VPN

WireGuard срещу OpenVPN през 2026: Криптографски примитиви, размер на кодовата база и кога всеки е правилният избор по подразбиране

WireGuard е по-нов, по-малък и използва съвременни примитиви. OpenVPN е по-стар, по-голям и работи през TCP 443, за да преминава през ограничителни мрежи. И двата са отворени стандарти. Ето честната рамка за избор на протокол.

By Subger Editorial TeamUpdated 30 април 2026 г.7 min read

Какво представляват WireGuard и OpenVPN, накратко

WireGuard е VPN протокол, проектиран от Jason A. Donenfeld и интегриран в ядрото на Linux през 2020 г. Бялата книга на wireguard.com/papers/wireguard.pdf специфицира неговите криптографски примитиви: Curve25519 за обмен на ключове, ChaCha20 за симетрично криптиране, Poly1305 за удостоверяване, BLAKE2s за хеширане, HKDF за извличане на ключове, SipHash24 за ключа на хеш-таблицата. Реализацията в ядрото на Linux е приблизително 4000 реда код. OpenVPN е по-стар (за първи път издаден през 2001 г.), лицензиран под GPL, работи в потребителското пространство (не в ядрото) и използва OpenSSL или mbedTLS за криптографията. Справочното ръководство за OpenVPN 2.6 е публикувано на openvpn.net.

Размер на кодовата база и повърхност за одит

Малката кодова база на WireGuard (~4000 реда в реализацията в ядрото на Linux) е умишлен дизайнерски избор — колкото по-малка е кодовата база, толкова по-малка е повърхността за одит и толкова по-малко са местата, където могат да се крият грешки. Кодовата база на OpenVPN е по-голяма (пълният проект, включително изпълнимия файл openvpn, плъгините и поддържащите библиотеки, обхваща много повече) — компромисът е над две десетилетия история на CVE, което означава, че всеки често срещан граничен случай е намерен, поправен и сега е част от тестовия пакет. Нито един от двата не е еднозначно по-безопасен; по-малката кодова база е била прегледана от по-малко очи за по-кратко време.

Транспорт: UDP срещу TCP

WireGuard използва изключително UDP. OpenVPN поддържа както UDP, така и TCP. Изводът: мрежи, които блокират UDP — корпоративен Wi-Fi с ограничителни правила за изходящ трафик, някои хотелски мрежи, мрежи с дълбока инспекция на пакети, които маркират не-HTTPS UDP — ще блокират WireGuard. TCP режимът на OpenVPN работи на TCP порт 443, същия порт, който използва HTTPS, и затова е по-труден за блокиране, без да се наруши обикновеният уеб трафик. Ако редовно се свързвате от мрежи с ограничителни правила за изходящ трафик, OpenVPN-TCP е по-надеждният избор, дори ако е по-бавен. Повечето големи VPN клиенти ви позволяват да превключвате протоколи без смяна на акаунти.

Разликите в производителността идват от пространството на ядрото

Най-голямото предимство в производителността на WireGuard в Linux е, че работи в пространството на ядрото — пакетите не трябва да пресичат границата потребител/ядро при всяка операция по криптиране или декриптиране. OpenVPN работи в потребителското пространство, което исторически е било значителен режийен разход. OpenVPN 2.6 с Data Channel Offload (DCO) премества работата по симетричното шифроване в ядрото и затваря голяма част от разликата. Не публикуваме сурови числа за пропускателната способност, защото те варират силно според мрежовите условия, натоварването на сървъра и часа от деня; публикуваната бяла книга на WireGuard документира дизайна на протокола и сравнява прототипа, но реалната пропускателна способност на потребителски VPN зависи от инфраструктурата на доставчика толкова, колкото и от протокола.

Кои одитирани VPN реализират кой протокол

Всичките пет големи одитирани платени VPN поддържат както WireGuard, така и OpenVPN: Mullvad предлага собствена реализация на WireGuard наред с OpenVPN (Cure53 одитира и двете конфигурации на сървъри през юни 2024). Proton VPN поддържа WireGuard, OpenVPN и протокол Stealth (вариант на OpenVPN-over-TLS за ограничителни мрежи). NordLynx на NordVPN е персонализирана реализация на WireGuard. Lightway на ExpressVPN е персонализиран протокол със собствена история на одити (Cure53 + Praetorian през 2024 прегледаха пренаписването на Lightway на Rust). Surfshark поддържа WireGuard и OpenVPN.

Препоръка

По подразбиране използвайте WireGuard или персонализирания протокол на доставчика, производен от WireGuard (NordLynx, Lightway на ExpressVPN). Превключете към OpenVPN-TCP, когато мрежата блокира UDP — корпоративен Wi-Fi, университетски Wi-Fi с ограничителни правила за изходящ трафик, хотелски мрежи с DPI. Изборът на протокол рядко е тясното място за производителността на потребителски VPN; изборът на сървър от доставчика и текущото натоварване имат по-голямо значение. Специално за поверителността протоколът няма значение — свойството no-logs е независимо от протокола и е това, което одитите съществуват, за да проверят.

Източници

Бяла книга на WireGuard: wireguard.com/papers/wireguard.pdf. Справочно ръководство за OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Одит на инфраструктурата на Mullvad (Cure53 юни 2024, обхвана конфигурации на сървъри както за OpenVPN, така и за WireGuard): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Одити на Lightway на ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Всички URL адреси са достъпени на 2026-04-30.