WireGuard против OpenVPN против IKEv2: понятное сравнение VPN-протоколов

От протокола, который использует ваш VPN, зависит, насколько он быстр, переживёт ли он туннель метро, сможет ли цензурный файрвол распознать и заблокировать его, и сколько кода придётся проверить специалисту по безопасности, прежде чем ему довериться. Большинство приложений сегодня по умолчанию используют WireGuard и позволяют переключиться в меню настроек, которое почти никто не открывает. Это значение по умолчанию верно в большинстве случаев — но не всегда.

Это руководство пропускает банальную сетку плюсов и минусов. Вместо этого оно идёт от обратного — от того, что вы реально делаете: переключаетесь между Wi-Fi и сотовой связью, обходите ограничивающую сеть, смотрите стримы, играете или подключаетесь со старого роутера — и объясняет, почему в этой задаче побеждает тот или иной протокол. Оно также называет устаревшие и проприетарные протоколы, которые вендоры тихо прячут в настройках, чтобы вы знали, чего избегать и что на самом деле скрывается за брендовыми названиями.

Дерево решений за 30 секунд

Если вы не запомните больше ничего, запомните это соответствие между задачей и протоколом:

• Телефон, который постоянно переключается с Wi-Fi на сотовую сеть → IKEv2/IPsec. Его расширение MOBIKE сохраняет туннель живым при смене сети без заметного разрыва.

• Цензура или сеть, блокирующая VPN → OpenVPN поверх TCP-порта 443 (или режим обфускации от вендора). Его можно замаскировать под обычный HTTPS-трафик.

• Стриминг, игры, крупные загрузки, повседневное использование → WireGuard. Самая низкая задержка и самая высокая пропускная способность из трёх, с современной криптографией.

• Максимальная совместимость на старом роутере, NAS или экзотической ОС → OpenVPN. Он работает практически везде и портирован почти на любую платформу.

• У вас нет особых требований → оставьте значение по умолчанию приложения — это почти всегда WireGuard или сборка на его основе.

Всё, что ниже, объясняет логику этих выборов, чтобы вы могли уверенно переопределить настройку по умолчанию, когда этого требует ваша ситуация.

Цифры: скорость, накладные расходы и аудируемость

Это те параметры, которые реально различаются между протоколами. Относитесь к цифрам пропускной способности и задержки как к ориентировочным — ваша реальная скорость зависит куда больше от загрузки сервера, расстояния и вашего собственного подключения, чем от протокола, — но относительный порядок стабилен в независимых тестах и в собственных бенчмарках проекта WireGuard.

• Пропускная способность: WireGuard — самый быстрый из трёх. В опубликованном бенчмарке проекта WireGuard он выдал примерно 1011 Мбит/с против около 258 Мбит/с у OpenVPN на том же железе; IKEv2/IPsec обычно располагается между ними.

• Задержка / накладные расходы: WireGuard добавляет наименьшую задержку кругового обхода — зачастую доли миллисекунды на обработку — потому что его криптография легче и он работает в ядре. OpenVPN, выполняющийся в пользовательском пространстве с более тяжёлым TLS-рукопожатием, добавляет больше всего.

• Размер кодовой базы и аудируемость: реализация WireGuard для Linux знаменита тем, что укладывается примерно в 4000 строк кода. OpenVPN — это десятки тысяч строк, опирающихся на отдельную криптобиблиотеку (OpenSSL или mbedTLS), что доводит реально аудируемую поверхность до сотен тысяч строк. Меньшая кодовая база означает меньше мест, где могут прятаться ошибки, и проверку, которую один эксперт способен реально завершить.

• Поведение при переподключении: WireGuard не имеет состояния соединения и работает в режиме «всегда включён» — если канал пропадает и возвращается, он просто возобновляется со следующим пакетом. IKEv2 переподключается быстро и, благодаря MOBIKE, мигрирует между сетями без разрыва. OpenVPN же вынужден заново выстраивать TLS-сессию, поэтому его переподключения самые медленные и заметные.

• Транспорт: WireGuard работает только по UDP. OpenVPN работает поверх UDP или TCP. IKEv2/IPsec использует UDP (порты 500 и 4500).

