Уточню: доверенные (все полностью безопасные) устройства.
Причем браузер без VPN должен быть дефолтным в системе.
Если правильно настроить маршрутизацию, как написано в статье – можно и даже нужно.
Это полезно для второго хопа (например geoip Telegram / geoip Apple), но не первого.
На втором хопе, после full-tunneling до первого хопа. Полезно, для настройки маршрутизации исходя из политик сервисов.
Сам факт доступа к запрещенным ресурсам защищать – не требуется. А вот входной IP туннеля – да. Для этого туннелируется всё с минимальными исключениями на клиенте (например подсети Apple можно доверять). Затем на самом сервере по дефолту делается апстрим в WARP с минимальными исключениями для DIRECT, причем на VPS используется два белых IP на вход и выход.
Нет, намного проще – туннелировать всё (с минимальными исключениями), и выбирать маршрутизацию на ноде. Так даже iOS и прочие устройства – будут счастливы, на них настраивать кроме полной маршрутизации ничего не надо.
Для этого используем разные IP на вход и выход.
Это хрупкое подразумевание, что вы “100%” никаких шпионов не оставили и их в будущем не появится (в неожиданном месте).
На самом деле вывод такой – не доверять клиентам вообще. А значит доверять только своей ноде.
Не доверять им. Не доверять их дырявым устройствам. Не доверять их гигиене вообще. Доверять только своей ноде. И у всех вас появится одинаковый свободный доступ ко всем ресурсам без всякой там гигиене и костылям на устройствах.
Предполагаете что не осталось шпионов? Хрупко.
Всякие прокси шмокси в конкретных userspace программах, при условии что шпион не сможет через них узнать IP (то есть вы это гарантируете) – это минимизирует риск, да. Полностью исправит все проблемы (панацея) – нет, остаётся синхронизация шпионского модуля с ТСПУ и обнаружение проксей через логи в том же временном окне.
Вот вы уже какие-то уязвимости находите. А авторы костылей – даже про них могут и не знать. Узнают только когда РКН их туннель за жопу возьмет, а там тоже не дураки сидят, будут во все дыры бить и найдут (цензоры на этом собаку съели, а вы всё думаете что умнее их).
Давай-те ещё 100500 костылей придумаем, это как затыкать утечки в корабле изолентой, соплями, коричневыми массами, вместо того чтобы не тонуть вообще.
TL;DR: Если вы ищете на 100% свободный интернет на любом айфоне и тостере, с 0% шансом утечек, и без необходимости быть экспертом в безопасности ОС и разбираться; А также элегантный и архитектурно правильный подход – предлагаю следующую схему маршрутизации.
Если коротко: все девайсы туннелируются (полностью или почти) и маршрутизация дальше в апстрим выбирается на единственной ноде. Причем входной и выходной IP на сервере – разный, это ограничивает ущерб. Шпионы не страшны.