Перейти к содержанию

О раздельном туннелировании

Раздельное туннелирование (Split Tunneling) -- это режим VPN, при котором только выбранные приложения или сайты идут через VPN, а остальной трафик выходит в интернет напрямую.

Когда использовать

  • Нужно, чтобы часть сервисов работала через VPN, а часть напрямую.
  • Есть сайты, которые плохо работают из-под VPN (банки, госуслуги, маркетплейсы).
  • Хочешь оставить VPN только для нужных приложений: Telegram, YouTube, Discord и т.д.

Зачем использовать, и почему это важно

  • Снижается нагрузка на сервер.
  • Часто улучшается скорость и стабильность для приложений, которым VPN не нужен.
  • Удобнее совмещать обычный интернет и VPN в одном устройстве, вообще не отключаясь. Почти как в старые добрые

И, самое главное:

Отдельные приложения по требованию Минцифры могут отслеживать наличие/отсутствие VPN трафика, из-за чего могут быть проблемы не только у нас, но и у тебя.

В список таких приложений входят, например:

  • Национальный мессенджер MAX
  • Приложения Яндекса (ЯБраузер, Яндекс Go, Яндекс Музыка)
  • Маркетплейсы (Wildberries, Ozon)

Учитывая крайне агрессивную политику РосКомНадзора по отношению к VPN, такая мера может скоро стать необходимостью.

Как настроить

  1. Открой клиент Happ и зайди в настройки (шестерёнка в левом верхнем углу).

  2. Перейди в раздел Прокси для выбранных приложений.

  3. Выбери режим Обход.

  4. Добавь приложения в список (например, Госуслуги, Яндекс, и т.д.)

  5. Перезапусти подключение, если оно было активно.

На этом настройка закончена. Вы великолепны!

  1. Открой клиент V2RayTun и зайди в настройки.

  2. Найди раздел Маршрутизация (Route).

  3. Выбери пункт Маршрутизация выбранных приложений.

  4. Добавь приложения в список (например, Госуслуги, Яндекс, и т.д.)

    Включи тумблер Режим обхода, чтобы трафик шёл напрямую только через выбранные приложения

    Для удобства также нажми на Исключить системные [приложения].

  5. Перезапусти подключение, если оно было активно.

На этом настройка закончена. Вы великолепны!

  1. Открой Throne и обнови подписку, если давно этого не делал.

  2. Скачай готовый профиль Bypass_Russia: Маршрутизация -> Загрузка профилей (Download Profiles) -> Bypass_Russia.

  3. Выбери профиль Bypass_Russia в меню Маршрутизация.

  4. Включи TUN Mode и подключись к нужной ноде.

    Не включай два режима сразу

    Для раздельного туннелирования в Throne обычно нужен TUN Mode. Если включаешь TUN Mode, не включай одновременно System Proxy: эти режимы могут конфликтовать.

  5. Проверь результат: российские сайты должны открываться напрямую, а остальной трафик -- через туннель.

  6. Если прямые запросы не открываются (не резолвится DNS), открой настройки маршрутизации и укажи DNS для прямых запросов вручную. По умолчанию DNS может быть выставлен на localhost, а локальный резолвер в таком режиме часто ничего не возвращает.

    tls://77.88.8.8
Если нужен обратный режим

Если хочешь, чтобы через VPN шли только отдельные приложения или сайты, создай свой профиль с Default outbound: direct, а нужные домены и процессы добавь в Proxy. Например: domain:youtube.com, domain:discord.com, processName:Discord.exe.

Если возник конфликт с Tailscale, NetBird или другим mesh-VPN

Throne в режиме TUN Mode может перехватывать DNS и маршруты, из-за чего приватные имена из Tailscale/NetBird перестают открываться, хотя сами сервисы доступны при выключенном Throne.

Что можно сделать:

  1. Добавь приватные сети mesh-VPN в обход (direct).

    100.64.0.0/10
fd7a:115c:a1e0::/48

    Для NetBird диапазон может отличаться. Его можно посмотреть в настройках NetBird или у администратора сети.

  2. Добавь приватный домен в обход. Например, для Tailscale это обычно домен вида:

    domain:ts.mydomain.com

  3. Если проблема только в одном внутреннем сервисе, можно временно прописать его в файл hosts.

    Пример строки:

    100.64.0.10 internal-service.example.local internal-service

  4. Проверяй не только с помощью ping. ICMP-пинг может быть отключён у хоста, а также само ядро XRay может всегда отвечать на эти пинги.

Пример заполнения для собственного профиля 
ruleset:geoip-private

ruleset:geoip-ru
ruleset:geoip-by

suffix:.ru
suffix:.рф
suffix:.su
suffix:.by

domain:gosuslugi.ru
domain:mos.ru
domain:nalog.gov.ru
domain:ozon.ru
domain:ozon.kz
domain:wildberries.ru
domain:avito.ru
domain:avito.st
domain:vk.com
domain:yandex.ru

На этом настройка закончена. Вы великолепны!

После настройки

Проверь несколько сайтов и приложений: что-то должно идти через VPN, а что-то напрямую. Если поведение обратное, поменяй режим списка.

А есть готовый список приложений для App-Based раздельного туннелирования?

Мы работаем над этим.