раздельное туннелирование amnezia vpn
раздельное туннелирование amnezia vpn
Amnezia VPN: раздельное туннелирование без компромиссов
Хотите использовать торренты и локальные сервисы одновременно? Разберитесь с раздельным туннелированием в Amnezia VPN — технически точно и без обмана.
раздельное туннелирование amnezia vpn — это не просто «ещё одна фича» в настройках. Это продвинутый инструмент для тех, кто хочет контролировать каждый байт своего трафика: направлять через шифрованный канал только то, что действительно требует защиты, а остальное — оставлять на прямом подключении к интернету. В России, где провайдеры вроде Ростелекома или МТС могут внедрять DPI-фильтрацию и блокировать ресурсы по IP-адресам, такая гибкость становится не роскошью, а необходимостью.
Почему обычный VPN — это как носить бронежилет на пляже
Представь: ты подключаешься к VPN, и весь твой трафик — от Telegram до банковского приложения, от YouTube до локального принтера — проходит через удалённый сервер. Да, это безопасно. Но:
- Скорость падает — особенно если сервер далеко (например, в Нидерландах при проживании в Екатеринбурге).
- Локальные сервисы перестают работать — NAS в домашней сети, умные колонки, IPTV от провайдера.
- Бесполезная нагрузка на шифрование — зачем шифровать трафик к «Яндекс.Маркету», если тебе важна анонимность только при скачивании торрентов?
Именно здесь в игру вступает split tunneling — или, по-русски, раздельное туннелирование. Оно позволяет выбрать, какие приложения или домены пойдут через VPN, а какие — напрямую.
Amnezia VPN реализует эту функцию не через примитивные списки, а через гибкую маршрутизацию на уровне ядра ОС. Это значит: меньше утечек, выше стабильность и настоящий контроль.
Как работает раздельное туннелирование в Amnezia VPN: под капотом
Amnezia — open-source проект с поддержкой WireGuard, OpenVPN, IPsec/IKEv2 и даже Shadowsocks. Раздельное туннелирование реализовано по-разному в зависимости от протокола и платформы:
- На Windows/macOS/Linux: используется механизм split DNS + маршрутная таблица. При включении split tunneling Amnezia добавляет только выбранные префиксы (например,
1.1.1.0/24или доменrutracker.org) в таблицу маршрутизации туннеля. - На Android: работает через собственный VpnService с фильтрацией по UID приложений. Это точнее, чем на iOS, где Apple ограничивает доступ к сетевому стеку.
- На роутерах (OpenWrt, Keenetic): настройка через iptables и ip rule. Можно исключать целые подсети (
192.168.1.0/24) из туннеля, чтобы локальные устройства не теряли связь.
Важно: Amnezia не использует сторонние библиотеки вроде OpenVPN Connect или Tunnelblick. Весь стек — собственный, что снижает поверхность атаки и устраняет утечки через third-party код.
Шифрование и безопасность при split tunneling
Даже в режиме раздельного туннелирования действуют те же параметры шифрования:
- WireGuard: ChaCha20-Poly1305, Curve25519 для ECDH, BLAKE2s для хэширования. Perfect Forward Secrecy — встроено.
- OpenVPN: AES-256-GCM, TLS 1.3, 4096-битные сертификаты, DHE для PFS.
- IPsec/IKEv2: AES-256-CBC или GCM, SHA2-384, Diffie-Hellman Group 14+.
Но! Если ты направляешь торрент-клиент через туннель, а браузер — напрямую, WebRTC в Chrome всё равно может раскрыть твой реальный IP, даже если DNS идёт через Amnezia. Поэтому в разделе ниже — как проверить утечки правильно.
Чего вам НЕ говорят в других гайдах
Большинство обзоров молчат о трёх критических моментах:
- Бесплатные «аналоги» Amnezia — это сборщики данных
Проекты вроде Hola, Betternet или даже некоторых «российских VPN» работают по принципу peer-to-peer proxy. Твой трафик может использоваться как выходной узел для других пользователей. В 2023 году исследователи обнаружили, что Hola продавала корпоративный трафик третьим лицам. Amnezia — полностью self-hosted: ты разворачиваешь сервер сам (на VPS от Hetzner, DigitalOcean и т.п.), и никто, кроме тебя, не видит трафик.
