Что такое раздельное туннелирование (split tunneling)?

Это режим работы VPN, при котором часть трафика идёт через VPN-сервер, а часть — напрямую к провайдеру. Например: Netflix, YouTube и ChatGPT идут через VPN, а Сбербанк, Госуслуги и Яндекс — напрямую. Настраивается списком сайтов, IP-адресов, доменных зон или приложений.

Зачем мне нужно раздельное туннелирование?

Три основные причины: 1) Российские банки и Госуслуги ругаются на иностранный IP — лучше пускать их напрямую. 2) Экономия скорости — внутрироссийский трафик идёт коротким путём, не через зарубежный сервер. 3) Конфиденциальность — если VPN падает, чувствительные приложения не отправляются в открытый интернет внезапно.

В каких клиентах есть split tunneling?

В Xray-семействе: Happ (Android/iOS), NekoBox/NekoRay (все платформы), v2rayN (Windows), v2rayNG (Android), Streisand (iOS), Hiddify (мультиплатформа), INCY. Все они поддерживают geosite/geoip правила и кастомные списки. На роутере — Keenetic OS, OpenWRT, частично Asuswrt-Merlin.

Как настроить, чтобы Госуслуги шли напрямую, а Netflix — через VPN?

Самый простой способ — использовать встроенный список geosite:category-gov-ru (Госуслуги, Налоговая, МВД) и geosite:category-ru (российские сайты), отправляя их в outbound 'direct'. Всё остальное идёт через VPN. В Happ и NekoBox эти правила доступны прямо в настройках профиля без редактирования конфига.

Замедляет ли split tunneling работу?

Наоборот, ускоряет общую работу: внутрироссийский трафик не делает крюк через сервер в Финляндии — например, Яндекс грузится так же быстро, как без VPN. Минимальная нагрузка на маршрутизацию (роутинговое решение) на современных устройствах незаметна.

Безопасно ли раздельное туннелирование?

Безопасность зависит от того, что вы пускаете напрямую. Если только сайты, которым вы доверяете (банк, Госуслуги) — нормально. Если случайно добавили в direct какой-то сайт, доступ к которому хотели скрыть — он пойдёт мимо VPN, и провайдер увидит. Проверяйте правила, особенно с дикими паттернами вроде '*.com'.

23 июня 2026 · 11 мин чтения · разбор

Раздельное туннелирование в 2026: пускать через VPN только то, что нужно

Сценарий, знакомый каждому: включаешь VPN — заходит Netflix, но Сбербанк ругается, что вы зашли «из Финляндии», и просит дополнительное подтверждение. Решение есть, и оно простое: настроить раздельное туннелирование — банки идут напрямую, стриминги через VPN, все довольны.

TL;DR. Split tunneling — это режим VPN, при котором часть сайтов и приложений идёт через зарубежный сервер, а часть — напрямую к российскому провайдеру. Настраивается списком доменов, IP, или с помощью готовых geosite-категорий (например, geosite:category-gov-ru → direct). Поддерживается всеми клиентами Xray-семейства: Happ, NekoBox, v2rayN, Hiddify, INCY. На роутере — Keenetic OS и OpenWRT справляются из коробки.

Что такое раздельное туннелирование

Когда вы запускаете обычный VPN, весь трафик от вашего устройства идёт через VPN-сервер: и поход в Netflix, и обращение к Госуслугам, и пинг до игрового сервера. С точки зрения внешних сайтов вы всегда находитесь там, где стоит VPN — например, в Хельсинки.

Раздельное туннелирование (split tunneling) меняет этот принцип: вы говорите клиенту «эти конкретные сайты пускай через VPN, остальные напрямую» или наоборот. Получается гибридный режим:

Netflix, Spotify, ChatGPT, YouTube → через VPN (видны как «из Хельсинки»)
Сбербанк, Госуслуги, Яндекс, Авито → напрямую (видны как «из России»)

Для большинства задач в 2026 в России это намного удобнее, чем гонять весь трафик через зарубежный сервер.

Зачем оно нужно

1. Российские сервисы перестают ругаться

Самая частая проблема: банковское приложение или Госуслуги видят, что вы зашли из-за границы, требуют подтверждение по СМС, иногда блокируют сессию. Технически это «защита от мошенников», практически — лишний раздражающий шаг. Если эти приложения идут напрямую, проблемы нет.

