keenetic настройка маршрутов vpn для определённых сайтов
keenetic настройка маршрутов vpn для определённых сайтов
Как направить только нужные сайты через VPN на Keenetic
Подробный гайд: настройка split tunneling на роутере Keenetic. Узнайте, как пускать через VPN только выбранные сайты — быстро и безопасно.
keenetic настройка маршрутов vpn для определённых сайтов — это не магия, а точная настройка маршрутизации трафика на уровне роутера. Большинство пользователей подключают VPN «всё или ничего»: либо весь интернет идёт через шифрованный тоннель, либо его нет совсем. Но зачем платить за пропускную способность VPN-сервера, если вы хотите обойти блокировку только одного сервиса? Или почему ваш онлайн-кинотеатр тормозит, хотя торренты должны идти через защищённый канал? Ответ — в гибкой маршрутизации. На роутерах Keenetic это реализуется через функцию «Маршруты» и дополнительные правила iptables, которые позволяют отправлять трафик к конкретным доменам или IP-адресам через интерфейс VPN, оставляя остальной трафик в локальной сети.
Зачем вообще разделять трафик? Реальные сценарии из жизни
Представьте: вы живёте в России и используете Telegram. В 2024–2026 годах РКН периодически блокировал отдельные IP-адреса мессенджера, особенно во время массовых событий. Вы подключаете VPN — и всё работает. Но теперь Netflix (если он у вас доступен) показывает контент из Германии, а не из США, потому что ваш VPN-сервер находится в Берлине. При этом скорость стриминга падает на 30–40%, ведь трафик проходит через перегруженный сервер.
Или другой пример: вы скачиваете торренты с фильмами. Провайдер «Ростелеком» не блокирует торрент-трекеры, но может ограничивать скорость при обнаружении P2P-трафика. Вы подключаете VPN — и скорость восстанавливается. Однако теперь все ваши банковские операции тоже идут через этот же канал. А если VPN-провайдер ведёт логи (даже временные), это создаёт риск утечки финансовых данных.
Ещё один кейс — работа из кафе. Вы подключены к публичному Wi-Fi в «Кофемании». Без защиты любой злоумышленник в радиусе может перехватить ваши cookies, пароли, сессии. Но если запустить весь трафик через VPN, видеозвонки в Zoom будут лагать из-за высокого пинга. Лучшее решение — пускать через VPN только браузер и почту, а медиатрафик (музыка, видео) оставить в локальной сети.
Все эти ситуации решаются одним подходом: split tunneling — разделением трафика. И Keenetic позволяет реализовать это на аппаратном уровне, без установки клиентов на каждый девайс.
Чего вам НЕ говорят в других гайдах
Большинство инструкций в Сети сводятся к трём шагам: «установи OpenVPN, включи клиент, радуйся». Но реальность сложнее. Вот что умалчивают:
-
Бесплатные и дешёвые VPN часто продают ваш трафик.
Стоимость аренды одного сервера в Европе — от $5/мес. Если сервис предлагает «безлимитный VPN за 99 рублей в месяц», спросите: на чём он зарабатывает? Чаще всего — на продаже метаданных: какие сайты вы посещаете, сколько времени проводите в приложениях, с каких устройств заходите. В 2023 году исследователи из Comparitech обнаружили, что 7 из 10 бесплатных Android-приложений для VPN передавали данные третьим лицам, включая рекламные IDFA и IMEI. -
Kill switch — не всегда работает.
Многие клиенты заявляют наличие «аварийного отключения», но при перезагрузке роутера или смене WAN-интерфейса правило может не восстановиться. Особенно это актуально для Keenetic: если вы используете сторонний .ovpn-профиль, kill switch нужно настраивать вручную через iptables, иначе при обрыве VPN весь трафик пойдёт в открытую сеть. -
DNS-утечки — даже при включённом VPN.
Если вы не указали DNS-серверы внутри конфигурации OpenVPN или WireGuard, система будет использовать DNS от провайдера. Это значит, что даже если трафик зашифрован, запросы к сайтам видны «МТС» или «Дом.ru». Проверить можно на ipleak.net. -
Юрисдикция 14 Eyes — реальная угроза.
Если ваш VPN-провайдер зарегистрирован в США, Великобритании, Канаде, Австралии или Новой Зеландии (плюс ещё 9 стран-партнёров), он обязан хранить логи по запросу спецслужб. Даже при наличии политики no-log, суд может обязать компанию начать логирование с этого момента. История с NordVPN в 2019 году (утечка в Финляндии) показала: физический доступ к серверу — это уязвимость. -
Fake-аудиты и поддельные сертификаты.
