Jak znaleźć stronę do maskowania: skaner podsieci
Jak skaner podsieci CreateYourVPN znajduje prawdziwe strony-sąsiadów, pod które możesz się podszyć (SNI/DEST w Reality), dlaczego pobliska strona to najlepsze przykrycie oraz jak uruchomić, odczytać i zatrzymać skanowanie.
W lekcji o inboundach wybraliśmy stronę do maskowania — popularną witrynę HTTPS, której odwiedziny udaje Twój ruch VPN. Ten wybór znaczy więcej, niż się wydaje, a panel ma narzędzie, które robi go za Ciebie: skaner podsieci. Ta lekcja wyjaśnia, czym jest dobra strona do maskowania, dlaczego sąsiad Twojego własnego serwera zwykle okazuje się najlepszy i jak skaner znajduje takich sąsiadów automatycznie.
Dlaczego strona do maskowania jest ważna
Każdy inbound działa na VLESS + Reality. Reality sprawia, że Twój ruch wygląda jak zwykłe odwiedziny HTTPS na prawdziwej, popularnej stronie — a robi to, faktycznie kończąc pierwszą część prawdziwego uzgadniania TLS z tą stroną. W panelu ta strona pojawia się jako pole „Strona do maskowania"; w trybie zaawansowanym rozpada się na parametry techniczne DEST (prawdziwy host, od którego „pożyczane" jest uzgadnianie) oraz SERVER_NAMES (nazwa, którą ogłaszają aplikacje Twoich użytkowników, czyli SNI).
Żeby przebranie się trzymało, strona musi jednocześnie spełniać kilka warunków:
- Mówi nowoczesnym TLS 1.3 i HTTP/2 (starsze strony zdradzają uzgadnianie).
- Jest duża i niepozorna — ruch do niej się nie wyróżnia.
- Nie jest zablokowana w kraju Twojego serwera (zablokowane „przykrycie" niweczy cały sens).
- Jest szybko osiągalna z serwera (uzgadnianie to prawdziwy ruch sieciowy).
Dlaczego sąsiad to najlepsze przykrycie
Ostatni punkt jest najciekawszy. Twój serwer stoi w centrum danych, otoczony innymi maszynami w tej samej podsieci — często innymi klientami tego samego dostawcy hostingu, na których działają zupełnie zwyczajne strony. Podszycie się pod jednego z takich sąsiadów ma dwie zalety:
- Opóźnienie jest bliskie zeru. Uzgadnianie DEST nigdy nie opuszcza centrum danych, więc połączenia nawiązują się szybciej.
- Wtapia się w tło. Ruch z Twojego serwera do maszyny o szafę dalej to dokładnie to, co centrum danych widzi całymi dniami.
Haczyk: nie znasz swoich sąsiadów na pamięć. Właśnie do tego służy skaner.
Co robi skaner podsieci
Skaner prosi Twój serwer, by po cichu opukał własne otoczenie i zameldował, którzy sąsiedzi nadaliby się na dobre przykrycie dla Reality.
Serwer sonduje swoich sąsiadów w sieci — maszyny o zbliżonych adresach IP: najpierw własną podsieć, a potem szerszy blok wokół niej (domyślnie /20).
Dla każdego sąsiada, który odpowiada, sprawdza uzgadnianie: czy oferuje TLS 1.3 i ogłasza HTTP/2? Tylko takie kwalifikują się jako dest-y Reality.
Potwierdzone strony są zbierane, odsiewane z duplikatów i zapisywane przy Twoim serwerze. Panel pokazuje je jako gotowe do użycia podpowiedzi.
Skanowanie uruchamia się automatycznie przy pierwszej konfiguracji serwera, więc zanim otworzysz formularz inbounda, podpowiedzi zwykle już tam są. Możesz je też uruchomić ręcznie w dowolnej chwili.
Skaner tylko czyta — otwiera zwykłe połączenie do każdego sąsiada i patrzy na uzgadnianie TLS, dokładnie tak jak zrobiłaby to każda przeglądarka. Nie zmienia nic na tych maszynach i nie przechowuje niczego poza potwierdzonymi nazwami domen.