2. Российский трафик не делает крюк через Хельсинки

Яндекс, ВКонтакте, Авито, Озон, Wildberries — всё это сервисы с серверами в России. Когда вы заходите на них через VPN, ваш запрос идёт «Москва → Хельсинки → обратно в Москву». Это 50-100 мс лишнего пинга и иногда заметно медленнее загрузка. Прямой маршрут — мгновенный.

3. Меньше нагрузки на VPN-сервер

Если только 30% вашего трафика идёт через VPN, а 70% — напрямую, у сервиса меньше нагрузки, у вас стабильнее скорость на критичных задачах. Это не критично для конечного пользователя, но косвенно влияет на качество.

4. Игры идут через прямой канал

Игровой пинг — это про физическое расстояние. Если игровой сервер находится в России, гнать пинг через Хельсинки — гарантированный лаг. Лучше отправить трафик игры напрямую, а VPN использовать для всего остального.

Подробнее про скорость и пинг через VPN мы разбирали в отдельной статье — почему VPN тормозит и что с этим делать.

Как это работает технически

В Xray-клиентах (Happ, NekoBox, v2rayN и аналоги) есть две сущности: outbound и routing. Outbound — это «куда отправить трафик»: через VPN-сервер или напрямую. Routing — это правила, которые решают, к какому outbound отправить конкретный запрос.

Простой пример конфига:

{
  "routing": {
    "rules": [
      {
        "type": "field",
        "domain": ["geosite:category-gov-ru", "geosite:category-ru"],
        "outboundTag": "direct"
      },
      {
        "type": "field",
        "ip": ["geoip:ru"],
        "outboundTag": "direct"
      },
      {
        "type": "field",
        "network": "tcp,udp",
        "outboundTag": "proxy"
      }
    ]
  }
}

Что здесь происходит:

Если запрос идёт на домен из категории «российские госсайты» (Госуслуги, Налоговая, МВД и т.д.) — отправить напрямую
Если домен из категории «российские сайты» (Яндекс, ВК, Авито и др.) — тоже напрямую
Если IP сервера находится в России — напрямую
Всё остальное — через VPN-сервер (outbound «proxy»)

Категории geosite — это поддерживаемые списки доменов, которые обновляются разработчиками Xray. Вам не нужно вручную перечислять «sberbank.ru, gosuslugi.ru, yandex.ru», достаточно сказать «geosite:category-ru».

Как настроить в разных клиентах

Happ (Android/iOS)

Самый простой путь. В Happ есть встроенные пресеты:

Открыть профиль подписки → нажать на шестерёнку
Раздел Routing → выбрать пресет «Russia + LAN» (или похожий)
Сохранить

Готово. Все российские сайты и локальная сеть пойдут напрямую, остальное — через VPN. Дополнительно можно добавить кастомные домены в список «direct» или «proxy».

NekoBox / NekoRay (все платформы)

Открыть настройки маршрутизации (Route или Routing)
Выбрать или создать профиль маршрутов
В разделе «Direct» добавить geosite-категории: geosite:cn заменить на geosite:category-ru, добавить geosite:category-gov-ru
Сохранить, перезапустить клиент

NekoBox дополнительно поддерживает раздельное туннелирование по приложениям (Android): можно сказать «банковское приложение Сбера → direct, всё остальное → VPN».

v2rayN (Windows)

В меню «Маршруты» (Routes) → выбрать «Россия» или «Bypass mainland» (адаптировать под РФ)
В правилах добавить категории: geosite:category-ru, geosite:category-gov-ru → outbound «direct»
Применить

Hiddify (мультиплатформа)

В настройках профиля → Smart Routing включить опцию «Bypass Iran/Russia». По названию пугает, но это просто фильтр geosite по местным сайтам. Также есть кастомизация через файл routing.

INCY (Android/iOS/Windows)

В разделе настроек подписки → Маршрутизация выбрать «Россия → напрямую, остальное → через прокси». INCY использует те же geosite-категории, что и Xray, поэтому покрытие списков идентичное.

