CreateYourVPN Academy
Cursus: hoe het werkt

Een maskeersite vinden: de subnetscanner

Hoe de subnetscanner van CreateYourVPN echte buursites vindt waarvoor je je kunt uitgeven (de Reality-SNI/DEST), waarom een nabije site de beste camouflage is, en hoe je een scan start, leest en stopt.

In de les over inbounds kozen we een website om je als voor te doen — de populaire HTTPS-site waarvan je VPN-verkeer een bezoek nabootst. Die keuze doet er meer toe dan het lijkt, en de panel heeft een tool die hem voor je maakt: de subnetscanner. Deze les legt uit wat een goede maskeersite is, waarom een buur van je eigen server meestal de beste is, en hoe de scanner die buren automatisch vindt.

Waarom de maskeersite ertoe doet

Elke inbound draait op VLESS + Reality. Reality laat je verkeer eruitzien als een gewoon HTTPS-bezoek aan een echte, populaire website — en doet dat door daadwerkelijk het eerste deel van een echte TLS-handshake met die site te voltooien. In de panel verschijnt deze site als het veld "Website om je als voor te doen"; in de geavanceerde modus splitst het zich in de technische parameters DEST (de echte host waarvan de handshake wordt "geleend") en SERVER_NAMES (de naam die de apps van je gebruikers aankondigen, de SNI).

Wil de vermomming standhouden, dan moet de site tegelijk aan een paar voorwaarden voldoen:

  • Hij spreekt modern TLS 1.3 en HTTP/2 (oudere sites verraden de handshake).
  • Hij is groot en onopvallend — verkeer ernaartoe valt niet op.
  • Hij is niet geblokkeerd in het land van je server (een geblokkeerde "dekmantel" verpest het hele idee).
  • Hij is snel bereikbaar vanaf de server (de handshake is echt netwerkverkeer).

Waarom een buur de beste dekmantel is

Het laatste punt is het interessante. Je server staat in een datacenter, omringd door andere machines in hetzelfde subnet — vaak andere klanten van dezelfde hostingprovider, die volkomen gewone websites draaien. Je uitgeven voor een van die buren heeft twee voordelen:

  • De latentie is bijna nul. De DEST-handshake verlaat nooit het datacenter, dus verbindingen komen sneller tot stand.
  • Het gaat op in de massa. Verkeer van je server naar een machine een rack verderop is precies wat een datacenter de hele dag ziet.

De valkuil: je kent je buren niet uit je hoofd. Precies daarvoor is de scanner er.

Wat de subnetscanner doet

De scanner vraagt je server om stilletjes zijn eigen buurt af te tasten en terug te melden welke buren goede Reality-dekmantels zouden zijn.

De server test zijn netwerkburen — de machines met nabijgelegen IP-adressen: eerst zijn eigen subnet, daarna een breder blok eromheen (standaard een /20).

Voor elke buur die antwoordt, controleert hij de handshake: biedt hij TLS 1.3 en kondigt hij HTTP/2 aan? Alleen die kwalificeren als Reality-dests.

De bevestigde sites worden verzameld, ontdubbeld en bij je server opgeslagen. De panel toont ze als kant-en-klare suggesties.

De scan draait automatisch de eerste keer dat een server wordt opgezet, dus tegen de tijd dat je het inbound-formulier opent, staan de suggesties er meestal al. Je kunt hem ook op elk moment handmatig starten.

De scanner leest alleen — hij opent een normale verbinding naar elke buur en kijkt naar de TLS-handshake, precies zoals elke browser zou doen. Hij verandert niets op die machines en bewaart niets behalve de bevestigde domeinnamen.

Waar je hem vindt

Hetzelfde scanresultaat wordt overal gedeeld waar de maskeersite wordt gekozen, zodat de suggesties en de live voortgang synchroon blijven:

  • In het inbound-formulier, onder het veld "Website om je als voor te doen" — de knop "Sites in subnet zoeken" en, zodra een scan heeft gedraaid, snelle chips met de gevonden domeinen. Klik op een chip om het veld in te vullen.
  • In het servervenster (open een server vanuit je cluster), in de sectie "Maskeersites (SNI)" — dezelfde scan met een overzicht van hoeveel sites er zijn gevonden.
  • Op de "bezig"-kaart op de startpagina — terwijl een net toegevoegde server nog wordt opgezet, verschijnt de scanvoortgang daar meteen.

De resultaten lezen

De snelle chips tonen de in je subnet gevonden sites, min die welke je inbounds al gebruiken. Naarmate je dus kandidaten aan inbounds besteedt, vallen ze uit de lijst, en een site die je vrijmaakt komt terug. Als elke gevonden site al in gebruik is, zegt de panel dat en nodigt hij je uit om een domein handmatig in te voeren of opnieuw te scannen.

Een buur is een goede dekmantel, geen magische. Geef toch de voorkeur aan een kandidaat die niet geblokkeerd is in het land van je server — een grote, saaie site. Past er niets in de buurt, dan is het handmatig invoeren van een bekende wereldwijde site (Google, Microsoft, Apple, Cloudflare) altijd een geldige terugval.

Starten, stoppen en opnieuw scannen

  • Starten — druk op "Sites in subnet zoeken" (of "Opnieuw scannen" na een vorige ronde). Een brede scan duurt ongeveer een minuut; de resultaten verschijnen geleidelijk terwijl elk /24 wordt gecontroleerd, dus je hoeft niet op het geheel te wachten om een site te kiezen.
  • Stoppen — genoeg gevonden? Druk op "Stoppen". De knop verandert in "Stoppen…" terwijl de server het blok afmaakt waar hij mee bezig is; alles wat tot nu toe is gevonden, blijft bewaard. Als het tot rust komt, wordt de scan als klaar gemarkeerd en verschijnt "Opnieuw scannen".
  • Opnieuw scannen — draait een verse scan en ververst de kandidatenlijst. Gebruik het als je de server hebt verplaatst, of als de buurt kan zijn veranderd.

Je kunt een scan met één klik stoppen — hij toont kort "Stoppen…" en eindigt dan vanzelf. Je hoeft niet twee keer op Stoppen te drukken of te wachten voordat je een nieuwe scan start.

Kernpunten

  • De maskeersite (Reality DEST/SNI) moet een grote, niet-geblokkeerde site met TLS 1.3 + HTTP/2 zijn — en een buur van je server is meestal de beste: snel en onopvallend.
  • De subnetscanner vindt die buren voor je: hij sondeert het /24/20 van de server, houdt de sites over die kwalificeren en biedt ze als suggesties met één klik.
  • Hij draait automatisch bij de opzet en kan op elk moment opnieuw worden uitgevoerd, vanuit het inbound-formulier, het servervenster of de "bezig"-kaart.
  • Snelle chips = gevonden sites min de al gebruikte; maak er een vrij en hij komt terug.
  • Start, stop (één klik → "Stoppen…") en scan opnieuw wanneer nodig — alles wat gevonden is, blijft altijd bewaard.

Hierna

Een inbound kan meer zijn dan één enkele deur — het kan een keten van servers zijn, waar verkeer in het ene land binnenkomt en in een ander weer naar buiten gaat. Elke hop kiest zijn eigen maskeersite, dus de scanner verdient zich ook daar terug.

On this page