Encontrar um site de mascaramento: o scanner de sub-rede
Como o scanner de sub-rede do CreateYourVPN encontra sites vizinhos reais que pode imitar (o SNI/DEST do Reality), porque um site próximo é a melhor camuflagem e como iniciar, ler e parar uma análise.
Na lição sobre inbounds escolhemos um site para mascarar o tráfego — o site HTTPS popular cujas visitas o seu tráfego VPN finge fazer. Essa escolha importa mais do que parece, e o painel tem uma ferramenta que a faz por si: o scanner de sub-rede. Esta lição explica o que é um bom site de mascaramento, porque um vizinho do seu próprio servidor costuma ser o melhor e como o scanner encontra esses vizinhos automaticamente.
Porque o site de mascaramento importa
Cada inbound funciona sobre VLESS + Reality. O Reality faz o seu tráfego parecer uma visita HTTPS comum a um site real e popular — e consegue-o completando de facto a primeira parte de um handshake TLS real com esse site. No painel, este site aparece como o campo «Site para mascarar o tráfego»; no modo avançado divide-se nos parâmetros técnicos DEST (o host real de quem se «empresta» o handshake) e SERVER_NAMES (o nome que as aplicações dos seus utilizadores anunciam, o SNI).
Para que o disfarce se aguente, o site tem de cumprir várias condições ao mesmo tempo:
- Fala TLS 1.3 e HTTP/2 modernos (os sites mais antigos denunciam o handshake).
- É grande e insignificante — o tráfego para ele não se destaca.
- Não está bloqueado no país do seu servidor (uma «cobertura» bloqueada estraga todo o propósito).
- É rapidamente alcançável a partir do servidor (o handshake é tráfego de rede real).
Porque um vizinho é a melhor cobertura
O último ponto é o interessante. O seu servidor está num centro de dados, rodeado por outras máquinas na mesma sub-rede — muitas vezes outros clientes do mesmo fornecedor de alojamento, a correr sites perfeitamente comuns. Fazer-se passar por um desses vizinhos tem duas vantagens:
- A latência é quase nula. O handshake DEST nunca sai do centro de dados, por isso as ligações estabelecem-se mais depressa.
- Mistura-se. O tráfego do seu servidor para uma máquina a um rack de distância é exatamente o que um centro de dados vê o dia todo.
O senão: não sabe os seus vizinhos de cor. É precisamente para isso que serve o scanner.
O que faz o scanner de sub-rede
O scanner pede ao seu servidor que sonde discretamente a sua própria vizinhança e reporte quais vizinhos dariam boas coberturas para o Reality.
O servidor sonda os seus vizinhos de rede — as máquinas com endereços IP próximos: primeiro a sua própria sub-rede, depois um bloco mais amplo à sua volta (um /20 por predefinição).
Para cada vizinho que responde, verifica o handshake: oferece TLS 1.3 e anuncia HTTP/2? Só esses se qualificam como dests do Reality.
Os sites confirmados são recolhidos, deduplicados e guardados associados ao seu servidor. O painel mostra-os como sugestões prontas a usar.
A análise corre automaticamente da primeira vez que um servidor é configurado, por isso, quando abre o formulário do inbound, as sugestões já costumam estar lá. Também pode executá-la à mão a qualquer momento.
O scanner apenas lê — abre uma ligação normal a cada vizinho e observa o handshake TLS, exatamente como faria qualquer navegador. Não altera nada nessas máquinas e não guarda nada além dos nomes de domínio confirmados.
Onde o encontrar
O mesmo resultado da análise é partilhado em todo o lado onde se escolhe o site de mascaramento, por isso as sugestões e o progresso em direto mantêm-se sincronizados:
- No formulário do inbound, por baixo do campo «Site para mascarar o tráfego» — o botão «Procurar sites na sub-rede» e, depois de uma análise ter corrido, chips rápidos com os domínios encontrados. Clique num chip para preencher o campo.
- Na janela do servidor (abra um servidor a partir do seu cluster), na secção «Sites de mascaramento (SNI)» — a mesma análise com um resumo de quantos sites foram encontrados.
- No cartão «em curso» na página inicial — enquanto um servidor recém-adicionado ainda está a ser configurado, o progresso da análise aparece ali mesmo.
Ler os resultados
Os chips rápidos mostram os sites encontrados na sua sub-rede, menos os que os seus inbounds já usam. Assim, à medida que gasta candidatos em inbounds, eles desaparecem da lista, e um site que liberte volta. Se todos os sites encontrados já estiverem em uso, o painel avisa disso e convida-o a introduzir um domínio à mão ou a reanalisar.
Um vizinho é uma boa cobertura, não uma mágica. Ainda assim, prefira um candidato que não esteja bloqueado no país do seu servidor — um site grande e aborrecido. Se nada por perto servir, introduzir à mão um site global conhecido (Google, Microsoft, Apple, Cloudflare) é sempre uma alternativa válida.
Iniciar, parar e reanalisar
- Iniciar — carregue em «Procurar sites na sub-rede» (ou «Reanalisar» depois de uma passagem anterior). Uma análise ampla demora cerca de um minuto; os resultados aparecem gradualmente à medida que cada
/24é verificado, por isso não tem de esperar por tudo para escolher um site. - Parar — encontrou o suficiente? Carregue em «Parar». O botão muda para «A parar…» enquanto o servidor termina o bloco em que está; tudo o que foi encontrado até agora é mantido. Quando assenta, a análise é marcada como concluída e aparece «Reanalisar».
- Reanalisar — executa uma análise nova e atualiza a lista de candidatos. Use-a se moveu o servidor ou se a vizinhança pode ter mudado.
Pode parar uma análise com um único clique — mostrará brevemente «A parar…» e depois termina por si só. Não é preciso carregar em Parar duas vezes nem esperar antes de iniciar uma nova análise.
Pontos-chave
- O site de mascaramento (DEST/SNI do Reality) tem de ser um site grande, não bloqueado, com TLS 1.3 + HTTP/2 — e um vizinho do seu servidor costuma ser o melhor: rápido e insignificante.
- O scanner de sub-rede encontra esses vizinhos por si: sonda o
/24–/20do servidor, fica com os sites que se qualificam e oferece-os como sugestões de um clique. - Corre automaticamente na configuração e pode ser reexecutado a qualquer momento, a partir do formulário do inbound, da janela do servidor ou do cartão «em curso».
- Chips rápidos = sites encontrados menos os já usados; liberte um e ele volta.
- Inicie, pare (um clique → «A parar…») e reanalise conforme necessário — tudo o que foi encontrado é sempre mantido.
A seguir
Um inbound pode ser mais do que uma única porta — pode ser uma cadeia de servidores, onde o tráfego entra num país e sai noutro. Cada salto escolhe o seu próprio site de mascaramento, por isso o scanner também compensa aí.
Inbounds e túnel dividido
O que é um inbound no CreateYourVPN: mascaramento como um site, bloqueio de torrents e anúncios, e túnel dividido — qual tráfego passa pela VPN e qual vai direto.
Multihop: cadeias de servidores
Como montar um inbound multihop no CreateYourVPN: o tráfego entra em um servidor e sai de outro. Por que você ia querer isso, como criar um, e o que o usuário vê.