wireguard исключить локальную сеть
wireguard исключить локальную сеть
WireGuard без локальной сети — безопасно и быстро
Хочешь использовать WireGuard, но не терять доступ к локальным устройствам? Узнай, как правильно исключить локальную сеть из трафика. wireguard исключить локальную сеть — задача, с которой сталкиваются все, кто хочет совместить приватность в интернете и удобство домашней сети. Ты поднимаешь VPN-туннель, а вместе с ним теряешь доступ к NAS, принтеру или веб-интерфейсу роутера. Это не баг, а особенность маршрутизации по умолчанию. Но её можно обойти. И не просто обойти, а сделать так, чтобы ни один байт локального трафика не просочился в зашифрованный канал.
Почему WireGuard «съедает» локалку — и что с этим делать
По умолчанию большинство клиентов WireGuard (особенно на Windows и Android) используют опцию AllowedIPs = 0.0.0.0/0, ::/0. Эта строка буквально означает: «весь IPv4- и IPv6-трафик направляй через туннель». В том числе и адреса вида 192.168.1.0/24 или 10.0.0.0/8 — стандартные диапазоны для домашних сетей.
Результат? Ты больше не видишь свой принтер. Не можешь зайти в настройки роутера по 192.168.1.1. Не подключаешься к медиасерверу на Raspberry Pi. Потому что вместо того чтобы отправить пакет локально, система шлёт его на удалённый сервер WireGuard, который, естественно, не знает, куда его девать.
Решение простое: нужно явно указать, какие IP-адреса не должны попадать в туннель. Это называется split tunneling (раздельное туннелирование). В WireGuard это делается через изменение параметра AllowedIPs.
Например, если твоя локальная сеть — 192.168.1.0/24, а также есть IoT-устройства в 192.168.10.0/24, конфигурация может выглядеть так:
[Interface]
PrivateKey = ваш_приватный_ключ
Address = 10.66.66.2/32
[Peer]
PublicKey = публичный_ключ_сервера
Endpoint = vpn.example.com:51820
AllowedIPs = 0.0.0.0/0, ::/0, !192.168.1.0/24, !192.168.10.0/24
Знак ! перед CIDR-блоком означает «исключить». Однако важный нюанс: не все клиенты поддерживают синтаксис с восклицательным знаком. На Windows и Android чаще всего придётся перечислить только нужные префиксы, например:
AllowedIPs = 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 100.64.0.0/10
…но это неправильно, потому что эти блоки — частные, и их направление в туннель может вызвать конфликты. Лучше явно указать, что весь трафик, кроме локальных сетей, идёт в туннель:
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Это хитрость: два префикса /1 покрывают всё IPv4-пространство (0.0.0.0–127.255.255.255 и 128.0.0.0–255.255.255.255), но не включают частные диапазоны, если они не пересекаются. Однако самый надёжный способ — использовать маршрутизацию на уровне ОС, а не полагаться только на AllowedIPs.
На Linux можно добавить маршрут вручную:
ip route add 192.168.1.0/24 dev eth0
На Windows — через PowerShell:
New-NetRoute -DestinationPrefix "192.168.1.0/24" -InterfaceAlias "Ethernet"
Так локальный трафик будет уходить напрямую, минуя туннель, даже если AllowedIPs включает 0.0.0.0/0.
Чего вам НЕ говорят в других гайдах
Большинство инструкций сводятся к «просто поменяй AllowedIPs». Но реальность сложнее. Вот что упускают:
- Бесплатные WireGuard-клиенты могут логировать твой split tunneling
Да, даже если протокол WireGuard сам по себе не хранит состояния, клиентское приложение — может. Особенно это касится мобильных приложений из Google Play или App Store с «бесплатной» подпиской. Они собирают:
- список исключённых сетей,
- MAC-адреса устройств в локалке,
- время подключения к NAS или принтеру.
Почему? Чтобы продавать профили поведения рекламодателям. Проверено на примере Hola и некоторых «легких» VPN-оболочек.
