Домены для VPN-сервиса

Домен — это лицо вашей инфраструктуры. Неправильный домен выдаёт назначение, приглашает сканеры/брутфорс и попадает в блок-листы. Несколько жёстких правил.

Правила выбора домена

1. Никаких «говорящих» слов. В домене и сабдоменах нельзя vpn, впн, proxy, прокси, free, unblock, tor, xray, marzban, remnawave. Такие домены эвристики и блок-листы ловят пачками. Берите нейтральное: бренд, абстракция, обычное слово (cloudmesh.io, brightpath.net).

2. Не RU-зона для нод и панели. .ru / .рф / .su под ноды и панель — категорически нет: - регистрация РФ-доменов с 1 сентября 2025 — только через Госуслуги (деанон владельца); - РКН имеет прямой рычаг: может разделегировать/изъять, а РФ-регистратор обязан исполнять предписания.

Берите нейтральные зоны (.com / .net / .org / .xyz / .shop / .online) у зарубежного регистратора. РФ-домен допустим разве что под сервер подписки (он отдаёт только страницу/конфиг, не трафик) — но и тут зарубежный лучше.

3. Панель — НЕ на сабдомене panel. panel.домен, admin.домен, marzban.домен — это приглашение: недоброжелатели сразу находят вход и начинают подбор пароля. Панель вешайте на невзрачный/случайный сабдомен (a7f3.домен, cp.домен, mgmt.домен) и не светите его (нет в подписке, нет в боте), плюс закройте basic-auth / IP-allowlist (см. «Чтобы не угнали»).

4. Сабдомены — нейтральные. Ноды: node1, s1, de1, cdn, static, img. Подписка: sub, s. Цель — выглядеть как обычная инфраструктура сайта.

Где покупать (анонимно)

• @getdomain_bot в Telegram — удобно берёт домены, оплата криптой, без РФ-регистратора и деанона. Рекомендуемый способ.
• Зарубежные регистраторы с крипто-оплатой — как альтернатива.
• Платите криптой/нейтральным способом, не привязывайте к личным данным там, где можно.

⛔️ Почему нельзя DuckDNS (и другой бесплатный dynamic-DNS)

DuckDNS даёт не свой домен, а поддомен что-то.duckdns.org. Это плохо по всем фронтам:

• Грязный «родитель». На duckdns.org сидят тысячи абузеров — домен давно репутационно гнилой и в блок-листах. Режут его пачкой (collateral block): заблокируют чужой поддомен — заодно ляжет ваш.
• Нет своей зоны на Cloudflare. У вас нет apex-домена → нельзя добавить зону в Cloudflare, нет управления DNS-записями, нет проксирования/CDN, нет нормальных сертификатов под свой домен.
• Не годится для Reality / self-steal. Маскировка требует правдоподобного своего домена с TLS 1.3. *.duckdns.org для serverNames — палево, не выглядит как настоящий сайт.
• Зависимость от чужого крючка. DuckDNS может отозвать/удалить поддомен, ввести лимиты, упасть — и ваш сервис висит на чужом бесплатном сервисе.
• Целиком под риском. duckdns.org может попасть под блокировку РКН целиком — и вы ничего не сделаете.

Свой домен за ~1–2 $/год снимает все эти проблемы. Бесплатный dynamic-DNS — ложная экономия.

Подключение домена к Cloudflare (для DNS-записей)

Cloudflare нужен как управляемый DNS (быстро создавать/менять записи) и опционально как CDN-фронт.

1. Cloudflare → Add a site → введите ваш домен → план Free.
2. Cloudflare покажет два nameserver-а (вида xxx.ns.cloudflare.com). Зайдите к регистратору (или в @getdomain_bot) и замените NS на эти два. Активация — от минут до пары часов.
3. DNS → Records → Add record — создайте A-записи:

1. SSL/TLS → режим Full (или Full (strict)).

🔴 Важно: для нод с Reality ставьте серое облако (DNS only). Оранжевое (Proxied) терминирует TLS на Cloudflare и ломает Reality. Проксирование (оранжевое) — только для CDN-фронтинга XHTTP/WS (см. «Спрятать сервер за CDN»).

Чек-лист

• [ ] Домен без vpn/proxy/free-слов, нейтральная зона, не .ru (ноды/панель).
• [ ] Куплен анонимно (@getdomain_bot / крипта).
• [ ] Панель — на невзрачном сабдомене, не panel, не светится.
• [ ] Подключён к Cloudflare, NS заменены.
• [ ] Ноды Reality — DNS only (серое облако).
• [ ] Никакого DuckDNS.

Связано: «Сервер за 15 минут» (хостеры), «Спрятать сервер за CDN» (Proxied/оранжевое), «Чтобы не угнали» (защита панели).