feat: добавить аддон splitgw — прозрачный split-tunnel gateway (sing-box + Hysteria2 TPROXY)

- Роль: defaults, tasks (main/deploy-host/deploy-k8s), handlers, templates (sing-box config, iptables setup/teardown, systemd, K8s DaemonSet/ConfigMap/Secret)
- Режимы: systemd (host) и K8s DaemonSet с hostNetwork + privileged init-container
- Маршрутизация: YouTube/Google → Hysteria2, RU (geoip/geosite) → прямой, остальное → прямой
- DNS без утечек: protocol=dns перехватывается TPROXY, per-domain DNS серверы
- Интеграция: inventory [splitgw], addons.yml flag, Makefile target, playbooks/addons.yml
- Документация: README.md, docs/addons.md, README.md (счётчик 36)

group_vars/all/addons.yml

@@ -40,6 +40,7 @@ addon_jenkins: false               # Jenkins CI/CD (Helm, dynamic k8s agents, JC
 addon_netbird: false               # NetBird VPN (управляющий сервер + subnet router + exit node)
 addon_mediaserver: false           # MediaServer — Plex, *arr, Transmission, Prowlarr+Hysteria2, Samba
 addon_hysteria2_server: false      # Hysteria2 VPN сервер на удалённый VPS (группа [hysteria2_server] в inventory)
+addon_splitgw: false               # Split Gateway — прозрачный прокси sing-box+Hysteria2 (группа [splitgw] в inventory)
 
 # ─── NFS Server ───────────────────────────────────────────────────────────────
 nfs_exports: