Как найти маскировочный сайт: сканер подсети
Как сканер подсети CreateYourVPN находит настоящие сайты-соседей, под которые можно маскироваться (Reality SNI/DEST), почему ближайший сайт — лучшее прикрытие и как запустить, прочитать и остановить скан.
В уроке про инбаунды мы выбирали сайт для маскировки — популярный HTTPS-сайт, под визиты к которому притворяется ваш VPN-трафик. Этот выбор важнее, чем кажется, и в панели есть инструмент, который делает его за вас: сканер подсети. В этом уроке — что такое хороший маскировочный сайт, почему сосед вашего же сервера обычно оказывается лучшим вариантом и как сканер находит таких соседей автоматически.
Почему важен маскировочный сайт
Каждый инбаунд работает на VLESS + Reality. Reality заставляет ваш трафик выглядеть как обычный HTTPS-визит к реальному популярному сайту — и делает это, по-настоящему завершая первую часть TLS-рукопожатия с этим сайтом. В панели этот сайт — поле «Под какой сайт маскируется VPN»; в продвинутом режиме оно разбивается на технические параметры DEST (реальный хост, у которого «одалживается» рукопожатие) и SERVER_NAMES (имя, которое объявляют приложения ваших пользователей, — SNI).
Чтобы маскировка держалась, сайт должен одновременно удовлетворять нескольким условиям:
- Говорит на современном TLS 1.3 и HTTP/2 (старые сайты выдают рукопожатие).
- Крупный и неприметный — трафик к нему не бросается в глаза.
- Не заблокирован в стране вашего сервера (заблокированное «прикрытие» рушит всю затею).
- Быстро достижим с сервера (рукопожатие — это реальный сетевой трафик).
Почему сосед — лучшее прикрытие
Последний пункт — самый интересный. Ваш сервер стоит в дата-центре, окружённый другими машинами в той же подсети — часто это другие клиенты того же хостинга, на которых крутятся совершенно обычные сайты. Маскировка под одного из таких соседей даёт два преимущества:
- Задержка почти нулевая. DEST-рукопожатие не выходит за пределы дата-центра, поэтому соединения устанавливаются быстрее.
- Растворяется в фоне. Трафик от вашего сервера к машине через стойку — ровно то, что дата-центр видит целыми днями.
Загвоздка: соседей вы наизусть не знаете. Именно для этого и нужен сканер.
Что делает сканер подсети
Сканер просит ваш сервер тихо простучать своё окружение и сообщить, какие соседи сгодятся как прикрытие для Reality.
Сервер простукивает соседей по сети — машины с близкими IP-адресами: сначала свою подсеть, затем область пошире вокруг неё (по умолчанию — блок /20).
Для каждого ответившего соседа она проверяет рукопожатие: предлагает ли он TLS 1.3 и объявляет ли HTTP/2? Только такие годятся в Reality-dest.
Подтверждённые сайты собираются, дедуплицируются и сохраняются за вашим сервером. Панель показывает их как готовые к использованию подсказки.
Скан запускается автоматически при первой установке сервера, поэтому к моменту, когда вы открываете форму инбаунда, подсказки обычно уже на месте. Запустить его вручную можно в любой момент.
Сканер только читает — он открывает обычное соединение к каждому соседу и смотрит на TLS-рукопожатие, ровно как это делает любой браузер. Он ничего не меняет на тех машинах и не хранит ничего, кроме подтверждённых доменных имён.
Где его найти
Один и тот же результат скана используется везде, где выбирается маскировочный сайт, поэтому подсказки и живой прогресс синхронны:
- В форме инбаунда, под полем «Под какой сайт маскируется VPN» — кнопка «Найти сайты в подсети» и, после первого скана, быстрые чипы с найденными доменами. Клик по чипу подставляет значение в поле.
- В модалке сервера (откройте сервер из кластера), в разделе «Маскировочные сайты (SNI)» — тот же скан со сводкой, сколько сайтов найдено.
- На карточке «в работе» на главной — пока только что добавленный сервер ещё устанавливается, прогресс скана показывается прямо там.
Как читать результаты
Быстрые чипы показывают найденные в вашей подсети сайты за вычетом тех, что уже заняты вашими инбаундами. Поэтому по мере того, как вы тратите кандидатов на инбаунды, они пропадают из списка, а освобождённый сайт возвращается. Если все найденные сайты уже заняты, панель сообщает об этом и предлагает ввести домен вручную или пересканировать.
Сосед — хорошее прикрытие, но не волшебное. Всё равно отдавайте предпочтение кандидату, который не заблокирован в стране вашего сервера, — крупному, скучному сайту. Если рядом ничего не подходит, ввести вручную известный глобальный сайт (Google, Microsoft, Apple, Cloudflare) — всегда допустимый запасной вариант.
Запуск, остановка и повторный скан
- Запуск — нажмите «Найти сайты в подсети» (или «Сканировать заново» после прошлого прогона). Широкий скан занимает около минуты; результаты появляются постепенно по мере проверки каждого
/24, так что ждать весь скан, чтобы выбрать сайт, не нужно. - Остановка — нашли достаточно? Нажмите «Остановить». Кнопка сменится на «Останавливаем…», пока сервер доканчивает текущий кусок; всё найденное сохраняется. Когда всё уляжется, скан помечается завершённым и появляется «Сканировать заново».
- Повторный скан — запускает свежий скан и обновляет список кандидатов. Пригодится, если вы перенесли сервер или окружение могло измениться.
Остановить скан можно одним кликом — он ненадолго покажет «Останавливаем…» и завершится сам. Жать «Остановить» дважды или ждать перед новым запуском не нужно.
Главное
- Маскировочный сайт (Reality DEST/SNI) должен быть крупным, незаблокированным сайтом с TLS 1.3 + HTTP/2 — и сосед вашего сервера обычно оказывается лучшим: быстрый и неприметный.
- Сканер подсети находит таких соседей за вас: простукивает
/24–/20сервера, оставляет годные сайты и предлагает их одним кликом. - Он запускается автоматически при установке и может быть перезапущен в любой момент — из формы инбаунда, модалки сервера или карточки «в работе».
- Быстрые чипы = найденные сайты минус уже занятые; освободите один — и он вернётся.
- Запускайте, останавливайте (один клик → «Останавливаем…») и пересканируйте по мере надобности — всё найденное всегда сохраняется.
Дальше
Инбаунд может быть не просто одной дверью — это может быть цепочка серверов, где трафик входит в одной стране, а выходит в другой. Каждый хоп выбирает свой маскировочный сайт, так что сканер и там окупается.
Инбаунды и раздельное туннелирование
Что такое инбаунд в CreateYourVPN: маскировка под сайт, блокировка торрентов и рекламы, раздельное туннелирование — какой трафик идёт через VPN, а какой напрямую.
Мультихоп: цепочки серверов
Как в CreateYourVPN собрать мультихоп-инбаунд: трафик входит на одном сервере и выходит с другого. Зачем это нужно, как создать и что видит пользователь.