настройка vpn на роутере keenetic для определенных сайтов

настройка vpn на роутере keenetic для определенных сайтов

Как настроить VPN только для нужных сайтов на Keenetic

Подробный гайд: настройка vpn на роутере keenetic для определенных сайтов — шаг за шагом, без утечек и с реальной защитой.

настройка vpn на роутере keenetic для определенных сайтов — это не просто «включил и забыл». Это точечная маршрутизация трафика через зашифрованный тоннель только для тех доменов или сервисов, которые действительно требуют защиты или обхода блокировок. Остальной интернет (стриминг, игры, локальные сервисы) идёт напрямую, без задержек и перегрузки канала. В этом материале — всё, что скрывают производители: от поддельных kill switch до юрисдикций, где провайдер обязан выдать ваши данные по первому запросу ФСБ.

Почему «весь трафик через VPN» — плохая идея на роутере

Представь: ты включаешь глобальный VPN на Keenetic, и весь домашний трафик — YouTube, Zoom, онлайн-банкинг, торренты — уходит через один сервер где-то в Нидерландах. Что происходит:

• Скорость падает на 30–70%, особенно если сервер перегружен.
• Лаги в играх и видеозвонках из-за увеличенного пинга.
• Российские сервисы (Сбербанк, Госуслуги, Яндекс.Музыка) могут начать капчу или блокировать вход — они видят «подозрительную» иностранную активность.
• VPN-сервер может отвалиться, а без корректного kill switch весь трафик хлынет в открытый интернет — вместе с торрентами и поисковыми запросами.

Split tunneling (раздельное туннелирование) решает это. Только выбранные домены идут через VPN. Остальное — как обычно.

Чего вам НЕ говорят в других гайдах

Большинство инструкций молчат о главном: не все VPN подходят для split tunneling на роутере, особенно на Keenetic. Вот что скрывают:

1. Бесплатные VPN продают твой трафик
   Hola, Betternet, Opera VPN — это не «бесплатные сервисы», а P2P-прокси или рекламные сети. Они перепродают твою полосу другим пользователям или собирают историю посещений для таргета. В 2023 году исследователи обнаружили, что Hola передавал данные через Tor без согласия пользователей.

2. «No logs» часто означает «почти no logs»
   Многие провайдеры хранят метаданные: время подключения, IP-адреса, объём трафика. При запросе суда (особенно в странах 14 Eyes — включая США, Великобританию, Канаду) эти данные выдают. Россия не входит в этот альянс, но законы о хранении данных у нас строже: провайдер обязан хранить трафик 6 месяцев.

3. Kill switch на роутере — фикция без правильной настройки iptables
   Даже если в интерфейсе Keenetic есть галочка «блокировать интернет при отключении VPN», она работает только для основного трафика. Split tunneling требует ручной настройки правил, иначе «защищённые» сайты будут доступны напрямую при обрыве.

   🛡️Безопасный интернет

4. DNS-утечки почти гарантированы
   Если DNS-запросы идут к провайдеру (Ростелеком, МТС), то даже при шифровании трафика он знает, какие сайты ты открывал. Нужно принудительно направлять DNS через VPN-туннель.

5. WireGuard ≠ автоматическая безопасность
   WireGuard быстр и современ, но не имеет встроенной функции динамической смены ключей (perfect forward secrecy). Без дополнительных скриптов каждое подключение использует один и тот же ключ — если его скомпрометируют, расшифруют весь прошлый трафик.

Как работает split tunneling на Keenetic: технические детали

Keenetic использует ядро Linux с поддержкой iptables и ip rule. Split tunneling реализуется через маршрутизацию по таблицам:

1. Создаётся отдельная таблица маршрутизации (например, vpn_table).
2. Для выбранных доменов определяются IP-адреса (через DNS или статические записи).
3. Правила ip rule перенаправляют трафик к этим IP в vpn_table.
4. В vpn_table установлен маршрут через интерфейс VPN (например, wg0 для WireGuard или tun0 для OpenVPN).

Важно: KeeneticOS не поддерживает split tunneling «из коробки». Нужно либо использовать компоненты из Keenetic Club (например, Entware + custom-скрипты), либо настраивать вручную через SSH.

Пошаговая настройка: только нужные сайты через VPN

⚠️ Требуется: роутер Keenetic с поддержкой Entware (Giga, Ultra, Explorer и новее), аккаунт у надёжного VPN-провайдера с поддержкой WireGuard/OpenVPN и разрешением на split tunneling.

Шаг 1. Установите Entware и необходимые пакеты

Через веб-интерфейс Keenetic:
- Откройте «Дополнительные компоненты» → установите Entware.
- Подключитесь по SSH (включите в «Системе» → «Удалённое управление»).
- Выполните:
bash opkg update opkg install wireguard-tools openvpn ipset

Шаг 2. Получите конфигурацию VPN

Скачайте .conf (WireGuard) или .ovpn (OpenVPN) файл от провайдера. Убедитесь, что:
- Используется AES-256-GCM или ChaCha20-Poly1305.
- Включена опция redirect-gateway def1 (для OpenVPN) — но мы её отключим.
- Указаны DNS-серверы провайдера (например, 10.8.8.1).

