Álcázó webhely keresése: az alhálózati szkenner
Hogyan találja meg a CreateYourVPN alhálózati szkennere a valódi szomszéd webhelyeket, amelyeknek álcázhatod magad (a Reality SNI/DEST), miért a legjobb álca egy közeli oldal, és hogyan indítasz, olvasol és állítasz le egy vizsgálatot.
Az inboundokról szóló leckében kiválasztottunk egy weboldalt az álcázáshoz — azt a népszerű HTTPS-oldalt, amelynek a VPN-forgalmad kiadja magát. Ez a választás fontosabb, mint amilyennek látszik, és a panelben van egy eszköz, amely helyetted meghozza: az alhálózati szkenner. Ez a lecke elmagyarázza, mi egy jó álcázó webhely, miért általában a saját szervered szomszédja a legjobb, és hogyan találja meg a szkenner ezeket a szomszédokat automatikusan.
Miért számít az álcázó webhely
Minden inbound a VLESS + Reality protokollon fut. A Reality úgy állítja be a forgalmadat, hogy egy valódi, népszerű webhely szokásos HTTPS-látogatásának tűnjön — és ezt úgy éri el, hogy ténylegesen befejezi egy valódi TLS-kézfogás első részét azzal az oldallal. A panelben ez a webhely a „Weboldal az álcázáshoz” mezőként jelenik meg; haladó módban két technikai paraméterre bomlik: DEST (a valódi kiszolgáló, amelytől a kézfogást „kölcsönveszi”) és SERVER_NAMES (a név, amelyet a felhasználóid alkalmazásai bejelentenek, azaz az SNI).
Hogy az álca kitartson, a webhelynek egyszerre több feltételnek kell megfelelnie:
- Modern TLS 1.3 és HTTP/2 protokollt beszél (a régebbi oldalak elárulják a kézfogást).
- Nagy és feltűnésmentes — a felé irányuló forgalom nem lóg ki.
- Nincs blokkolva a szervered országában (egy blokkolt „fedősztori” az egész értelmét lerontja).
- Gyorsan elérhető a szerverről (a kézfogás valódi hálózati forgalom).
Miért a szomszéd a legjobb fedezék
Az utolsó pont az érdekes. A szervered egy adatközpontban áll, ugyanazon alhálózat többi gépével körülvéve — gyakran ugyanannak a tárhelyszolgáltatónak a többi ügyfele, akik teljesen hétköznapi webhelyeket futtatnak. Ha egy ilyen szomszédnak álcázod magad, annak két előnye van:
- A késleltetés majdnem nulla. A DEST-kézfogás soha nem hagyja el az adatközpontot, így a kapcsolatok gyorsabban épülnek fel.
- Beleolvad a környezetbe. A szervered és egy raknyi távolságra lévő gép közötti forgalom pontosan az, amit egy adatközpont egész nap lát.
A bökkenő: nem ismered fejből a szomszédaidat. Éppen ezért van a szkenner.
Mit csinál az alhálózati szkenner
A szkenner arra kéri a szervered, hogy csendben tapogassa le a saját környékét, és jelentse vissza, mely szomszédok lennének jó Reality-fedezékek.
A szerver letapogatja a hálózati szomszédait — a közeli IP-címekkel rendelkező gépeket: először a saját alhálózatát, majd egy tágabb blokkot körülötte (alapértelmezés szerint egy /20-ast).
Minden válaszoló szomszédnál ellenőrzi a kézfogást: kínál-e TLS 1.3-at, és hirdet-e HTTP/2-t? Csak ezek felelnek meg Reality-destként.
A megerősített webhelyeket összegyűjti, deduplikálja, és a szervered mellé menti. A panel készen használható javaslatokként mutatja őket.
A vizsgálat automatikusan lefut, amikor egy szervert először beállítanak, így mire megnyitod az inbound-űrlapot, a javaslatok általában már ott vannak. Kézzel is bármikor futtathatod.
A szkenner csak olvas — normál kapcsolatot nyit minden szomszédhoz, és megnézi a TLS-kézfogást, pontosan úgy, ahogy bármelyik böngésző tenné. Semmit sem változtat azokon a gépeken, és semmit sem tárol a megerősített domainneveken kívül.