WireGuard был внедрён в основную ветку ядра Linux в версии 5.6 в марте 2020 года, и это отчасти объясняет, почему он так хорошо работает: обработка пакетов в пространстве ядра избегает «налога» на переключение контекста, который платят протоколы из пользовательского пространства.

Примерно 4000 строк, которые можно прочитать за один вечер, против криптографического стека, для аудита которого нужна целая команда, — один этот факт объясняет большую часть репутации WireGuard.

Почему WireGuard выигрывает в скорости и доверии

Скорость WireGuard — не маркетинг, а следствие проектных решений. Он использует фиксированный современный набор криптографических примитивов — ChaCha20-Poly1305 для аутентифицированного шифрования, Curve25519 для обмена ключами, BLAKE2s для хеширования, построенный на фреймворке протокола Noise, — вместо обсуждаемого меню шифров OpenVPN. Отсутствие согласования означает отсутствие медленных циклов рукопожатия и отсутствие риска понижения до слабого шифра.

Крошечная кодовая база — это история про доверие. Безопасность исходит из кода, который можно проверить, а модуль в 4000 строк — это то, что аудиторы действительно прочитали от начала до конца. WireGuard к тому же работает бесшумно: он не отправляет пакеты, когда передавать нечего, поэтому соединение переживает сон, спящий режим и периоды простоя и «просыпается» мгновенно. Это сочетание чистой скорости, низкой задержки и проверяемости и делает его правильным выбором по умолчанию для стриминга, игр, загрузок и обычного сёрфинга.

Почему IKEv2/IPsec выигрывает на мобильных устройствах

Ключевая фишка для телефонов — это MOBIKE, протокол мобильности и многоадресности IKEv2, стандартизированный как RFC 4555. Когда вы выходите из дома и ваш телефон переключается с Wi-Fi на LTE, IP-адрес устройства меняется. С большинством протоколов это означает, что туннель рвётся и его нужно перестраивать. MOBIKE позволяет существующей защищённой ассоциации IKEv2 переместиться на новый IP-адрес без разрыва и повторного установления туннеля, поэтому VPN остаётся в строю при переключении без видимых прерываний.

IKEv2 также имеет нативную поддержку в iOS, macOS и Windows, поэтому ему не нужно стороннее приложение для работы. Он очень быстро переподключается после реального разрыва, что делает его отличным выбором при нестабильном сотовом покрытии. Его слабость — устойчивость к цензуре: он опирается на фиксированные UDP-порты (500 и 4500), которые целеустремлённый файрвол может просто заблокировать, и, в отличие от OpenVPN, его нелегко спрятать внутри HTTPS. WireGuard тоже хорошо справляется с роумингом благодаря своему дизайну без состояния соединения, но MOBIKE в IKEv2 остаётся золотым стандартом для бесшовного, незаметного мобильного переключения.

Почему OpenVPN всё ещё выигрывает в ограничивающих сетях

Суперсила OpenVPN — маскировка. Поскольку он может работать поверх TCP на порту 443 — тот же транспорт и порт, что и у обычного HTTPS-трафика, — VPN-соединение можно сделать очень трудно отличимым от человека, просто загружающего сайты. В сетях, которые блокируют VPN по сигнатурам трафика или полностью блокируют UDP, это часто единственное, что проходит. WireGuard, работающий только по UDP на нестандартном порту, сравнительно легко поддаётся выявлению по «отпечатку» и блокировке, поэтому провайдеры оборачивают его в дополнительные слои обфускации для регионов с цензурой.

OpenVPN также чемпион по совместимости. Он портирован практически на любую операционную систему, прошивку роутера (DD-WRT, OpenWrt, pfSense) и платформу NAS, поэтому, когда ничего другое не устанавливается, OpenVPN обычно устанавливается. Цена — скорость: архитектура в пользовательском пространстве и накладные расходы TLS делают его самым медленным из трёх, а режим TCP добавляет собственный штраф.

OpenVPN TCP против UDP: объяснение

Выбирая OpenVPN, вы также выбираете транспорт, и этот выбор — настоящий компромисс:

• UDP — более быстрый вариант по умолчанию. Он не гарантирует доставку или порядок, и это нормально, потому что протоколы внутри вашего туннеля (например, сам TCP) берут это на себя. Используйте UDP для всего, кроме случаев, когда соединение не устанавливается.

