Ako nájsť web na maskovanie: skener podsiete
Ako skener podsiete CreateYourVPN nájde skutočné susedné weby, za ktoré sa môžete vydávať (Reality SNI/DEST), prečo je blízky web najlepšie maskovanie a ako spustiť, prečítať a zastaviť skenovanie.
V lekcii o inboundoch sme vyberali web na maskovanie — populárny HTTPS web, za ktorého návštevy sa vydáva vaša VPN prevádzka. Táto voľba je dôležitejšia, než sa zdá, a panel má nástroj, ktorý ju urobí za vás: skener podsiete. Táto lekcia vysvetľuje, čo je dobrý maskovací web, prečo je sused vášho vlastného servera zvyčajne ten najlepší a ako skener takýchto susedov nájde automaticky.
Prečo na maskovacom webe záleží
Každý inbound beží na VLESS + Reality. Reality nechá vašu prevádzku vyzerať ako bežná HTTPS návšteva skutočného populárneho webu — a robí to tak, že s týmto webom naozaj dokončí prvú časť skutočného TLS handshaku. V paneli sa tento web objavuje ako pole „Web pre maskovanie"; v pokročilom režime sa rozpadá na technické parametre DEST (skutočný host, od ktorého sa handshake „požičiava") a SERVER_NAMES (meno, ktoré ohlasujú aplikácie vašich používateľov, teda SNI).
Aby maskovanie držalo, musí web spĺňať niekoľko podmienok naraz:
- Hovorí moderným TLS 1.3 a HTTP/2 (staršie weby handshake prezradia).
- Je veľký a nenápadný — prevádzka k nemu nevyčnieva.
- Nie je blokovaný v krajine vášho servera (blokované „krytie" celý zmysel ničí).
- Je rýchlo dosiahnuteľný zo servera (handshake je skutočná sieťová prevádzka).
Prečo je sused najlepšie krytie
Posledný bod je ten zaujímavý. Váš server stojí v dátovom centre, obklopený ďalšími strojmi v tej istej podsieti — často inými zákazníkmi toho istého poskytovateľa hostingu, na ktorých bežia úplne obyčajné weby. Vydávať sa za jedného z takýchto susedov má dve výhody:
- Latencia je takmer nulová. DEST handshake nikdy neopustí dátové centrum, takže sa spojenia nadväzujú rýchlejšie.
- Splynie s okolím. Prevádzka z vášho servera na stroj o skriňu ďalej je presne to, čo dátové centrum vidí celé dni.
Háčik: svojich susedov nepoznáte naspamäť. Presne na to skener slúži.
Čo skener podsiete robí
Skener požiada váš server, aby ticho preklepal svoje okolie a ohlásil, ktorí susedia by poslúžili ako dobré krytie pre Reality.
Server preskúma svojich sieťových susedov — stroje s blízkymi IP adresami: najprv vlastnú podsieť, potom širší blok okolo seba (v predvolenom nastavení /20).
Pri každom susedovi, ktorý odpovie, skontroluje handshake: ponúka TLS 1.3 a ohlasuje HTTP/2? Len takí sa kvalifikujú ako Reality dests.
Potvrdené weby sa zozbierajú, odstránia sa duplicity a uložia sa k vášmu serveru. Panel ich zobrazí ako návrhy pripravené na použitie.
Skenovanie sa spustí automaticky pri prvom nastavení servera, takže než otvoríte formulár inboundu, návrhy tam zvyčajne už sú. Môžete ho tiež kedykoľvek spustiť ručne.
Skener iba číta — otvorí ku každému susedovi bežné spojenie a pozrie sa na TLS handshake, presne ako by to urobil ktorýkoľvek prehliadač. Na tých strojoch nič nemení a neukladá nič okrem potvrdených doménových mien.