- Исключение локалки ≠ защита от WebRTC/DNS-утечек
Даже если ты идеально настроил маршруты, браузер может:
- раскрыть твой реальный IP через WebRTC (особенно в Chrome и Edge),
- отправить DNS-запросы провайдеру, а не через зашифрованный канал.
Инструменты вроде browserleaks.com покажут, «просочился» ли твой локальный IP. А ipleak.net проверит DNS.
- Kill switch может «переборщить»
Многие клиенты WireGuard реализуют kill switch как «отключи весь интернет при разрыве туннеля». Но если ты исключил локалку, kill switch иногда отключает и её — особенно на роутерах с OpenWrt. Результат: ты теряешь доступ даже к роутеру, пока не перезагрузишь устройство.
- Судебные запросы и «no-log» — миф?
Провайдеры WireGuard-сервисов в юрисдикциях 14 Eyes (включая Германию, Францию, Канаду) обязаны хранить метаданные по решению суда. Даже если сайт заявляет «no logs», на практике это часто означает «нет логов контента», но металоги (время подключения, IP, объём трафика) могут сохраняться до 6 месяцев. Это достаточно, чтобы установить, что именно в 14:23 12 апреля 2025 года ты подключался к торрент-трекеру.
- Поддельные «аудиты безопасности»
Некоторые сервисы публикуют PDF с логотипом Cure53 или Quarkslab. Но проверь дату и scope. Часто аудит касался только ядра WireGuard (которое open source и и так проверен), а не клиентского ПО, где и происходят утечки.
Когда исключать локальную сеть — жизненно необходимо
Не всегда split tunneling — каприз. Иногда это вопрос функциональности:
- Домашний NAS: Synology или QNAP требуют прямого доступа по
192.168.x.x. Если трафик уйдёт в туннель — файлы не откроются. - Умный дом: устройства Xiaomi, Yandex.Station, камеры Reolink работают только во внутренней сети. При подключении к WireGuard они «пропадают».
- Корпоративный доступ: если ты подключаешься к офисному WireGuard-серверу, но хочешь использовать домашний принтер — локалку надо исключить.
- Публичный Wi-Fi в кафе: ты включил VPN для защиты от MITM-атак, но хочешь распечатать документ на принтере кофейни (если он в той же подсети).
- Игровые консоли: PS5 или Xbox в локальной сети могут терять соединение с ПК-хостом, если весь трафик уходит в облако.
Во всех этих случаях полный туннель — враг удобства. Но важно не переборщить: если исключить слишком много, часть трафика пойдёт мимо шифрования.
WireGuard против OpenVPN и IPsec: кто лучше справляется с split tunneling?
| Критерий | WireGuard | OpenVPN | IPsec/IKEv2 |
|---|---|---|---|
| Простота исключения LAN | Высокая (через AllowedIPs) | Средняя (через route-nopull + push) | Низкая (требует ручной настройки политик) |
| Скорость после split | ~97% от канала | ~85–90% | ~80–88% |
| Поддержка на роутерах | OpenWrt, Asus (через Entware) | Широкая (DD-WRT, Tomato) | Ограниченная (Keenetic, MikroTik) |
| Защита от утечек при отвале | Зависит от клиента | Хорошая (встроенный kill switch) | Средняя |
| Аудиты безопасности | Ядро аудировано (Cure53, 2020) | Много аудитов, но уязвимости в TLS | IKEv2 имеет известные слабости (например, в Windows) |
WireGuard выигрывает за счёт минимального кода (≈4000 строк против 100 000+ у OpenVPN) и современного шифрования (ChaCha20, Poly1305, Curve25519). Он не использует TLS, поэтому устойчив к атакам типа Heartbleed. Но split tunneling в WireGuard требует понимания маршрутизации, тогда как OpenVPN может автоматически «подхватывать» локальные сети через route-up скрипты.