• TCP гарантирует надёжную доставку в правильном порядке и — что критически важно — проходит через файрволы и прокси, разрешающие только TCP, особенно на порту 443. Цена — проблема TCP-поверх-TCP (иногда называемая «TCP meltdown»): когда TCP вашего туннеля и TCP вашего трафика одновременно пытаются восстановиться после потери, пропускная способность может рухнуть. Прибегайте к TCP только тогда, когда UDP заблокирован или нестабилен.

Протоколы, которые вендоры прячут: PPTP, L2TP/IPsec и проприетарные сборки

Некоторые протоколы всё ещё остаются в выпадающих меню по историческим причинам. Знайте, каких из них избегать.

• PPTP — не используйте. Протокол туннелирования «точка-точка» появился в 1990-х, и его аутентификация MS-CHAPv2 практически взламывается уже больше десяти лет. Он быстр лишь потому, что почти не защищает вас. Считайте его устаревшим; он сохраняется в меню исключительно ради совместимости с древними системами.

• L2TP/IPsec — взвешивайте осторожно. L2TP сам по себе не обеспечивает шифрования, поэтому его всегда сочетают с IPsec. Он широко поддерживается и приемлем при хорошей настройке, но медленнее современных вариантов, использует фиксированные порты, которые легко заблокировать, и давно ходят слухи об ослаблении IPsec. Редко есть причина предпочесть его IKEv2 (который тоже основан на IPsec) или WireGuard.

• SSTP — нишевый. Протокол Microsoft, работающий поверх TLS/443 (поэтому у него есть способность обходить файрволы, как у OpenVPN), но по сути только для Windows и с закрытым исходным кодом. Сойдёт в крайнем случае на Windows; не первый выбор.

Затем идут брендовые протоколы. Маркетинговые названия скрывают более простую реальность, и стоит докопаться до неё:

• NordLynx (NordVPN) — это WireGuard с надстроенной поверх кастомной системой двойного NAT, исправляющей особенность приватности WireGuard (об этом дальше). Под капотом это именно WireGuard.

• «Проприетарный» быстрый протокол у многих провайдеров — это попросту WireGuard под другой этикеткой и с некоторой обфускацией: Mullvad, Surfshark и другие запускают WireGuard напрямую или с лёгкой обёрткой.

• Lightway (ExpressVPN) — настоящее исключение: это открытый, написанный с нуля лёгкий протокол, построенный на криптобиблиотеке wolfSSL, а не форк WireGuard, — но он разделяет философию WireGuard о малой, аудируемой кодовой базе и быстрых переподключениях.

• Catapult Hydra (Hotspot Shield) — закрытый проприетарный транспорт. Закрытые протоколы нельзя проверить независимо так, как WireGuard и OpenVPN, и это ощутимое понижение в доверии.

Подвох с приватностью WireGuard — и как провайдеры его устраняют

У WireGuard есть одна реальная слабость для коммерческих VPN, и её стоит понять, а не бояться. По своей конструкции WireGuard сопоставляет публичный ключ каждого пользователя со статическим внутренним IP-адресом внутри туннеля, и сервер хранит эту связку в памяти на время сессии. В сервисе, ориентированном на приватность, это неудобно: фиксированный внутренний IP, привязанный к вашему ключу, плюс последняя зафиксированная конечная точка, которую сохраняет WireGuard, в принципе могли бы использоваться для связывания вашей активности в рамках сессии — прямая противоположность тому, что обещает VPN без логов.

Авторитетные провайдеры обходят это инженерно, а не хранят. Двойной NAT у NordLynx — хорошо задокументированный подход: второй слой трансляции сетевых адресов позволяет серверу назначать внутренние адреса динамически и не хранить никакого идентифицируемого статического IP, привязанного к вашему аккаунту. Другие часто ротируют ключи или назначают адреса на каждую сессию. Вывод: сам WireGuard превосходен, но в коммерческом сервисе важна реализация провайдера вокруг него, так что это справедливый вопрос, который стоит задать любому вендору.

Практические выводы: когда переопределять значение по умолчанию

Оставьте автоматический режим для повседневного использования — ваше приложение почти наверняка по умолчанию выбирает WireGuard, и это правильное решение для скорости и безопасности. Открывайте меню протоколов и осознанно меняйте выбор в этих случаях:

1. Вы на телефоне, который постоянно роняет туннель во время поездок → переключитесь на IKEv2 ради бесшовного переключения через MOBIKE.

