Cum găsești un site pentru mascare: scanerul de subrețea
Cum scanerul de subrețea al CreateYourVPN găsește site-uri vecine reale sub care te poți masca (SNI/DEST-ul Reality), de ce un site din apropiere este cea mai bună camuflare și cum pornești, citești și oprești o scanare.
În lecția despre inbounds am ales un site pentru mascare — site-ul HTTPS popular ale cărui vizite le imită traficul tău VPN. Această alegere contează mai mult decât pare, iar panoul are un instrument care o face în locul tău: scanerul de subrețea. Această lecție explică ce este un site bun pentru mascare, de ce un vecin al propriului tău server este de obicei cel mai bun și cum găsește scanerul acei vecini automat.
De ce contează site-ul pentru mascare
Fiecare inbound rulează pe VLESS + Reality. Reality face traficul tău să arate ca o vizită HTTPS obișnuită la un site real și popular — și face asta finalizând efectiv prima parte a unui handshake TLS real cu acel site. În panou, acest site apare ca câmpul „Site pentru mascare"; în modul avansat se împarte în parametrii tehnici DEST (gazda reală de la care se „împrumută" handshake-ul) și SERVER_NAMES (numele pe care îl anunță aplicațiile utilizatorilor tăi, adică SNI).
Ca deghizarea să se țină, site-ul trebuie să îndeplinească mai multe condiții deodată:
- Vorbește TLS 1.3 și HTTP/2 moderne (site-urile mai vechi dau de gol handshake-ul).
- Este mare și neremarcabil — traficul spre el nu iese în evidență.
- Nu este blocat în țara serverului tău (o „acoperire" blocată strică tot scopul).
- Este rapid accesibil de pe server (handshake-ul este trafic de rețea real).
De ce un vecin este cea mai bună acoperire
Ultimul punct este cel interesant. Serverul tău stă într-un centru de date, înconjurat de alte mașini din aceeași subrețea — adesea alți clienți ai aceluiași furnizor de găzduire, care rulează site-uri absolut obișnuite. Să te dai drept unul dintre acei vecini are două avantaje:
- Latența este aproape nulă. Handshake-ul DEST nu părăsește niciodată centrul de date, așa că conexiunile se stabilesc mai repede.
- Se contopește cu restul. Traficul de la serverul tău spre o mașină aflată la un rack distanță este exact ceea ce un centru de date vede toată ziua.
Problema: nu-ți știi vecinii pe de rost. Exact pentru asta există scanerul.
Ce face scanerul de subrețea
Scanerul îi cere serverului tău să-și sondeze discret vecinătatea și să raporteze care vecini ar fi acoperiri bune pentru Reality.
Serverul își sondează vecinii de rețea — mașinile cu adrese IP apropiate: mai întâi propria subrețea, apoi un bloc mai larg din jurul său (implicit un /20).
Pentru fiecare vecin care răspunde, verifică handshake-ul: oferă TLS 1.3 și anunță HTTP/2? Doar aceștia se califică drept dest-uri Reality.
Site-urile confirmate sunt colectate, deduplicate și salvate în dreptul serverului tău. Panoul le afișează ca sugestii gata de folosit.
Scanarea rulează automat prima dată când un server este configurat, astfel încât, până deschizi formularul de inbound, sugestiile sunt de obicei deja acolo. O poți rula și manual oricând.
Scanerul doar citește — deschide o conexiune normală către fiecare vecin și se uită la handshake-ul TLS, exact cum ar face orice browser. Nu schimbă nimic pe acele mașini și nu stochează nimic în afară de numele de domeniu confirmate.
Unde îl găsești
Același rezultat al scanării este partajat oriunde se alege site-ul pentru mascare, astfel încât sugestiile și progresul în timp real rămân sincronizate:
- În formularul de inbound, sub câmpul „Site pentru mascare" — butonul „Găsește site-uri în subrețea" și, odată ce o scanare a rulat, cipuri rapide cu domeniile găsite. Fă clic pe un cip pentru a completa câmpul.
- În fereastra serverului (deschide un server din clusterul tău), în secțiunea „Site-uri de mascare (SNI)" — aceeași scanare cu un rezumat al câte site-uri au fost găsite.
- Pe cardul „în curs" de pe pagina principală — cât timp un server proaspăt adăugat este încă în configurare, progresul scanării apare chiar acolo.
Cum citești rezultatele
Cipurile rapide arată site-urile găsite în subrețeaua ta, minus cele pe care inbound-urile tale le folosesc deja. Așadar, pe măsură ce consumi candidați pentru inbound-uri, aceștia dispar din listă, iar un site pe care îl eliberezi revine. Dacă fiecare site găsit este deja folosit, panoul o spune și te invită să introduci un domeniu manual sau să rescanezi.
Un vecin este o acoperire bună, nu una magică. Preferă totuși un candidat care nu este blocat în țara serverului tău — un site mare și plictisitor. Dacă nimic din apropiere nu se potrivește, introducerea manuală a unui site global cunoscut (Google, Microsoft, Apple, Cloudflare) este întotdeauna o variantă de rezervă validă.
Pornire, oprire și rescanare
- Pornire — apasă „Găsește site-uri în subrețea" (sau „Rescanează" după o rulare anterioară). O scanare largă durează aproximativ un minut; rezultatele apar treptat, pe măsură ce fiecare
/24este verificat, așa că nu trebuie să aștepți întregul proces ca să alegi un site. - Oprire — ai găsit destule? Apasă „Oprește". Butonul se schimbă în „Se oprește…" cât timp serverul termină bucata la care lucrează; tot ce s-a găsit până acum este păstrat. Când se așază, scanarea este marcată ca finalizată și apare „Rescanează".
- Rescanează — rulează o scanare nouă și reîmprospătează lista de candidați. Folosește-o dacă ai mutat serverul sau dacă vecinătatea s-ar putea să se fi schimbat.
Poți opri o scanare cu un singur clic — va afișa scurt „Se oprește…" și apoi se va termina singură. Nu e nevoie să apeși Oprește de două ori și nici să aștepți înainte de a porni o scanare nouă.
Idei-cheie
- Site-ul pentru mascare (DEST/SNI-ul Reality) trebuie să fie un site mare, neblocat, cu TLS 1.3 + HTTP/2 — iar un vecin al serverului tău este de obicei cel mai bun: rapid și neremarcabil.
- Scanerul de subrețea găsește acei vecini în locul tău: sondează
/24–/20-ul serverului, păstrează site-urile care se califică și le oferă ca sugestii cu un clic. - Rulează automat la configurare și poate fi rulat din nou oricând — din formularul de inbound, fereastra serverului sau cardul „în curs".
- Cipuri rapide = site-uri găsite minus cele deja folosite; eliberează unul și revine.
- Pornește, oprește (un clic → „Se oprește…") și rescanează după nevoie — tot ce s-a găsit este întotdeauna păstrat.
Ce urmează
Un inbound poate fi mai mult decât o singură ușă — poate fi un lanț de servere, în care traficul intră într-o țară și iese în alta. Fiecare salt își alege propriul site pentru mascare, așa că scanerul își merită și acolo osteneala.
Inbounduri și tunel divizat
Ce este un inbound în CreateYourVPN: mascarea sub un site, blocarea torrentelor și a reclamelor și tunelul divizat — ce trafic trece prin VPN și ce trafic merge direct.
Multihop: lanțuri de servere
Cum construiești un inbound multihop în CreateYourVPN: traficul intră pe un server și iese din altul. De ce ai vrea asta, cum creezi unul și ce vede utilizatorul.