Split Tunneling нужен, чтобы через VPN шёл не весь домашний интернет, а только выбранные устройства, рабочие подсети или доверенные сервисы. Рабочий ноутбук можно отправить в WireGuard, игровую консоль оставить на прямом подключении, а банковские и платежные приложения не гонять через лишний сетевой маршрут.
Выборочный роутинг снижает нагрузку на роутер, уменьшает задержку в играх, помогает разделить личный и рабочий трафик, а заодно избавляет от ручного переключения VPN. Настройка Split Tunneling обычно включает маршруты, DNS, IPv6, постоянные IP-адреса клиентов и правила на случай падения туннеля.
Материал описывает выборочную маршрутизацию для легальных задач: удалённого доступа к рабочей или домашней инфраструктуре, защиты соединений, разделения трафика и снижения нагрузки на роутер. VPN и Split Tunneling нельзя использовать для доступа к запрещённым материалам и ресурсам, распространения противоправного контента или обхода ограничений, установленных законодательством РФ.
Как работает Split Tunneling на домашнем роутере
Обычный VPN-клиент на роутере часто меняет маршрут по умолчанию. После подключения весь трафик уходит в туннель: браузер, Smart TV, игры, обновления Windows, смартфоны, камеры, приставки и умный дом. Для удалённого доступа к рабочей сети полный туннель иногда подходит, но для домашней сети выглядит грубовато. Зачем отправлять через VPN телевизор, если туннель нужен только рабочему ноутбуку?
Split Tunneling добавляет правила маршрутизации. Роутер смотрит на источник трафика, адрес назначения, порт, домен или интерфейс и решает, куда отправить соединение. Одни пакеты уходят через VPN, другие идут напрямую через провайдера. Прошивки называют такую механику по-разному: policy routing, policy-based routing или selective routing.
Начните с маршрутизации по устройствам. Такой вариант проще проверить и сложнее сломать обновлением списков доменов. Роутер закрепляет за клиентом постоянный IP-адрес по DHCP, затем правило отправляет трафик конкретного устройства через VPN-интерфейс. Например, ноутбук разработчика работает через WireGuard, игровая консоль идёт напрямую, телевизор использует подключение провайдера, а домашний сервер получает отдельный маршрут через VPN.
Маршрутизация по направлениям даёт больше гибкости. Конкретные подсети компании идут через туннель, остальной интернет остаётся на обычном маршруте. Для сайтов и приложений настройка сложнее: один домен может обращаться к CDN, API, сторонним хранилищам и разным региональным узлам. На первый взгляд мелочь, а потом половина приложения внезапно ходит не туда.
Выборочный роутинг особенно полезен на слабых роутерах. OpenVPN заметно нагружает процессор, а старые модели могут резко терять скорость на шифровании. WireGuard при прочих равных чаще работает быстрее и легче для домашнего железа, но итоговая скорость зависит от модели роутера, прошивки, настроек шифрования и качества VPN-сервера.
Какие роутеры подходят для выборочного роутинга
Для Split Tunneling нужен роутер, который умеет не просто подключаться к VPN, а строить маршруты по правилам. Кнопка VPN в веб-интерфейсе ещё не означает поддержку маршрутизации по правилам. Некоторые провайдерские устройства умеют только один режим: включить туннель для всей сети. Для выборочного роутинга ограниченная прошивка неудобна.
Удобнее всего работать с OpenWrt, Keenetic, MikroTik и ASUSWRT-Merlin. Названия функций отличаются, но логика похожа: создаётся VPN-интерфейс, затем роутер получает правила для клиентов и направлений трафика. Если устройство старое, сначала стоит проверить поддержку прошивки и сохранить резервную копию настроек. Про безопасное обновление прошивки есть отдельный разбор в материале как обновить прошивку роутера.
| Платформа | Как обычно настраивают | Сложность |
|---|---|---|
| Keenetic | Через политики подключений и выбор интерфейса для устройств | Низкая |
| OpenWrt | Через пакет pbr, отдельные правила и VPN-интерфейс | Средняя |
| MikroTik RouterOS v7 | Через routing tables, routing rules и firewall mangle для сложных схем | Высокая |
| ASUSWRT-Merlin | Через VPN Director, если модель поддерживает Merlin | Низкая |
Перед настройкой проверьте поддержку WireGuard или OpenVPN, наличие маршрутизации по правилам и запас мощности процессора для шифрования. На старом или слабом роутере первым стоит проверить WireGuard. OpenVPN тоже работает, но на бюджетных устройствах часто превращает быстрый тариф в медленное подключение с неприятной задержкой. При выборе нового устройства пригодится отдельный материал о том, какой роутер выбрать для квартиры и дома.
