استفاده از CDN برای دور زدن سانسور — راهنمای فنی

استفاده از CDN برای دور زدن سانسور — راهنمای فنی

۱۹ اردیبهشت ۱۴۰۵ ۶ دقیقه مطالعه ۴.۹ (۹۰۸)

CDNها مثل Cloudflare برای دور زدنِ سانسور مفیدند چون ISP نمی‌تواند IPشان را راحت بلاک کند — میلیون‌ها سایتِ معمولی روی همان IP هستند، پس بلاکِ کامل بخشِ بزرگی از وب را می‌خواباند. CDN (Content Delivery Network) واسطه‌ی بینِ کاربر و سرورِ اصلی است؛ همین ویژگی پایه‌ی پنهان‌سازیِ ترافیک است.

چرا CDN در سانسور تأثیر دارد؟

وقتی یک سایت Cloudflare است:

  • IP واقعی سرور پنهان است
  • ISP فقط IP Cloudflare می‌بیند
  • اگر بخواهد Cloudflare را block کند، همه سایت‌های Cloudflare block می‌شوند — شامل بسیاری سایت ایرانی
  • پس ISP این کار را نمی‌کند

این حقیقت به VPN ها قدرت می‌دهد. به این روش در ادبیات فنی domain fronting یا «دامنه‌ی واسط» گفته می‌شود: ترافیک شما در ظاهر به یک دامنه‌ی بزرگ و پرکاربرد (که پشت CDN است) می‌رود، در حالی که در باطن به سرور شخصی شما هدایت می‌شود.

چرا IPهای CDN در ایران بلاک نمی‌شوند؟

نکته‌ی کلیدی این است که یک شبکه‌ی توزیع محتوا مثل Cloudflare از مجموعه‌ای محدود از رنج‌های IP استفاده می‌کند و همان IPها را بین میلیون‌ها سایتِ کاملاً متفاوت به اشتراک می‌گذارد. این یعنی:

  • پشت یک IPِ واحدِ Cloudflare ممکن است هزاران سایتِ خبری، فروشگاهی، بانکی و شرکتی قرار داشته باشد.
  • بلاک کردن آن IP، همه‌ی آن سایت‌ها را همزمان از دسترس خارج می‌کند — از جمله سرویس‌هایی که خودِ کسب‌وکارها و سازمان‌های داخلی به آن‌ها وابسته‌اند.
  • به همین دلیل بلاکِ گسترده‌ی رنجِ CDN «هزینه‌ی جانبیِ» بالایی دارد و معمولاً عملی نیست.

این پدیده‌ی «اشتراکِ زیرساخت» همان چیزی است که CDN را به یک سپرِ طبیعی تبدیل می‌کند؛ نه به این دلیل که CDN عمداً برای دور زدن سانسور ساخته شده، بلکه چون معماری‌اش ذاتاً چند-مستأجری (multi-tenant) است.

CDN-based VPN چگونه کار می‌کند؟

  1. سرور VPN اصلی پشت Cloudflare قرار می‌گیرد
  2. کاربر به دامنه cdn.example.com وصل می‌شود (که Proxied است)
  3. Cloudflare ترافیک را به سرور forward می‌کند
  4. ISP فقط می‌بیند به Cloudflare وصل هستید
  5. حتی DPI پیشرفته نمی‌تواند V2Ray را شناسایی کند چون ترافیک از CDN می‌گذرد

به‌بیان دقیق‌تر، چون ترافیک شما داخل یک اتصالِ HTTPS معمولی به یک دامنه‌ی شناخته‌شده پیچیده می‌شود، از نگاهِ DPI تفاوتی با مرورِ یک سایتِ معمولیِ پشتِ همان CDN ندارد.

