Что такое split tunneling

Split tunneling — это функция VPN, позволяющая решить, какой трафик идёт через VPN, а какой — через обычное соединение. По умолчанию VPN отправляет всё через туннель. Split tunneling вырезает исключения.

Настройка обычно правил-based: на уровне приложения (этот браузер использует VPN, тот игровой клиент — нет) или на уровне домена (корпоративный интранет обходит VPN, всё остальное идёт через него).

Когда split tunneling имеет смысл

Несколько реальных сценариев:

• Локальные сетевые сервисы. Принтер, NAS, smart-home хаб в локалке. Если всё идёт через VPN, ноут общается с этими устройствами через маршрут до Франкфурта и обратно. Не то, что нужно для принтера в трёх метрах.
• Банки и приложения, блокирующие VPN. Некоторые приложения отказываются работать через коммерческие VPN-IP (особенно банковские). Split tunneling позволяет таким приложениям идти напрямую, пока остальная система туннелирована.
• Игры. VPN добавляет латентность. Latency-sensitive multiplayer работает лучше напрямую. Просмотр и загрузки могут идти через VPN. Подробнее в VPN для гейминга.
• Разработка. Локальные dev-сервера, контейнерные сети, VPN для разработчиков, которым нужен прямой доступ к конкретным облачным ресурсам.

Что split tunneling стоит

Всё вне туннеля видит твой настоящий IP, утекает DNS к провайдеру и подвержено фильтрации локальной сети. Так что:

• Утечка по дизайну. Если выводишь браузер из туннеля, провайдер видит каждый сайт. Это компромисс, на который ты идёшь.
• Взаимодействие с kill switch. Настоящие kill switch блокируют весь не-туннельный трафик при падении VPN. Split-туннелированные приложения — это не-туннельный трафик. Kill switch должен знать, что есть что, иначе split tunneling отменяет защиту kill switch.
• DNS-утечки. Split-туннелированные приложения используют системный резолвер. Если хотел DNS-приватность только через VPN, split tunneling её отменяет для этих приложений.

Как об этом думать

Split tunneling полезен для узких, осознанных исключений. Это плохой default. Ментальная модель: "туннель включён для всего, кроме этих конкретных приложений, для которых есть конкретная причина обходить".

Если оказывается, что ты маршрутизируешь большинство приложений вне туннеля — модель инвертирована. Лучше отключать VPN и использовать его только когда нужно, чем поддерживать дырявый список исключений.

Статус в Fexyn

Split tunneling в roadmap'е приложения Windows. Пока не поставляется — архитектура helper-сервиса поддерживает per-app маршрутизацию, но UI и rule engine для чистого экспонирования в работе. Текущая модель — всё или ничего: подключён значит всё туннелировано, отключён значит ничего.

Для тех, кому нужна per-app маршрутизация сегодня, обходной путь — подключаться и отключаться вокруг конкретных задач. Не элегантно, но честно отражает то, что продукт сейчас умеет.

Когда split tunneling появится, он будет проводить через helper-сервис, чтобы kill switch продолжал работать — split-туннелированные приложения работают, когда VPN падает, а ещё-туннелированные блокируются вместо утечки.

Попробуй Fexyn бесплатно 7 дней — rotation engine и kill switch на уровне ядра — приоритеты; split tunneling присоединится, когда будет готов.