Kill switch нужен клиентам, которым запрещён прямой выход в интернет при падении VPN. Без правила блокировки трафик просто уйдёт через провайдера, а пользователь может не заметить сбой.
Как настроить Split Tunneling на разных платформах
Начните с маршрутизации по устройствам. Такой вариант проще проверить и сложнее сломать обновлением списков доменов. Роутер закрепляет за клиентом постоянный IP-адрес по DHCP, затем правило отправляет трафик конкретного устройства через VPN-интерфейс.
- Подключите WireGuard или OpenVPN на роутере.
- Закрепите постоянный локальный IP за нужным устройством через DHCP reservation.
- Создайте правило маршрутизации для локального IP клиента.
- Выберите VPN-интерфейс как маршрут для клиента.
- Настройте DNS для клиента через нужный маршрут.
- Добавьте kill switch, если клиент не должен выходить напрямую при падении VPN.
- Проверьте маршрут до нужной подсети или сервиса, DNS и IPv6.
В Keenetic обычно используют политики подключений. Сначала создают или подключают VPN-интерфейс, затем в разделе со списком устройств закрепляют клиент и назначают политику подключения. Названия пунктов могут немного отличаться в разных версиях KeeneticOS, поэтому безопаснее ориентироваться не на одну кнопку, а на логику: клиент получает постоянный IP, а политика указывает нужный интернет-интерфейс.
В OpenWrt чаще используют пакет pbr. После настройки WireGuard или OpenVPN создают политику: локальный адрес устройства, нужный интерфейс, направление трафика. Для WireGuard интерфейс часто называется wg0, но имя зависит от конкретной конфигурации. Маршрутизация по доменам требует связки pbr с DNS-механикой через dnsmasq и nft sets, а в старых конфигурациях через ipset. Если роутер используется как отдельный VPN-клиент или второй сетевой узел, пригодится разбор о том, как превратить старый роутер в VPN-клиент.
В MikroTik RouterOS v7 простые схемы можно строить через routing tables и routing rules. Для более сложных правил используют firewall mangle: трафик маркируется, после чего отправляется в отдельную таблицу маршрутизации. Перед изменением маршрутов и firewall включите Safe Mode в WinBox, сделайте export и backup. Ошибки в NAT, порядке правил или исключениях для LAN могут отрезать доступ к самому роутеру. Для базовой подготовки полезен материал по настройке Firewall на MikroTik RouterOS 7.
В ASUSWRT-Merlin для подобных задач служит VPN Director. Пользователь выбирает VPN-клиент, добавляет правило для устройства или подсети и указывает маршрут для трафика. Перед настройкой нужно проверить поддержку прошивки Merlin и нужных VPN-функций на конкретной модели ASUS.
AllowedIPs, DNS и IPv6: где ломается маршрутизация
В WireGuard параметр AllowedIPs напрямую влияет на маршруты. Запись 0.0.0.0/0 отправляет через туннель весь IPv4-трафик. Запись вида 10.10.0.0/16 или 192.168.50.0/24 отправляет только выбранные подсети. Для IPv6 нужны отдельные правила, иначе часть соединений может пойти мимо туннеля.
DNS-запросы тоже должны идти через правильный интерфейс. Если ноутбук открывает рабочий ресурс через VPN, а DNS-запрос отправляет напрямую провайдеру, возникает утечка DNS-запросов, или DNS leak. Минимальный риск: DNS-запросы уйдут не тем маршрутом, который пользователь ожидал. При неудачной связке правил сервис может получить противоречивые данные о сетевом пути и начать работать нестабильно.
Для клиентов через VPN лучше задавать DNS-сервер, доступный через туннель, либо выбранный DNS, который тоже маршрутизируется через VPN. Для клиентов без туннеля можно оставить DNS провайдера или домашний локальный резолвер. Смешанные маршруты требуют проверки после каждого изменения.
