CreateYourVPN Academy
Курс: как всё устроено

Инбаунды и раздельное туннелирование

Что такое инбаунд в CreateYourVPN: маскировка под сайт, блокировка торрентов и раздельное туннелирование — какой трафик идёт через VPN, а какой напрямую.

Инбаунд — самое «техническое» слово в панели, но идея за ним простая: это настроенная точка входа в ваш VPN на конкретном сервере. В уроке про терминологию мы сравнивали инбаунды с дверями здания — сейчас разберём, из чего такая дверь состоит и какие у неё настройки.

Что такое инбаунд

Когда приложение пользователя подключается к вашему серверу, оно стучится не «в сервер вообще», а в конкретный инбаунд — и получает ровно те правила, которые вы в этом инбаунде задали: под какой сайт маскироваться, резать ли торренты, какой трафик пускать мимо VPN.

На одной рабочей ноде может жить несколько инбаундов с разными настройками. Например:

  • «🇩🇪 Германия» — обычный инбаунд для всех;
  • «🇩🇪 Германия · без торрентов» — то же самое, но с блокировкой BitTorrent;
  • «🇩🇪 Германия · только заблокированное» — через VPN идут только недоступные без него сайты.

Каждый инбаунд работает по протоколу VLESS + Reality — тому самому, благодаря которому VPN-трафик выглядит как обычные HTTPS-визиты на популярный сайт.

Название инбаунда — это то, что пользователь увидит в приложении как имя сервера. Называйте понятно: страна + город или назначение («🇫🇮 Финляндия», «🎬 Стриминг»).

Создаём инбаунд

На странице кластера нажмите «Новый инбаунд». В форме:

  1. Протокол — VLESS + Reality (единственный и рекомендуемый).
  2. Сервер — на какой рабочей ноде поднять точку входа. Инбаунды живут только на подключённых нодах — на «чистом» мастере поднять инбаунд нельзя.
  3. Название — то самое имя для пользователей, с флагом.
  4. «Сайт для маскировки» — под какой сайт маскируется трафик. Выберите крупный HTTPS-сайт, который отлично работает в стране сервера: Google/Microsoft/Apple для Европы и США, Яндекс или VK для России. В расширенном режиме панели можно задать тонкие параметры вручную (DEST, SERVER_NAMES, FINGERPRINT) — но большинству это не нужно.
  5. Раздельное туннелирование и Блокировать торренты — о них ниже.
  6. Маршрут — к какому маршруту привязать новую точку входа (можно «Без маршрута» и привязать позже — но помните из урока 4: инбаунд вне маршрута пользователям не виден).

Первый инбаунд кластера система автоматически привязывает к маршруту по умолчанию — чтобы подписка сразу работала. Все следующие — привязывайте сами: при создании, из инспектора («Привязать к маршруту») или перетаскиванием на диаграмме.

Блокировка торрентов

Переключатель «Блокировать торренты» режет BitTorrent-трафик прямо на сервере. Это важно: блокировка сработает, даже если пользователь выключит все правила у себя в приложении — обойти её правкой конфига нельзя. Для новых инбаундов она включена по умолчанию: торренты на VPS — частая причина жалоб от хостинг-провайдеров.

Раздельное туннелирование

Раздельное туннелирование (split tunneling) отвечает на вопрос: какой трафик пускать через VPN, а какой — напрямую? Правила задаются один раз в инбаунде и доставляются в приложения пользователей автоматически — им ничего настраивать не нужно.

Классические сценарии:

  • Всё, кроме местного. Банк, госуслуги и локальные сайты — напрямую (они не любят иностранные адреса), остальное — через VPN.
  • Только список. Через VPN идут только заблокированные сайты, всё остальное — напрямую, без потери скорости.

Три списка правил

В секции «Раздельное туннелирование» три независимых блока:

БлокЧто описываетПримеры
ВебсайтыКонкретные сайты и доменные зоныexample.com (включая поддомены), *.ru (вся зона)
GeoSiteГотовые категории сервисовgoogle, netflix, telegram, category-ads-all (реклама)
GeoIPЦелые страны и сети по IPru, cn, private (локальная сеть), 10.0.0.0/8

Для каждого блока выбирается режим:

  • «Всё через VPN» — блок выключен;
  • «Всё, кроме списка» — записи из списка идут напрямую, в обход VPN, остальное — через VPN;
  • «Только список» — через VPN идут только записи из списка, остальное — напрямую.

Списки заполняются «чипсами»: вставьте домены через запятую или с новой строки, для GeoSite и GeoIP есть готовые пресеты в один клик.

Режимы «Всё, кроме списка» и «Только список» нельзя смешивать в одном инбаунде — они задают противоположное поведение для «всего остального» трафика. Панель просто не даст выбрать конфликтующую комбинацию.

Как правила доезжают до пользователя

Правила добавляются в подписку и исполняются в приложении пользователя. Все рекомендованные приложения (Happ, v2rayN/v2rayNG, Streisand, V2Box) получают их автоматически; поддерживаются и роутеры — OpenWRT и Keenetic. Если же пользователь импортирует подписку в экзотическое приложение, которое правил не понимает, VPN продолжит работать — просто весь трафик пойдёт через туннель.

Один нюанс продумали за вас: разные инбаунды могут иметь разные правила, и каждый «сервер» в приложении пользователя несёт свои — переключился на другой сервер, получил его правила.

Запомнить

  • Инбаунд = точка входа на ноде: маскировка + правила трафика + имя, которое видит пользователь.
  • На одном сервере может быть несколько инбаундов под разные задачи.
  • Блокировка торрентов работает на сервере и не обходится клиентом.
  • Раздельное туннелирование: три списка (сайты, категории, страны), режимы «всё, кроме» / «только список», доставка в приложения автоматическая.
  • Инбаунд без маршрута невидим — не забудьте привязать.

Дальше

Инбаунд можно сделать не просто дверью, а анфиладой из нескольких серверов — когда трафик входит в одной стране, а выходит в другой.

On this page