Если обычный VPN превращает весь трафик дома в «туннель и точка», то Podkop действует аккуратнее. Он пропускает через туннель только нужные домены и подсети, а остальному трафику не мешает. В итоге банки не ругаются, стриминги не включают региональные сюрпризы, пинг в играх остается нормальным. А самое приятное, все это работает на самом роутере, значит телефоны и телевизоры ничего не настраивают и не ставят.
Подкоп придумали как прозрачную прокладку между вашими устройствами и интернетом. Вы добавляете списки доменов, выбираете куда их вести, а он уже сам следит за DNS, решает, что куда идет, и поддерживает несколько независимых «веток». Звучит как магия, по факту это просто грамотная связка современных сетевых инструментов. Именно такой подход сегодня и нужен тем, кто устал от вечной дилеммы, включать VPN везде или нигде.
В этом обзоре разберем, как Podkop устроен, что он умеет, с какими туннелями дружит, как его поставить на OpenWrt и для каких сценариев он реально решает задачи. Попутно покажу мелкие нюансы, чтобы не наступить на банальные грабли.
Что такое Podkop и кому он нужен
Podkop это открытый инструмент для OpenWrt, который становится на роутер и берет на себя точечную маршрутизацию. Идея простая, вы управляете не устройствами, а целевыми ресурсами. Нужные домены и подсети уходят в выбранный туннель или прокси, остальной трафик идет напрямую. Получается комфортная «прослойка» между домашней сетью и интернетом без танцев с профилями на каждом гаджете.
Кому это полезно. Домашним пользователям, которые хотят, чтобы банки, госуслуги и локальные ресурсы открывались без туннеля, а соцсети, мессенджеры, некоторые стриминги и разработческие инструменты ходили через прокси или VPN. Геймерам, чтобы маршрутизировать только проблемные сервисы, не поднимая пинг всему трафику. Семьям, где телевизор, приставка и ноутбуки должны «просто работать» без отдельной настройки VPN на каждом устройстве.
В отличие от штатного «вкл весь трафик в VPN», Podkop гибко управляет направлениями. Вы можете прицельно настроить списки, исключения, а также разные маршруты под разные задачи. Например, отправить YouTube в один туннель, рабочие инструменты в другой, а остальное оставить в покое. Это экономит время, нервы и деньги на дополнительные подписки.
Важно понимать, Podkop не провайдер VPN и не «волшебная кнопка». Он организует грамотную схему маршрутизации на базе вашего туннеля или прокси. Откуда взять туннель, дело отдельное, подойдет WireGuard, AmneziaWG, OpenVPN, OpenConnect или VLESS и Shadowsocks в режиме прокси. Если туннель у вас уже есть, Podkop аккуратно присоединит к нему нужные направления.
Как это работает изнутри и какие режимы доступны
Под капотом у Podkop современный движок sing-box и технология FakeIP. Первый делает умную маршрутизацию по правилам, второй помогает прозрачно сопоставлять домены и IP для корректного разруливания потоков. Снаружи все выглядит просто, вы управляете режимами и списками из LuCI или одного конфигурационного файла, а затем смотрите, как трафик рассортировывается по нужным «коробочкам» без лишней возни.
Режимы три. Proxy, VPN и Block. В Proxy сейчас поддерживаются VLESS и Shadowsocks, можно вставить ссылку подключения, подставить готовый outbound из конфигурации или подключить несколько ссылок с автопереключением по задержке. В VPN выбирается уже поднятый интерфейс, подойдет WireGuard, AmneziaWG, OpenVPN, OpenConnect и любой совместимый туннель. Block нужен для явной блокировки доменов или подсетей на стороне sing-box, полезно для «зачистки» нежелательного трафика.
Списки бывают двух видов. Готовые «community» и ваши кастомные. Готовые закрывают популярные сценарии, от геоблоков до крупных платформ, можно включать нужные подпакеты, а спорные исключить. Собственные списки добавляются в формате доменов, поддоменов или подсетей, причем поддерживаются локальные файлы, удаленные подписки, а также компактные rule-set файлы. Это удобно для командной работы или для редактирования вне роутера.
Чтобы все это не превратилось в «один туннель на все», в Podkop есть секции. Секция это отдельный набор правил и назначений. На практике это выглядит так, одна секция гонит геоблок в европейский прокси, другая ведет YouTube в локальный сервер WireGuard, третья отправляет генеративные инструменты в отдельный Shadowsocks. Количество секций не ограничивается, главное не запутаться в приоритетах и подписках.
DNS в этой картине играет решающую роль. Podkop берет на себя резолвинг, поддерживает DoH, DoT и обычный UDP, а для VPN режимов умеет Split DNS. Это значит, что запросы к доменам из ваших списков могут резолвиться через выбранный DNS внутри туннеля, а остальное обслуживается привычным резолвером. Такой подход убирает лишнюю магию, снижает вероятность странных поломок и дает предсказуемый результат.
