Inboundy i podzielone tunelowanie
Czym jest inbound w CreateYourVPN: podszywanie się pod stronę internetową, blokowanie torrentów i podzielone tunelowanie — który ruch idzie przez VPN, a który bezpośrednio.
„Inbound” to najbardziej techniczne słowo w panelu, ale kryjąca się za nim idea jest prosta: to skonfigurowany punkt wejścia do Twojego VPN na konkretnym serwerze. W lekcji o terminologii porównaliśmy inboundy do drzwi budynku — teraz zobaczmy, z czego takie drzwi się składają i jakie mają ustawienia.
Czym jest inbound
Gdy aplikacja użytkownika łączy się z Twoim serwerem, nie puka do „serwera w ogóle” — puka do konkretnego inboundu i otrzymuje dokładnie te reguły, które ustawiłeś w tym inboundzie: pod jaką stronę się podszyć, czy odcinać torrenty, jaki ruch wysłać obok VPN.
Jeden węzeł roboczy może hostować kilka inboundów z różnymi ustawieniami. Na przykład:
- „🇩🇪 Niemcy” — zwykły inbound dla wszystkich;
- „🇩🇪 Niemcy · bez torrentów” — to samo, ale z blokowaniem BitTorrent;
- „🇩🇪 Niemcy · tylko zablokowane strony” — przez niego idą tylko strony niedostępne bez VPN.
Każdy inbound działa na protokole VLESS + Reality — tym samym, dzięki któremu ruch VPN wygląda jak zwykłe odwiedziny popularnej strony przez HTTPS.
Nazwa inboundu to to, co użytkownik widzi w swojej aplikacji jako nazwę serwera. Nazywaj je jasno: kraj + miasto albo przeznaczenie („🇫🇮 Finlandia”, „🎬 Streaming”).
Tworzenie inboundu
Na stronie klastra kliknij „Nowy inbound”. W formularzu:
- Protokół — VLESS + Reality (jedyny i zalecany).
- Serwer — na którym węźle roboczym uruchomić punkt wejścia. Inboundy żyją wyłącznie na podłączonych node'ach — nie możesz utworzyć inboundu na „czystym” masterze.
- Nazwa — ta sama nazwa dla Twoich użytkowników, wraz z flagą.
- Strona do maskowania — pod jaką stronę podszywa się ruch. Wybierz dużą stronę HTTPS, która bez zarzutu działa w kraju danego serwera: Google/Microsoft/Apple dla Europy i USA, Yandex albo VK dla Rosji. W trybie zaawansowanym panelu możesz ręcznie dostroić parametry (DEST, SERVER_NAMES, FINGERPRINT) — ale większość osób nigdy tego nie potrzebuje.
- Podzielone tunelowanie i Blokuj torrenty — omówione poniżej.
- Trasa — do której trasy przypiąć nowy punkt wejścia (możesz wybrać „Bez trasy” i przypiąć go później — ale pamiętaj z lekcji 4: inbound poza trasą jest niewidoczny dla użytkowników).
Pierwszy inbound klastra jest automatycznie przypinany do domyślnej trasy — dzięki temu subskrypcja działa od razu. Wszystkie kolejne przypinasz sam: w momencie tworzenia, z inspektora (akcja „Dodaj do trasy”) albo przeciągając je na diagramie.
Blokowanie torrentów
Przełącznik „Blokuj torrenty” odcina ruch BitTorrent bezpośrednio na serwerze. To ma znaczenie: blokada działa nawet jeśli użytkownik wyłączy wszystkie reguły w swojej aplikacji — nie da się jej obejść, edytując konfigurację. Jest domyślnie włączona dla nowych inboundów: torrenty na VPS to częste źródło skarg od dostawców hostingu.
Podzielone tunelowanie
Podzielone tunelowanie odpowiada na pytanie: który ruch idzie przez VPN, a który bezpośrednio? Reguły ustawiasz raz w inboundzie, a są one automatycznie dostarczane do aplikacji użytkowników — nie muszą niczego konfigurować.
Klasyczne scenariusze:
- Wszystko oprócz lokalnych. Bank, usługi rządowe i lokalne strony idą bezpośrednio (nie lubią zagranicznych adresów); reszta przez VPN.
- Tylko lista. Przez VPN idą tylko zablokowane strony; reszta bezpośrednio, bez utraty prędkości.
Trzy listy reguł
Sekcja „Podzielone tunelowanie” ma trzy niezależne bloki:
| Blok | Co opisuje | Przykłady |
|---|---|---|
| Witryny | Konkretne strony i strefy domenowe | example.com (łącznie z subdomenami), *.ru (cała strefa) |
| GeoSite | Gotowe kategorie usług | google, netflix, telegram, category-ads-all (reklamy) |
| GeoIP | Całe kraje i sieci według IP | ru, cn, private (sieć lokalna), 10.0.0.0/8 |
Każdy blok ma tryb:
- „Wszystko przez VPN” — blok jest wyłączony;
- „Wszystko poza listą” — pozycje z listy idą bezpośrednio, z pominięciem VPN; reszta przez VPN;
- „Tylko lista” — przez VPN idą tylko pozycje z listy; reszta bezpośrednio.
Listy wypełnia się „chipami”: wklej domeny oddzielone przecinkami lub nowymi liniami; GeoSite i GeoIP mają gotowe presety jednym kliknięciem.
Trybów „Wszystko poza listą” i „Tylko lista” nie da się połączyć w jednym inboundzie — ustawiają przeciwne zachowanie dla „całej reszty” ruchu. Panel po prostu nie pozwoli Ci wybrać sprzecznej kombinacji.
Jak reguły docierają do użytkownika
Reguły są dodawane do subskrypcji i egzekwowane w aplikacji użytkownika. Wszystkie polecane aplikacje (Happ, v2rayN/v2rayNG, Streisand, V2Box) otrzymują je automatycznie; routery też są wspierane — OpenWRT i Keenetic. A jeśli użytkownik zaimportuje subskrypcję do jakiejś egzotycznej aplikacji, która nie rozumie reguł, VPN dalej działa — cały ruch po prostu idzie przez tunel.
Jeden szczegół zostały już za Ciebie obsłużony: różne inboundy mogą mieć różne reguły, a każdy „serwer” w aplikacji użytkownika przynosi własne — przełącz się na inny serwer, otrzymasz jego reguły.
Kluczowe wnioski
- Inbound = punkt wejścia na node'ie: maskowanie + reguły ruchu + nazwa widziana przez użytkownika.
- Jeden serwer może hostować kilka inboundów o różnym przeznaczeniu.
- Blokowanie torrentów działa na serwerze i nie da się go obejść po stronie klienta.
- Podzielone tunelowanie: trzy listy (strony, kategorie, kraje), tryby „wszystko poza” / „tylko lista”, automatyczne dostarczanie do aplikacji.
- Inbound bez trasy jest niewidoczny — nie zapomnij go przypiąć.
Co dalej
Inbound może być czymś więcej niż zwykłymi drzwiami — może być zestawem kilku serwerów w rzędzie, gdzie ruch wchodzi w jednym kraju, a wychodzi w innym.
Trasy i równoważenie obciążenia
Czym jest trasa w CreateYourVPN, jak utworzyć ją w minutę, po co są puste trasy i jak system rozdziela użytkowników między serwerami.
Multihop: łańcuchy serwerów
Jak zbudować inbound multihop w CreateYourVPN: ruch wchodzi na jednym serwerze, a wychodzi z innego. Po co to, jak to utworzyć i co widzi użytkownik.