Inbound và chia nhỏ đường hầm
Inbound trong CreateYourVPN là gì: ngụy trang thành một trang web, chặn torrent, và chia nhỏ đường hầm — lưu lượng nào đi qua VPN và lưu lượng nào đi trực tiếp.
"Inbound" là từ mang tính kỹ thuật nhất trong bảng điều khiển, nhưng ý tưởng đằng sau nó lại đơn giản: đó là một điểm vào VPN của bạn được cấu hình trên một máy chủ cụ thể. Trong bài học thuật ngữ, chúng ta đã so sánh inbound với những cánh cửa của một tòa nhà — giờ hãy xem một cánh cửa như vậy được tạo từ gì và cài đặt của nó là gì.
Inbound là gì
Khi ứng dụng của người dùng kết nối đến máy chủ của bạn, nó không gõ cửa "máy chủ nói chung" — nó gõ vào một inbound cụ thể, và nhận đúng những quy tắc bạn đã đặt trong inbound đó: ngụy trang thành website nào, có cắt torrent hay không, lưu lượng nào được gửi vòng qua VPN.
Một node worker duy nhất có thể lưu trữ nhiều inbound với các cài đặt khác nhau. Ví dụ:
- "🇩🇪 Đức" — một inbound thông thường cho tất cả mọi người;
- "🇩🇪 Đức · không torrent" — giống hệt, nhưng có chặn BitTorrent;
- "🇩🇪 Đức · chỉ trang bị chặn" — chỉ những trang không thể truy cập được nếu không có VPN mới đi qua nó.
Mọi inbound đều chạy trên giao thức VLESS + Reality — chính giao thức khiến lưu lượng VPN trông giống như những lượt truy cập HTTPS thông thường đến một website phổ biến.
Tên của inbound chính là thứ người dùng thấy trong ứng dụng của họ như tên máy chủ. Hãy đặt tên rõ ràng: quốc gia + thành phố hoặc mục đích ("🇫🇮 Phần Lan", "🎬 Streaming").
Tạo một inbound
Trên trang cụm, nhấp "Thêm inbound". Trong biểu mẫu:
- Giao thức — VLESS + Reality (giao thức duy nhất, và cũng là giao thức được khuyến nghị).
- Máy chủ — bật điểm vào trên node worker nào. Inbound chỉ tồn tại trên các node đã kết nối — bạn không thể tạo một inbound trên một master "thuần túy".
- Tên — chính là cái tên dành cho người dùng của bạn, kèm cả lá cờ.
- Trang web để ngụy trang — trang nào lưu lượng sẽ ngụy trang thành. Hãy chọn một trang HTTPS lớn hoạt động hoàn hảo ở quốc gia của máy chủ: Google/Microsoft/Apple cho châu Âu và Mỹ, Yandex hoặc VK cho Nga. Trong chế độ nâng cao của bảng điều khiển, bạn có thể tinh chỉnh các tham số bằng tay (DEST, SERVER_NAMES, FINGERPRINT) — nhưng hầu hết mọi người không bao giờ cần đến nó.
- Chia nhỏ đường hầm và Chặn torrent — được nói ở phần dưới.
- Tuyến — gắn điểm vào mới với tuyến nào (bạn có thể chọn "Không có tuyến" và gắn sau — nhưng hãy nhớ từ bài 4: một inbound nằm ngoài tuyến sẽ vô hình với người dùng).
Inbound đầu tiên của cụm được tự động gắn vào tuyến mặc định — nhờ vậy đăng ký hoạt động ngay lập tức. Tất cả các inbound sau đó bạn tự gắn: lúc tạo, từ bảng thanh tra (thao tác "Thêm vào tuyến"), hoặc bằng cách kéo thả trên sơ đồ.
Chặn torrent
Công tắc "Chặn torrent" cắt lưu lượng BitTorrent ngay trên máy chủ. Điều này quan trọng: việc chặn hoạt động ngay cả khi người dùng tắt tất cả quy tắc trong ứng dụng của họ — nó không thể bị vượt qua bằng cách chỉnh sửa cấu hình. Tính năng này bật mặc định cho các inbound mới: torrent trên một VPS là nguồn khiếu nại phổ biến từ các nhà cung cấp hosting.
Chia nhỏ đường hầm
Chia nhỏ đường hầm trả lời câu hỏi: lưu lượng nào đi qua VPN, và lưu lượng nào đi trực tiếp? Bạn đặt quy tắc một lần trong inbound, và chúng được chuyển tới ứng dụng của người dùng một cách tự động — người dùng không phải cấu hình bất cứ điều gì.
