Самый надежный способ направить через Amnezia VPN только одно устройство домашней сети — настраивать VPN не на каждом клиенте по отдельности, а на роутере с выборочной маршрутизацией. В начале страницы уже есть кнопка с альтернативным официальным вариантом подключения: это уместно, когда не хочется собирать чужие конфиги и вручную разбираться с параметрами. Но если задача именно в том, чтобы через VPN работал только один телевизор, ПК или смартфон, решающим становится не кнопка, а схема маршрутизации в локальной сети.
Как это работает
У задачи есть важный нюанс: AmneziaVPN умеет раздельное туннелирование по IP-адресам и подсетям, а на части платформ — еще и по приложениям. Но это относится к самому устройству, где установлен клиент. На Android доступны режимы по IP и по приложениям, на Windows тоже есть split tunneling, но для приложений он работает только как список исключений без VPN. На iOS, macOS и Linux настройка доступна только по IP-адресам и подсетям. Также в документации указано, что split tunneling по IP в AmneziaVPN работает только с IPv4, а IPv6 не поддерживается; для Amnezia Free раздельное туннелирование по IP недоступно. В официальной документации Amnezia по раздельному туннелированию это описано прямо.
Из этого следует простое правило: если вы хотите, чтобы через VPN ходил только один телефон, ноутбук или телевизор в пределах всей домашней сети, удобнее решать задачу на роутере. Тогда выбранное устройство будет отправлять трафик через VPN-шлюз, а остальные клиенты останутся на обычном подключении.
Какие схемы реально работают
| Схема | Когда подходит | Ограничения |
|---|---|---|
| AmneziaVPN на самом устройстве | Нужно пустить через VPN только один ПК или смартфон без настройки роутера | Не подходит для устройств без клиента или с неудобной установкой, например для части ТВ и приставок |
| Split tunneling внутри клиента | Нужно, чтобы на одном устройстве через VPN шли только отдельные сайты, IP или приложения | Это не выбор одного устройства в масштабе всей сети, а настройка поведения внутри конкретного клиента |
| AmneziaWG на роутере + выборочная маршрутизация | Нужно направить через VPN только один клиент домашней сети | Потребуется роутер с подходящей прошивкой, чаще всего OpenWrt |
| Отдельная Wi‑Fi сеть или гостевая сеть через VPN | Нужно выделить группу устройств, а не одно конкретное | Это уже не точечная схема для одного клиента |
Для домашнего сценария с одним устройством обычно побеждает третий вариант: VPN поднимается на роутере, а затем правилами маршрутизации выбирается нужный локальный IP-адрес.
Лучший вариант для дома
Если говорить по существу, рабочая логика такая:
- Назначаете нужному устройству постоянный локальный IP в роутере.
- Поднимаете VPN-интерфейс на роутере.
- Создаете правило, по которому трафик только этого локального IP идет через VPN-интерфейс.
- Остальные устройства продолжают ходить через обычный WAN.
Именно такая схема дает предсказуемый результат. Она не зависит от того, умеет ли телевизор ставить VPN-клиент, есть ли на приставке нужное приложение и поддерживает ли конкретная мобильная ОС нужный режим split tunneling.
Amnezia отдельно описывает установку AmneziaWG на OpenWrt-роутер. В инструкции есть ключевые шаги: импорт конфигурации, отключение Use default gateway у интерфейса, включение Route Allowed IPs, настройка firewall-зоны, затем добавление маршрутов в разделе Network → Routing. Для роутера используется конфигурация в формате AmneziaWG native format, а не ключ вида vpn://. Это важно, потому что гостевой ключ для приложения не подходит для настройки роутера. Официальная инструкция по OpenWrt и описание шаринга подключения в документации Amnezia прямо разделяют эти форматы.
Настройка на роутере с OpenWrt и AmneziaWG
Ниже — практический сценарий без привязки к лишним деталям интерфейса, потому что точные названия пунктов могут немного отличаться в зависимости от версии OpenWrt и сборки.
1. Подготовьте устройство, которое нужно отправить через VPN
Сначала закрепите за ним постоянный локальный IP. Например, телевизору или ноутбуку можно выдать адрес вроде 192.168.1.50 через DHCP Static Lease. Это нужно, чтобы правило не ломалось после перезагрузки роутера или повторного подключения к Wi‑Fi.
2. Поднимите VPN на роутере
Если у вас OpenWrt, схема обычно такая:
- Устанавливаете поддержку AmneziaWG на роутер.
- Создаете новый VPN-интерфейс.
- Импортируете конфигурационный файл .conf в формате AmneziaWG native format.
- Отключаете использование VPN как шлюза по умолчанию, чтобы не увести туда весь дом сразу.
- Включаете маршрут по Allowed IPs и настраиваете firewall-зону для VPN.
Это ключевой момент: если оставить VPN как маршрут по умолчанию для всей сети, через него уйдут все устройства. А вам нужна точечная схема.
3. Создайте правило для одного клиента
Дальше нужен policy-based routing или аналогичное правило маршрутизации по исходному IP-адресу устройства. В зависимости от прошивки это может быть:
- отдельный пакет для policy-based routing;
- маршрутные правила по source IP;
- маркировка трафика и привязка к таблице маршрутизации.
Смысл всегда один: трафик от 192.168.1.50 идет в VPN-интерфейс, а трафик от остальных адресов — в обычный WAN.