Некоторые провайдеры публикуют «независимые аудиты», но на деле это внутренние отчёты их собственных инженеров. Настоящие проверки делают такие компании, как Cure53 или Quarkslab, и их отчёты публикуются в открытом доступе. Например, ProtonVPN прошёл аудит в 2022 году — документ есть на GitHub.
Техническая сторона: как работает маршрутизация на Keenetic
Keenetic использует ядро Linux с поддержкой netfilter и iproute2. Это даёт полный контроль над маршрутами. Split tunneling здесь реализуется двумя способами:
- По IP-адресам — самый надёжный метод. Вы указываете список IP, которые должны идти через интерфейс
tun0(OpenVPN) илиwg0(WireGuard). - По доменам — менее стабильный, так как требует постоянного разрешения имён в IP через скрипты. Подходит только для статичных сервисов (например, YouTube, Twitter).
Основной принцип: создать отдельную таблицу маршрутизации и привязать к ней правила mark-маркировки пакетов.
Шаг 1. Подключение VPN-клиента
- Зайдите в веб-интерфейс Keenetic (обычно
192.168.1.1). - Перейдите в Интернет → VPN-клиент.
- Загрузите
.ovpnили.confфайл от вашего провайдера. - Убедитесь, что стоит галочка «Не менять шлюз по умолчанию». Это ключевой момент! Иначе весь трафик уйдёт в VPN.
Шаг 2. Создание пользовательских маршрутов
Теперь нужно указать, какие IP пойдут через VPN.
Пример: вы хотите пускать через VPN только трафик к youtube.com.
Сначала узнайте IP-адреса YouTube:
nslookup youtube.com
Вы получите несколько адресов (например, 142.250.185.206). Но они меняются. Поэтому лучше использовать CIDR-блоки. Google публикует свои диапазоны: https://www.gstatic.com/ipranges/goog.json.
Допустим, вы выбрали 142.250.0.0/16.
Теперь в Keenetic:
- Перейдите в Система → Командная строка (CLI).
- Введите:
ip route add 142.250.0.0/16 dev tun0 table 100 ip rule add from all to 142.250.0.0/16 table 100
Здесьtable 100— пользовательская таблица маршрутизации.
Но это сбросится после перезагрузки. Чтобы сохранить — используйте скрипт автозапуска.
Шаг 3. Защита от утечек: DNS и kill switch
Добавьте в ваш .ovpn-файл строки:
dhcp-option DNS 1.1.1.1
dhcp-option DNS 8.8.8.8
block-outside-dns
Это заставит все устройства использовать Cloudflare/Google DNS через тоннель.
Для kill switch добавьте в CLI:
iptables -I FORWARD -o eth0 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -I FORWARD -o eth0 -j DROP
Здесь eth0 — ваш WAN-интерфейс. Правило блокирует весь исходящий трафик, кроме установленных соединений через VPN.
Важно: при использовании WireGuard вместо OpenVPN команды отличаются. WireGuard не поддерживает
dhcp-option, поэтому DNS нужно прописывать вручную в настройках роутера или на каждом устройстве.
Сравнение популярных протоколов для split tunneling
Выбор протокола влияет на стабильность, скорость и безопасность маршрутизации. Вот как они ведут себя в связке с Keenetic:
| Критерий | OpenVPN (UDP) | WireGuard | IPsec/IKEv2 |
|---|---|---|---|
| Поддержка в Keenetic | Полная (с версии 2.0) | Через Entware или NDMS 3 | Только на Keenetic Giga, Ultra |
| Шифрование | AES-256-GCM | ChaCha20-Poly1305 | AES-256 + SHA2 |
| Perfect Forward Secrecy | Да | Да | Да |
| Скорость (на 100 Мбит/с) | ~70 Мбит/с | ~95 Мбит/с | ~80 Мбит/с |
| Устойчивость к DPI | Средняя (требует obfs4) | Высокая | Низкая (легко детектится) |
| Настройка split tunnel | Простая | Требует ручной работы | Сложная |
WireGuard — лидер по скорости и простоте конфигурации, но в Keenetic он официально поддерживается только в новых моделях (Keenetic Atlas, Delta). На старых роутерах (Keenetic Start, Lite) придётся ставить Entware и настраивать вручную.
