Inbounds et tunneling sélectif
Ce qu'est un inbound dans CreateYourVPN : le camouflage en site web, le blocage des torrents, et le tunneling sélectif — quel trafic passe par le VPN et lequel passe en direct.
« Inbound » est le mot le plus technique du panneau, mais l'idée derrière est simple : c'est un point d'entrée configuré dans votre VPN sur un serveur précis. Dans la leçon sur la terminologie, nous avons comparé les inbounds aux portes d'un bâtiment — voyons maintenant de quoi une telle porte est faite et quels sont ses réglages.
Ce qu'est un inbound
Quand l'application d'un utilisateur se connecte à votre serveur, elle ne frappe pas à « la porte du serveur en général » — elle frappe à un inbound précis, et reçoit exactement les règles que vous avez définies dans cet inbound : quel site imiter, s'il faut couper les torrents, quel trafic envoyer en dehors du VPN.
Un même nœud worker peut héberger plusieurs inbounds avec des réglages différents. Par exemple :
- « 🇩🇪 Allemagne » — un inbound classique pour tout le monde ;
- « 🇩🇪 Allemagne · sans torrents » — le même, mais avec blocage de BitTorrent ;
- « 🇩🇪 Allemagne · sites bloqués uniquement » — seuls les sites inaccessibles sans VPN y passent.
Chaque inbound fonctionne sur le protocole VLESS + Reality — celui-là même qui fait ressembler le trafic VPN à de simples visites HTTPS sur un site populaire.
Le nom de l'inbound est ce que l'utilisateur voit dans son application comme nom du serveur. Nommez-les clairement : pays + ville, ou usage (« 🇫🇮 Finlande », « 🎬 Streaming »).
Créer un inbound
Sur la page du cluster, cliquez sur « Nouvel inbound ». Dans le formulaire :
- Protocole — VLESS + Reality (le seul, et le recommandé).
- Serveur — sur quel nœud worker faire fonctionner le point d'entrée. Les inbounds ne vivent que sur des nœuds connectés — vous ne pouvez pas créer un inbound sur un master « pur ».
- Nom — ce nom même pour vos utilisateurs, drapeau inclus.
- Site à utiliser comme masque — quel site le trafic imite. Choisissez un grand site HTTPS qui fonctionne parfaitement dans le pays du serveur : Google/Microsoft/Apple pour l'Europe et les États-Unis, Yandex ou VK pour la Russie. Dans le mode avancé du panneau, vous pouvez régler finement les paramètres à la main (DEST, SERVER_NAMES, FINGERPRINT) — mais la plupart des gens n'en ont jamais besoin.
- Tunneling sélectif et Bloquer les torrents — traités ci-dessous.
- Route — à quelle route rattacher le nouveau point d'entrée (vous pouvez choisir « Aucune route » et la rattacher plus tard — mais rappelez-vous de la leçon 4 : un inbound en dehors d'une route est invisible pour les utilisateurs).
Le premier inbound d'un cluster est rattaché automatiquement à la route par défaut — pour que l'abonnement fonctionne immédiatement. Tous les suivants, vous les rattachez vous-même : à la création, depuis l'inspecteur (l'action « Ajouter à la route »), ou en les glissant sur le diagramme.
Blocage des torrents
Le commutateur « Bloquer les torrents » coupe le trafic BitTorrent directement sur le serveur. Cela compte : le blocage fonctionne même si l'utilisateur désactive toutes les règles dans son application — il ne peut pas être contourné en modifiant la configuration. Il est activé par défaut pour les nouveaux inbounds : les torrents sur un VPS sont une source fréquente de plaintes de la part des hébergeurs.
Tunneling sélectif
Le tunneling sélectif répond à la question : quel trafic passe par le VPN, et lequel passe en direct ? Vous définissez les règles une seule fois dans l'inbound, et elles sont transmises automatiquement aux applications des utilisateurs — ceux-ci n'ont rien à configurer.
Les scénarios classiques :
- Tout sauf le local. La banque, les services gouvernementaux et les sites locaux passent en direct (ils n'aiment pas les adresses étrangères) ; tout le reste passe par le VPN.
- Liste uniquement. Seuls les sites bloqués passent par le VPN ; tout le reste passe en direct, sans perte de vitesse.
Trois listes de règles
La section « Tunneling sélectif » comporte trois blocs indépendants :
| Bloc | Ce qu'il décrit | Exemples |
|---|---|---|
| Sites web | Des sites précis et des zones de domaine | example.com (sous-domaines inclus), *.ru (toute la zone) |
| GeoSite | Des catégories de services prêtes à l'emploi | google, netflix, telegram, category-ads-all (publicités) |
| GeoIP | Des pays entiers et des réseaux par IP | ru, cn, private (réseau local), 10.0.0.0/8 |
Chaque bloc a un mode :
- « Tout via VPN » — le bloc est désactivé ;
- « Tout sauf la liste » — les éléments de la liste passent en direct, en contournant le VPN ; tout le reste passe par le VPN ;
- « Uniquement la liste » — seuls les éléments de la liste passent par le VPN ; tout le reste passe en direct.
Les listes se remplissent avec des « chips » : collez des domaines séparés par des virgules ou des sauts de ligne ; GeoSite et GeoIP disposent de préréglages en un clic.
Les modes « Tout sauf la liste » et « Uniquement la liste » ne peuvent pas être combinés au sein d'un même inbound — ils définissent des comportements opposés pour « tout le reste » du trafic. Le panneau ne vous laissera tout simplement pas choisir une combinaison contradictoire.
Comment les règles parviennent à l'utilisateur
Les règles sont ajoutées à l'abonnement et appliquées dans l'application de l'utilisateur. Toutes les applications recommandées (Happ, v2rayN/v2rayNG, Streisand, V2Box) les reçoivent automatiquement ; les routeurs sont pris en charge aussi — OpenWRT et Keenetic. Et si un utilisateur importe l'abonnement dans une application exotique qui ne comprend pas ces règles, le VPN continue de fonctionner — tout le trafic passe simplement par le tunnel.
Une subtilité a été gérée pour vous : des inbounds différents peuvent porter des règles différentes, et chaque « serveur » dans l'application de l'utilisateur apporte les siennes — changez de serveur, obtenez ses règles.
Points clés à retenir
- Un inbound = un point d'entrée sur un nœud : camouflage + règles de trafic + le nom que voit l'utilisateur.
- Un même serveur peut héberger plusieurs inbounds à des fins différentes.
- Le blocage des torrents fonctionne sur le serveur et ne peut pas être contourné par le client.
- Tunneling sélectif : trois listes (sites, catégories, pays), modes « tout sauf » / « liste uniquement », livraison automatique aux applications.
- Un inbound sans route est invisible — n'oubliez pas de le rattacher.
Prochaine étape
Un inbound peut être bien plus qu'une simple porte — il peut être une suite de plusieurs serveurs à la suite, où le trafic entre dans un pays et sort dans un autre.
Routes et équilibrage de charge
Ce qu'est une route dans CreateYourVPN, comment en créer une en une minute, pourquoi les routes vides sont utiles, et comment le système répartit les utilisateurs entre les serveurs.
Multihop : chaînes de serveurs
Comment construire un inbound multihop dans CreateYourVPN : le trafic entre sur un serveur et sort d'un autre. Pourquoi le vouloir, comment en créer un, et ce que voit l'utilisateur.