- Kill switch — не всегда работает при split tunneling
Если VPN отвалится, а kill switch не настроен на уровне правил iptables/ipfw, приложения, исключённые из туннеля, продолжат работать, но приложения внутри туннеля могут «выстрелить» напрямую. Amnezia решает это через строгие firewall rules, которые блокируют весь трафик, кроме белого списка, при отключении интерфейса. Но это нужно включать вручную в настройках.
- Логи — даже у «no-log» провайдеров
Amnezia не хранит логи, потому что ты сам — провайдер. Но если ты используешь общедоступный VPS без настройки logrotate и journalctl, система может сохранять:
- IP-адреса подключений в /var/log/auth.log
- Сессии WireGuard в journalctl -u wg-quick@amn
- Запросы DNS, если запущен локальный resolver
Это не «логирование пользователя», но при судебном запросе к хостинг-провайдеру такие данные могут быть переданы. Особенно если сервер арендован в юрисдикции 14 Eyes (США, Великобритания, Австралия и др.). Для максимальной безопасности выбирай VPS в Швейцарии, Германии или Финляндии — страны вне этого альянса.
Практические сценарии: когда split tunneling спасает
📰 Журналист в командировке
Ты в гостинице с публичным Wi-Fi. Подключаешься к Amnezia с split tunneling:
- Через VPN: Telegram, Signal, почта ProtonMail, доступ к редакционной CMS.
- Напрямую: Google Maps, Uber, локальный банкинг.
Результат: защита от MITM-атак в кафе, но без задержек при вызове такси.
☕ Айтишник на кофеварке в кафе
Работаешь в GitHub Codespaces, но хочешь слушать Яндекс.Музыку без буферизации. Настраиваешь:
- VPN: SSH, HTTPS к корпоративным ресурсам, Docker registry.
- Прямой трафик: музыка, Slack (если не содержит конфиденциальных данных).
Скорость загрузки образов — 92 Мбит/с вместо 45 Мбит/с при полном туннеле.
⚡ Обход блокировок без потери локальных сервисов
В России заблокирован YouTube. Ты:
- Направляешь youtube.com, ytimg.com, googlevideo.com через Amnezia.
- Оставляешь всё остальное (включая СберБанк Онлайн и госуслуги) напрямую.
При этом IPTV от Ростелекома продолжает работать, потому что его multicast-трафик не попадает в туннель.
📦 Торренты + домашний NAS
Скачиваешь торренты через qBittorrent через Amnezia, но хочешь:
- Доступ к NAS (192.168.1.100) без задержек.
- Смотреть фильмы с локального Plex-сервера.
Split tunneling исключает подсеть 192.168.1.0/24 из маршрутизации — и всё работает мгновенно.
Как проверить, что утечек нет: пошагово
- Подключи Amnezia с split tunneling (только нужные приложения).
- Открой ipleak.net — должен показывать IP твоего сервера только при доступе к сайтам в туннеле.
- На том же сайте проверь DNS leak: все DNS-запросы должны идти через IP твоего сервера или через Cloudflare/Quad9, если ты их указал.
- Перейди на browserleaks.com/webrtc — WebRTC должен показывать только VPN-IP или быть отключён.
- Используй
nslookup rutracker.orgв терминале — ответ должен приходить от DNS-сервера внутри туннеля.
Если хоть один пункт провален — перенастрой правила маршрутизации.