OpenVPN остаётся «золотым стандартом»: стабилен, поддерживает push-опции (включая DNS), легко интегрируется с правилами маршрутизации.
IPsec — корпоративный выбор, но для домашнего использования избыточен и плохо дружит с NAT в российских сетях.
Распространённые ошибки и как их избежать
Ошибка 1. Использование доменных имён вместо IP в маршрутах.
Маршрутизация работает на сетевом уровне (L3), а домены — на прикладном (L7). Роутер не может «понять», что vk.com — это 87.240.190.78. Поэтому всегда преобразуйте домены в IP-диапазоны.
Ошибка 2. Забыли отключить «Использовать как шлюз по умолчанию».
Если эта опция включена, весь трафик пойдёт через VPN, и split tunneling работать не будет.
Ошибка 3. Не проверили утечки после настройки.
Обязательно зайдите на browserleaks.com/webrtc и ipleak.net. Иногда WebRTC «пробивает» VPN и показывает ваш реальный IP.
Ошибка 4. Используют бесплатный VPN из App Store.
Как уже говорилось, такие сервисы — сборщики данных. Для Keenetic лучше использовать проверенных провайдеров с поддержкой .ovpn/.conf и политикой no-log.
Ошибка 5. Не настроили автозапуск правил.
После перезагрузки роутера все ip route и iptables сбросятся. Сохраните скрипт в /opt/etc/init.d/ (если стоит Entware) или используйте встроенный планировщик Keenetic.
Вывод
keenetic настройка маршрутов vpn для определённых сайтов — это мощный инструмент для тех, кто ценит и безопасность, и производительность. Вы не обязаны жертвовать скоростью стриминга ради анонимности торрентов. Разделение трафика позволяет гибко управлять тем, что идёт через зашифрованный канал, а что остаётся в локальной сети. Главное — не доверять «умным» автоматическим настройкам, проверять утечки, использовать надёжные протоколы (OpenVPN/WireGuard) и помнить: даже лучший VPN бесполезен, если вы сами раскрываете свой IP через WebRTC или DNS. Настройка на Keenetic требует внимания к деталям, но результат того стоит: вы получаете контролируемую, быструю и безопасную сеть без компромиссов.
VPN замедляет интернет на сколько реально?
Зависит от протокола и нагрузки на сервер. OpenVPN теряет 25–35% скорости, WireGuard — 3–8%. На канале 100 Мбит/с вы получите 92–97 Мбит/с через WireGuard и 65–75 Мбит/с через OpenVPN. Но если сервер перегружен (часто у дешёвых провайдеров), потеря может достигать 60%.
Меня найдёт спецслужба при использовании VPN?
Если вы используете качественный VPN с no-log policy и юрисдикцией вне 14 Eyes (например, Швейцария, Панама), шанс минимален. Но если вы авторизуетесь в аккаунтах (ВКонтакте, Telegram с привязкой к номеру), ваша личность уже известна. VPN скрывает IP, но не поведение.
WireGuard или OpenVPN — что безопаснее?
Оба используют современное шифрование и perfect forward secrecy. WireGuard проще в коде (4000 строк против 100 000 у OpenVPN), что снижает риск уязвимостей. Однако OpenVPN дольше на рынке и прошёл больше аудитов. Для большинства пользователей разницы в безопасности нет — важнее политика провайдера.
Можно ли настроить split tunneling без CLI?
В Keenetic NDMS 2 и 3 есть графический интерфейс для статических маршрутов, но только по IP. Вы можете добавить маршрут вручную через «Интернет → Маршруты», указав шлюз как интерфейс VPN. Однако для сложных правил (например, по портам или с маркировкой) всё равно понадобится CLI или скрипты.
Будет ли работать split tunneling для мобильных устройств?
Да, потому что маршрутизация происходит на уровне роутера. Все устройства в локальной сети — телефоны, ТВ, ноутбуки — подчиняются одним правилам. Вам не нужно устанавливать клиент на каждый гаджет.
Что делать, если сайт использует CDN и IP постоянно меняются?
Используйте полные CIDR-блоки CDN-провайдера. Например, Cloudflare публикует свои IP: https://www.cloudflare.com/ips/. Для Google, Amazon, Microsoft тоже есть открытые списки. Обновляйте их раз в 1–2 месяца.
Good to have this in one place. A reminder about bankroll limits is always welcome. Worth bookmarking.