CreateYourVPN Academy
Cours : comment ça marche

Trouver un site de camouflage : le scanner de sous-réseau

Comment le scanner de sous-réseau de CreateYourVPN trouve de vrais sites voisins que vous pouvez imiter (le SNI/DEST de Reality), pourquoi un site proche est le meilleur camouflage, et comment lancer, lire et arrêter un scan.

Dans la leçon sur les inbounds, nous avons choisi un site à imiter — le site HTTPS populaire que votre trafic VPN fait mine de visiter. Ce choix compte plus qu'il n'y paraît, et le panneau dispose d'un outil qui le fait pour vous : le scanner de sous-réseau. Cette leçon explique ce qu'est un bon site de camouflage, pourquoi un voisin de votre propre serveur est généralement le meilleur, et comment le scanner trouve ces voisins automatiquement.

Pourquoi le site de camouflage compte

Chaque inbound tourne sur VLESS + Reality. Reality fait ressembler votre trafic à une visite HTTPS ordinaire vers un vrai site populaire — et il le fait en complétant réellement la première partie d'un vrai handshake TLS avec ce site. Dans le panneau, ce site apparaît comme le champ « Site à utiliser comme masque » ; en mode avancé, il se décompose en paramètres techniques DEST (l'hôte réel dont on « emprunte » le handshake) et SERVER_NAMES (le nom que les applis de vos utilisateurs annoncent, le SNI).

Pour que le déguisement tienne, le site doit satisfaire plusieurs conditions à la fois :

  • Il parle le TLS 1.3 et le HTTP/2 modernes (les sites plus anciens trahissent le handshake).
  • Il est grand et anodin — le trafic vers lui ne ressort pas.
  • Il n'est pas bloqué dans le pays de votre serveur (une « couverture » bloquée ruine tout l'intérêt).
  • Il est rapidement joignable depuis le serveur (le handshake est un vrai trafic réseau).

Pourquoi un voisin est la meilleure couverture

Le dernier point est le plus intéressant. Votre serveur se trouve dans un centre de données, entouré d'autres machines du même sous-réseau — souvent d'autres clients du même hébergeur, faisant tourner des sites parfaitement ordinaires. Se faire passer pour l'un de ces voisins présente deux avantages :

  • La latence est quasi nulle. Le handshake DEST ne quitte jamais le centre de données, donc les connexions s'établissent plus vite.
  • Ça se fond dans la masse. Le trafic de votre serveur vers une machine à un rack de distance est exactement ce qu'un centre de données voit toute la journée.

Le hic : vous ne connaissez pas vos voisins par cœur. C'est précisément à cela que sert le scanner.

Ce que fait le scanner de sous-réseau

Le scanner demande à votre serveur de sonder discrètement son propre voisinage et de rapporter quels voisins feraient de bonnes couvertures Reality.

Le serveur sonde ses voisins réseau — les machines dont les adresses IP sont proches : d'abord son propre sous-réseau, puis un bloc plus large autour de lui (un /20 par défaut).

Pour chaque voisin qui répond, il vérifie le handshake : propose-t-il TLS 1.3 et annonce-t-il HTTP/2 ? Seuls ceux-là se qualifient comme dests Reality.

Les sites confirmés sont rassemblés, dédupliqués et enregistrés pour votre serveur. Le panneau les affiche comme des suggestions prêtes à l'emploi.

Le scan se lance automatiquement la première fois qu'un serveur est configuré, si bien qu'au moment où vous ouvrez le formulaire d'inbound, les suggestions sont généralement déjà là. Vous pouvez aussi le lancer à la main à tout moment.

Le scanner ne fait que lire — il ouvre une connexion normale vers chaque voisin et regarde le handshake TLS, exactement comme le ferait n'importe quel navigateur. Il ne change rien sur ces machines et ne stocke rien d'autre que les noms de domaine confirmés.

Où le trouver

Le même résultat de scan est partagé partout où le site de camouflage est choisi, si bien que les suggestions et la progression en direct restent synchronisées :

  • Dans le formulaire d'inbound, sous le champ « Site à utiliser comme masque » — le bouton « Trouver des sites dans le sous-réseau » et, une fois un scan effectué, des puces rapides avec les domaines trouvés. Cliquez sur une puce pour remplir le champ.
  • Dans la fenêtre du serveur (ouvrez un serveur depuis votre cluster), dans la section « Sites de camouflage (SNI) » — le même scan avec un récapitulatif du nombre de sites trouvés.
  • Sur la carte « en cours » de la page d'accueil — tant qu'un serveur fraîchement ajouté est encore en configuration, la progression du scan s'affiche directement là.

Lire les résultats

Les puces rapides montrent les sites trouvés dans votre sous-réseau, moins ceux que vos inbounds utilisent déjà. Ainsi, à mesure que vous consommez des candidats pour vos inbounds, ils disparaissent de la liste, et un site que vous libérez y revient. Si tous les sites trouvés sont déjà utilisés, le panneau le signale et vous invite à saisir un domaine à la main ou à relancer le scan.

Un voisin est une bonne couverture, pas une couverture magique. Préférez tout de même un candidat qui n'est pas bloqué dans le pays de votre serveur — un site grand et ennuyeux. Si rien de proche ne convient, saisir à la main un site global bien connu (Google, Microsoft, Apple, Cloudflare) reste toujours un repli valable.

Lancer, arrêter et relancer le scan

  • Lancer — appuyez sur « Trouver des sites dans le sous-réseau » (ou « Rescanner » après un passage précédent). Un scan large prend environ une minute ; les résultats apparaissent progressivement à mesure que chaque /24 est vérifié, vous n'avez donc pas à attendre la fin pour choisir un site.
  • Arrêter — assez trouvé ? Appuyez sur « Arrêter ». Le bouton passe à « Arrêt… » pendant que le serveur termine le bloc en cours ; tout ce qui a été trouvé est conservé. Une fois stabilisé, le scan est marqué comme terminé et « Rescanner » apparaît.
  • Rescanner — lance un nouveau scan et rafraîchit la liste des candidats. À utiliser si vous avez déplacé le serveur, ou si le voisinage a pu changer.

Vous pouvez arrêter un scan d'un seul clic — il affichera brièvement « Arrêt… » puis se terminera de lui-même. Inutile d'appuyer deux fois sur Arrêter ni d'attendre avant de lancer un nouveau scan.

À retenir

  • Le site de camouflage (DEST/SNI de Reality) doit être un site grand, non bloqué, en TLS 1.3 + HTTP/2 — et un voisin de votre serveur est généralement le meilleur : rapide et anodin.
  • Le scanner de sous-réseau trouve ces voisins pour vous : il sonde le /24/20 du serveur, garde les sites qualifiés et les propose en suggestions d'un clic.
  • Il se lance automatiquement à la configuration et peut être relancé à tout moment, depuis le formulaire d'inbound, la fenêtre du serveur ou la carte « en cours ».
  • Puces rapides = sites trouvés moins ceux déjà utilisés ; libérez-en un et il revient.
  • Lancez, arrêtez (un clic → « Arrêt… ») et rescannez au besoin — tout ce qui est trouvé est toujours conservé.

La suite

Un inbound peut être plus qu'une simple porte — ce peut être une chaîne de serveurs, où le trafic entre dans un pays et ressort dans un autre. Chaque saut choisit son propre site de camouflage, si bien que le scanner y gagne aussi son utilité.

On this page