چگونه V2Ray را پشت CDN با WebSocket و TLS راه بیندازیم؟

ترکیبِ رایج برای کار با CDN، VLESS یا VMess روی WebSocket روی TLS است (اصطلاحاً WS+TLS). مراحلِ کلی:

  1. یک دامنه بگیرید و آن را به Cloudflare اضافه کنید، سپس رکوردِ A را به IPِ سرورتان وصل کرده و حالتِ پروکسی (ابرِ نارنجی / Proxied) را روشن کنید تا IPِ واقعی پنهان شود.
  2. در پنل (مثلاً 3x-ui) یک inbound از نوع VLESS بسازید، شبکه (network/transport) را روی ws بگذارید و یک path مشخص کنید (مثلِ یک مسیرِ دلخواه).
  3. TLS را روی همان دامنه فعال کنید. در عمل لایه‌ی TLSِ بیرونی را خودِ Cloudflare مدیریت می‌کند، پس کاربر روی پورتِ HTTPS استاندارد (۴۴۳) به دامنه وصل می‌شود.
  4. در کلاینت، آدرس را دامنه‌ی Cloudflare، پورت را ۴۴۳، transport را WebSocket با همان path، و TLS را روشن تنظیم کنید.

دلیلِ انتخابِ WebSocket این است که CDNها ترافیکِ HTTP/HTTPS و WebSocket را به‌خوبی forward می‌کنند؛ بنابراین ترافیکِ V2Ray به‌شکلِ یک نشستِ وبِ معمولی از CDN عبور می‌کند.

CDN های رایج

  • Cloudflare: محبوب‌ترین، رایگان، WebSocket پشتیبان
  • Fastly: سریع، اما گران
  • AWS CloudFront: آمریکا — تحریم احتمالی
  • Bunny CDN: اروپا، ارزان
  • ArvanCloud: ایران — برای دور زدن سانسور بی‌فایده

بیشترین استفاده در ایران: Cloudflare

محدودیت‌های مهم

  • Cloudflare TOS: استفاده از rates بالا برای VPN ممکن است TOS را نقض کند
  • سرعت متغیر: بسته به آلمنت Cloudflare ایران
  • WebSocket only بر روی Free tier
  • اگر Cloudflare account ban شود سایت شما down است
  • Reality نمی‌تواند با CDN ترکیب شود

این آخرین مورد سوءتفاهمِ رایجی است. پروتکلِ Reality برای کارکرد به یک اتصالِ TLSِ مستقیم و انتها-به-انتها بین کلاینت و سرورِ شما نیاز دارد تا بتواند با یک دامنه‌ی واقعیِ دیگر هندشیک را تقلید کند. اما CDN لایه‌ی TLS را خودش خاتمه می‌دهد (TLS termination)؛ یعنی نشستِ رمزنگاری بینِ کاربر و CDN است، نه مستقیماً با سرورِ شما. به همین دلیل Reality پشتِ CDN عملاً کار نمی‌کند و برای CDN باید سراغِ WS+TLS بروید.

نکته‌ی مهمِ دیگر: CDN به‌تنهایی یک تونلِ کاملِ رمزنگاری‌شده نیست. CDN فقط مسیرِ ترافیک و پنهان‌سازیِ IP را فراهم می‌کند؛ رمزنگاریِ واقعیِ محتوا و تونل را پروتکلِ V2Ray (VLESS/VMess) و TLSِ زیرین انجام می‌دهند. CDN را باید لایه‌ی استتار دید، نه جایگزینِ خودِ VPN.

سربار و تأخیرِ CDN

عبور از CDN یک «hop» اضافه به مسیر اضافه می‌کند: ترافیک ابتدا به نزدیک‌ترین نقطه‌ی حضورِ CDN می‌رود و از آنجا به سرورِ شما. این مسیرِ غیرمستقیم می‌تواند تأخیر (latency) و سربارِ کمی نسبت به اتصالِ مستقیم اضافه کند. برای مرورِ وب و پیام‌رسان معمولاً محسوس نیست، اما در کاربری‌های حساس به تأخیر مثلِ بازیِ آنلاین یا تماسِ تصویری ممکن است خودش را نشان دهد.

چه زمانی یک VPSِ اختصاصی بهتر از CDN است؟

CDN همیشه بهترین انتخاب نیست. در این حالت‌ها یک سرورِ مجازیِ اختصاصی (VPS) با اتصالِ مستقیم می‌تواند بهتر باشد:

  • وقتی کمترین تأخیر اهمیت دارد (بازی، تماسِ تصویری، معاملاتِ زنده) و حذفِ hopِ CDN ارزشمند است.
  • وقتی می‌خواهید از Reality یا دیگر روش‌هایی استفاده کنید که به TLSِ مستقیمِ انتها-به-انتها نیاز دارند.
  • وقتی نمی‌خواهید به قوانین استفاده و محدودیت‌های نرخِ یک سرویسِ شخصِ ثالث وابسته باشید.
  • وقتی به پایداریِ کاملاً تحتِ کنترلِ خودتان نیاز دارید و نمی‌خواهید بان‌شدنِ یک حسابِ CDN کلِ سرویس را بخواباند.

