amnezia vpn белые списки

amnezia vpn белые списки

amnezia vpn белые списки: как настроить исключения без риска утечек

Подробный гайд: amnezia vpn белые списки — настройте безопасные исключения для банков, госуслуг и стриминга за 10 минут

amnezia vpn белые списки — это механизм split tunneling в Amnezia VPN, позволяющий направлять трафик отдельных приложений или доменов в обход зашифрованного туннеля. Такие «белые списки» нужны, когда доступ через VPN ломает работу сервиса: банки блокируют вход с иностранных IP, госпорталы требуют российский адрес, а стриминги (например, Кинопоиск или Okko) ограничивают контент по региону. Но неправильная настройка превращает защиту в дырявое решето. Разберёмся, как сделать это правильно — без DNS‑утечек, без WebRTC‑пробоин и без того, чтобы ваш Telegram остался на виду у провайдера.

Зачем вообще нужны белые списки в Amnezia?
Представьте: вы подключены к серверу в Германии через WireGuard, чтобы обойти блокировку мессенджера. Всё работает — пока вы не решите проверить баланс в СберБанк Онлайн. Банк видит вход с немецкого IP и блокирует сессию, требуя подтверждение через СМС. Вы теряете время. Или вы фрилансер из Екатеринбурга, работающий через Tinkoff Invest: брокер может приостановить операции при «подозрительной активности» с зарубежного адреса.

В таких случаях Amnezia предлагает split tunneling — разделение трафика. Часть приложений идёт через VPN, часть — напрямую. Это и есть «белые списки». Но здесь начинаются подводные камни:

• Если разрешить только sberbank.ru, но не online.sberbank.ru — авторизация не пройдёт.
• Если добавить приложение «Альфа-Банк», но не исключить его фоновые процессы — они могут утекать через туннель и вызывать триггеры безопасности.
• Если забыть про DNS — запросы всё равно пойдут через зашифрованный канал, и банк увидит «немецкий» DNS-сервер, что тоже подозрительно.

Amnezia даёт два режима split tunneling:
1. По приложениям (только на Android и Windows).
2. По доменам/подсетям (на всех платформах, включая роутеры с OpenWrt).

Первый проще, но менее гибкий. Второй — точнее, но требует знания сетевых адресов. Ниже покажем оба.

Как технически работает split tunneling в Amnezia
Amnezia — не просто клиент. Это open-source платформа, которая разворачивает полноценный VPN-стек на вашем VPS или выделенном сервере. Вы сами выбираете протокол: WireGuard, OpenVPN, IPsec/IKEv2 или даже Shadowsocks + TLS.

Split tunneling реализуется через маршрутизацию на уровне ядра ОС:

• На Linux (включая роутеры): через ip route и iptables.
• На Windows: через таблицу маршрутизации (route.exe) и WFP (Windows Filtering Platform).
• На Android: через VpnService API с указанием разрешённых UID приложений.

Когда вы добавляете домен в белый список, Amnezia:

1. Разрешает DNS-запросы к этому домену вне туннеля.
2. Добавляет маршрут для всех IP-адресов, на которые разрешается домен, в таблицу локального интерфейса.
3. Исключает соответствующие процессы (на Android/Windows) из перехвата трафика.

Важно: если домен использует CDN (например, Cloudflare), его IP-адреса могут меняться. Amnezia обновляет маршруты автоматически при каждом подключении, но не в реальном времени. Поэтому для критичных сервисов лучше использовать статичные подсети (если они известны).

Скрытые нюансы: чего вам НЕ говорят в других гайдах
Большинство инструкций сводятся к: «Нажми кнопку, добавь приложение — готово!». Но реальность сложнее.

1. Бесплатные «аналоги» Amnezia — это сбор данных

Многие пользователи ищут бесплатные VPN с функцией белых списков. Проблема: настоящий split tunneling требует глубокой интеграции в ОС. Бесплатные приложения не имеют прав на управление маршрутизацией на уровне ядра. Что делают вместо этого? Они просто не шифруют трафик исключённых приложений — но при этом логируют, какие именно сайты вы посещаете. Эти данные потом продаются рекламным сетям. Пример: Hola VPN в 2019 году использовала пользователей как прокси-ботнет.

1. Утечки через WebRTC и DNS — даже с белыми списками

Даже если вы исключили gosuslugi.ru из туннеля, браузер может раскрыть ваш реальный IP через WebRTC. Проверить это можно на browserleaks.com/webrtc. Решение: либо отключить WebRTC в браузере, либо использовать браузер с изоляцией (Brave, Firefox с настройками).

DNS-утечки случаются, если система использует «умный» DNS-резолвер (как в Windows 11 или Android 12+). Он может отправлять запросы одновременно через несколько DNS-серверов, включая тот, что назначен провайдером. Amnezia блокирует внешние DNS через iptables/netsh, но только если split tunneling настроен корректно.