Gdzie go znaleźć
Ten sam wynik skanowania jest współdzielony wszędzie tam, gdzie wybiera się stronę do maskowania, dzięki czemu podpowiedzi i postęp na żywo pozostają zsynchronizowane:
- W formularzu inbounda, pod polem „Strona do maskowania" — przycisk „Znajdź strony w podsieci" oraz, po wykonaniu skanu, szybkie żetony ze znalezionymi domenami. Kliknij żeton, aby wypełnić pole.
- W oknie serwera (otwórz serwer ze swojego klastra), w sekcji „Strony maskujące (SNI)" — ten sam skan z podsumowaniem, ile stron znaleziono.
- Na karcie „w toku" na stronie głównej — dopóki świeżo dodany serwer jest jeszcze konfigurowany, postęp skanowania pokazuje się właśnie tam.
Jak czytać wyniki
Szybkie żetony pokazują strony znalezione w Twojej podsieci, minus te, których już używają Twoje inboundy. Dlatego w miarę jak przeznaczasz kandydatów na inboundy, znikają oni z listy, a strona, którą zwolnisz, wraca. Jeśli wszystkie znalezione strony są już zajęte, panel to zgłasza i proponuje wpisanie domeny ręcznie albo ponowne skanowanie.
Sąsiad to dobre przykrycie, ale nie magiczne. Mimo to preferuj kandydata, który nie jest zablokowany w kraju Twojego serwera — dużą, nudną stronę. Jeśli nic w pobliżu nie pasuje, ręczne wpisanie znanej globalnej strony (Google, Microsoft, Apple, Cloudflare) zawsze jest dopuszczalnym wyjściem awaryjnym.
Uruchamianie, zatrzymywanie i ponowne skanowanie
- Uruchom — naciśnij „Znajdź strony w podsieci" (albo „Skanuj ponownie" po poprzednim przebiegu). Szeroki skan trwa około minuty; wyniki pojawiają się stopniowo, w miarę sprawdzania każdego
/24, więc nie musisz czekać na całość, by wybrać stronę. - Zatrzymaj — znalazłeś wystarczająco? Naciśnij „Zatrzymaj". Przycisk zmienia się na „Zatrzymywanie…", gdy serwer kończy fragment, nad którym pracuje; wszystko, co znaleziono do tej pory, jest zachowywane. Gdy się ustatkuje, skan zostaje oznaczony jako ukończony i pojawia się „Skanuj ponownie".
- Skanuj ponownie — uruchamia świeży skan i odświeża listę kandydatów. Użyj go, jeśli przeniosłeś serwer albo otoczenie mogło się zmienić.
Skan możesz zatrzymać jednym kliknięciem — na chwilę pokaże „Zatrzymywanie…", a potem sam się zakończy. Nie trzeba naciskać Zatrzymaj dwa razy ani czekać przed uruchomieniem nowego skanu.
Najważniejsze
- Strona do maskowania (DEST/SNI w Reality) musi być dużą, niezablokowaną stroną z TLS 1.3 + HTTP/2 — a sąsiad Twojego serwera zwykle okazuje się najlepszy: szybki i niepozorny.
- Skaner podsieci znajduje takich sąsiadów za Ciebie: opukuje
/24–/20serwera, zostawia nadające się strony i oferuje je jednym kliknięciem. - Uruchamia się automatycznie przy konfiguracji i można go ponowić w dowolnej chwili — z formularza inbounda, okna serwera albo karty „w toku".
- Szybkie żetony = znalezione strony minus już zajęte; zwolnij jedną, a wróci.
- Uruchamiaj, zatrzymuj (jedno kliknięcie → „Zatrzymywanie…") i skanuj ponownie w miarę potrzeby — wszystko, co znaleziono, zawsze jest zachowywane.
Dalej
Inbound może być czymś więcej niż pojedynczymi drzwiami — może być łańcuchem serwerów, gdzie ruch wchodzi w jednym kraju, a wychodzi w innym. Każdy przeskok wybiera własną stronę do maskowania, więc skaner i tam się opłaca.
Inboundy i podzielone tunelowanie
Czym jest inbound w CreateYourVPN: podszywanie się pod stronę internetową, blokowanie torrentów i reklam, podzielone tunelowanie — który ruch idzie przez VPN, a który bezpośrednio.
Multihop: łańcuchy serwerów
Jak zbudować inbound multihop w CreateYourVPN: ruch wchodzi na jednym serwerze, a wychodzi z innego. Po co to, jak to utworzyć i co widzi użytkownik.