CreateYourVPN Academy
课程:工作原理

入站与分流隧道

CreateYourVPN 中入站是什么:伪装成网站、屏蔽种子下载,以及分流隧道——哪些流量走 VPN,哪些直连。

"入站"是面板里技术性最强的一个词,但它背后的想法很简单:它是你 VPN 里某台服务器上一个配置好的入口点。在术语那一课里,我们把入站比作一栋楼的门——现在让我们看看这样一扇"门"是由什么组成的,它的设置都有哪些。

入站是什么

当用户的应用连接到你的服务器时,它敲的不是"这台服务器整体"的门,而是一个具体的入站,得到的正是你在这个入站里设置的规则:伪装成哪个网站、要不要屏蔽种子下载、哪些流量绕开 VPN 走。

一个工作节点可以托管多个设置各不相同的入站。比如:

  • "🇩🇪 Germany"——面向所有人的普通入站;
  • "🇩🇪 Germany · no torrents"——同样的入站,但屏蔽了 BitTorrent;
  • "🇩🇪 Germany · blocked sites only"——只有那些没有 VPN 就打不开的网站会走它。

每个入站都运行在 VLESS + Reality 协议上——正是这个协议让 VPN 流量看起来就像是对一个热门网站的普通 HTTPS 访问。

入站的名字就是用户在应用里看到的服务器名。 请把它们命名得清清楚楚:国家 + 城市,或者用途("🇫🇮 芬兰""🎬 Streaming")。

创建入站

在集群页面上,点击"新建入站"。在表单里:

  1. 协议——VLESS + Reality(唯一选项,也是推荐选项)。
  2. 服务器——在哪个工作节点上开通这个入口点。入站只能存在于已连接的节点上——你不能在"纯粹的"主控上创建入站。
  3. 名称——展示给你用户的那个名字,包含国旗。
  4. 伪装成的网站——流量伪装成访问哪个网站。选一个在该服务器所在国家能完美打开的大型 HTTPS 网站:欧美选 Google/Microsoft/Apple,俄罗斯选 Yandex 或 VK。在面板的高级模式下,你可以手动微调各项参数(DEST、SERVER_NAMES、FINGERPRINT)——但大多数人根本用不上。
  5. 分流隧道屏蔽种子下载——下文详述。
  6. 路由——把这个新入口点绑定到哪条路由(你可以选择"无路由",之后再绑定——但别忘了第 4 课里讲的:不属于任何路由的入站,用户是看不到的)。

集群的第一个入站会自动绑定到默认路由——这样订阅马上就能用。后面的入站需要你自己绑定:可以在创建时选择,可以在检查器里操作("添加到路由"),也可以在拓扑图上拖动。

屏蔽种子下载

"屏蔽种子下载"开关会直接在服务器上切断 BitTorrent 流量。这一点很重要:即使用户在应用里关闭了所有规则,这个屏蔽依然有效——无法通过修改配置来绕过。新建入站默认会开启它:VPS 上的种子下载是托管商投诉的常见来源。

分流隧道

分流隧道回答的问题是:哪些流量走 VPN,哪些直连? 你只需要在入站里设置一次规则,规则就会自动下发到用户的应用——用户什么都不用配置。

经典场景:

  • 除本地外全部走 VPN。 银行、政府服务和本地网站直连(它们不喜欢境外地址);其余的都走 VPN。
  • 仅列表走 VPN。 只有被墙的网站走 VPN;其余的都直连,速度毫无损失。

三个独立的规则列表

"分流隧道"部分有三个相互独立的区块:

区块描述内容示例
网站具体网站和域名区段example.com(含子域名)、*.ru(整个区段)
GeoSite现成的服务分类googlenetflixtelegramcategory-ads-all(广告)
GeoIP按 IP 划分的整个国家和网络rucnprivate(本地网络)、10.0.0.0/8

每个区块都有一个模式:

  • "全部走 VPN"——该区块关闭;
  • "除列表外全部走 VPN"——列表中的条目直连,绕过 VPN;其余的都走 VPN;
  • "仅列表走 VPN"——只有列表中的条目走 VPN;其余的都直连。

列表用"标签片"的形式填写:用逗号或换行粘贴域名;GeoSite 和 GeoIP 还提供一键预设。

**"除列表外全部走 VPN""仅列表走 VPN"**这两种模式不能在同一个入站里混用——它们为"其余流量"设置的是相反的行为。面板根本不会让你选出一个冲突的组合。

规则是怎么传达给用户的

这些规则会被添加到订阅里,并在用户的应用中强制生效。所有推荐的应用(Happ、v2rayN/v2rayNG、Streisand、V2Box)都会自动接收它们;路由器同样受支持——OpenWRTKeenetic。如果用户把订阅导入到某个不理解这些规则的小众应用,VPN 依然能正常工作——所有流量都会简单地走隧道传输。

有一个细节已经替你处理好了:不同的入站可以携带不同的规则,用户应用里的每个"服务器"都会带上自己的规则——切换到另一个服务器,就会用上它的规则。

关键要点

  • 入站 = 节点上的一个入口点:伪装 + 流量规则 + 用户看到的名字。
  • 一台服务器可以为不同用途托管多个入站。
  • 屏蔽种子下载在服务器端生效,客户端无法绕过。
  • 分流隧道:三个列表(网站、分类、国家),"除外" / "仅列表"两种模式,自动下发到应用。
  • 没有路由的入站不可见——别忘了绑定。

下一课

一个入站可以不只是一扇门——它还可以是一条由多台服务器串联而成的链路,流量从一个国家进入,从另一个国家出去。

On this page