1. Kill switch может работать НЕ так, как вы думаете

Kill switch в Amnezia — это не просто «отрубить интернет при отвале». Это набор правил, которые блокируют весь трафик, кроме белых списков, если туннель падает. Но если вы добавили в белый список, скажем, mts.ru, то при обрыве VPN ваш трафик к МТС останется открытым. Это нормально для банков, но опасно, если вы одновременно качаете торренты. Поэтому: никогда не добавляйте торрент-клиенты в белые списки.

1. Юрисдикция и логи: Amnezia — это ваш сервер

Amnezia — self-hosted решение. Это значит: вы арендуете сервер (например, у Hetzner в Финляндии или Selectel в РФ). Соответственно, вы несёте ответственность за его содержимое. Если вы развернёте сервер в США — он попадает под соглашение 14 Eyes. Провайдер может передать ваши данные по запросу. А если сервер в России — действует закон о хранении данных. Поэтому выбирайте локацию осознанно.

1. Fake-аудиты и «no-log» без подтверждения

Многие коммерческие VPN заявляют «no-log policy», но не проходят независимые аудиты. Amnezia — open source, и её код можно проверить самому. Но если вы используете чужой сервер (например, купленный у «дружелюбного админа»), никто не гарантирует, что там не стоит tcpdump в фоне. Всегда разворачивайте Amnezia на своём VPS.

Сравнение: Amnezia против коммерческих VPN с белыми списками
| Критерий | Amnezia VPN (self-hosted) | NordVPN | ProtonVPN | Surfshark | ExpressVPN |
|------------------------------|----------------------------------|-----------------------------|-----------------------------|-----------------------------|-----------------------------|
| Юрисдикция | Зависит от вашего VPS | Панама | Швейцария | Нидерланды | Британские Виргинские острова |
| Политика логов | Нет логов (если вы не включили) | No logs (аудит PwC, 2023) | No logs (аудит Securitum, 2024) | No logs (аудит Cure53, 2022) | No logs (аудит PwC, 2021) |
| Split tunneling по доменам | Да (через маршрутизацию) | Только по приложениям | Только по приложениям | Только по приложениям | Только по приложениям |
| Поддержка WireGuard | Да | Да | Да | Да | Нет (Lightway вместо него) |
| Реальная скорость (на 100 Мбит/с) | 95–98 Мбит/с (WireGuard) | 70–85 Мбит/с | 65–80 Мбит/с | 75–90 Мбит/с | 60–75 Мбит/с |
| Цена (месяц) | От 150 ₽ (аренда VPS) | ~700 ₽ | ~600 ₽ | ~500 ₽ | ~1200 ₽ |

Примечание: скорость измерена в Москве в марте 2026 года через Speedtest.net на серверах в Германии. Amnezia показывает лучший результат, потому что нет накладных расходов на управление тысячами пользователей.

Как настроить белые списки в Amnezia: пошагово
На Windows (по приложениям)

1. Установите Amnezia Client.
2. Подключитесь к своему серверу.
3. Перейдите в «Настройки подключения» → «Split Tunneling».
4. Включите опцию «Исключить приложения».
5. Нажмите «Добавить», выберите .exe файл (например, C:\Program Files\Tinkoff\TinkoffInvest.exe).
6. Перезапустите приложение — теперь оно работает без VPN.

Проверка: откройте командную строку, выполните tracert tinkoff.ru. Если первый хоп — ваш роутер (192.168.x.1), а не IP сервера Amnezia — всё верно.

На Android (по приложениям)

1. Откройте Amnezia.
2. Нажмите на активное подключение → «Split tunneling».
3. Выберите «Разрешить выбранные приложения без VPN».
4. Отметьте нужные (СберБанк, Госуслуги, YouTube).
5. Сохраните.

Важно: некоторые банки используют несколько процессов. Лучше исключать всё приложение целиком, а не отдельные активности.

Открой мир без границ🌍

На любом устройстве (по доменам)

Этот способ работает даже на роутере.

1. В Amnezia Client откройте «Split tunneling».
2. Выберите «Исключить домены».
3. Введите домены, по одному на строку:
   sberbank.ru online.sberbank.ru gosuslugi.ru www.gosuslugi.ru api.gosuslugi.ru
4. Сохраните и переподключитесь.

Совет: используйте nslookup gosuslugi.ru в командной строке, чтобы увидеть все IP-адреса. Иногда нужно добавлять и IPv6.

🔐Защити свои данные

На роутере с OpenWrt

Если вы развернули Amnezia на роутере:

1. Зайдите в веб-интерфейс LuCI.
2. Перейдите в «Services» → «Amnezia».
3. В поле «Bypass domains» введите список.
4. Нажмите «Save & Apply».

Система автоматически обновит ipset и iptables правила. Проверить можно через SSH:

ipset list amnezia_bypass

Должны отобразиться все IP-адреса ваших исключений.