Настройка на роутере

Keenetic OS

Если вы поставили VPN на роутер (см. наш разбор VPN на роутере) — в Keenetic OS есть страница политик маршрутизации. Алгоритм:

Создать политику «Через VPN»: добавить все ваши устройства, а в качестве выходного шлюза — VPN-подключение
В исключения политики добавить IP-диапазоны российских сервисов и Госуслуг
Альтернатива — XKeen на Keenetic умеет geosite-маршрутизацию из коробки

OpenWRT

На OpenWRT правила пишутся в конфиге Xray (/etc/xray/config.json) ровно так же, как на телефоне. Можно использовать пакет v2ray-geosite для подгрузки актуальных списков доменов.

Asus, Mikrotik

На Asus split tunneling доступен в Asuswrt-Merlin через секцию «Routing Rules» в админке VPN-клиента. На Mikrotik — через mangle-правила и таблицы маршрутизации (это уже довольно адово, но возможно).

Самые полезные правила, которые стоит поставить сразу

ПравилоКудаЧто покрывает

geosite:category-gov-rudirectГосуслуги, Налоговая, МВД, ФНС, Сбер

geosite:category-rudirectЯндекс, ВК, Озон, Wildberries, Авито

geoip:rudirectЛюбой сервер с российским IP

geoip:privatedirectЛокальная сеть, роутер, принтеры

domain:steamcommunity.comdirectSteam-страницы лучше идут без VPN

domain:netflix.comproxyNetflix всегда через VPN

domain:openai.comproxyChatGPT всегда через VPN

Если поставить эти семь правил — закроете 95% типовых сценариев в 2026 году в России. Дальше можно тонко донастраивать под себя.

Подводные камни

1. CDN не всегда понимает, где вы

Если сайт хостится через CDN (Cloudflare, Akamai), его IP может быть в России, даже если сам сайт зарубежный. Тогда правило «geoip:ru → direct» отправит вас к зарубежному сервису напрямую, и он не откроется. Решение — использовать правила по домену (geosite), а не по IP, для критичных проксируемых сервисов.

2. DNS-утечка

Если ваш DNS-резолвер общается с провайдером напрямую (а не через VPN), провайдер видит, какие домены вы посещаете, даже если контент потом идёт через VPN. В современных клиентах обычно есть отдельная настройка DNS — поставьте резолвер от Cloudflare (1.1.1.1) или Quad9 (9.9.9.9), это закроет проблему.

3. Конфликты с AdGuard и аналогами

Если у вас одновременно работают VPN-клиент и блокировщик трафика типа AdGuard, они дерутся за роль «системного VPN». Решение — настроить AdGuard как outbound proxy для VPN-клиента, или использовать его только в режиме DNS. Подробнее в нашем гайде по интеграции с AdGuard, если интересно — спрашивайте в поддержке, дадим инструкцию.

4. Не все приложения уважают системные VPN-настройки

Некоторые приложения (например, банковские) делают свои сетевые запросы в обход системного VPN — это их встроенная защита. Тут split tunneling уже не нужен — приложение и так пойдёт напрямую.

Когда раздельное туннелирование не нужно

Если вы используете VPN только для одного приложения. Например, поставили его для Telegram и больше нигде. Тогда проще включать клиент только когда надо, чем настраивать правила.
Если у вас постоянно меняется список «нужных» сайтов. Каждый раз править правила утомительно. Если активно меняется — проще иногда выключать VPN целиком.
Если приоритет — максимальная приватность. Чем больше трафика идёт через провайдера напрямую, тем меньше анонимности. Если вам важно скрывать всё, а не только обходить блокировки — лучше пускать всё через VPN.

Готовая подписка с поддержкой split tunneling

Наш конфиг работает с любым клиентом Xray-семейства — Happ, NekoBox, INCY и др. Подписку можно гонять через split-tunneling в один клик прямо в клиенте.

Открыть бот →

Короткое резюме

Split tunneling — это «через VPN только часть трафика, остальное напрямую»
В России в 2026 это must: банки и Госуслуги не любят зарубежный IP
Настраивается через geosite-категории, ничего вручную перечислять не надо
Поддерживается всеми Xray-клиентами (Happ, NekoBox, v2rayN, Hiddify, INCY)
На роутере проще всего на Keenetic OS и OpenWRT
Семь правил (gov-ru, category-ru, geoip:ru, geoip:private + 3 кастома) закрывают 95% потребностей
Следите за DNS, чтобы не было утечки имён через провайдера