CreateYourVPN Academy
Corso: come funziona

Inbound e split tunneling

Cos'è un inbound in CreateYourVPN: mascheramento come sito web, blocco dei torrent e split tunneling — quale traffico passa attraverso la VPN e quale va diretto.

"Inbound" è la parola più tecnica del pannello, ma l'idea dietro di essa è semplice: è un punto di ingresso configurato nella tua VPN su un server specifico. Nella lezione sulla terminologia abbiamo paragonato gli inbound alle porte di un edificio — ora vediamo di cosa è fatta una porta simile e quali sono le sue impostazioni.

Cos'è un inbound

Quando l'app di un utente si connette al tuo server, non bussa "al server in generale" — bussa a uno specifico inbound, e ottiene esattamente le regole che hai impostato in quell'inbound: quale sito web mascherare, se tagliare i torrent, quale traffico instradare intorno alla VPN.

Un singolo nodo worker può ospitare diversi inbound con impostazioni diverse. Per esempio:

  • "🇩🇪 Germania" — un inbound normale per tutti;
  • "🇩🇪 Germania · niente torrent" — lo stesso, ma con blocco di BitTorrent;
  • "🇩🇪 Germania · solo siti bloccati" — solo i siti irraggiungibili senza VPN passano attraverso di esso.

Ogni inbound gira sul protocollo VLESS + Reality — proprio quello che fa apparire il traffico VPN come normali visite HTTPS a un sito popolare.

Il nome dell'inbound è ciò che l'utente vede nella sua app come nome del server. Assegna nomi chiari: paese + città o scopo ("🇫🇮 Finlandia", "🎬 Streaming").

Creare un inbound

Nella pagina del cluster, clicca su "Nuovo inbound". Nel modulo:

  1. Protocollo — VLESS + Reality (l'unico, e quello consigliato).
  2. Server — su quale nodo worker attivare il punto di ingresso. Gli inbound vivono solo su nodi connessi — non puoi creare un inbound su un master "puro".
  3. Nome — proprio quel nome per i tuoi utenti, bandiera inclusa.
  4. Sito da imitare — quale sito il traffico si maschera come. Scegli un grande sito HTTPS che funzioni perfettamente nel paese del server: Google/Microsoft/Apple per Europa e Stati Uniti, Yandex o VK per la Russia. Nella modalità avanzata del pannello puoi regolare a mano i parametri (DEST, SERVER_NAMES, FINGERPRINT) — ma quasi nessuno ne ha mai bisogno.
  5. Split tunneling e Blocca i torrent — trattati sotto.
  6. Route — a quale route collegare il nuovo punto di ingresso (puoi scegliere "Nessuna route" e collegarlo dopo — ma ricorda dalla lezione 4: un inbound fuori da una route è invisibile agli utenti).

Il primo inbound del cluster viene collegato automaticamente alla route predefinita — così l'abbonamento funziona subito. Tutti i successivi li colleghi tu: alla creazione, dall'inspector (azione "Aggiungi a route"), o trascinandoli sul diagramma.

Blocco dei torrent

Il toggle "Blocca i torrent" taglia il traffico BitTorrent direttamente sul server. Questo è importante: il blocco funziona anche se l'utente disabilita tutte le regole nella sua app — non può essere aggirato modificando la configurazione. È attivo per impostazione predefinita sui nuovi inbound: i torrent su un VPS sono una causa comune di lamentele da parte dei provider di hosting.

Split tunneling

Lo split tunneling risponde alla domanda: quale traffico passa attraverso la VPN, e quale va diretto? Imposti le regole una volta sull'inbound, e vengono consegnate automaticamente alle app degli utenti — gli utenti non devono configurare nulla.

Gli scenari classici:

  • Tutto tranne il locale. La banca, i servizi governativi e i siti locali vanno diretti (non gradiscono indirizzi esteri); tutto il resto passa attraverso la VPN.
  • Solo elenco. Solo i siti bloccati passano attraverso la VPN; tutto il resto va diretto, senza perdita di velocità.

Tre elenchi di regole

La sezione "Split tunneling" ha tre blocchi indipendenti:

BloccoCosa descriveEsempi
Siti webSiti specifici e zone di dominioexample.com (inclusi i sottodomini), *.ru (l'intera zona)
GeoSiteCategorie di servizi pronte all'usogoogle, netflix, telegram, category-ads-all (pubblicità)
GeoIPInteri paesi e reti per IPru, cn, private (rete locale), 10.0.0.0/8

Ogni blocco riceve una modalità:

  • "Tutto via VPN" — il blocco è disattivato;
  • "Tutto tranne la lista" — gli elementi in elenco vanno direttamente, bypassando la VPN; tutto il resto passa attraverso la VPN;
  • "Solo la lista" — solo gli elementi in elenco passano attraverso la VPN; tutto il resto va diretto.

Gli elenchi si compilano con dei "chip": incolla domini separati da virgole o nuove righe; GeoSite e GeoIP hanno preset con un clic.

Le modalità "Tutto tranne la lista" e "Solo la lista" non possono essere mischiate in un unico inbound — impostano comportamenti opposti per "tutto il resto" del traffico. Il pannello semplicemente non ti lascerà scegliere una combinazione in conflitto.

Come le regole arrivano all'utente

Le regole vengono aggiunte all'abbonamento e applicate nell'app dell'utente. Tutte le app consigliate (Happ, v2rayN/v2rayNG, Streisand, V2Box) le ricevono automaticamente; anche i router sono supportati — OpenWRT e Keenetic. E se un utente importa l'abbonamento in qualche app esotica che non capisce le regole, la VPN continua a funzionare — tutto il traffico passa semplicemente attraverso il tunnel.

Un dettaglio è già stato gestito per te: inbound diversi possono portare regole diverse, e ogni "server" nell'app dell'utente porta le proprie — passa a un altro server, ottieni le sue regole.

Punti chiave

  • Un inbound = un punto di ingresso su un nodo: mascheramento + regole di traffico + il nome che vede l'utente.
  • Un server può ospitare diversi inbound per scopi diversi.
  • Il blocco dei torrent funziona sul server e non può essere aggirato dal client.
  • Split tunneling: tre elenchi (siti, categorie, paesi), modalità "tutto tranne" / "solo lista", consegna automatica alle app.
  • Un inbound senza route è invisibile — non dimenticare di collegarlo.

Prossima lezione

Un inbound può essere qualcosa di più di una semplice porta — può essere una suite di più server in fila, dove il traffico entra in un paese ed esce da un altro.

On this page