IPv6 заслуживает отдельной проверки. Многие пользователи настраивают Split Tunneling только для IPv4, а IPv6 оставляют как есть. Браузер или приложение может выбрать IPv6-маршрут, обойти VPN и показать адрес провайдера. Решений несколько: отключить IPv6 на роутере, настроить IPv6 через VPN или явно запретить IPv6-обход для выбранных клиентов.
Проверка после настройки и типовые ошибки
После настройки не ограничивайтесь сайтом проверки внешнего IP. При частичном туннеле внешний адрес в браузере может остаться провайдерским, если через VPN должны идти только рабочие подсети. Проверяйте конкретный маршрут: до корпоративного сервера, домашнего NAS, нужной подсети или выбранного сервиса.
- маршрут до нужной подсети или сервиса идёт через VPN;
- устройства без правила продолжают работать через провайдера;
- DNS-запросы выбранного клиента не уходят напрямую провайдеру, если должны идти через туннель;
- IPv6 не обходит VPN для клиентов с жёстким правилом;
- при падении VPN нужный клиент не выходит напрямую в интернет;
- локальная сеть, принтеры, NAS и умный дом остаются доступными;
- обычный интернет не перегружает VPN-канал без необходимости.
Для проверки подойдут curl ifconfig.me, traceroute или tracert, dnsleaktest.com и обычный тест скорости. Внутри домашней сети можно использовать iperf3, чтобы не путать проблемы Wi-Fi, VPN и провайдера. Если после настройки пропал доступ к панели роутера, сначала проверьте локальный адрес, подключение к LAN и влияние VPN на локальные маршруты. Базовая диагностика входа в админку разобрана в материале про адрес 192.168.0.1.
Чрезмерно широкий маршрут отправляет через VPN лишний трафик. Пользователь хочет включить туннель только для рабочего ноутбука, но оставляет 0.0.0.0/0 для всей сети. После этого телевизор теряет скорость, игры получают лишний пинг, а обновления устройств забивают канал.
Без постоянных IP-адресов правила быстро начинают работать не для тех клиентов. Сегодня ноутбук получил 192.168.1.35, завтра роутер выдал такой адрес смартфону, и маршрут внезапно сменил устройство. Перед настройкой policy routing закрепите адреса через DHCP reservation.
Маршрутизация по одному IP-адресу крупного сервиса тоже часто ломается. Большие платформы используют CDN, балансировщики, региональные узлы и сторонние домены. Сегодня правило работает, завтра приложение обновилось или сервис сменил адрес, а пользователь снова видит неожиданный маршрут.
Правило на случай падения VPN лучше добавить до первых тестов. Если роутер должен защищать трафик рабочего ноутбука, прямой выход через провайдера нужно заблокировать. Иначе Split Tunneling превращается в удобную, но дырявую схему: пока туннель работает, маршруты выглядят нормально, после обрыва соединения трафик уходит не туда.
FAQ: коротко о Split Tunneling
Можно ли настроить Split Tunneling на любом роутере?
Нет. Роутеру нужна поддержка VPN-клиента и маршрутизации по правилам. Провайдерские модели часто ограничиваются полным туннелем для всей сети, без выбора отдельных устройств или подсетей.
Что выбрать для домашнего роутера: WireGuard или OpenVPN?
На слабом железе первым обычно проверяют WireGuard: протокол меньше нагружает устройство и чаще даёт более высокую скорость. OpenVPN остаётся рабочим вариантом, но бюджетный роутер может быстро упереться в процессор.
Почему DNS может идти мимо VPN?
Маршрут для трафика и маршрут для DNS-запросов настраиваются отдельно. Если оставить DNS провайдера, часть информации о запросах может уходить напрямую, даже когда нужный сервис открывается через туннель.
Нужен ли kill switch при выборочном роутинге?
Да, если выбранный клиент не должен выходить напрямую при падении туннеля. Без kill switch роутер может автоматически вернуть трафик на обычный маршрут, и заметить такой переход получится не сразу.
С чего начать в домашней сети?
Начните с одного устройства. Закрепите локальный IP, отправьте клиент через VPN, проверьте маршрут, DNS и IPv6, затем добавляйте остальные правила. Пошаговая настройка экономит нервы и не превращает домашнюю сеть в лабораторную работу по сетевой инженерии.
Split Tunneling не гарантирует анонимность и не заменяет полноценную сетевую защиту. После настройки проверьте маршруты, DNS-запросы, IPv6 и поведение сети при отключении VPN.