Установка на OpenWrt и базовая настройка
Системные требования вполне гуманны. Нужен «ванильный» OpenWrt актуальной ветки, свободное место под зависимosti и сам пакет, а также нормальная работа времени и DNS на роутере. Ставится Podkop либо автоматически через один скрипт, либо руками из релизов. Автоматический вариант удобнее, обновления прилетают тем же способом, а при необходимости можно откатиться на совместимую версию для более старой прошивки.
Порядок действий выглядит просто. Обновляете списки пакетов на OpenWrt, запускаете установочный скрипт в консоли роутера, дожидаетесь установки sing-box и веб-интерфейса. Затем в LuCI появляется пункт Services, внутри появляется модуль Podkop. Остается завести туннель или прокси и связать нужные списки с нужным выходом. Вся магия делается через несколько полей, это сильно проще, чем ручная сборка правил в nftables.
Если используете AmneziaWG, пакеты для него ставятся отдельно. Это быстро, есть автоматический скрипт, а в LuCI после установки появится нужный протокол. Важно отключить маршрутизацию «весь трафик через туннель» внутри настроек AWG, чтобы Podkop мог управлять направлениями сам. Дальше AWG подключается в Podkop как обычный интерфейс и участвует в схемах вместе с WG, OpenVPN и другими.
Несколько тонкостей, которые чаще всего забывают. Не ставьте на один роутер конфликтующие DNS-пакеты, например типовой https-dns-proxy, он переписывает конфигурацию и мешает tproxy. Сторонние скрипты вида «getdomains» тоже лучше удалить, Podkop сам генерирует конфигурацию sing-box и поддерживает свои списки. Перед обновлением прошивки OpenWrt корректно останавливайте сервис Podkop и сохраняйте конфиг, так вы избежите неожиданных сюрпризов со «свалившимся» DNS.
Быстрый чек-лист на установку и первый запуск
- Обновите OpenWrt до актуальной ветки, проверьте свободное место и корректное время системы
- Выполните установку Podkop через автоматический скрипт или установите пакеты из релизов
- Поднимите ваш туннель или добавьте прокси, убедитесь что сам интерфейс поднимается и передает трафик
- В Podkop включите нужные community списки, добавьте свои списки доменов и подсетей при необходимости
- Свяжите секции с нужными выходами, включите Split DNS для VPN режимов, проверьте резолвинг и маршруты
Практика. Сценарии, плюсы и подводные камни
Домашний режим. Самый частый кейс, оставить критичные сервисы и банки на прямом доступе, а остальное вести по спискам. Для этого включаются «готовые» списки, добавляются свои домены и пара исключений, после чего в секции назначаются выходы. На телевизорах и приставках обычно достаточно перенаправить несколько стриминговых платформ, не забыв про их CDN и подсети. Когда все сделано, семья перестает спрашивать, почему сегодня «не открывается» или «видео тормозит».
Игры. Здесь штраф за туннель особенно заметен. Подход такой, игры ходят напрямую, а сопутствующие сервисы и коммуникации можно гонять через прокси. Под дискорд и голос связь лучше добавить не только домены, но и подсети, так вы убираете «молчаливые» проблемы со звонками и комнатами. В итоге пинг остается живым, а необходимые платформы не упираются в региональные блокировки.
Работа и учеба. У многих компаний есть корпоративный VPN, на домашнем роутере это обычно конфликтует с «универсальным» туннелем для всего. Podkop позволяет развести трафик, рабочие домены и подсети отправляются в корпоративный туннель, личные сервисы и досуг обслуживаются своими маршрутами. Роутер превращается в тихого диспетчера, который никому не мешает и никого не ломает.
Что может пойти не так. Самые частые причины, неактуальная прошивка OpenWrt, битая дата и время на роутере, конфликтующие DNS пакеты, попытка одновременно управлять трафиком сторонним скриптом и Podkop. Иногда «шумят» шифрованные DNS, тогда помогает переход на Split DNS для туннелей и обычный UDP для остального. Еще один совет, при обновлениях проверяйте конфигурацию и кэш LuCI, иногда мелкие изменения интерфейса требуют ручного подтверждения настроек.
Что в сухом остатке по плюсам и ограничениям
- Точечная маршрутизация на уровне роутера, устройства не трогаем
- Несколько независимых секций, удобно разводить разные направления
- Готовые списки и поддержка своих подписок, легко расширять
- Split DNS, спокойная работа с резолвингом без мистики
- Зависимость от корректного состояния OpenWrt и дисциплины в пакетах, важно не тащить все подряд
Краткая памятка по режимам
| Режим | Назначение | Что настраиваем |
|---|---|---|
| Proxy | Маршрутизация через VLESS или Shadowsocks | Ссылка подключения, набор ссылок с автотестом, либо свой outbound |
| VPN | Маршрутизация в поднятый интерфейс | WireGuard, AmneziaWG, OpenVPN, OpenConnect, резолвер доменов |
| Block | Явная блокировка нежелательных доменов или подсетей | Списки доменов и CIDR, приоритеты секций |
