Czym jest split tunneling i jakie są tryby
To funkcja aplikacji VPN, która rozdziela ruch na dwie grupy: przez tunel oraz poza nim. Najczęstsze tryby:
- Per-app — wybierasz konkretne aplikacje do tunelu albo z tunelu wykluczasz.
- Per-site (URL/domena) — reguły dla domen/zakresów; idealne do VOD lub banków.
- Inverse split — tylko wskazane aplikacje/domeny idą przez VPN, reszta idzie poza nim.
Podstawy działania VPN: Co to jest VPN. Różnice względem proxy/Smart DNS: Proxy vs VPN, VPN dla Smart TV.
Kiedy używać (a kiedy nie)
- Używaj, gdy lokalna usługa (np. bank) blokuje IP VPN lub wymaga polskiego adresu; gdy gra lepiej działa bez tunelu; gdy chcesz maksymalnej przepustowości dla VOD na TV przy zachowaniu VPN w przeglądarce na laptopie.
- Unikaj, jeśli nie masz pewności co do DNS/IPv6 — łatwo o niespójność regionu i wykrycie. Zobacz: Wycieki DNS.
Praca zdalna? Rozdziel ruch prywatny i służbowy: VPN a praca zdalna. VOD? Czasem lepszy będzie Smart DNS: Netflix, Player i TVP, TVP VOD.
Konfiguracje: Windows, macOS, Android, iOS, Linux
Windows
- Aplikacja VPN: włącz Split tunneling i dodaj programy do „Exclude from VPN” (np. gra) lub „Only use VPN for”.
- Upewnij się, że Kill switch działa dla ruchu w tunelu. Więcej o KS: kill switch.
macOS
- Split per-app jest zależny od dostawcy. Alternatywnie użyj profili/automatyzacji (np. różne przeglądarki dla banku vs reszta).
- Preferowany protokół: WireGuard (lub IKEv2 jako profil systemowy).
Android
- W wielu apkach: lista aplikacji „Outside VPN” lub „Through VPN”. Włącz Always-on + blokuj bez VPN dla maksymalnej kontroli.
- Wyłącz prywatny DNS poza tunelem, by uniknąć konfliktu z regułami. Patrz: Android.
iOS
- Ograniczone per-app; często prostsze jest inverse split (tylko wybrane aplikacje przez VPN) albo użycie profilu IKEv2 On-Demand.
- Dla banku użyj oddzielnej przeglądarki poza VPN, a dla reszty — aplikacja VPN z WireGuard/IKEv2. Zobacz: iPhone.
Linux
- Per-app przez policy routing (ip rule/iptables/nftables) lub profile NetworkManager; klienci dostawców często oferują prosty split.
- Zabezpiecz regułami zapory, aby aplikacje „VPN-only” nie wychodziły na WAN bez tunelu.
Bezpieczeństwo: DNS, IPv6, WebRTC, kill switch
- DNS: wymuś DNS dostawcy dla ruchu w tunelu; unikaj zewnętrznego DoH/DoT poza VPN (niespójność IP↔DNS). Wyjaśnienie: Wycieki DNS.
- IPv6: jeśli nie jest tunelowane — wyłącz, by uniknąć ujawnienia adresu. Gdy dostawca wspiera IPv6, zostaw włączone.
- WebRTC: w przeglądarce ogranicz ujawnianie IP lokalnego (szczególnie, gdy część kart jest poza VPN).
- Kill switch: musi blokować ruch aplikacji oznaczonych „VPN-only”, gdy tunel padnie.
Scenariusze: VOD, bankowość, gry, praca zdalna, P2P
- VOD: TV/Apple TV poza VPN (Smart DNS), a przeglądarka/telefon przez VPN. Poradniki: Netflix, Player i TVP, TVP VOD.
- Bankowość: przeglądarka bankowa poza VPN (PL IP) lub przez polski węzeł. Szczegóły: bankowość online.
- Gry: gra poza VPN (czasem niższy ping), ale komunikatory/strumień przez VPN.
- Praca: narzędzia firmowe (RDP/SSH/CRM) przez VPN, prywatne serwisy poza nim. Zobacz: praca zdalna.
- P2P: klient torrent zawsze w tunelu (VPN-only). Więcej: P2P bezpiecznie, port forwarding.
Testy i diagnostyka
- Sprawdź publiczne IP i DNS dla aplikacji w tunelu i poza nim (powinny się różnić zgodnie z regułami).
- Zmierz ping/jitter dla gry/połączeń firmowych o różnych porach: Test VPN, Prędkość i ping.
- Wyłącz VPN awaryjnie — potwierdź, że aplikacje „VPN-only” nie mają łączności (kill switch/Firewall).
Checklista „użyj z głową”
- Zdefiniuj cel: prywatność, VOD, bank, gry, praca.
- Włącz split per-app/per-site zgodnie z celem; trzymaj w tunelu to, co wrażliwe.
- Wymuś DNS dostawcy, wyłącz DoH/DoT poza VPN; zadbaj o IPv6.
- Aktywny kill switch dla aplikacji oznaczonych „VPN-only”.
- Przetestuj IP/DNS i stabilność wieczorem, gdy sieć bywa najbardziej obciążona.
TOP 5 VPN z dobrym split tunnelingiem (2025)
FAQ — split tunneling
Czy split tunneling obniża poziom prywatności?
Tylko dla aplikacji poza tunelem — ich ruch nie jest szyfrowany ani ukryty. W tunelu poziom prywatności się nie zmienia.
Czy mogę mieszać split z Smart DNS?
Tak. Często TV/Apple TV działa na Smart DNS (poza VPN), a telefon/PC na VPN. Zadbaj o spójność DNS, aby uniknąć błędów regionu.
Dlaczego bank czasem blokuje logowanie przez VPN?
Ze względu na nietypową lokalizację IP. Użyj polskiego węzła albo wyklucz aplikację bankową ze splitu tak, by łączyła się poza VPN. Poradnik: bankowość online.