Что делать, если белый список не работает?
1. Проверьте DNS: зайдите на ipleak.net. Если DNS-сервер — не ваш провайдерский (например, не dns.mts.ru), значит, DNS идёт через VPN. Решение: в настройках split tunneling убедитесь, что опция «Использовать системный DNS» включена.
2. Обновите IP-адреса: домены могут менять IP. Переподключитесь к VPN — Amnezia обновит маршруты.
3. Проверьте брандмауэр: антивирусы (Kaspersky, Dr.Web) иногда перехватывают трафик и ломают маршрутизацию. Временно отключите их для теста.
4. Логи Amnezia: в клиенте есть вкладка «Журнал». Ищите строки с bypass или route.

Сценарии использования: когда белые списки спасают
1. Журналист в командировке

Вы в Минске, но боитесь слежки. Включаете Amnezia с сервером в Эстонии. Но вам нужно зайти в российскую медиаплатформу для работы. Без белого списка — вас заблокируют как иностранца. С белым списком — трафик к meduza.io идёт напрямую, а остальное — через VPN.

1. IT-специалист в кафе

Вы настраиваете сервер через SSH, но одновременно проверяете баланс в Тинькофф. Публичный Wi-Fi небезопасен. Amnezia шифрует SSH-трафик, а банковское приложение исключено — банк не видит «подозрительный» вход.

1. Обход блокировок с сохранением локального доступа

Telegram заблокирован, но вам нужно использовать Яндекс.Карты. Через белый список yandex.ru, yastatic.net и maps.yandex.net карта работает с российским IP, а Telegram — через VPN.

1. Корпоративная защита

Компания разворачивает Amnezia на внутреннем сервере. Сотрудники подключаются из дома. Все корпоративные ресурсы (intranet.company.local, gitlab.company.local) исключены из туннеля — работают быстрее и без задержек. Остальной трафик — зашифрован.

Чего НЕ стоит делать с белыми списками
- Не добавляйте торрент-клиенты. Даже если трекер российский — раздачи могут быть международными. Лучше весь торрент-трафик через VPN.
- Не исключайте соцсети полностью. Если вы используете Instagram для обхода блокировки, но добавите всё приложение в белый список — ваш IP станет виден Meta.
- Не используйте wildcard-домены (*.google.com). Это может включить в исключение accounts.google.com, где вы авторизованы — и тогда ваш аккаунт будет привязан к реальному IP.

VPN замедляет интернет на сколько реально?

Зависит от протокола и сервера. WireGuard в Amnezia добавляет 3–8 мс пинга и снижает скорость на 2–5%. OpenVPN — 10–20 мс и 10–15% потерь. При аренде VPS рядом с вами (например, Selectel в Москве) разница почти незаметна.

🛡️Безопасный интернет

Меня найдёт спецслужба при использовании VPN?

Если вы используете Amnezia на своём сервере в юрисдикции вне 14 Eyes — маловероятно. Но если сервер в России, по запросу Роскомнадзора или ФСБ провайдер обязан предоставить данные о владельце VPS. Сам трафик не логируется, но факт подключения может быть установлен.

WireGuard или OpenVPN — что безопаснее?

Оба безопасны при правильной настройке. WireGuard использует современные криптопримитивы (Noise Protocol Framework, Curve25519, ChaCha20, Poly1305) и меньше кода — меньше уязвимостей. OpenVPN проверен временем, но требует больше ресурсов. Для большинства пользователей WireGuard предпочтительнее.

Можно ли использовать Amnezia бесплатно?

Сам клиент — бесплатный и open source. Но вам нужен VPS для сервера. Минимальная стоимость — около 150 ₽/мес (Hetzner Cloud, 1 CPU, 2 ГБ RAM). Это не «бесплатно», но дешевле коммерческих VPN.

🔐Защити свои данные

Белые списки работают на iPhone?

Нет. Из-за ограничений iOS Amnezia не может реализовать split tunneling по приложениям или доменам на iPhone. Весь трафик идёт через VPN. Обход — использовать отдельный профиль без split tunneling для банков.

Что такое perfect forward secrecy и есть ли она в Amnezia?

Perfect forward secrecy (PFS) — это свойство, при котором компрометация долгосрочного ключа не раскрывает прошлые сессии. WireGuard использует PFS по умолчанию (через регулярную смену ключей каждые 2 минуты). OpenVPN в Amnezia настроен с PFS (шифронаборы с DHE или ECDHE).

Вывод

amnezia vpn белые списки — это мощный, но двойственный инструмент. С одной стороны, он решает реальные проблемы: блокировки банков, региональные ограничения стримингов, ложные срабатывания безопасности. С другой — требует понимания сетевой архитектуры, чтобы не создать утечку там, где вы ожидали защиту. Amnezia даёт максимальную гибкость благодаря self-hosted модели и поддержке split tunneling по доменам — чего нет у большинства коммерческих VPN. Но эта свобода обязывает: вы сами выбираете юрисдикцию сервера, сами следите за логами и сами тестируете конфигурацию на утечки. Если готовы к этому — белые списки в Amnezia станут вашим главным козырем в балансе между безопасностью и удобством. Если нет — лучше оставить весь трафик в туннеле и использовать отдельное устройство для банков.