CreateYourVPN Academy
Курс: як усе працює

Як знайти маскувальний сайт: сканер підмережі

Як сканер підмережі CreateYourVPN знаходить справжні сайти-сусіди, під які можна маскуватися (Reality SNI/DEST), чому найближчий сайт — найкраще прикриття і як запустити, прочитати та зупинити скан.

В уроці про інбаунди ми обирали сайт для маскування — популярний HTTPS-сайт, під візити до якого прикидається ваш VPN-трафік. Цей вибір важливіший, ніж здається, і в панелі є інструмент, що робить його за вас: сканер підмережі. Цей урок пояснює, що таке хороший маскувальний сайт, чому сусід вашого ж сервера зазвичай виявляється найкращим варіантом і як сканер знаходить таких сусідів автоматично.

Чому важливий маскувальний сайт

Кожен інбаунд працює на VLESS + Reality. Reality змушує ваш трафік виглядати як звичайний HTTPS-візит до реального популярного сайту — і робить це, по-справжньому завершуючи першу частину TLS-рукостискання з цим сайтом. У панелі цей сайт — поле «Сайт для маскування»; у розширеному режимі воно розбивається на технічні параметри DEST (реальний хост, у якого «позичається» рукостискання) і SERVER_NAMES (ім'я, яке оголошують застосунки ваших користувачів, — SNI).

Щоб маскування трималося, сайт має одночасно задовольняти кілька умов:

  • Говорить сучасними TLS 1.3 і HTTP/2 (старі сайти видають рукостискання).
  • Великий і непримітний — трафік до нього не впадає в очі.
  • Не заблокований у країні вашого сервера (заблоковане «прикриття» руйнує всю затію).
  • Швидко досяжний із сервера (рукостискання — це реальний мережевий трафік).

Чому сусід — найкраще прикриття

Останній пункт — найцікавіший. Ваш сервер стоїть у дата-центрі, оточений іншими машинами в тій самій підмережі — часто це інші клієнти того самого хостингу, на яких крутяться цілком звичайні сайти. Маскування під одного з таких сусідів дає дві переваги:

  • Затримка майже нульова. DEST-рукостискання не виходить за межі дата-центру, тож з'єднання встановлюються швидше.
  • Розчиняється у фоні. Трафік від вашого сервера до машини через стійку — саме те, що дата-центр бачить цілими днями.

Заковика: сусідів ви напам'ять не знаєте. Саме для цього й потрібен сканер.

Що робить сканер підмережі

Сканер просить ваш сервер тихо простукати своє оточення й повідомити, які сусіди згодяться як прикриття для Reality.

Сервер простукує сусідів по мережі — машини з близькими IP-адресами: спершу власну підмережу, потім ширший блок навколо неї (за замовчуванням — /20).

Для кожного сусіда, що відповів, вона перевіряє рукостискання: чи пропонує він TLS 1.3 і чи оголошує HTTP/2? Лише такі годяться в Reality-dest.

Підтверджені сайти збираються, дедуплікуються й зберігаються за вашим сервером. Панель показує їх як готові до використання підказки.

Скан запускається автоматично під час першого встановлення сервера, тож на момент, коли ви відкриваєте форму інбаунда, підказки зазвичай уже на місці. Запустити його вручну можна будь-коли.

Сканер лише читає — він відкриває звичайне з'єднання до кожного сусіда й дивиться на TLS-рукостискання, рівно як це робить будь-який браузер. Він нічого не змінює на тих машинах і не зберігає нічого, крім підтверджених доменних імен.

Де його знайти

Той самий результат скану використовується всюди, де обирається маскувальний сайт, тож підказки й живий прогрес синхронні:

  • У формі інбаунда, під полем «Сайт для маскування» — кнопка «Знайти сайти в підмережі» і, після першого скану, швидкі чипи зі знайденими доменами. Клік по чипу підставляє значення в поле.
  • У модалці сервера (відкрийте сервер із кластера), у розділі «Маскувальні сайти (SNI)» — той самий скан зі зведенням, скільки сайтів знайдено.
  • На картці «в роботі» на головній — поки щойно доданий сервер ще встановлюється, прогрес скану показується просто там.

Як читати результати

Швидкі чипи показують знайдені у вашій підмережі сайти за вирахуванням тих, що вже зайняті вашими інбаундами. Тож у міру того, як ви витрачаєте кандидатів на інбаунди, вони зникають зі списку, а звільнений сайт повертається. Якщо всі знайдені сайти вже зайняті, панель повідомляє про це й пропонує ввести домен вручну або пересканувати.

Сусід — хороше прикриття, але не чарівне. Усе одно віддавайте перевагу кандидату, який не заблокований у країні вашого сервера, — великому, нудному сайту. Якщо поряд нічого не підходить, ввести вручну відомий глобальний сайт (Google, Microsoft, Apple, Cloudflare) — завжди припустимий запасний варіант.

Запуск, зупинка та повторний скан

  • Запуск — натисніть «Знайти сайти в підмережі» (або «Сканувати знову» після попереднього прогону). Широкий скан займає близько хвилини; результати з'являються поступово в міру перевірки кожного /24, тож чекати весь скан, щоб обрати сайт, не потрібно.
  • Зупинка — знайшли достатньо? Натисніть «Зупинити». Кнопка зміниться на «Зупиняємо…», поки сервер докінчує поточний шматок; усе знайдене зберігається. Коли все вляжеться, скан позначається завершеним і з'являється «Сканувати знову».
  • Повторний скан — запускає свіжий скан і оновлює список кандидатів. Знадобиться, якщо ви перенесли сервер або оточення могло змінитися.

Зупинити скан можна одним кліком — він ненадовго покаже «Зупиняємо…» і завершиться сам. Тиснути «Зупинити» двічі чи чекати перед новим запуском не потрібно.

Головне

  • Маскувальний сайт (Reality DEST/SNI) має бути великим, незаблокованим сайтом із TLS 1.3 + HTTP/2 — і сусід вашого сервера зазвичай виявляється найкращим: швидкий і непримітний.
  • Сканер підмережі знаходить таких сусідів за вас: простукує /24/20 сервера, залишає придатні сайти й пропонує їх одним кліком.
  • Він запускається автоматично під час встановлення й може бути перезапущений будь-коли — із форми інбаунда, модалки сервера чи картки «в роботі».
  • Швидкі чипи = знайдені сайти мінус уже зайняті; звільніть один — і він повернеться.
  • Запускайте, зупиняйте (один клік → «Зупиняємо…») і перескановуйте за потреби — усе знайдене завжди зберігається.

Далі

Інбаунд може бути не просто однією дверима — це може бути ланцюжок серверів, де трафік входить в одній країні, а виходить в іншій. Кожен хоп обирає свій маскувальний сайт, тож сканер і там окупається.

On this page