CreateYourVPN Academy
Curso: Como Funciona

Inbounds e túnel dividido

O que é um inbound no CreateYourVPN: mascaramento como um site, bloqueio de torrents, e túnel dividido — qual tráfego passa pela VPN e qual vai direto.

"Inbound" é a palavra mais técnica do painel, mas a ideia por trás dela é simples: é um ponto de entrada configurado na sua VPN, em um servidor específico. Na aula de terminologia comparamos inbounds às portas de um prédio — agora vamos ver do que essa porta é feita e quais são suas configurações.

O que é um inbound

Quando o aplicativo de um usuário se conecta ao seu servidor, ele não bate na porta "do servidor em geral" — ele bate em um inbound específico, e recebe exatamente as regras que você definiu naquele inbound: sob qual site se mascarar, se deve cortar torrents, qual tráfego mandar por fora da VPN.

Um único nó trabalhador pode hospedar vários inbounds com configurações diferentes. Por exemplo:

  • "🇩🇪 Alemanha" — um inbound normal, para todo mundo;
  • "🇩🇪 Alemanha · sem torrents" — o mesmo, mas com bloqueio de BitTorrent;
  • "🇩🇪 Alemanha · só sites bloqueados" — só passam por ele sites inacessíveis sem VPN.

Todo inbound roda sobre o protocolo VLESS + Reality — aquele mesmo que faz o tráfego da VPN parecer visitas HTTPS comuns a um site popular.

O nome do inbound é o que o usuário vê no aplicativo dele como o nome do servidor. Dê nomes claros a eles: país + cidade, ou finalidade ("🇫🇮 Finlândia", "🎬 Streaming").

Criando um inbound

Na página do cluster, clique em "Novo inbound". No formulário:

  1. Protocolo — VLESS + Reality (o único, e o recomendado).
  2. Servidor — em qual nó trabalhador o ponto de entrada vai subir. Inbounds só vivem em nós conectados — você não consegue criar um inbound em um master "puro".
  3. Nome — aquele mesmo nome para seus usuários, bandeira incluída.
  4. Site para mascarar o tráfego — sob qual site o tráfego se disfarça. Escolha um site HTTPS grande que funcione perfeitamente no país do servidor: Google/Microsoft/Apple para Europa e EUA, Yandex ou VK para a Rússia. No modo avançado do painel você pode ajustar os parâmetros manualmente (DEST, SERVER_NAMES, FINGERPRINT) — mas a maioria das pessoas nunca precisa disso.
  5. Túnel dividido e Bloquear torrents — cobertos abaixo.
  6. Rota — a qual rota vincular o novo ponto de entrada (você pode escolher "Sem rota" e vinculá-lo depois — mas lembre-se da aula 4: um inbound fora de uma rota é invisível para os usuários).

O primeiro inbound do cluster é vinculado automaticamente à rota padrão — assim a assinatura já funciona de cara. Todos os seguintes você vincula sozinho: na criação, pelo inspetor (a ação "Adicionar à rota"), ou arrastando no diagrama.

Bloqueio de torrents

O botão "Bloquear torrents" corta o tráfego BitTorrent direto no servidor. Isso importa: o bloqueio funciona mesmo que o usuário desative todas as regras no aplicativo dele — não dá para contornar editando a configuração. Ele vem ativado por padrão para novos inbounds: torrents em um VPS são uma fonte comum de reclamações dos provedores de hospedagem.

Túnel dividido

O túnel dividido responde à pergunta: qual tráfego passa pela VPN, e qual vai direto? Você define as regras uma vez no inbound, e elas são entregues automaticamente aos aplicativos dos usuários — os usuários não precisam configurar nada.

Os cenários clássicos:

  • Tudo exceto o local. O banco, os serviços do governo e os sites locais vão direto (eles não gostam de endereços estrangeiros); todo o resto passa pela VPN.
  • Somente a lista. Só sites bloqueados passam pela VPN; todo o resto vai direto, sem perda de velocidade.

Três listas de regras

A seção "Túnel dividido" tem três blocos independentes:

BlocoO que descreveExemplos
SitesSites específicos e zonas de domínioexample.com (incluindo subdomínios), *.ru (a zona inteira)
GeoSiteCategorias de serviços já prontasgoogle, netflix, telegram, category-ads-all (anúncios)
GeoIPPaíses e redes inteiros, por IPru, cn, private (rede local), 10.0.0.0/8

Cada bloco recebe um modo:

  • "Tudo via VPN" — o bloco está desligado;
  • "Tudo exceto a lista" — os itens da lista vão direto, contornando a VPN; todo o resto passa pela VPN;
  • "Somente a lista" — só os itens da lista passam pela VPN; todo o resto vai direto.

As listas são preenchidas com "chips": cole domínios separados por vírgulas ou quebras de linha; GeoSite e GeoIP têm presets de um clique.

Os modos "Tudo exceto a lista" e "Somente a lista" não podem ser combinados em um mesmo inbound — eles definem comportamentos opostos para "todo o resto" do tráfego. O painel simplesmente não deixa você escolher uma combinação conflitante.

Como as regras chegam ao usuário

As regras são adicionadas à assinatura e aplicadas no aplicativo do usuário. Todos os aplicativos recomendados (Happ, v2rayN/v2rayNG, Streisand, V2Box) as recebem automaticamente; roteadores também são suportados — OpenWRT e Keenetic. E se um usuário importar a assinatura em algum aplicativo exótico que não entenda as regras, a VPN continua funcionando — todo o tráfego simplesmente passa pelo túnel.

Uma sutileza já foi resolvida para você: inbounds diferentes podem carregar regras diferentes, e cada "servidor" no aplicativo do usuário traz as suas próprias — trocou de servidor, recebeu as regras dele.

Principais pontos

  • Um inbound = um ponto de entrada em um nó: camuflagem + regras de tráfego + o nome que o usuário vê.
  • Um servidor pode hospedar vários inbounds para finalidades diferentes.
  • O bloqueio de torrents funciona no servidor e não pode ser contornado pelo cliente.
  • Túnel dividido: três listas (sites, categorias, países), modos "tudo exceto" / "somente a lista", entrega automática aos aplicativos.
  • Um inbound sem rota é invisível — não esqueça de vinculá-lo.

A seguir

Um inbound pode ser mais do que só uma porta — pode ser uma cadeia de vários servidores em sequência, onde o tráfego entra em um país e sai em outro.

On this page