На некоторых роутерах это настраивается через LuCI-плагины, на других — через SSH и файлы конфигурации. Если интерфейс роутера не дает выбрать устройство по локальному IP, значит, скорее всего, нужен именно пакет policy-based routing, а не обычный статический маршрут.
4. Проверьте результат
- Откройте на выбранном устройстве сервис проверки внешнего IP.
- Сравните адрес с тем, что видят остальные устройства в сети.
- Проверьте, открываются ли локальные ресурсы: админка роутера, NAS, принтер.
- Убедитесь, что остальные клиенты не поменяли внешний IP.
Если одно устройство сменило внешний IP, а остальные нет — схема собрана правильно.
Как выбрать только одно устройство, а не весь трафик
Самая частая ошибка — пытаться решить задачу обычным split tunneling в клиенте AmneziaVPN, установленном на компьютере. Это полезно, когда вы делите трафик внутри одного ПК или телефона: например, один браузер идет напрямую, а часть сайтов или приложений — через туннель. Но если в сети есть телевизор, приставка, второй ноутбук и смартфоны, такой подход не управляет ими.
Для одного устройства в домашней сети лучше мыслить не категориями «приложение/сайт», а категориями «локальный IP-адрес клиента». Именно поэтому полезно сначала закрепить адрес, а уже потом строить правило.
| Ситуация | Что проверить | Решение |
|---|---|---|
| Через VPN ушли все устройства | Не стал ли VPN шлюзом по умолчанию | Отключить full-tunnel для всей LAN и оставить только правило для нужного IP |
| Нужное устройство периодически выпадает из правила | Меняется ли его локальный адрес | Закрепить статический DHCP lease |
| Сервис на устройстве работает частично | Не использует ли он много адресов или IPv6 | Проверить IPv6 и при необходимости отключить его на клиенте или роутере, а также перепроверить маршрут |
| Роутер подключил VPN, но трафик не идет | Настроены ли firewall-зона, masquerading, MSS clamping и Route Allowed IPs | Свериться с документацией OpenWrt/Amnezia и перепроверить VPN-интерфейс |
| Локальные устройства перестали открываться | Не ушли ли локальные подсети в туннель | Проверить исключения для LAN и логику маршрутизации |
Что проверить, если не заработало
Типичные причины
| Проблема | Возможная причина | Что делать |
|---|---|---|
| Роутер подключается, но интернета на устройстве нет | Неполная настройка firewall или NAT | Проверить masquerading и привязку LAN к VPN-зоне |
| Трафик идет мимо VPN | Нет правила по source IP или оно не применилось | Проверить policy-based routing и таблицы маршрутизации |
| Отваливается время от времени | Конфликт метрик маршрутов или нестабильный WAN | Проверить приоритеты маршрутов и системные логи |
| Конфиг импортируется, но туннель не поднимается | Использован не тот формат ключа | Для роутера нужен .conf в формате AmneziaWG native format, а не vpn:// ключ |
| После настройки перестала открываться админка роутера | Сломана локальная маршрутизация | Проверить правила LAN и не отправлять локальные подсети в VPN |
Практические советы
- Сначала проверяйте схему на одном клиенте по кабелю, а потом переносите на Wi‑Fi.
- Не меняйте сразу несколько параметров: сначала туннель, потом firewall, потом правило по IP.
- Сохраняйте резервную копию конфигурации роутера до начала работ.
- Если используете случайные конфиги или чужие ключи, нестабильность почти гарантирована. Для постоянного сценария на нескольких устройствах логичнее рассматривать вариант в начале страницы как более предсказуемое подключение.
Частые вопросы
Можно ли сделать это без роутера?
Да, но только если нужное устройство умеет запускать AmneziaVPN само. Тогда вы просто ставите клиент на этот телевизор, ПК или смартфон и не трогаете остальные устройства. Для домашней сети целиком это не выборочная маршрутизация, а отдельный VPN-клиент на одном устройстве.
Подойдет ли обычный роутер провайдера?
Чаще всего нет, если речь о тонкой маршрутизации по одному локальному клиенту. Обычно для этого нужен роутер с OpenWrt, Keenetic или другой прошивкой, где есть продвинутые правила маршрутизации. Точный набор функций зависит от модели и версии ПО.
Можно ли направить через VPN только Smart TV?
Да. Это один из самых типичных сценариев: закрепляете за телевизором постоянный локальный IP и делаете правило, чтобы только его трафик шел в VPN-интерфейс.
Почему split tunneling в приложении не решает задачу для всей сети?
Потому что он управляет трафиком только на том устройстве, где установлен клиент. Остальные клиенты домашней сети продолжают жить по своим сетевым правилам и про этот split tunneling ничего не знают.
Вывод
Если нужно направить через Amnezia VPN только одно устройство домашней сети, ориентируйтесь на роутер и выборочную маршрутизацию по локальному IP-адресу. Split tunneling внутри клиента AmneziaVPN полезен для отдельного ПК или телефона, но не заменяет сетевое правило для всего дома. Практически это означает три шага: закрепить IP за нужным устройством, поднять VPN на роутере и отправить трафик этого адреса в VPN-интерфейс. Именно такая схема обычно дает самый аккуратный и управляемый результат.
Нет комментариев.