CreateYourVPN Academy
Курс: как всё устроено

Как найти маскировочный сайт: сканер подсети

Как сканер подсети CreateYourVPN находит настоящие сайты-соседей, под которые можно маскироваться (Reality SNI/DEST), почему ближайший сайт — лучшее прикрытие и как запустить, прочитать и остановить скан.

В уроке про инбаунды мы выбирали сайт для маскировки — популярный HTTPS-сайт, под визиты к которому притворяется ваш VPN-трафик. Этот выбор важнее, чем кажется, и в панели есть инструмент, который делает его за вас: сканер подсети. В этом уроке — что такое хороший маскировочный сайт, почему сосед вашего же сервера обычно оказывается лучшим вариантом и как сканер находит таких соседей автоматически.

Почему важен маскировочный сайт

Каждый инбаунд работает на VLESS + Reality. Reality заставляет ваш трафик выглядеть как обычный HTTPS-визит к реальному популярному сайту — и делает это, по-настоящему завершая первую часть TLS-рукопожатия с этим сайтом. В панели этот сайт — поле «Под какой сайт маскируется VPN»; в продвинутом режиме оно разбивается на технические параметры DEST (реальный хост, у которого «одалживается» рукопожатие) и SERVER_NAMES (имя, которое объявляют приложения ваших пользователей, — SNI).

Чтобы маскировка держалась, сайт должен одновременно удовлетворять нескольким условиям:

  • Говорит на современном TLS 1.3 и HTTP/2 (старые сайты выдают рукопожатие).
  • Крупный и неприметный — трафик к нему не бросается в глаза.
  • Не заблокирован в стране вашего сервера (заблокированное «прикрытие» рушит всю затею).
  • Быстро достижим с сервера (рукопожатие — это реальный сетевой трафик).

Почему сосед — лучшее прикрытие

Последний пункт — самый интересный. Ваш сервер стоит в дата-центре, окружённый другими машинами в той же подсети — часто это другие клиенты того же хостинга, на которых крутятся совершенно обычные сайты. Маскировка под одного из таких соседей даёт два преимущества:

  • Задержка почти нулевая. DEST-рукопожатие не выходит за пределы дата-центра, поэтому соединения устанавливаются быстрее.
  • Растворяется в фоне. Трафик от вашего сервера к машине через стойку — ровно то, что дата-центр видит целыми днями.

Загвоздка: соседей вы наизусть не знаете. Именно для этого и нужен сканер.

Что делает сканер подсети

Сканер просит ваш сервер тихо простучать своё окружение и сообщить, какие соседи сгодятся как прикрытие для Reality.

Сервер простукивает соседей по сети — машины с близкими IP-адресами: сначала свою подсеть, затем область пошире вокруг неё (по умолчанию — блок /20).

Для каждого ответившего соседа она проверяет рукопожатие: предлагает ли он TLS 1.3 и объявляет ли HTTP/2? Только такие годятся в Reality-dest.

Подтверждённые сайты собираются, дедуплицируются и сохраняются за вашим сервером. Панель показывает их как готовые к использованию подсказки.

Скан запускается автоматически при первой установке сервера, поэтому к моменту, когда вы открываете форму инбаунда, подсказки обычно уже на месте. Запустить его вручную можно в любой момент.

Сканер только читает — он открывает обычное соединение к каждому соседу и смотрит на TLS-рукопожатие, ровно как это делает любой браузер. Он ничего не меняет на тех машинах и не хранит ничего, кроме подтверждённых доменных имён.

Где его найти

Один и тот же результат скана используется везде, где выбирается маскировочный сайт, поэтому подсказки и живой прогресс синхронны:

  • В форме инбаунда, под полем «Под какой сайт маскируется VPN» — кнопка «Найти сайты в подсети» и, после первого скана, быстрые чипы с найденными доменами. Клик по чипу подставляет значение в поле.
  • В модалке сервера (откройте сервер из кластера), в разделе «Маскировочные сайты (SNI)» — тот же скан со сводкой, сколько сайтов найдено.
  • На карточке «в работе» на главной — пока только что добавленный сервер ещё устанавливается, прогресс скана показывается прямо там.

Как читать результаты

Быстрые чипы показывают найденные в вашей подсети сайты за вычетом тех, что уже заняты вашими инбаундами. Поэтому по мере того, как вы тратите кандидатов на инбаунды, они пропадают из списка, а освобождённый сайт возвращается. Если все найденные сайты уже заняты, панель сообщает об этом и предлагает ввести домен вручную или пересканировать.

Сосед — хорошее прикрытие, но не волшебное. Всё равно отдавайте предпочтение кандидату, который не заблокирован в стране вашего сервера, — крупному, скучному сайту. Если рядом ничего не подходит, ввести вручную известный глобальный сайт (Google, Microsoft, Apple, Cloudflare) — всегда допустимый запасной вариант.

Запуск, остановка и повторный скан

  • Запуск — нажмите «Найти сайты в подсети» (или «Сканировать заново» после прошлого прогона). Широкий скан занимает около минуты; результаты появляются постепенно по мере проверки каждого /24, так что ждать весь скан, чтобы выбрать сайт, не нужно.
  • Остановка — нашли достаточно? Нажмите «Остановить». Кнопка сменится на «Останавливаем…», пока сервер доканчивает текущий кусок; всё найденное сохраняется. Когда всё уляжется, скан помечается завершённым и появляется «Сканировать заново».
  • Повторный скан — запускает свежий скан и обновляет список кандидатов. Пригодится, если вы перенесли сервер или окружение могло измениться.

Остановить скан можно одним кликом — он ненадолго покажет «Останавливаем…» и завершится сам. Жать «Остановить» дважды или ждать перед новым запуском не нужно.

Главное

  • Маскировочный сайт (Reality DEST/SNI) должен быть крупным, незаблокированным сайтом с TLS 1.3 + HTTP/2 — и сосед вашего сервера обычно оказывается лучшим: быстрый и неприметный.
  • Сканер подсети находит таких соседей за вас: простукивает /24/20 сервера, оставляет годные сайты и предлагает их одним кликом.
  • Он запускается автоматически при установке и может быть перезапущен в любой момент — из формы инбаунда, модалки сервера или карточки «в работе».
  • Быстрые чипы = найденные сайты минус уже занятые; освободите один — и он вернётся.
  • Запускайте, останавливайте (один клик → «Останавливаем…») и пересканируйте по мере надобности — всё найденное всегда сохраняется.

Дальше

Инбаунд может быть не просто одной дверью — это может быть цепочка серверов, где трафик входит в одной стране, а выходит в другой. Каждый хоп выбирает свой маскировочный сайт, так что сканер и там окупается.

On this page