Các kịch bản kinh điển:
- Mọi thứ trừ nội bộ. Ngân hàng, dịch vụ chính phủ, và các trang web nội địa đi trực tiếp (chúng không thích các địa chỉ nước ngoài); mọi thứ khác đi qua VPN.
- Chỉ danh sách. Chỉ những trang bị chặn mới đi qua VPN; mọi thứ khác đi trực tiếp, không mất tốc độ.
Ba danh sách quy tắc
Phần "Chia nhỏ đường hầm" có ba khối độc lập:
| Khối | Nó mô tả gì | Ví dụ |
|---|---|---|
| Trang web | Các trang web cụ thể và các vùng tên miền | example.com (bao gồm cả tên miền con), *.ru (toàn bộ vùng) |
| GeoSite | Các danh mục dịch vụ có sẵn | google, netflix, telegram, category-ads-all (quảng cáo) |
| GeoIP | Toàn bộ quốc gia và mạng theo IP | ru, cn, private (mạng nội bộ), 10.0.0.0/8 |
Mỗi khối có một chế độ:
- "Tất cả qua VPN" — khối này tắt;
- "Tất cả trừ danh sách" — các mục trong danh sách đi trực tiếp, bỏ qua VPN; mọi thứ khác đi qua VPN;
- "Chỉ danh sách" — chỉ các mục trong danh sách đi qua VPN; mọi thứ khác đi trực tiếp.
Các danh sách được điền bằng "chip": dán các tên miền phân cách bằng dấu phẩy hoặc xuống dòng; GeoSite và GeoIP có các mẫu dựng sẵn chỉ với một cú nhấp chuột.
Hai chế độ "Tất cả trừ danh sách" và "Chỉ danh sách" không thể trộn lẫn trong cùng một inbound — chúng đặt hành vi mặc định trái ngược nhau cho "toàn bộ phần còn lại" của lưu lượng. Bảng điều khiển sẽ không cho phép bạn chọn một tổ hợp xung đột.
Các quy tắc được chuyển đến người dùng như thế nào
Các quy tắc được thêm vào đăng ký (subscription) và được thực thi trong ứng dụng của người dùng. Tất cả các ứng dụng được khuyến nghị (Happ, v2rayN/v2rayNG, Streisand, V2Box) nhận chúng tự động; router cũng được hỗ trợ — OpenWRT và Keenetic. Và nếu một người dùng nhập đăng ký vào một ứng dụng "lạ" nào đó không hiểu các quy tắc, VPN vẫn tiếp tục hoạt động — toàn bộ lưu lượng đơn giản là đi qua đường hầm.
Có một điều tinh tế đã được xử lý sẵn cho bạn: các inbound khác nhau có thể mang các quy tắc khác nhau, và mỗi "máy chủ" trong ứng dụng của người dùng mang theo quy tắc riêng của nó — chuyển sang một máy chủ khác, nhận quy tắc của máy chủ đó.
Những điểm chính cần nhớ
- Một inbound = một điểm vào trên node: ngụy trang + quy tắc lưu lượng + cái tên người dùng nhìn thấy.
- Một máy chủ có thể lưu trữ nhiều inbound cho các mục đích khác nhau.
- Chặn torrent hoạt động trên máy chủ và không thể bị client vượt qua.
- Chia nhỏ đường hầm: ba danh sách (trang web, danh mục, quốc gia), chế độ "tất cả trừ" / "chỉ danh sách", tự động chuyển đến ứng dụng.
- Một inbound không có tuyến sẽ vô hình — đừng quên gắn nó.
Tiếp theo
Một inbound có thể không chỉ là một cánh cửa — nó có thể là một chuỗi gồm nhiều máy chủ nối tiếp nhau, nơi lưu lượng vào ở một quốc gia và ra ở một quốc gia khác.
Tuyến và cân bằng tải
Tuyến trong CreateYourVPN là gì, cách tạo một tuyến trong một phút, tại sao tuyến trống lại hữu ích, và cách hệ thống phân bổ người dùng giữa các máy chủ.
Multihop: chuỗi máy chủ
Cách xây dựng một inbound multihop trong CreateYourVPN: lưu lượng vào trên một máy chủ và ra từ một máy chủ khác. Tại sao bạn muốn có nó, cách tạo nó, và người dùng thấy gì.