Hitta en maskeringssajt: subnätsskannern
Hur CreateYourVPN:s subnätsskanner hittar riktiga grannwebbplatser du kan maskera dig som (Reality SNI/DEST), varför en närliggande sajt är det bästa kamouflaget, och hur du startar, läser och stoppar en skanning.
I lektionen om inbounds valde vi en webbplats att maskera som — den populära HTTPS-sajt din VPN-trafik utger sig för att vara. Det valet betyder mer än det verkar, och panelen har ett verktyg som gör det åt dig: subnätsskannern. Den här lektionen förklarar vad en bra maskeringssajt är, varför en granne till din egen server oftast är den bästa, och hur skannern hittar dessa grannar automatiskt.
Varför maskeringssajten spelar roll
Varje inbound körs på VLESS + Reality. Reality får din trafik att se ut som ett vanligt HTTPS-besök på någon verklig, populär webbplats — och gör det genom att faktiskt slutföra första delen av en riktig TLS-handskakning med den sajten. I panelen visas den här sajten som fältet "Webbplats att maskera som"; i avancerat läge delas det upp i de tekniska parametrarna DEST (den riktiga värd som handskakningen lånas från) och SERVER_NAMES (namnet som dina användares appar tillkännager, alltså SNI).
För att förklädnaden ska hålla måste sajten uppfylla flera villkor på en gång:
- Den talar modern TLS 1.3 och HTTP/2 (äldre sajter avslöjar handskakningen).
- Den är stor och oansenlig — trafik till den sticker inte ut.
- Den är inte blockerad i serverns land (ett blockerat "skydd" omintetgör hela poängen).
- Den är snabbt nåbar från servern (handskakningen är verklig nätverkstrafik).
Varför en granne är det bästa skyddet
Den sista punkten är den intressanta. Din server står i ett datacenter, omgiven av andra maskiner i samma subnät — ofta andra kunder hos samma värdleverantör, som kör helt vanliga webbplatser. Att maskera sig som en av dessa grannar har två fördelar:
- Fördröjningen är nära noll. DEST-handskakningen lämnar aldrig datacentret, så anslutningar upprättas snabbare.
- Den smälter in. Trafik från din server till en maskin ett rack bort är precis vad ett datacenter ser hela dagarna.
Haken: du kan inte dina grannar utantill. Det är just vad skannern är till för.
Vad subnätsskannern gör
Skannern ber din server att stillsamt sondera sitt eget grannskap och rapportera tillbaka vilka grannar som skulle utgöra bra Reality-skydd.
Servern sonderar sina nätverksgrannar — maskinerna med närliggande IP-adresser: först sitt eget subnät, sedan ett bredare block runt sig (som standard ett /20).
För varje granne som svarar kontrollerar den handskakningen: erbjuder den TLS 1.3 och annonserar HTTP/2? Endast dessa duger som Reality-dest.
De bekräftade sajterna samlas in, dubbletter tas bort och de sparas mot din server. Panelen visar dem som färdiga förslag.
Skanningen körs automatiskt första gången en server sätts upp, så när du öppnar inbound-formuläret finns förslagen oftast redan där. Du kan också köra den för hand när som helst.
Skannern bara läser — den öppnar en vanlig anslutning till varje granne och tittar på TLS-handskakningen, precis som vilken webbläsare som helst skulle göra. Den ändrar ingenting på de maskinerna och lagrar inget annat än de domännamn den bekräftade.
Var du hittar den
Samma skanningsresultat delas överallt där maskeringssajten väljs, så förslagen och realtidsförloppet hålls synkroniserade:
- I inbound-formuläret, under fältet "Webbplats att maskera som" — knappen "Hitta sajter i subnätet" och, när en skanning har körts, snabba chips med de funna domänerna. Klicka på ett chip för att fylla fältet.
- I serverns modal (öppna en server från ditt kluster), i avsnittet "Maskeringssajter (SNI)" — samma skanning med en sammanfattning av hur många sajter som hittades.
- På "pågår"-kortet på startsidan — medan en nyligen tillagd server fortfarande sätts upp visas skanningsförloppet direkt där.
Att läsa resultaten
Snabb-chipsen visar de sajter som hittats i ditt subnät, minus de som dina inbounds redan använder. Så när du förbrukar kandidater på inbounds försvinner de från listan, och en sajt du frigör kommer tillbaka. Om varje funnen sajt redan används säger panelen det och bjuder in dig att ange en domän för hand eller skanna om.
En granne är ett bra skydd, inte ett magiskt. Föredra ändå en kandidat som inte är blockerad i serverns land — en stor, tråkig sajt. Om inget i närheten passar är det alltid ett giltigt reservalternativ att för hand ange en välkänd global sajt (Google, Microsoft, Apple, Cloudflare).
Starta, stoppa och skanna om
- Starta — tryck på "Hitta sajter i subnätet" (eller "Skanna om" efter en tidigare körning). En bred skanning tar ungefär en minut; resultaten dyker upp gradvis allteftersom varje
/24kontrolleras, så du behöver inte vänta på hela den för att välja en sajt. - Stoppa — hittat tillräckligt? Tryck på "Stoppa". Knappen ändras till "Stoppar…" medan servern gör klart den del den håller på med; allt som hittats hittills behålls. När det lagt sig markeras skanningen som klar och "Skanna om" dyker upp.
- Skanna om — kör en ny skanning och uppdaterar kandidatlistan. Använd den om du flyttat servern, eller om grannskapet kan ha ändrats.
Du kan stoppa en skanning med ett enda klick — den visar "Stoppar…" en kort stund och avslutas sedan av sig själv. Du behöver inte trycka på Stoppa två gånger eller vänta innan du startar en ny skanning.
Viktigast att ta med sig
- Maskeringssajten (Reality DEST/SNI) måste vara en stor, oblockerad TLS 1.3 + HTTP/2-sajt — och en granne till din server är oftast den bästa: snabb och oansenlig.
- Subnätsskannern hittar dessa grannar åt dig: den sonderar serverns
/24–/20, behåller sajterna som duger, och erbjuder dem som förslag med ett klick. - Den körs automatiskt vid uppsättning och kan köras om när som helst, från inbound-formuläret, servermodalen eller pågår-kortet.
- Snabb-chips = funna sajter minus redan använda; frigör en så kommer den tillbaka.
- Starta, stoppa (ett klick → "Stoppar…") och skanna om efter behov — allt som hittats behålls alltid.
Härnäst
En inbound kan vara mer än en enda dörr — den kan vara en kedja av servrar, där trafik kommer in i ett land och lämnar i ett annat. Varje hopp väljer sin egen maskeringssajt, så skannern gör nytta även där.
Inbounds och delad tunnling
Vad en inbound är i CreateYourVPN: maskera som en webbplats, blockering av torrents och reklam, och delad tunnling — vilken trafik som går genom VPN och vilken som går direkt.
Multihop: serverkedjor
Så bygger du en multihop-inbound i CreateYourVPN: trafik går in på en server och ut från en annan. Varför du skulle vilja ha det, hur du skapar en, och vad användaren ser.