Kde ho nájdete
Ten istý výsledok skenu sa zdieľa všade, kde sa maskovací web vyberá, takže návrhy a živý priebeh zostávajú synchrónne:
- Vo formulári inboundu, pod poľom „Web pre maskovanie" — tlačidlo „Nájsť weby v podsieti" a po prebehnutom skene rýchle čipy s nájdenými doménami. Kliknite na čip, aby sa pole vyplnilo.
- V okne servera (otvorte server zo svojho klastra), v sekcii „Weby na maskovanie (SNI)" — ten istý sken so súhrnom, koľko webov sa našlo.
- Na karte „prebieha" na domovskej stránke — kým sa čerstvo pridaný server ešte nastavuje, priebeh skenu sa ukazuje priamo tam.
Ako čítať výsledky
Rýchle čipy ukazujú weby nájdené vo vašej podsieti mínus tie, ktoré vaše inboundy už používajú. Takže ako míňate kandidátov na inboundy, miznú zo zoznamu a web, ktorý uvoľníte, sa vracia. Ak sú všetky nájdené weby už obsadené, panel to oznámi a vyzve vás, aby ste zadali doménu ručne alebo preskenovali.
Sused je dobré krytie, nie zázračné. Napriek tomu dajte prednosť kandidátovi, ktorý nie je blokovaný v krajine vášho servera — veľkému, nudnému webu. Ak nič nablízku nesedí, ručné zadanie známeho globálneho webu (Google, Microsoft, Apple, Cloudflare) je vždy platná záložná možnosť.
Spustenie, zastavenie a preskenovanie
- Spustiť — stlačte „Nájsť weby v podsieti" (alebo „Skenovať znova" po predchádzajúcom behu). Široký sken trvá približne minútu; výsledky sa objavujú postupne, ako sa kontroluje každý
/24, takže nemusíte čakať na celok, aby ste vybrali web. - Zastaviť — našli ste dosť? Stlačte „Zastaviť". Tlačidlo sa zmení na „Zastavujem…", kým server dokončí kus, na ktorom pracuje; všetko doteraz nájdené sa zachová. Keď sa to ustáli, sken sa označí ako dokončený a objaví sa „Skenovať znova".
- Skenovať znova — spustí čerstvý sken a obnoví zoznam kandidátov. Použite ho, keď ste server presunuli alebo sa okolie mohlo zmeniť.
Sken môžete zastaviť jediným kliknutím — na chvíľu ukáže „Zastavujem…" a potom skončí sám. Netreba stláčať Zastaviť dvakrát ani čakať pred spustením nového skenu.
Hlavné body
- Maskovací web (Reality DEST/SNI) musí byť veľký, neblokovaný web s TLS 1.3 + HTTP/2 — a sused vášho servera je zvyčajne ten najlepší: rýchly a nenápadný.
- Skener podsiete takýchto susedov nájde za vás: preklepe
/24–/20servera, ponechá vyhovujúce weby a ponúkne ich ako návrhy na jedno kliknutie. - Spúšťa sa automaticky pri nastavení a možno ho kedykoľvek spustiť znova — z formulára inboundu, okna servera alebo karty „prebieha".
- Rýchle čipy = nájdené weby mínus tie už používané; jeden uvoľnite a vráti sa.
- Spúšťajte, zastavujte (jedno kliknutie → „Zastavujem…") a preskenúvajte podľa potreby — všetko nájdené sa vždy zachová.
Čo ďalej
Inbound môže byť viac než len jedny dvere — môže to byť reťaz serverov, kde prevádzka vstupuje v jednej krajine a vystupuje v inej. Každý hop si vyberá vlastný maskovací web, takže skener sa oplatí aj tam.
Inboundy a rozdelené tunelovanie
Čo je inbound v CreateYourVPN: maskovanie za webovú stránku, blokovanie torrentov a reklamy, rozdelené tunelovanie — ktorá prevádzka ide cez VPN a ktorá priamo.
Multihop: reťazce serverov
Ako vytvoriť multihop inbound v CreateYourVPN: prevádzka vstupuje na jednom serveri a vystupuje z druhého. Prečo by ste ho chceli, ako ho vytvoriť a čo vidí používateľ.