CreateYourVPN Academy
Курс: як усе працює

Інбаунди та роздільне тунелювання

Що таке інбаунд у CreateYourVPN: маскування під сайт, блокування торентів і роздільне тунелювання — який трафік іде через VPN, а який напряму.

«Інбаунд» — найтехнічніше слово в панелі, але ідея за ним проста: це налаштована точка входу у ваш VPN на конкретному сервері. В уроці про термінологію ми порівнювали інбаунди з дверима будівлі — тепер розберемося, з чого складаються такі двері та які в них налаштування.

Що таке інбаунд

Коли застосунок користувача підключається до вашого сервера, він стукає не «в сервер узагалі» — він стукає в конкретний інбаунд і отримує рівно ті правила, що ви задали в цьому інбаунді: під який сайт маскуватися, чи різати торенти, який трафік відправляти в обхід VPN.

Одна робоча нода може приймати кілька інбаундів з різними налаштуваннями. Наприклад:

  • «🇩🇪 Німеччина» — звичайний інбаунд для всіх;
  • «🇩🇪 Німеччина · без торентів» — те саме, але з блокуванням BitTorrent;
  • «🇩🇪 Німеччина · тільки заблоковані сайти» — через нього йдуть лише сайти, недоступні без VPN.

Кожен інбаунд працює на протоколі VLESS + Reality — тому самому, що робить трафік VPN схожим на звичайні HTTPS-відвідини популярного сайту.

Ім'я інбаунда — це те, що користувач бачить у своєму застосунку як ім'я сервера. Називайте їх зрозуміло: країна + місто або призначення («🇫🇮 Фінляндія», «🎬 Стримінг»).

Створення інбаунда

На сторінці кластера натисніть «Новий інбаунд». У формі:

  1. Протокол — VLESS + Reality (єдиний, і він же рекомендований).
  2. Сервер — на якій робочій ноді підняти точку входу. Інбаунди живуть лише на підключених нодах — створити інбаунд на «чистому» мастері не вийде.
  3. Ім'я — те саме ім'я для ваших користувачів, разом із прапором.
  4. Сайт для маскування — під який сайт маскується трафік. Оберіть великий HTTPS-сайт, що бездоганно працює в країні сервера: Google/Microsoft/Apple для Європи та США, Yandex або VK для Росії. У розширеному режимі панелі параметри (DEST, SERVER_NAMES, FINGERPRINT) можна налаштувати вручну — але більшості це ніколи не знадобиться.
  5. Роздільне тунелювання та Блокування торентів — про них нижче.
  6. Маршрут — до якого маршруту прив'язати нову точку входу (можна обрати «Без маршруту» і прив'язати пізніше — але пам'ятайте з уроку 4: інбаунд поза маршрутом невидимий для користувачів).

Перший інбаунд кластера прив'язується до маршруту за замовчуванням автоматично — тож підписка працює одразу. Усі наступні ви прив'язуєте самі: під час створення, з інспектора (дія «Прив'язати до маршруту») або перетягуванням на діаграмі.

Блокування торентів

Перемикач "Блокувати торенти" зрізає трафік BitTorrent прямо на сервері. Це важливо: блокування діє, навіть якщо користувач вимкне всі правила у своєму застосунку — обійти його редагуванням конфігу неможливо. Для нових інбаундів воно увімкнене за замовчуванням: торенти на VPS — часте джерело скарг від хостинг-провайдерів.

Роздільне тунелювання

Роздільне тунелювання відповідає на питання: який трафік іде через VPN, а який напряму? Ви задаєте правила один раз в інбаунді, і вони автоматично доставляються в застосунки користувачів — користувачам не потрібно нічого налаштовувати.

Класичні сценарії:

  • Усе, крім місцевого. Банк, державні сервіси й місцеві сайти йдуть напряму (вони не люблять іноземні адреси); усе інше — через VPN.
  • Тільки список. Через VPN ідуть лише заблоковані сайти; усе інше — напряму, без втрати швидкості.

Три списки правил

У розділі «Роздільне тунелювання» три незалежні блоки:

БлокЩо описуєПриклади
ВебсайтиКонкретні сайти та доменні зониexample.com (разом із піддоменами), *.ru (уся зона)
GeoSiteГотові категорії сервісівgoogle, netflix, telegram, category-ads-all (реклама)
GeoIPЦілі країни та мережі за IPru, cn, private (локальна мережа), 10.0.0.0/8

У кожного блоку є режим:

  • "Весь через VPN" — блок вимкнено;
  • "Все, крім списку" — елементи зі списку йдуть напряму, в обхід VPN; усе інше — через VPN;
  • "Тільки список" — через VPN ідуть лише елементи зі списку; усе інше — напряму.

Списки заповнюються «чіпами»: вставте домени через кому або з нового рядка; у GeoSite і GeoIP є готові пресети в один клік.

Режими "Все, крім списку" та "Тільки список" не можна поєднувати в одному інбаунді — вони задають протилежну поведінку для «всього іншого» трафіку. Панель просто не дасть обрати конфліктну комбінацію.

Як правила потрапляють до користувача

Правила додаються до підписки та застосовуються в застосунку користувача. Усі рекомендовані застосунки (Happ, v2rayN/v2rayNG, Streisand, V2Box) отримують їх автоматично; підтримуються й роутери — OpenWRT і Keenetic. А якщо користувач імпортує підписку в якийсь екзотичний застосунок, що не розуміє правил, VPN продовжує працювати — весь трафік просто йде через тунель.

Одну тонкість уже враховано за вас: різні інбаунди можуть нести різні правила, і кожен «сервер» у застосунку користувача приносить свої власні — перемкнувся на інший сервер, отримав його правила.

Головні висновки

  • Інбаунд = точка входу на ноді: маскування + правила трафіку + ім'я, яке бачить користувач.
  • Один сервер може приймати кілька інбаундів для різних цілей.
  • Блокування торентів працює на сервері, і клієнт не може його обійти.
  • Роздільне тунелювання: три списки (сайти, категорії, країни), режими «все, крім» / «тільки список», автоматична доставка в застосунки.
  • Інбаунд без маршруту невидимий — не забудьте його прив'язати.

Далі

Інбаунд може бути не просто дверима — він може бути зв'язкою з кількох серверів поспіль, де трафік входить в одній країні, а виходить в іншій.

On this page