WireGuard protiv OpenVPN-a u 2026: kriptografske primitive, veličina kodne baze i kada je svaki ispravan podrazumijevani izbor
WireGuard je noviji, manji i koristi moderne primitive. OpenVPN je stariji, veći i radi preko TCP 443 da bi prošao kroz restriktivne mreže. Oba su otvoreni standardi. Evo poštenog okvira za odabir protokola.
Šta su WireGuard i OpenVPN, ukratko
WireGuard je VPN protokol koji je dizajnirao Jason A. Donenfeld i koji je spojen u Linux kernel 2020. godine. Bijeli papir na wireguard.com/papers/wireguard.pdf specificira njegove kriptografske primitive: Curve25519 za razmjenu ključeva, ChaCha20 za simetrično šifrovanje, Poly1305 za autentifikaciju, BLAKE2s za heširanje, HKDF za izvođenje ključeva, SipHash24 za ključ heš-tabele. Implementacija u Linux kernelu ima približno 4.000 linija koda. OpenVPN je stariji (prvi put objavljen 2001.), licenciran pod GPL-om, radi u korisničkom prostoru (ne u kernelu) i koristi OpenSSL ili mbedTLS za kriptografiju. Referentni priručnik OpenVPN 2.6 objavljen je na openvpn.net.
Veličina kodne baze i površina za reviziju
Mala kodna baza WireGuarda (~4.000 linija u implementaciji u Linux kernelu) namjeran je dizajnerski izbor — što je manja kodna baza, to je manja površina za reviziju i manje mjesta gdje se greške mogu sakriti. Kodna baza OpenVPN-a je veća (cijeli projekat uključujući openvpn binarni fajl, dodatke i prateće biblioteke obuhvata mnogo više) — kompromis je preko dvije decenije istorije CVE-ova, što znači da je svaki uobičajeni rubni slučaj pronađen, zakrpljen i sada je dio test paketa. Nijedan nije nedvosmisleno sigurniji; manju kodnu bazu pregledalo je manje očiju u kraćem vremenu.
Transport: UDP protiv TCP
WireGuard koristi samo UDP. OpenVPN podržava i UDP i TCP. Implikacija: mreže koje blokiraju UDP — korporativni Wi-Fi sa restriktivnim izlaznim pravilima, neke hotelske mreže, mreže sa dubokom inspekcijom paketa koja označava ne-HTTPS UDP — blokiraće WireGuard. TCP režim OpenVPN-a radi na TCP portu 443, istom portu koji koristi HTTPS, te ga je stoga teže blokirati bez ometanja uobičajenog web saobraćaja. Ako se redovno povezujete sa mreža sa restriktivnim izlazom, OpenVPN-TCP je pouzdaniji izbor čak i ako je sporiji. Većina velikih VPN klijenata vam omogućava da mijenjate protokole bez mijenjanja naloga.
Razlike u performansama dolaze iz kernel prostora
Najveća prednost WireGuarda u performansama na Linuxu je to što radi u kernel prostoru — paketi ne moraju prelaziti granicu korisnik/kernel pri svakoj operaciji šifrovanja ili dešifrovanja. OpenVPN radi u korisničkom prostoru, što je istorijski bio značajan dodatni teret. OpenVPN 2.6 sa Data Channel Offload (DCO) premješta rad simetrične šifre u kernel i zatvara veći dio jaza. Ne objavljujemo sirove brojke propusnosti jer one znatno variraju ovisno o uslovima mreže, opterećenju servera i dobu dana; objavljeni bijeli papir WireGuarda dokumentuje dizajn protokola i mjeri prototip, ali stvarna propusnost potrošačkih VPN-ova zavisi od infrastrukture provajdera koliko i od protokola.
Koji revidirani VPN-ovi implementiraju koji protokol
Svih pet velikih revidiranih plaćenih VPN-ova podržava i WireGuard i OpenVPN: Mullvad nudi vlastitu implementaciju WireGuarda uz OpenVPN (Cure53 je revidirao obje konfiguracije servera u junu 2024.). Proton VPN podržava WireGuard, OpenVPN i Stealth protokol (varijantu OpenVPN-preko-TLS za restriktivne mreže). NordLynx NordVPN-a je prilagođena implementacija WireGuarda. Lightway ExpressVPN-a je prilagođeni protokol sa vlastitom istorijom revizija (Cure53 + Praetorian su 2024. pregledali Rust ponovno pisanje Lightwaya). Surfshark podržava WireGuard i OpenVPN.
Preporuka
Podrazumijevano koristite WireGuard ili prilagođeni protokol prodavca izveden iz WireGuarda (NordLynx, Lightway ExpressVPN-a). Prebacite se na OpenVPN-TCP kada mreža blokira UDP — korporativni Wi-Fi, univerzitetski Wi-Fi sa restriktivnim izlazom, hotelske mreže sa DPI-jem. Odabir protokola je rijetko usko grlo za performanse potrošačkog VPN-a; odabir servera od strane provajdera i trenutno opterećenje važniji su. Za privatnost konkretno, protokol nije važan — svojstvo nepostojanja zapisa nezavisno je od protokola i to je ono što revizije postoje da provjere.
Izvori
Bijeli papir WireGuarda: wireguard.com/papers/wireguard.pdf. Referentni priručnik OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Revizija infrastrukture Mullvada (Cure53 jun 2024., pokrila obje konfiguracije servera OpenVPN i WireGuard): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Revizije Lightwaya ExpressVPN-a: expressvpn.com/blog/lightway-audits-cure53-praetorian. Svim URL-ovima pristupljeno 2026-04-30.