Split tunneling — выбираешь какие приложения через ВПН, какие — напрямую. Полезно когда некоторые приложения ломаются за ВПН.
Default vs split
Full tunnel (default): весь трафик устройства через ВПН. Простота + максимальная защита.
Split tunnel: часть через ВПН, часть напрямую. Гибкость + меньше friction для конкретных юзкейсов.
Per-app vs per-destination
Per-app
Выбираешь конкретные приложения. Все исходящие подключения этого приложения идут через выбранный путь (ВПН или напрямую). Реализация на ОС-уровне — Android VPN service API даёт hooks.
ClownVPN юзает per-app.
Per-destination
Выбираешь конкретные IP/домены. Например — все сайты *.bank.com идут напрямую, остальное через ВПН. Реализация через routing rules.
Сложнее настраивать но гибче. Чаще встречается на десктопных ВПН-клиентах.
Юзкейсы
Банковские приложения
Многие банки блокируют ВПН-IP как fraud-prevention. Split tunneling позволяет банкингу идти напрямую (с твоего реального IP), остальному — через ВПН.
Локальные устройства
Принтер, Chromecast, smart home, NAS — нужен реальный локальный IP. Сложно достучаться через ВПН-туннель. Маршрутизируй мимо.
Латенси-критичные игры
ВПН добавляет hop = латенси. Игры через локальную сеть напрямую, остальное через ВПН.
Captive portals в отелях
Перед login на отельный WiFi нужно пройти captive portal. С ВПН — портал часто ломается. Split-tunnel браузер мимо ВПН, пройди соглашение, вернись.
Trade-offs
Что в туннеле — защищено. Что вне — нет:
- Приложения вне туннеля видны провайдеру.
- Их IP виден сайтам как реальный.
- Уязвимы к локальным MITM-атакам.
Поэтому: split tunneling — для domestic/trusted сетей. На публичном WiFi — full tunnel.
Как настроить
На ClownVPN: Settings → Split tunneling → выбери приложения которые должны идти через ВПН (или мимо — есть toggle inverse mode).