VPN с split tunneling по доменам: Proton, WARP, IPVanish

Несколько VPN-клиентов решают проблему раздельного туннелирования по доменным именам без резолва в IP: Proton VPN в расширении для браузера, Cloudflare WARP и IPVanish с domain-based split tunneling. Amnezia VPN страдает от сбоев с Cloudflare из-за динамических IP сервисов вроде YouTube — трафик уходит не туда, приходится отключать сплит-туннелирование. Выход: настройка dnsmasq с ipset на Linux/роутере OpenWrt или переход на NordLayer/Timus Networks для прямой работы по URL.

---

Содержание

• Что такое раздельное туннелирование VPN
• Почему IP-адреса вызывают проблемы в Amnezia VPN
• VPN-клиенты с поддержкой туннелирования по доменам
• Решения для Cloudflare и Amnezia: dnsmasq + ipset
• Настройка на роутере OpenWrt
• Протоколы и альтернативы
• Источники
• Заключение

---

Что такое раздельное туннелирование VPN

Раздельное туннелирование, или split tunneling, — это когда VPN пропускает часть трафика напрямую в интернет, а остальное шифрует. Полезно для скорости: локальные сайты или банковские apps не тормозят, а заблокированные сервисы вроде Telegram идут через VPN. Но стандартно оно работает по IP или приложениям — вот где засада.

Представьте: вы добавляете IP YouTube в исключение, чтобы видео летало без VPN. А сервис меняет адреса? Трафик улетает в никуда, или, хуже, через VPN замедляется. Kaspersky точно описывает: клиент по правилам решает, туннелировать или нет. Домены решают это — DNS резолвится на лету, без ручного апдейта списков.

А что насчет безопасности? Если исключить домен банка, риски растут. Но для геймеров или стримеров — идеал. Вопрос в клиенте: не все тянут домены.

---

Почему IP-адреса вызывают проблемы в Amnezia VPN

Amnezia VPN — крутая штука для само-хостинга, но сплит-туннелирование по IP/подсетям глючит с Cloudflare и подобными. Официальная документация Amnezia честно говорит: выбирайте IP или apps, которые идут/обходят VPN. Звучит просто, но сервисы вроде YouTube или Cloudflare WARP имеют тысячи IP — резолв домена в один адрес, и привет, сбой.

В issues на GitHub полно жалоб: #1349, #2044. Пользователи пишут: “YouTube — сотни подсетей, список устаревает за час”. Cloudflare еще хуже — их CDN меняет IP динамически, трафик уходит не туда, приходится вырубать split. Linux.org.ru обсуждает: Amnezia резолвит домены в IP статично, конфликты с подсетями — норма.

Почему так? VPN на сетевом уровне (L3) не видит домены — только IP. Нужен хак: DNS-интерцепт или прокси.

---

VPN-клиенты с поддержкой туннелирования по доменам

Хорошие новости: есть клиенты, где домены работают из коробки. Не все, но те, что тянут “domain-based” или “URL-based split tunneling”.

Сначала Proton VPN: в браузерном расширении добавляете домены в исключения — трафик по ним обходит VPN. Идеально для Cloudflare, без IP-танцев. Плюс бесплатный план.

Cloudflare WARP — ваш антигерой становится героем. Поддерживает домены в Split Tunnels: включаете/исключаете по FQDN. Документация советует: для больших сервисов IP лучше, но домены работают. Скачайте клиент — и Amnezia не нужна.

IPVanish хвастается domain-based: выбираете сайты для обхода. NordLayer — URL-based, трафик по доменам маршрутизируется отдельно.

Еще Timus Networks: домены + IP + apps. FreeVPN Planet прямо про URL.

Минус: не все бесплатны. Но для теста — Proton или WARP.

---

Решения для Cloudflare и Amnezia: dnsmasq + ipset

Не хотите менять клиент? Хакните систему. Habr Q&A советует geoip/geosite для Xray/Nekoray — готовые списки доменов. Но для Amnezia: dnsmasq + ipset.

Как? Dnsmasq резолвит домены, кидает IP в ipset. iptables/nftables маршрутизирует этот set через VPN-интерфейс. Linux.org.ru разбирает для AmneziaWG: скрипт мониторит домены, обновляет set. Работает с Cloudflare — IP меняются, но домен статичен.

Шаги кратко:

1. Установите dnsmasq, ipset.
2. Конфиг dnsmasq: ipset=/example.com/vpn_set.
3. Маршрут: ip rule add fwmark 1 table vpn; ip route add default dev wg0 table vpn.
4. Скрипт на cron для апдейта.

Super User подтверждает: OpenVPN не тянет домены нативно, но namespaces + proxy — выход. Для Windows сложнее, Server Fault жалуется на API-лимиты.

Это решает Amnezia-проблему: трафик по домену всегда актуален.

---

Настройка на роутере OpenWrt

Лучший способ для дома — роутер. Habr пишет гайд: OpenWrt + dnsmasq + ipset. Домены YouTube/Instagram — в set, VPN-маршрут на них. Работает для всей сети, Amnezia не нужна.

Ключ: config ipset, list domain youtube.com. Firewall marks пакеты, vpn-policy-routing кидает в туннель. NTC.party дополняет BGP для сложных сетей.

Keenetic или Mikrotik? Там слабее, но luci-app-vpn-policy-routing спасает. Минус: роутер должен тянуть.

---

Протоколы и альтернативы

Протоколы сами по себе не доменные — WireGuard/OpenVPN на L3. Но OpenVPN Access Server имеет dynamic split: DNS определяет маршруты. Defense Orchestrator — то же по DNS-именам.

Альтернативы: Tailscale (headscale self-host) с ACL по доменам. Или proxy: SOCKS/HTTP по доменам в браузере, остальное VPN. Reddit хвалит: “*.vendor.com” в прокси — устойчиво.

Для бизнеса — Microsoft 365 split tunnel: фиксированные домены в белый список.

Выбор: клиент вроде Proton для простоты, OpenWrt для кастом.

---

Источники

1. Surfshark: Раздельное туннелирование
2. Amnezia Docs: Split Tunneling
3. Kaspersky: Split Tunneling
4. Habr Q&A: Туннелирование по доменам
5. Proton VPN: Split Tunneling
6. Cloudflare: Split Tunnels
7. GitHub Amnezia #1349
8. Habr: OpenWrt по доменам
9. IPVanish: Domain-based
10. NordLayer: URL-based
11. Linux.org.ru: dnsmasq ipset
12. Timus: Split Tunnel
13. OpenVPN Blog: Dynamic Split
14. FreeVPN Planet: URL

---

Заключение

Раздельное туннелирование по доменам — реальность: Proton VPN, Cloudflare WARP или IPVanish берут из коробки, без Amnezia-глюков. Для хардкора — dnsmasq/ipset или OpenWrt, где домены живут вечно. Забудьте ручной IP-хunt, выбирайте по нуждам — скорость вырастет, Cloudflare перестанет бесить. Тестируйте Proton бесплатно, и увидите разницу.