Сравнение: Amnezia против коммерческих VPN с split tunneling
| Критерий | Amnezia VPN | NordVPN | ExpressVPN | ProtonVPN | Surfshark |
|---|---|---|---|---|---|
| Юрисдикция | Ты сам (выбор VPS) | Панама | Британские Виргинские острова | Швейцария | Нидерланды |
| Политика логов | Нет (self-hosted) | No logs (аудит 2023) | No logs (аудит 2022) | No logs (аудит 2024) | No logs (аудит 2023) |
| Протоколы | WireGuard, OpenVPN, IKEv2, Shadowsocks | NordLynx (WG), OpenVPN | Lightway (проприетарный) | WireGuard, OpenVPN | WireGuard, OpenVPN |
| Split tunneling | По приложениям и доменам | Только по приложениям (Windows/macOS) | Только по приложениям | Только по приложениям | Только по приложениям |
| Цена (месяц) | От 150 ₽ (VPS $3–5/мес) | ~700 ₽ | ~900 ₽ | ~600 ₽ | ~500 ₽ |
| Реальная скорость (1 Гбит/с канал) | 920 Мбит/с (WG) | 680 Мбит/с | 720 Мбит/с | 650 Мбит/с | 600 Мбит/с |
| Аудит безопасности | Open-source, community-reviewed | Cure53 (2023) | Quarkslab (2022) | SEC Consult (2024) | Cure53 (2023) |
Вывод: Amnezia выигрывает по гибкости, цене и контролю. Но требует базовых навыков Linux. Если ты не готов разворачивать сервер — коммерческие решения удобнее.
Вывод
раздельное туннелирование amnezia vpn — это не просто «галочка в настройках», а мощный инструмент для тех, кто ценит и приватность, и производительность. В отличие от большинства коммерческих сервисов, Amnezia даёт полный контроль: ты решаешь, какой трафик шифровать, где размещать сервер и какие протоколы использовать. При этом ты избегаешь рисков, связанных с юрисдикцией, логами и продажей данных.
Но помни: split tunneling — это ответственность. Неправильная настройка может привести к утечкам. Проверяй каждое правило, используй kill switch и регулярно аудитируй свой сервер. В условиях российской цифровой реальности — с DPI, блокировками и нестабильными сетями — такой подход не просто разумен. Он необходим.
VPN замедляет интернет на сколько реально?
Зависит от протокола и расположения сервера. WireGuard в Amnezia добавляет 3–8 мс пинга и снижает скорость на 3–8% при хорошем VPS. OpenVPN — на 10–15%. Если сервер в другой стране (например, США при подключении из РФ), потеря может достигать 40–60% из-за физического расстояния.
Меня найдёт спецслужба при использовании VPN?
Если ты используешь Amnezia на self-hosted VPS в юрисдикции вне 14 Eyes и не оставляешь следов (логи, cookies, аккаунты), установить личность крайне сложно. Но если ты авторизован в Gmail или VK под реальным номером — VPN не спасёт. Анонимность начинается с поведения, а не с IP.
WireGuard или OpenVPN — что безопаснее?
Оба безопасны при правильной настройке. WireGuard современнее, быстрее и проще для аудита (4000 строк кода против 100 000 у OpenVPN). OpenVPN поддерживает больше опций (TLS auth, LZO compression off) и лучше обходит блокировки через TCP 443. Для большинства — WireGuard предпочтителен.
Можно ли использовать Amnezia бесплатно?
Сам клиент — бесплатный и open-source. Но сервер (VPS) стоит денег: от $2.5/мес (Hetzner Cloud) до $5/мес (DigitalOcean). Это не «бесплатный VPN», а минимальная стоимость инфраструктуры. Бесплатных аналогов без сбора данных не существует — они либо медленные, либо опасные.
Работает ли split tunneling на iPhone?
Ограниченно. Из-за политик Apple Amnezia на iOS может направлять через туннель только весь трафик или ничего. Исключения по приложениям недоступны. Для полноценного split tunneling используй Android, Windows, macOS или роутер с OpenWrt.
Нужен ли мне kill switch, если я использую split tunneling?
Да, обязательно. При обрыве соединения приложения, настроенные на туннель, могут отправить трафик напрямую — особенно если ОС кэширует маршруты. В Amnezia включи опцию «Block LAN when disconnected» и настрой iptables-правила вручную для критичных сценариев.
Appreciate the write-up; the section on mobile app safety is well explained. The sections are organized in a logical order.