2. VPN вообще не подключается в отеле, кампусе, на работе или в цензурируемой сети → переключитесь на OpenVPN поверх TCP 443 или включите режим обфускации/стелс в приложении.

3. Он нужен вам на роутере, NAS или старом устройстве → используйте OpenVPN, самый широко портированный вариант.

4. Для вас важнее всего самая компактная аудируемая кодовая база и самая низкая задержка → оставайтесь на WireGuard.

5. Вы видите в списке PPTP → никогда не выбирайте его. Если предлагаются только PPTP и L2TP, предпочтите L2TP/IPsec, но воспримите это как сигнал выбрать лучше оснащённый сервис.

Единого «лучшего VPN-протокола» не существует — есть лучший протокол для конкретной задачи перед вами. WireGuard ради скорости и доверия, IKEv2 ради мобильности, OpenVPN ради скрытности и совместимости, а устаревшие варианты — вообще ни для чего. Понимание того, что есть что, и отличает VPN, который тихо работает, от того, что подводит ровно тогда, когда он вам нужен.

Часто задаваемые вопросы

Что лучше — WireGuard или OpenVPN?

По скорости, задержке и компактной аудируемой кодовой базе побеждает WireGuard — он быстрее и куда проще для проверки. OpenVPN лучше, когда нужно замаскировать трафик под HTTPS в ограничивающей сети (поверх TCP 443) или работать на необычных устройствах вроде роутеров и NAS. Для большинства людей на повседневных подключениях WireGuard — лучший выбор по умолчанию.

IKEv2 лучше WireGuard для мобильных устройств?

У IKEv2 есть преимущество в бесшовном мобильном переключении благодаря MOBIKE (RFC 4555), который перемещает активный туннель на новый IP-адрес, когда телефон переключается с Wi-Fi на сотовую связь, без разрыва. WireGuard тоже хорошо справляется с роумингом благодаря дизайну без состояния соединения, но MOBIKE в IKEv2 остаётся золотым стандартом незаметной смены сети, и он встроен в iOS, macOS и Windows.

Какой VPN-протокол лучший в целом?

Единого лучшего протокола нет — всё зависит от задачи. Используйте WireGuard ради скорости и безопасности, IKEv2 для мобильных устройств, которые часто меняют сеть, и OpenVPN поверх TCP 443 для цензурируемых или блокирующих VPN сетей. Если особых требований нет, значение по умолчанию вашего приложения (обычно WireGuard) — верный выбор.

Использовать OpenVPN поверх TCP или UDP?

По умолчанию используйте UDP — он быстрее, а протоколы внутри вашего туннеля сами обеспечивают надёжность. Переключайтесь на TCP, особенно на порт 443, только когда UDP заблокирован или нестабилен, потому что TCP проходит через строгие файрволы, но может страдать от «TCP-поверх-TCP» meltdown, который обрушивает пропускную способность при потере пакетов.

Безопасно ли использовать PPTP в 2026 году?

Нет. Аутентификация MS-CHAPv2 в PPTP практически взламывается уже больше десяти лет, поэтому он почти не обеспечивает реальной защиты, несмотря на быстроту. Он остаётся в меню приложений только ради совместимости с устаревшими системами. Используйте вместо него WireGuard, IKEv2 или OpenVPN и никогда не выбирайте PPTP.

NordLynx — это просто WireGuard?

Да, NordLynx — это WireGuard с добавленным поверх кастомным слоем двойного NAT. Двойной NAT решает особенность приватности WireGuard — привязку статического внутреннего IP к ключу каждого пользователя, позволяя серверу назначать адреса динамически, чтобы ничего идентифицируемого не хранилось. Многие другие «проприетарные» быстрые протоколы точно так же являются WireGuard под брендовым названием.

Есть ли у WireGuard проблема с приватностью?

По своей конструкции WireGuard назначает каждому пользователю статический внутренний IP, привязанный к его публичному ключу, и сервер хранит эту связку на время сессии, что могло бы связывать активность в коммерческом VPN. Авторитетные провайдеры смягчают это динамическим двойным NAT, частой ротацией ключей или адресацией на каждую сессию, поэтому протокол превосходен, пока провайдер реализует его аккуратно.