Как проверить, что локалка действительно исключена
-
Пинг до роутера:
bash ping 192.168.1.1
Если пинг проходит — трафик не уходит в туннель. -
Трассировка маршрута:
bash traceroute 192.168.1.50
Первый хоп должен быть локальным интерфейсом, а не IP-адресом VPN-сервера. -
Проверка таблицы маршрутов:
bash ip route show table all | grep 192.168
Должна быть запись вида192.168.1.0/24 dev eth0 scope link. -
Анализ трафика через Wireshark:
Запусти захват на интерфейсеwg0и отправь пакет в локалку. Если пакет не появляется в захвате — всё в порядке. -
Тест на утечку через внешние сервисы:
Открой ipleak.net и убедись, что локальные IP (192.168.x.x, 10.x.x.x) не отображаются в разделе «Local IP addresses». Если отображаются — браузер использует WebRTC, и это не связано с маршрутизацией, но тоже риск.
Распространённые ошибки при настройке
- Ошибка 1: пишут
AllowedIPs = 0.0.0.0/0, !192.168.1.0/24, но клиент игнорирует!. Решение — использовать два префикса/1или настраивать маршруты в ОС. - Ошибка 2: исключают только
192.168.1.0/24, забывая про10.0.0.0/8или172.16.0.0/12. В корпоративных сетях это частая проблема. - Ошибка 3: не учитывают IPv6. Если в сети включён IPv6, трафик может уходить через него, даже если IPv4 исключён. Нужно явно прописать
::/0и исключить локальные IPv6-префиксы (например,fd00::/8). - Ошибка 4: на роутерах с Keenetic или Zyxel настройка WireGuard ломает DHCP-сервер. Решение — использовать отдельный VLAN или статические маршруты.
- Ошибка 5: думают, что исключение локалки = полная безопасность. Но если в локальной сети есть компрометированное устройство (например, умная розетка с бэкдором), оно может стать точкой входа для атаки даже при включённом VPN.
FAQ
VPN замедляет интернет на сколько реально?
WireGuard добавляет 5–15 мс к пингу и снижает скорость на 3–8% при хорошем сервере. OpenVPN — на 10–20%. На 100 Мбит/с это значит: WireGuard даст ~92–97 Мбит/с, OpenVPN — ~80–90 Мбит/с. На гигабитных каналах разница заметнее.
Меня найдёт спецслужба при использовании VPN?
Если ты нарушаешь закон (например, распространяешь запрещённый контент), да — через запрос к провайдеру VPN. Даже в «no-log» юрисдикциях (Швейцария, Панама) могут потребовать данные по уголовному делу. Анонимность — не абсолютна.
WireGuard или OpenVPN — что безопаснее?
WireGuard безопаснее: меньше кода → меньше уязвимостей, современные криптоалгоритмы, perfect forward secrecy «из коробки». OpenVPN уязвим к атакам на TLS (если используется слабый сертификат) и медленнее.
Можно ли исключить локалку на телефоне с Android?
Да, но не во всех клиентах. В официальном WireGuard for Android редактируй конфиг: замени AllowedIPs = 0.0.0.0/0 на AllowedIPs = 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 — но это рискованно. Лучше использовать приложения с поддержкой split tunneling (например, some paid clients).
Что делать, если после исключения локалки пропал интернет?
Скорее всего, ты неправильно указал префиксы. Верни AllowedIPs = 0.0.0.0/0, проверь таблицу маршрутов (ip route), затем аккуратно добавляй исключения. Используй два блока /1 вместо одного /0.
Бесплатный WireGuard-сервер — это ловушка?
Скорее всего, да. Реальный сервер стоит от $5/мес. Бесплатные сервисы зарабатывают на твоих данных: логах, DNS-запросах, времени онлайн. Инцидент с Hola VPN (2015) показал: бесплатный VPN может превратить твой ПК в прокси для третьих лиц.
Вывод
wireguard исключить локальную сеть — не просто техническая настройка, а баланс между безопасностью и функциональностью. Правильно сделанный split tunneling сохраняет доступ к принтеру, NAS и умным устройствам, не жертвуя приватностью в глобальной сети. Но успех зависит не от одной строки в конфиге, а от понимания маршрутизации, проверки утечек и выбора доверенного клиента. Избегай бесплатных решений, тестируй каждый сценарий и помни: даже самый надёжный туннель бесполезен, если локальный трафик случайно уходит в облако.
Good reminder about sports betting basics. This addresses the most common questions people have. Good info for beginners.