Інбаунди та роздільне тунелювання
Що таке інбаунд у CreateYourVPN: маскування під сайт, блокування торентів і роздільне тунелювання — який трафік іде через VPN, а який напряму.
«Інбаунд» — найтехнічніше слово в панелі, але ідея за ним проста: це налаштована точка входу у ваш VPN на конкретному сервері. В уроці про термінологію ми порівнювали інбаунди з дверима будівлі — тепер розберемося, з чого складаються такі двері та які в них налаштування.
Що таке інбаунд
Коли застосунок користувача підключається до вашого сервера, він стукає не «в сервер узагалі» — він стукає в конкретний інбаунд і отримує рівно ті правила, що ви задали в цьому інбаунді: під який сайт маскуватися, чи різати торенти, який трафік відправляти в обхід VPN.
Одна робоча нода може приймати кілька інбаундів з різними налаштуваннями. Наприклад:
- «🇩🇪 Німеччина» — звичайний інбаунд для всіх;
- «🇩🇪 Німеччина · без торентів» — те саме, але з блокуванням BitTorrent;
- «🇩🇪 Німеччина · тільки заблоковані сайти» — через нього йдуть лише сайти, недоступні без VPN.
Кожен інбаунд працює на протоколі VLESS + Reality — тому самому, що робить трафік VPN схожим на звичайні HTTPS-відвідини популярного сайту.
Ім'я інбаунда — це те, що користувач бачить у своєму застосунку як ім'я сервера. Називайте їх зрозуміло: країна + місто або призначення («🇫🇮 Фінляндія», «🎬 Стримінг»).
Створення інбаунда
На сторінці кластера натисніть «Новий інбаунд». У формі:
- Протокол — VLESS + Reality (єдиний, і він же рекомендований).
- Сервер — на якій робочій ноді підняти точку входу. Інбаунди живуть лише на підключених нодах — створити інбаунд на «чистому» мастері не вийде.
- Ім'я — те саме ім'я для ваших користувачів, разом із прапором.
- Сайт для маскування — під який сайт маскується трафік. Оберіть великий HTTPS-сайт, що бездоганно працює в країні сервера: Google/Microsoft/Apple для Європи та США, Yandex або VK для Росії. У розширеному режимі панелі параметри (DEST, SERVER_NAMES, FINGERPRINT) можна налаштувати вручну — але більшості це ніколи не знадобиться.
- Роздільне тунелювання та Блокування торентів — про них нижче.
- Маршрут — до якого маршруту прив'язати нову точку входу (можна обрати «Без маршруту» і прив'язати пізніше — але пам'ятайте з уроку 4: інбаунд поза маршрутом невидимий для користувачів).
Перший інбаунд кластера прив'язується до маршруту за замовчуванням автоматично — тож підписка працює одразу. Усі наступні ви прив'язуєте самі: під час створення, з інспектора (дія «Прив'язати до маршруту») або перетягуванням на діаграмі.
Блокування торентів
Перемикач "Блокувати торенти" зрізає трафік BitTorrent прямо на сервері. Це важливо: блокування діє, навіть якщо користувач вимкне всі правила у своєму застосунку — обійти його редагуванням конфігу неможливо. Для нових інбаундів воно увімкнене за замовчуванням: торенти на VPS — часте джерело скарг від хостинг-провайдерів.
Роздільне тунелювання
Роздільне тунелювання відповідає на питання: який трафік іде через VPN, а який напряму? Ви задаєте правила один раз в інбаунді, і вони автоматично доставляються в застосунки користувачів — користувачам не потрібно нічого налаштовувати.
Класичні сценарії:
- Усе, крім місцевого. Банк, державні сервіси й місцеві сайти йдуть напряму (вони не люблять іноземні адреси); усе інше — через VPN.
- Тільки список. Через VPN ідуть лише заблоковані сайти; усе інше — напряму, без втрати швидкості.
Три списки правил
У розділі «Роздільне тунелювання» три незалежні блоки:
| Блок | Що описує | Приклади |
|---|---|---|
| Вебсайти | Конкретні сайти та доменні зони | example.com (разом із піддоменами), *.ru (уся зона) |
| GeoSite | Готові категорії сервісів | google, netflix, telegram, category-ads-all (реклама) |
| GeoIP | Цілі країни та мережі за IP | ru, cn, private (локальна мережа), 10.0.0.0/8 |
У кожного блоку є режим:
- "Весь через VPN" — блок вимкнено;
- "Все, крім списку" — елементи зі списку йдуть напряму, в обхід VPN; усе інше — через VPN;
- "Тільки список" — через VPN ідуть лише елементи зі списку; усе інше — напряму.
Списки заповнюються «чіпами»: вставте домени через кому або з нового рядка; у GeoSite і GeoIP є готові пресети в один клік.
Режими "Все, крім списку" та "Тільки список" не можна поєднувати в одному інбаунді — вони задають протилежну поведінку для «всього іншого» трафіку. Панель просто не дасть обрати конфліктну комбінацію.
Як правила потрапляють до користувача
Правила додаються до підписки та застосовуються в застосунку користувача. Усі рекомендовані застосунки (Happ, v2rayN/v2rayNG, Streisand, V2Box) отримують їх автоматично; підтримуються й роутери — OpenWRT і Keenetic. А якщо користувач імпортує підписку в якийсь екзотичний застосунок, що не розуміє правил, VPN продовжує працювати — весь трафік просто йде через тунель.
Одну тонкість уже враховано за вас: різні інбаунди можуть нести різні правила, і кожен «сервер» у застосунку користувача приносить свої власні — перемкнувся на інший сервер, отримав його правила.
Головні висновки
- Інбаунд = точка входу на ноді: маскування + правила трафіку + ім'я, яке бачить користувач.
- Один сервер може приймати кілька інбаундів для різних цілей.
- Блокування торентів працює на сервері, і клієнт не може його обійти.
- Роздільне тунелювання: три списки (сайти, категорії, країни), режими «все, крім» / «тільки список», автоматична доставка в застосунки.
- Інбаунд без маршруту невидимий — не забудьте його прив'язати.
Далі
Інбаунд може бути не просто дверима — він може бути зв'язкою з кількох серверів поспіль, де трафік входить в одній країні, а виходить в іншій.
Маршрути та балансування навантаження
Що таке маршрут у CreateYourVPN, як створити його за хвилину, чому корисні порожні маршрути і як система розподіляє користувачів між серверами.
Мультихоп: ланцюги серверів
Як побудувати мультихоп-інбаунд у CreateYourVPN: трафік входить на одному сервері, а виходить з іншого. Навіщо це потрібно, як створити і що бачить користувач.