Split tunneling на домашнем роутере нужен там, где один VPN-маршрут начинает мешать всей сети. Рабочему ноутбуку нужен выход через туннель, телевизору важнее скорость и локальные сервисы, а банковские приложения и часть российских сайтов часто работают стабильнее без VPN. В этот момент и появляется практическая задача: часть трафика отправить через туннель, а часть оставить на обычном подключении провайдера.
Здесь многие ошибаются уже на старте. На компьютере или смартфоне split tunneling часто выглядит как выбор отдельных программ. На роутере логика почти всегда грубее. Маршрутизатор не видит приложения внутри устройства, зато хорошо умеет работать с IP-адресами, подсетями, доменами, портами и целыми клиентами домашней сети. Поэтому в реальной жизни речь идет не о маршрутизации приложений, а о policy-based routing, то есть о правилах, по которым роутер выбирает путь для трафика.
Самый понятный домашний сценарий выглядит так: ноутбук и рабочий смартфон идут через WireGuard, телевизор и приставка выходят напрямую, а локальная сеть, принтеры и NAS в туннель не попадают вообще. Если собрать такую схему аккуратно, сеть становится удобнее и предсказуемее. Если накидать правила без системы, потом начинается вечная отладка: один сайт открывается только с телефона, второй ломается на телевизоре, а третий внезапно не работает из-за DNS.
Как работает выборочный роутинг на роутере
По умолчанию VPN-клиент на роутере после поднятия туннеля часто становится маршрутом по умолчанию. Иначе говоря, весь трафик начинает уходить через VPN. Split tunneling меняет эту логику. Роутер получает отдельную таблицу маршрутизации для туннеля и набор правил, которые говорят, кому и куда идти. Например, весь трафик от устройства 192.168.1.20 направлять через VPN, а трафик от телевизора 192.168.1.30 оставлять на обычном WAN.
У разных платформ названия отличаются, но суть одна. В OpenWrt обычно используют PBR, в MikroTik связку routing tables и routing rules, иногда с mangle, то есть с маркировкой пакетов для более точной обработки. В ASUS за это отвечает VPN Fusion, в Asuswrt-Merlin работает VPN Director, у GL.iNet есть VPN Policies. Интерфейсы разные, но принцип одинаковый: сначала поднимается туннель, потом создается отдельный маршрут, после чего добавляются правила выбора пути.
Важно: параметр AllowedIPs в WireGuard часто принимают за готовый split tunneling, но это только часть механики. AllowedIPs определяет, какие адреса относятся к пиру и какие сети вообще можно передавать через конкретное соединение. Для полноценного выборочного роутинга почти всегда нужны еще и правила на самом роутере.
Для дома лучше всего работает простая схема: сначала делить трафик по устройствам, затем при необходимости добавлять исключения по подсетям или доменам, а сложные правила по портам и комбинациям условий оставлять на потом. Такая конфигурация легче проверяется, проще поддерживается и реже ломается после очередного изменения.
Где искать split tunneling на популярных роутерах
У разных брендов одна и та же задача прячется под разными названиями. Чтобы не искать вслепую, удобнее сразу свериться с базовой картой возможностей.
| Платформа | Где искать настройку | Как обычно работает | Для чего подходит дома |
|---|---|---|---|
| OpenWrt | PBR | Правила по IP, доменам, подсетям, портам, интерфейсам | Гибкая настройка для тех, кто не боится разбираться в логике маршрутов |
| MikroTik | Policy Routing, routing tables, routing rules | Отдельные таблицы маршрутизации и точные правила для трафика | Сложные схемы, несколько VPN, детальный контроль |
| ASUS | VPN Fusion | Выбор маршрута чаще всего на уровне устройства | Простой домашний split tunneling без терминала |
| GL.iNet | VPN Policies | Правила по устройству, IP и иногда по доменам | Небольшая сеть дома или travel-роутер |
Если роутер работает на OpenWrt, смотреть нужно именно в сторону PBR. Механизм позволяет направлять трафик через WAN, WireGuard или OpenVPN по адресу источника, адресу назначения, домену, порту и протоколу. Для дома OpenWrt удобен тем, что можно начать с простого правила по IP-адресу одного клиента, а потом спокойно расширять конфигурацию.
