la configuración y se puede volver a lanzar en cualquier momento, desde el formulario de inbound, la ventana del servidor o la tarjeta «en curso».
- Chips rápidos = sitios encontrados menos los ya usados; libera uno y vuelve.
- Inicia, detén (un clic → «Deteniendo…») y vuelve a escanear cuando haga falta — todo lo encontrado se conserva siempre.
Lo que viene
Un inbound puede ser más que una sola puerta — puede ser una cadena de servidores, donde el tráfico entra en un país y sale en otro. Cada salto elige su propio sitio de enmascaramiento, así que el escáner también se gana ahí su sueldo.
Inbounds y túnel dividido
Qué es un inbound en CreateYourVPN: enmascararse como un sitio web, bloqueo de torrents y de publicidad, túnel dividido — qué tráfico pasa por la VPN y cuál va directo.
Multisalto: cadenas de servidores
Cómo construir un inbound multisalto en CreateYourVPN: el tráfico entra por un servidor y sale por otro. Por qué querrías esto, cómo crear uno y qué ve el usuario.