در عمل، بسیاری از سرویس‌های حرفه‌ای هر دو رویکرد را کنارِ هم نگه می‌دارند: مسیرِ مبتنی بر CDN برای دورانِ سختگیریِ شدید و فیلترینگِ DPI، و مسیرِ مستقیمِ VPS برای زمان‌هایی که سرعت و تأخیرِ پایین در اولویت است.

رفعِ اشکالِ رایج

  • اتصال برقرار نمی‌شود: مطمئن شوید رکوردِ دامنه در Cloudflare روی حالتِ Proxied (ابرِ نارنجی) است، نه DNS-only؛ در حالتِ DNS-only ترافیک از CDN عبور نمی‌کند و IPِ واقعی فاش می‌شود.
  • خطای TLS: بررسی کنید که نامِ دامنه در کلاینت دقیقاً با همان دامنه‌ای که در CDN تنظیم کرده‌اید یکی باشد و حالتِ SSL در Cloudflare درست انتخاب شده باشد.
  • وصل می‌شود ولی اینترنت ندارید: اغلب به‌خاطرِ ناهماهنگیِ pathـِ WebSocket بینِ سرور و کلاینت است؛ path باید در هر دو طرف کاملاً یکسان باشد.
  • سرعتِ پایین یا قطع‌وصلی: نقطه‌ی حضورِ CDN یا مسیر ممکن است در آن لحظه شلوغ باشد؛ امتحانِ یک دامنه‌ی دیگر، یا سوییچ به مسیرِ مستقیمِ VPS، معمولاً کمک می‌کند.

جمع‌بندی

CDN لایه‌ای قدرتمند برای دور زدن سانسور است. سرویس‌های حرفه‌ای (مثل v2route) از این تکنیک‌ها استفاده می‌کنند تا پایداری بیشتری ارائه دهند.

مقالات مرتبط

v2route با ۱۰ سال تجربه، VPN امن، پرسرعت و پایدار برای ایران ارائه می‌دهد. همین حالا تست رایگان بگیرید.

آماده‌ای؟ همین حالا VPN خودت رو بگیر

تست رایگان ۱۰۰ مگابایت — بدون نیاز به کارت اعتباری

🎁 دریافت تست رایگان از ربات تلگرام 🛒 مشاهده پکیج‌ها

به این مقاله امتیاز دهید

میانگین فعلی: ۴.۹ از ۵ — ۹۰۸ امتیاز ثبت شده

اشتراک‌گذاری این مقاله

✈ تلگرام 𝕏 X 🟢 واتساپ

آیا این مقاله مفید بود؟

نظرات (۰)

اولین نفری باشید که نظر می‌دهید

نظر شما

بیشتر از تیم ما

وی‌پی‌ان و بانک ایرانی — چرا اپ بانک با فیلترشکن باز نمی‌شود؟ (۱۴۰۵)
رضا ۲ تیر ۱۴۰۵
خرید فیلترشکن بدون قطعی برای ایران ۱۴۰۵ — کدام پایدار می‌ماند؟
سارا ۱ تیر ۱۴۰۵

مقالات مرتبط

🏦 وی‌پی‌ان و بانک ایرانی — چرا اپ بانک با فیلترشکن باز نمی‌شود؟ (۱۴۰۵)
📶 خرید فیلترشکن بدون قطعی برای ایران ۱۴۰۵ — کدام پایدار می‌ماند؟
🔑 خرید اکانت VPN و تمدید فیلترشکن در ایران ۱۴۰۵ — راهنمای کامل
✏️ پیشنهاد ویرایش یا گزارش مشکل (تلگرام)
← بازگشت به بلاگ

تست رایگان ۲۴ ساعته v2route

بدون نیاز به پرداخت — مستقیم تو تلگرام دریافت کن

🎁 دریافت تست رایگان از ربات تلگرام
خانه ورود بلاگ