На MikroTik нужная логика находится в Policy Routing и WireGuard. RouterOS дает очень точный контроль, но дружелюбным такой подход не назовешь. Обычно создают отдельную таблицу маршрутизации для VPN, затем добавляют правило по source address или destination, а после этого проверяют NAT, fasttrack и DNS. У ASUS выборочный роутинг реализован через VPN Fusion, а у GL.iNet похожую задачу решает раздел VPN Policies.
Для дома лучше всего работают четыре сценария:
- через VPN идет только один ноутбук или смартфон;
- часть устройств остается на прямом WAN, чтобы не терять скорость;
- через туннель идет только трафик к удаленной подсети, например к NAS или домашнему серверу;
- отдельные сайты или внешние сети обходят VPN, если через него они работают хуже.
Настройка split tunneling: быстрые рецепты и частые ошибки
Самый практичный порядок настройки выглядит так. Сначала нужно поднять VPN вообще без split tunneling и убедиться, что туннель работает: интернет есть, IP меняется, локальная сеть не отвалилась. Затем создается только одно правило, например для рабочего ноутбука. После проверки добавляются остальные правила по одному. Такой порядок спасает от хаоса лучше любых длинных инструкций.
Для OpenWrt быстрый домашний рецепт обычно выглядит так: задать ноутбуку постоянный адрес через DHCP, например 192.168.1.20, поднять WireGuard-интерфейс и в PBR добавить правило, где источник равен 192.168.1.20, а интерфейс назначения указывает на VPN. Уже этого достаточно, чтобы один клиент ушел в туннель, а вся остальная сеть осталась на обычном WAN.
# Пример логики для OpenWrt PBR
Источник: 192.168.1.20
Назначение: any
Интерфейс: WG_VPNНа MikroTik идея почти такая же. Сначала создается отдельная routing table для VPN, затем добавляется правило: трафик от 192.168.1.20 использовать таблицу wg-vpn. Базовый пример выглядит так:
/routing/table/add name=wg-vpn fib
/routing/rule/add src-address=192.168.1.20/32 action=lookup-only-in-table table=wg-vpnДальше уже сам маршрут к VPN-интерфейсу и NAT зависят от конкретной схемы, но базовый принцип не меняется: одно устройство, одна отдельная таблица, одна понятная проверка. Такой подход намного безопаснее, чем попытка сразу рулить десятками доменов и портов.
Совет: DNS ломает выборочный роутинг чаще всего. Если правило строится по домену, а устройство использует внешний резолвер в браузере, системе или приложении, доменное имя уже может преобразоваться в IP в обход роутера. В такой ситуации правило не сработает, даже если на бумаге все настроено правильно.
Именно поэтому трафик по доменам имеет смысл настраивать только тогда, когда роутер действительно участвует в DNS-разрешении и понятно, кто отвечает на запросы. Для домашней сети чаще всего надежнее делить трафик по устройствам и подсетям. Такой вариант проще и живет дольше.
Еще три частые ошибки встречаются постоянно:
- в туннель уходит локальная сеть, из-за чего пропадают принтеры, телевизоры и NAS;
- забывается исключение для адреса самого VPN-сервера, и получается маршрутная петля;
- сложные правила строятся сразу по доменам и портам, хотя задачу можно решить обычным разделением устройств.
Поэтому для дома лучше работает простое правило: сначала маршрутизация по устройствам, потом по подсетям, и только в последнюю очередь по доменам. Такой split tunneling не выглядит особенно эффектно, зато не превращает роутер в черный ящик, который ломается после каждого нового правила.
Итог для домашней сети простой: один VPN, несколько прозрачных правил, DHCP-резервации для нужных клиентов и обязательная проверка после каждого изменения. Домашний роутер не должен быть площадкой для сложных экспериментов. Домашний роутер должен просто направлять трафик туда, куда ему указали.