Hol találod
Ugyanaz a vizsgálati eredmény megosztott mindenhol, ahol az álcázó webhelyet választják, így a javaslatok és az élő folyamat szinkronban maradnak:
- Az inbound-űrlapon, a „Weboldal az álcázáshoz” mező alatt — a „Webhelyek keresése az alhálózatban” gomb, és miután egy vizsgálat lefutott, gyors chipek a megtalált domainekkel. Kattints egy chipre a mező kitöltéséhez.
- A szerver ablakában (nyiss meg egy szervert a fürtödből), a „Álcázó webhelyek (SNI)” szakaszban — ugyanaz a vizsgálat, összefoglalóval arról, hány webhelyet talált.
- A kezdőlap „folyamatban” kártyáján — amíg egy frissen hozzáadott szerver még beállítás alatt áll, a vizsgálat folyamata rögtön ott látszik.
Az eredmények olvasása
A gyors chipek az alhálózatodban megtalált webhelyeket mutatják, mínusz azokat, amelyeket az inboundjaid már használnak. Ahogy tehát jelölteket költesz el inboundokra, azok lekerülnek a listáról, és egy felszabadított webhely visszatér. Ha minden megtalált webhely már használatban van, a panel ezt jelzi, és felkínálja, hogy kézzel adj meg egy domaint, vagy vizsgálj újra.
A szomszéd jó fedezék, de nem varázslat. Mégis részesítsd előnyben azt a jelöltet, amely nincs blokkolva a szervered országában — egy nagy, unalmas oldalt. Ha a közelben semmi sem felel meg, egy ismert globális webhely kézi megadása (Google, Microsoft, Apple, Cloudflare) mindig érvényes tartalék megoldás.
Indítás, leállítás és újravizsgálat
- Indítás — nyomd meg a „Webhelyek keresése az alhálózatban” gombot (vagy az „Újravizsgálat”-ot egy korábbi futás után). Egy széles vizsgálat körülbelül egy percig tart; az eredmények fokozatosan jelennek meg, ahogy minden
/24-et ellenőriz, így nem kell megvárnod az egészet ahhoz, hogy webhelyet válassz. - Leállítás — találtál eleget? Nyomd meg a „Leállítás”-t. A gomb „Leállítás…”-ra vált, amíg a szerver befejezi az éppen feldolgozott darabot; minden eddig megtalált megmarad. Amikor minden elrendeződik, a vizsgálat késznek jelölődik, és megjelenik az „Újravizsgálat”.
- Újravizsgálat — friss vizsgálatot futtat, és frissíti a jelöltlistát. Használd, ha áthelyezted a szervert, vagy ha a környék megváltozhatott.
Egy vizsgálatot egyetlen kattintással leállíthatsz — rövid ideig „Leállítás…”-t mutat, majd magától befejeződik. Nem kell kétszer megnyomni a Leállítást, sem várni egy új vizsgálat indítása előtt.
A lényeg
- Az álcázó webhelynek (Reality DEST/SNI) egy nagy, nem blokkolt TLS 1.3 + HTTP/2 oldalnak kell lennie — és a szervered egy szomszédja általában a legjobb: gyors és feltűnésmentes.
- Az alhálózati szkenner helyetted megtalálja ezeket a szomszédokat: letapogatja a szerver
/24–/20tartományát, megtartja a megfelelő webhelyeket, és egykattintásos javaslatokként kínálja fel őket. - Automatikusan lefut a beállításkor, és bármikor újrafuttatható az inbound-űrlapról, a szerver ablakából vagy a folyamatban kártyáról.
- Gyors chipek = megtalált webhelyek mínusz a már használtak; szabadíts fel egyet, és visszatér.
- Indíts, állíts le (egy kattintás → „Leállítás…”) és vizsgálj újra szükség szerint — minden megtalált mindig megmarad.
Következik
Egy inbound több lehet egyetlen ajtónál — lehet egy szerverlánc, ahol a forgalom az egyik országban lép be, és egy másikban lép ki. Minden ugrás a saját álcázó webhelyét választja, így a szkenner ott is megéri.
Inboundok és osztott alagút
Mi az inbound a CreateYourVPN-ben: weboldalnak álcázás, torrent- és reklámblokkolás, osztott alagút — melyik forgalom megy a VPN-en át, és melyik közvetlenül.
Multihop: szerverláncok
Hogyan építs multihop inboundot a CreateYourVPN-ben: a forgalom az egyik szerveren lép be, és egy másikból lép ki. Miért van rá szükséged, hogyan hozd létre, és mit lát a felhasználó.