WireGuard vs. OpenVPN 2026.: kriptografski primitivi, veličina baze koda i kada je svaki ispravan zadani izbor
WireGuard je noviji, manji i koristi moderne primitive. OpenVPN je stariji, veći i radi preko TCP-a 443 kako bi svladao restriktivne mreže. Oba su otvoreni standardi. Evo iskrenog okvira za izbor protokola.
Što su WireGuard i OpenVPN, ukratko
WireGuard je VPN protokol koji je osmislio Jason A. Donenfeld i koji je 2020. integriran u Linux jezgru. Bijela knjiga na wireguard.com/papers/wireguard.pdf specificira njegove kriptografske primitive: Curve25519 za razmjenu ključeva, ChaCha20 za simetrično šifriranje, Poly1305 za autentifikaciju, BLAKE2s za hashiranje, HKDF za izvođenje ključeva i SipHash24 za ključ hash-tablice. Implementacija u Linux jezgri obuhvaća otprilike 4.000 redaka koda. OpenVPN je stariji (prvi put objavljen 2001.), licenciran pod GPL, radi u korisničkom prostoru (ne u jezgri) i koristi OpenSSL ili mbedTLS za kriptografiju. Referentni priručnik za OpenVPN 2.6 objavljen je na openvpn.net.
Veličina baze koda i revizijska površina napada
Mala baza koda WireGuarda (~4.000 redaka u implementaciji za Linux jezgru) namjerna je dizajnerska odluka — što je manja baza koda, manja je revizijska površina napada i manje je mjesta na kojima se greške mogu sakriti. Baza koda OpenVPN-a je veća (cijeli projekt uključujući openvpn binarnu datoteku, dodatke i pomoćne biblioteke obuhvaća znatno više) — kompromis je preko dva desetljeća povijesti CVE-ova, što znači da je svaki čest rubni slučaj pronađen, zakrpan i sada dio testne skupine. Nijedan nije nedvojbeno sigurniji; manju je bazu koda pregledalo manje očiju kroz kraće razdoblje.
Prijenos: UDP vs. TCP
WireGuard koristi isključivo UDP. OpenVPN podržava i UDP i TCP. Posljedica: mreže koje blokiraju UDP — korporativni Wi-Fi s restriktivnim izlaznim pravilima, neke hotelske mreže, mreže s dubokom inspekcijom paketa koje označavaju ne-HTTPS UDP — blokiraju WireGuard. OpenVPN-ov TCP način rada radi na TCP portu 443, istom portu koji koristi HTTPS, pa ga je teže blokirati bez ometanja normalnog web prometa. Ako se redovito povezujete s mreža s restriktivnim izlaznim pravilima, OpenVPN-TCP pouzdaniji je izbor, čak i ako je sporiji. Većina velikih VPN klijenata dopušta promjenu protokola bez promjene računa.
Razlike u performansama dolaze iz prostora jezgre
Najveća prednost WireGuarda u performansama na Linuxu jest da radi u prostoru jezgre — paketi pri svakom šifriranju ili dešifriranju ne moraju prelaziti granicu između korisničkog prostora i jezgre. OpenVPN radi u korisničkom prostoru, što je povijesno bio osjetan dodatni trošak. OpenVPN 2.6 s tehnologijom Data Channel Offload (DCO) premješta simetrični posao šifriranja u jezgru i zatvara velik dio razlike. Ne objavljujemo sirove brojke o propusnosti jer one jako ovise o mrežnim uvjetima, opterećenju poslužitelja i dobu dana; objavljena bijela knjiga WireGuarda dokumentira dizajn protokola i mjeri performanse prototipa, no stvarna propusnost potrošačkog VPN-a ovisi jednako toliko o infrastrukturi pružatelja koliko i o protokolu.
Koji revidirani VPN-ovi implementiraju koji protokol
Svih pet velikih revidiranih plaćenih VPN-ova podržava i WireGuard i OpenVPN: Mullvad isporučuje vlastitu implementaciju WireGuarda uz OpenVPN (Cure53 je u lipnju 2024. pregledao obje konfiguracije poslužitelja). Proton VPN podržava WireGuard, OpenVPN i Stealth protokol (varijantu OpenVPN-preko-TLS-a za restriktivne mreže). NordVPN-ov NordLynx prilagođena je implementacija WireGuarda. ExpressVPN-ov Lightway vlastiti je protokol s vlastitom revizijskom poviješću (Cure53 + Praetorian pregledali su 2024. ponovno pisanje Lightwaya u jeziku Rust). Surfshark podržava WireGuard i OpenVPN.
Preporuka
Kao zadano koristite WireGuard ili pružateljev vlasnički protokol izveden iz WireGuarda (NordLynx, ExpressVPN-ov Lightway). Prijeđite na OpenVPN-TCP kada mreža blokira UDP — korporativni Wi-Fi, sveučilišni Wi-Fi s restriktivnim izlaznim pravilima, hotelske mreže s DPI-jem. Izbor protokola rijetko je usko grlo za performanse potrošačkog VPN-a; izbor poslužitelja od strane pružatelja i trenutno opterećenje važniji su. Za samu privatnost protokol nije bitan — svojstvo nepostojanja zapisa neovisno je o protokolu i upravo to revizije provjeravaju.
Izvori
Bijela knjiga WireGuarda: wireguard.com/papers/wireguard.pdf. Referentni priručnik OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Mullvad infrastrukturna revizija (Cure53 lipanj 2024., pokrila i OpenVPN i WireGuard konfiguracije poslužitelja): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. ExpressVPN Lightway revizije: expressvpn.com/blog/lightway-audits-cure53-praetorian. Svi URL-ovi dohvaćeni 2026-04-30.