CreateYourVPN Academy
Kurs: hvordan alt fungerer

Finne et maskeringsnettsted: subnett-skanneren

Hvordan CreateYourVPN sin subnett-skanner finner ekte nabonettsteder du kan maskere deg som (Reality SNI/DEST), hvorfor et nærliggende nettsted er den beste kamuflasjen, og hvordan du starter, leser og stopper en skanning.

I leksjonen om inbounds valgte vi et nettsted å maskere seg som — det populære HTTPS-nettstedet VPN-trafikken din utgir seg for å være. Det valget betyr mer enn det ser ut til, og panelet har et verktøy som gjør det for deg: subnett-skanneren. Denne leksjonen forklarer hva et godt maskeringsnettsted er, hvorfor en nabo av din egen server som regel er det beste, og hvordan skanneren finner disse naboene automatisk.

Hvorfor maskeringsnettstedet er viktig

Hver inbound kjører på VLESS + Reality. Reality får trafikken din til å se ut som et helt vanlig HTTPS-besøk på et ekte, populært nettsted — og gjør det ved faktisk å fullføre den første delen av et ekte TLS-håndtrykk med det nettstedet. I panelet vises dette nettstedet som feltet "Nettsted å maskere seg som"; i avansert modus deles det opp i de tekniske parametrene DEST (den ekte verten håndtrykket lånes fra) og SERVER_NAMES (navnet som appene til brukerne dine kunngjør, altså SNI).

For at forkledningen skal holde, må nettstedet oppfylle flere vilkår på én gang:

  • Det snakker moderne TLS 1.3 og HTTP/2 (eldre nettsteder røper håndtrykket).
  • Det er stort og upåfallende — trafikk til det skiller seg ikke ut.
  • Det er ikke blokkert i serverens land (et blokkert "dekke" ødelegger hele poenget).
  • Det er raskt tilgjengelig fra serveren (håndtrykket er ekte nettverkstrafikk).

Hvorfor en nabo er det beste dekket

Det siste punktet er det interessante. Serveren din står i et datasenter, omgitt av andre maskiner i samme subnett — ofte andre kunder hos den samme vertsleverandøren, som kjører helt vanlige nettsteder. Å maskere seg som en av disse naboene har to fordeler:

  • Forsinkelsen er nær null. DEST-håndtrykket forlater aldri datasenteret, så tilkoblinger opprettes raskere.
  • Det går i ett med mengden. Trafikk fra serveren din til en maskin ett stativ unna er akkurat det et datasenter ser hele dagen.

Haken: du kan ikke naboene dine utenat. Det er nettopp det skanneren er til for.

Hva subnett-skanneren gjør

Skanneren ber serveren din om stille og rolig å sondere sitt eget nabolag og rapportere tilbake hvilke naboer som ville egne seg som gode Reality-dekker.

Serveren sonderer nabolaget sitt på nettverket — maskinene med nærliggende IP-adresser: først sitt eget subnett, deretter en bredere blokk rundt seg (som standard et /20).

For hver nabo som svarer, sjekker den håndtrykket: tilbyr den TLS 1.3 og annonserer HTTP/2? Bare disse kvalifiserer som Reality-dest.

De bekreftede nettstedene samles inn, dubletter fjernes, og de lagres på serveren din. Panelet viser dem som klare-til-bruk-forslag.

Skanningen kjører automatisk første gang en server settes opp, så når du åpner inbound-skjemaet er forslagene som regel allerede der. Du kan også kjøre den for hånd når som helst.

Skanneren bare leser — den åpner en vanlig tilkobling til hver nabo og ser på TLS-håndtrykket, akkurat slik enhver nettleser ville gjort. Den endrer ingenting på de maskinene og lagrer ingenting annet enn domenenavnene den bekreftet.

Hvor du finner den

Det samme skanneresultatet deles overalt der maskeringsnettstedet velges, så forslagene og sanntidsforløpet holdes synkronisert:

  • I inbound-skjemaet, under feltet "Nettsted å maskere seg som" — knappen "Finn nettsteder i subnettet" og, når en skanning har kjørt, raske brikker med domenene som ble funnet. Klikk på en brikke for å fylle ut feltet.
  • I serverens modal (åpne en server fra klyngen din), i seksjonen "Maskeringsnettsteder (SNI)" — den samme skanningen med et sammendrag av hvor mange nettsteder som ble funnet.
  • På "pågår"-kortet på hjemmesiden — mens en nettopp lagt til server fortsatt settes opp, vises skanneforløpet rett der.

Å lese resultatene

Hurtigbrikkene viser nettstedene som er funnet i subnettet ditt, minus dem inboundene dine allerede bruker. Så etter hvert som du bruker kandidater på inbounds, faller de av listen, og et nettsted du frigjør kommer tilbake. Hvis alle funne nettsteder allerede er i bruk, sier panelet fra og inviterer deg til å skrive inn et domene for hånd eller skanne på nytt.

En nabo er et godt dekke, ikke et magisk et. Foretrekk likevel en kandidat som ikke er blokkert i serverens land — et stort, kjedelig nettsted. Hvis ingenting i nærheten passer, er det alltid et gyldig reservevalg å skrive inn et velkjent globalt nettsted for hånd (Google, Microsoft, Apple, Cloudflare).

Starte, stoppe og skanne på nytt

  • Start — trykk på "Finn nettsteder i subnettet" (eller "Skann på nytt" etter en tidligere kjøring). En bred skanning tar omtrent ett minutt; resultatene dukker opp gradvis etter hvert som hvert /24 sjekkes, så du trenger ikke vente på hele den for å velge et nettsted.
  • Stopp — funnet nok? Trykk på "Stopp". Knappen endres til "Stopper…" mens serveren fullfører delen den holder på med; alt som er funnet så langt beholdes. Når det roer seg, merkes skanningen som ferdig og "Skann på nytt" dukker opp.
  • Skann på nytt — kjører en ny skanning og oppdaterer kandidatlisten. Bruk den hvis du har flyttet serveren, eller hvis nabolaget kan ha endret seg.

Du kan stoppe en skanning med ett enkelt klikk — den viser "Stopper…" en kort stund og avslutter så av seg selv. Det er ingen grunn til å trykke Stopp to ganger eller vente før du starter en ny skanning.

Viktigste å ta med seg

  • Maskeringsnettstedet (Reality DEST/SNI) må være et stort, ublokkert TLS 1.3 + HTTP/2-nettsted — og en nabo av serveren din er som regel det beste: raskt og upåfallende.
  • Subnett-skanneren finner disse naboene for deg: den sonderer serverens /24/20, beholder nettstedene som kvalifiserer, og tilbyr dem som forslag med ett klikk.
  • Den kjører automatisk ved oppsett og kan kjøres på nytt når som helst, fra inbound-skjemaet, servermodalen eller pågår-kortet.
  • Hurtigbrikker = funne nettsteder minus dem som allerede brukes; frigjør ett, så kommer det tilbake.
  • Start, stopp (ett klikk → "Stopper…") og skann på nytt etter behov — alt som er funnet beholdes alltid.

Videre

En inbound kan være mer enn én enkelt dør — den kan være en kjede av servere, der trafikk kommer inn i ett land og går ut i et annet. Hvert hopp velger sitt eget maskeringsnettsted, så skanneren gjør nytte for seg der også.

On this page