CreateYourVPN Academy
Kurs: jak to działa

Inboundy i podzielone tunelowanie

Czym jest inbound w CreateYourVPN: podszywanie się pod stronę internetową, blokowanie torrentów i podzielone tunelowanie — który ruch idzie przez VPN, a który bezpośrednio.

„Inbound” to najbardziej techniczne słowo w panelu, ale kryjąca się za nim idea jest prosta: to skonfigurowany punkt wejścia do Twojego VPN na konkretnym serwerze. W lekcji o terminologii porównaliśmy inboundy do drzwi budynku — teraz zobaczmy, z czego takie drzwi się składają i jakie mają ustawienia.

Czym jest inbound

Gdy aplikacja użytkownika łączy się z Twoim serwerem, nie puka do „serwera w ogóle” — puka do konkretnego inboundu i otrzymuje dokładnie te reguły, które ustawiłeś w tym inboundzie: pod jaką stronę się podszyć, czy odcinać torrenty, jaki ruch wysłać obok VPN.

Jeden węzeł roboczy może hostować kilka inboundów z różnymi ustawieniami. Na przykład:

  • „🇩🇪 Niemcy” — zwykły inbound dla wszystkich;
  • „🇩🇪 Niemcy · bez torrentów” — to samo, ale z blokowaniem BitTorrent;
  • „🇩🇪 Niemcy · tylko zablokowane strony” — przez niego idą tylko strony niedostępne bez VPN.

Każdy inbound działa na protokole VLESS + Reality — tym samym, dzięki któremu ruch VPN wygląda jak zwykłe odwiedziny popularnej strony przez HTTPS.

Nazwa inboundu to to, co użytkownik widzi w swojej aplikacji jako nazwę serwera. Nazywaj je jasno: kraj + miasto albo przeznaczenie („🇫🇮 Finlandia”, „🎬 Streaming”).

Tworzenie inboundu

Na stronie klastra kliknij „Nowy inbound”. W formularzu:

  1. Protokół — VLESS + Reality (jedyny i zalecany).
  2. Serwer — na którym węźle roboczym uruchomić punkt wejścia. Inboundy żyją wyłącznie na podłączonych node'ach — nie możesz utworzyć inboundu na „czystym” masterze.
  3. Nazwa — ta sama nazwa dla Twoich użytkowników, wraz z flagą.
  4. Strona do maskowania — pod jaką stronę podszywa się ruch. Wybierz dużą stronę HTTPS, która bez zarzutu działa w kraju danego serwera: Google/Microsoft/Apple dla Europy i USA, Yandex albo VK dla Rosji. W trybie zaawansowanym panelu możesz ręcznie dostroić parametry (DEST, SERVER_NAMES, FINGERPRINT) — ale większość osób nigdy tego nie potrzebuje.
  5. Podzielone tunelowanie i Blokuj torrenty — omówione poniżej.
  6. Trasa — do której trasy przypiąć nowy punkt wejścia (możesz wybrać „Bez trasy” i przypiąć go później — ale pamiętaj z lekcji 4: inbound poza trasą jest niewidoczny dla użytkowników).

Pierwszy inbound klastra jest automatycznie przypinany do domyślnej trasy — dzięki temu subskrypcja działa od razu. Wszystkie kolejne przypinasz sam: w momencie tworzenia, z inspektora (akcja „Dodaj do trasy”) albo przeciągając je na diagramie.

Blokowanie torrentów

Przełącznik „Blokuj torrenty” odcina ruch BitTorrent bezpośrednio na serwerze. To ma znaczenie: blokada działa nawet jeśli użytkownik wyłączy wszystkie reguły w swojej aplikacji — nie da się jej obejść, edytując konfigurację. Jest domyślnie włączona dla nowych inboundów: torrenty na VPS to częste źródło skarg od dostawców hostingu.

Podzielone tunelowanie

Podzielone tunelowanie odpowiada na pytanie: który ruch idzie przez VPN, a który bezpośrednio? Reguły ustawiasz raz w inboundzie, a są one automatycznie dostarczane do aplikacji użytkowników — nie muszą niczego konfigurować.

Klasyczne scenariusze:

  • Wszystko oprócz lokalnych. Bank, usługi rządowe i lokalne strony idą bezpośrednio (nie lubią zagranicznych adresów); reszta przez VPN.
  • Tylko lista. Przez VPN idą tylko zablokowane strony; reszta bezpośrednio, bez utraty prędkości.

Trzy listy reguł

Sekcja „Podzielone tunelowanie” ma trzy niezależne bloki:

BlokCo opisujePrzykłady
WitrynyKonkretne strony i strefy domenoweexample.com (łącznie z subdomenami), *.ru (cała strefa)
GeoSiteGotowe kategorie usługgoogle, netflix, telegram, category-ads-all (reklamy)
GeoIPCałe kraje i sieci według IPru, cn, private (sieć lokalna), 10.0.0.0/8

Każdy blok ma tryb:

  • „Wszystko przez VPN” — blok jest wyłączony;
  • „Wszystko poza listą” — pozycje z listy idą bezpośrednio, z pominięciem VPN; reszta przez VPN;
  • „Tylko lista” — przez VPN idą tylko pozycje z listy; reszta bezpośrednio.

Listy wypełnia się „chipami”: wklej domeny oddzielone przecinkami lub nowymi liniami; GeoSite i GeoIP mają gotowe presety jednym kliknięciem.

Trybów „Wszystko poza listą” i „Tylko lista” nie da się połączyć w jednym inboundzie — ustawiają przeciwne zachowanie dla „całej reszty” ruchu. Panel po prostu nie pozwoli Ci wybrać sprzecznej kombinacji.

Jak reguły docierają do użytkownika

Reguły są dodawane do subskrypcji i egzekwowane w aplikacji użytkownika. Wszystkie polecane aplikacje (Happ, v2rayN/v2rayNG, Streisand, V2Box) otrzymują je automatycznie; routery też są wspierane — OpenWRT i Keenetic. A jeśli użytkownik zaimportuje subskrypcję do jakiejś egzotycznej aplikacji, która nie rozumie reguł, VPN dalej działa — cały ruch po prostu idzie przez tunel.

Jeden szczegół zostały już za Ciebie obsłużony: różne inboundy mogą mieć różne reguły, a każdy „serwer” w aplikacji użytkownika przynosi własne — przełącz się na inny serwer, otrzymasz jego reguły.

Kluczowe wnioski

  • Inbound = punkt wejścia na node'ie: maskowanie + reguły ruchu + nazwa widziana przez użytkownika.
  • Jeden serwer może hostować kilka inboundów o różnym przeznaczeniu.
  • Blokowanie torrentów działa na serwerze i nie da się go obejść po stronie klienta.
  • Podzielone tunelowanie: trzy listy (strony, kategorie, kraje), tryby „wszystko poza” / „tylko lista”, automatyczne dostarczanie do aplikacji.
  • Inbound bez trasy jest niewidoczny — nie zapomnij go przypiąć.

Co dalej

Inbound może być czymś więcej niż zwykłymi drzwiami — może być zestawem kilku serwerów w rzędzie, gdzie ruch wchodzi w jednym kraju, a wychodzi w innym.

On this page