CreateYourVPN Academy
Cours : comment ça marche

Inbounds et tunneling sélectif

Ce qu'est un inbound dans CreateYourVPN : le camouflage en site web, le blocage des torrents, et le tunneling sélectif — quel trafic passe par le VPN et lequel passe en direct.

« Inbound » est le mot le plus technique du panneau, mais l'idée derrière est simple : c'est un point d'entrée configuré dans votre VPN sur un serveur précis. Dans la leçon sur la terminologie, nous avons comparé les inbounds aux portes d'un bâtiment — voyons maintenant de quoi une telle porte est faite et quels sont ses réglages.

Ce qu'est un inbound

Quand l'application d'un utilisateur se connecte à votre serveur, elle ne frappe pas à « la porte du serveur en général » — elle frappe à un inbound précis, et reçoit exactement les règles que vous avez définies dans cet inbound : quel site imiter, s'il faut couper les torrents, quel trafic envoyer en dehors du VPN.

Un même nœud worker peut héberger plusieurs inbounds avec des réglages différents. Par exemple :

  • « 🇩🇪 Allemagne » — un inbound classique pour tout le monde ;
  • « 🇩🇪 Allemagne · sans torrents » — le même, mais avec blocage de BitTorrent ;
  • « 🇩🇪 Allemagne · sites bloqués uniquement » — seuls les sites inaccessibles sans VPN y passent.

Chaque inbound fonctionne sur le protocole VLESS + Reality — celui-là même qui fait ressembler le trafic VPN à de simples visites HTTPS sur un site populaire.

Le nom de l'inbound est ce que l'utilisateur voit dans son application comme nom du serveur. Nommez-les clairement : pays + ville, ou usage (« 🇫🇮 Finlande », « 🎬 Streaming »).

Créer un inbound

Sur la page du cluster, cliquez sur « Nouvel inbound ». Dans le formulaire :

  1. Protocole — VLESS + Reality (le seul, et le recommandé).
  2. Serveur — sur quel nœud worker faire fonctionner le point d'entrée. Les inbounds ne vivent que sur des nœuds connectés — vous ne pouvez pas créer un inbound sur un master « pur ».
  3. Nom — ce nom même pour vos utilisateurs, drapeau inclus.
  4. Site à utiliser comme masque — quel site le trafic imite. Choisissez un grand site HTTPS qui fonctionne parfaitement dans le pays du serveur : Google/Microsoft/Apple pour l'Europe et les États-Unis, Yandex ou VK pour la Russie. Dans le mode avancé du panneau, vous pouvez régler finement les paramètres à la main (DEST, SERVER_NAMES, FINGERPRINT) — mais la plupart des gens n'en ont jamais besoin.
  5. Tunneling sélectif et Bloquer les torrents — traités ci-dessous.
  6. Route — à quelle route rattacher le nouveau point d'entrée (vous pouvez choisir « Aucune route » et la rattacher plus tard — mais rappelez-vous de la leçon 4 : un inbound en dehors d'une route est invisible pour les utilisateurs).

Le premier inbound d'un cluster est rattaché automatiquement à la route par défaut — pour que l'abonnement fonctionne immédiatement. Tous les suivants, vous les rattachez vous-même : à la création, depuis l'inspecteur (l'action « Ajouter à la route »), ou en les glissant sur le diagramme.

Blocage des torrents

Le commutateur « Bloquer les torrents » coupe le trafic BitTorrent directement sur le serveur. Cela compte : le blocage fonctionne même si l'utilisateur désactive toutes les règles dans son application — il ne peut pas être contourné en modifiant la configuration. Il est activé par défaut pour les nouveaux inbounds : les torrents sur un VPS sont une source fréquente de plaintes de la part des hébergeurs.

Tunneling sélectif

Le tunneling sélectif répond à la question : quel trafic passe par le VPN, et lequel passe en direct ? Vous définissez les règles une seule fois dans l'inbound, et elles sont transmises automatiquement aux applications des utilisateurs — ceux-ci n'ont rien à configurer.

Les scénarios classiques :

  • Tout sauf le local. La banque, les services gouvernementaux et les sites locaux passent en direct (ils n'aiment pas les adresses étrangères) ; tout le reste passe par le VPN.
  • Liste uniquement. Seuls les sites bloqués passent par le VPN ; tout le reste passe en direct, sans perte de vitesse.

Trois listes de règles

La section « Tunneling sélectif » comporte trois blocs indépendants :

BlocCe qu'il décritExemples
Sites webDes sites précis et des zones de domaineexample.com (sous-domaines inclus), *.ru (toute la zone)
GeoSiteDes catégories de services prêtes à l'emploigoogle, netflix, telegram, category-ads-all (publicités)
GeoIPDes pays entiers et des réseaux par IPru, cn, private (réseau local), 10.0.0.0/8

Chaque bloc a un mode :

  • « Tout via VPN » — le bloc est désactivé ;
  • « Tout sauf la liste » — les éléments de la liste passent en direct, en contournant le VPN ; tout le reste passe par le VPN ;
  • « Uniquement la liste » — seuls les éléments de la liste passent par le VPN ; tout le reste passe en direct.

Les listes se remplissent avec des « chips » : collez des domaines séparés par des virgules ou des sauts de ligne ; GeoSite et GeoIP disposent de préréglages en un clic.

Les modes « Tout sauf la liste » et « Uniquement la liste » ne peuvent pas être combinés au sein d'un même inbound — ils définissent des comportements opposés pour « tout le reste » du trafic. Le panneau ne vous laissera tout simplement pas choisir une combinaison contradictoire.

Comment les règles parviennent à l'utilisateur

Les règles sont ajoutées à l'abonnement et appliquées dans l'application de l'utilisateur. Toutes les applications recommandées (Happ, v2rayN/v2rayNG, Streisand, V2Box) les reçoivent automatiquement ; les routeurs sont pris en charge aussi — OpenWRT et Keenetic. Et si un utilisateur importe l'abonnement dans une application exotique qui ne comprend pas ces règles, le VPN continue de fonctionner — tout le trafic passe simplement par le tunnel.

Une subtilité a été gérée pour vous : des inbounds différents peuvent porter des règles différentes, et chaque « serveur » dans l'application de l'utilisateur apporte les siennes — changez de serveur, obtenez ses règles.

Points clés à retenir

  • Un inbound = un point d'entrée sur un nœud : camouflage + règles de trafic + le nom que voit l'utilisateur.
  • Un même serveur peut héberger plusieurs inbounds à des fins différentes.
  • Le blocage des torrents fonctionne sur le serveur et ne peut pas être contourné par le client.
  • Tunneling sélectif : trois listes (sites, catégories, pays), modes « tout sauf » / « liste uniquement », livraison automatique aux applications.
  • Un inbound sans route est invisible — n'oubliez pas de le rattacher.

Prochaine étape

Un inbound peut être bien plus qu'une simple porte — il peut être une suite de plusieurs serveurs à la suite, où le trafic entre dans un pays et sort dans un autre.

On this page