Шаг 3. Настройте список сайтов для VPN

Создайте файл /opt/etc/sites-via-vpn.txt:

youtube.com
music.youtube.com
twitter.com
netflix.com
openai.com

Затем скрипт /opt/bin/build-ipset.sh:

#!/bin/sh
ipset -N vpn_sites iphash
while read domain; do
  dig +short "$domain" A | while read ip; do
    [ -n "$ip" ] && ipset -A vpn_sites "$ip"
  done
done < /opt/etc/sites-via-vpn.txt

Сделайте его исполняемым:

chmod +x /opt/bin/build-ipset.sh

Шаг 4. Запустите VPN без перенаправления всего трафика

Отредактируйте .ovpn файл: удалите строку redirect-gateway def1.

Запустите OpenVPN в фоне:

openvpn --config /opt/etc/client.ovpn --daemon

Для WireGuard просто импортируйте конфиг:

wg-quick up /opt/etc/wg0.conf

Шаг 5. Настройте маршрутизацию через iptables и ip rule

Создайте скрипт /opt/etc/split-tunnel.sh:

#!/bin/sh
Очистка
ip rule del fwmark 0x1 table vpn_table 2>/dev/null
ip route flush table vpn_table 2>/dev/null
ipset destroy vpn_sites 2>/dev/null

Создание
ipset create vpn_sites hash:ip
/opt/bin/build-ipset.sh

Таблица маршрутизации
ip route add default dev tun0 table vpn_table  # или wg0
ip rule add fwmark 0x1 table vpn_table

Маркировка трафика
iptables -t mangle -A OUTPUT -m set --match-set vpn_sites dst -j MARK --set-mark 0x1
iptables -t mangle -A PREROUTING -m set --match-set vpn_sites dst -j MARK --set-mark 0x1

Добавьте запуск в автозагрузку через /opt/etc/init.d/S99split:

#!/bin/sh
[ "$1" = "start" ] && /opt/etc/split-tunnel.sh

Шаг 6. Проверка на утечки

1. Зайдите на ipleak.net — должен показывать IP вашего VPN-сервера только при открытии сайтов из списка.
2. Откройте обычный сайт (например, yandex.ru) — IP должен быть вашим провайдерским.
3. Проверьте WebRTC-утечку на browserleaks.com/webrtc — в Chrome/Edge отключите WebRTC через chrome://flags/#disable-webrtc.

Сравнение VPN-провайдеров для split tunneling на роутере

*Бесплатный тариф Proton VPN не поддерживает WireGuard и ограничен 3 странами. Для split tunneling нужен платный.

Реальные сценарии: кому это нужно?

Журналист в командировке
Использует split tunneling, чтобы Telegram и Signal шли через швейцарский сервер, а локальные карты и такси — напрямую. Избегает замедления и подозрений со стороны местных провайдеров.

IT-специалист в кафе
Защищает доступ к GitHub, корпоративному GitLab и Jira через VPN. Остальной трафик (Slack, Zoom) идёт напрямую — без лагов.

Пользователь торрентов
Направляет только торрент-клиент (через IP трекеров) через VPN с kill switch. Остальной интернет — без ограничений.

Обход блокировок
YouTube, Twitter, Instagram работают через VPN. Российские сервисы — без прокси, чтобы не терять доступ к Сбербанк Онлайн.

FAQ

VPN замедляет интернет на сколько реально?

Зависит от протокола и сервера. WireGuard: +5–15 мс пинг, 90–97% от исходной скорости. OpenVPN с AES-256: +20–50 мс, 70–85%. На роутере Keenetic Giga (ARM Cortex-A9) максимальная скорость через WireGuard — около 180 Мбит/с.

Меня найдёт спецслужба при использовании VPN?

Если провайдер хранит логи и находится в юрисдикции, где обязателен их выдача (например, США), — да. В Швейцарии, Швеции, Панаме — почти нет. Но если вы сами авторизуетесь в аккаунтах (Google, Telegram), ваша личность уже известна.

Открой мир без границ🌍

WireGuard или OpenVPN — что безопаснее?

Оба безопасны при правильной настройке. WireGuard новее, быстрее, но менее гибкий. OpenVPN поддерживает больше опций шифрования и лучше обходит DPI (глубокую проверку пакетов). Для split tunneling на роутере WireGuard предпочтительнее из-за низкого overhead.

Можно ли настроить split tunneling без Entware?

На большинстве Keenetic — нет. Встроенный OpenVPN-клиент не позволяет указывать правила маршрутизации по доменам. Entware даёт полный контроль через iptables и ipset.

Что делать, если сайт использует CDN (Cloudflare, Akamai)?

CDN возвращает разные IP в зависимости от региона. Решение: добавлять в список не только домен, но и все поддомены, или использовать DNS-over-HTTPS внутри туннеля и динамически обновлять ipset каждые 5 минут через cron.

Технологии будущего🤖

Не нарушает ли это закон РФ?

Использование VPN не запрещено. Однако обход блокировок сайтов, внесённых Роскомнадзором по решению суда (например, экстремистские ресурсы), может повлечь ответственность. Технически split tunneling — это маршрутизация, а не «обход» как таковой. Мы не рекомендуем использовать его для доступа к запрещённым ресурсам.

Вывод

настройка vpn на роутере keenetic для определенных сайтов — это баланс между безопасностью, скоростью и удобством. Она возможна, но требует ручной работы с Entware, iptables и ipset. Не верьте обещаниям «одним кликом» — настоящая защита всегда сложнее. Выбирайте провайдера вне 14 Eyes, проверяйте утечки, отключайте WebRTC и никогда не используйте бесплатные VPN для чувствительных задач. Если сделано правильно, split tunneling на Keenetic даёт максимум приватности без жертв в скорости.