WireGuard vs OpenVPN 2026. gadā: kriptogrāfiskie primitīvi, koda bāzes izmērs un kad katrs ir pareizā noklusējuma izvēle
WireGuard ir jaunāks, mazāks un izmanto modernus primitīvus. OpenVPN ir vecāks, lielāks un darbojas caur TCP 443, lai šķērsotu ierobežojošus tīklus. Abi ir atvērti standarti. Lūk, godīgs protokola izvēles ietvars.
Kas ir WireGuard un OpenVPN, īsumā
WireGuard ir VPN protokols, ko izstrādāja Jason A. Donenfeld un 2020. gadā integrēja Linux kodolā. Baltā grāmata vietnē wireguard.com/papers/wireguard.pdf nosaka tā kriptogrāfiskos primitīvus: Curve25519 atslēgu apmaiņai, ChaCha20 simetriskai šifrēšanai, Poly1305 autentifikācijai, BLAKE2s jaukšanai (hashing), HKDF atslēgu atvasināšanai, SipHash24 jaucējtabulas atslēgai. Linux kodola realizācija sastāda aptuveni 4000 koda rindu. OpenVPN ir vecāks (pirmoreiz izlaists 2001. gadā), ar GPL licenci, darbojas lietotāja telpā (nevis kodolā) un kriptogrāfijai izmanto OpenSSL vai mbedTLS. OpenVPN 2.6 rokasgrāmata ir publicēta vietnē openvpn.net.
Koda bāzes izmērs un audita virsma
WireGuard mazā koda bāze (~4000 rindu Linux kodola realizācijā) ir apzināts dizaina lēmums — jo mazāka koda bāze, jo mazāka audita virsma un jo mazāk vietu, kur kļūdām slēpties. OpenVPN koda bāze ir lielāka (viss projekts, ieskaitot openvpn bināro failu, spraudņus un atbalsta bibliotēkas, aptver daudz vairāk) — kompromiss ir vairāk nekā divu desmitgažu CVE vēsture, kas nozīmē, ka katrs biežs robežgadījums ir atrasts, izlabots un tagad ir testu komplekta daļa. Neviens nav viennozīmīgi drošāks; mazāko koda bāzi ir pārskatījis mazāk acu īsākā laikā.
Transports: UDP vs TCP
WireGuard izmanto tikai UDP. OpenVPN atbalsta gan UDP, gan TCP. Sekas: tīkli, kas bloķē UDP — uzņēmumu Wi-Fi ar ierobežojošiem izejas noteikumiem, daži viesnīcu tīkli, tīkli ar dziļo pakešu pārbaudi (DPI), kas atzīmē ne-HTTPS UDP — bloķēs WireGuard. OpenVPN TCP režīms darbojas caur TCP portu 443, to pašu portu, ko izmanto HTTPS, un tāpēc to ir grūtāk bloķēt, netraucējot parasto tīmekļa trafiku. Ja regulāri savienojies no tīkliem ar ierobežojošiem izejas noteikumiem, OpenVPN-TCP ir uzticamāka izvēle, pat ja tas ir lēnāks. Lielākā daļa galveno VPN klientu ļauj mainīt protokolus, nemainot kontus.
Veiktspējas atšķirības rodas no kodola telpas
WireGuard lielākā veiktspējas priekšrocība Linux sistēmā ir tā, ka tas darbojas kodola telpā — paketēm nav jāšķērso lietotāja/kodola robeža katrā šifrēšanas vai atšifrēšanas operācijā. OpenVPN darbojas lietotāja telpā, kas vēsturiski ir bijis būtisks papildu slogs. OpenVPN 2.6 ar Data Channel Offload (DCO) pārvieto simetriskā šifra darbu kodolā un aizpilda lielu daļu atšķirības. Mēs nepublicējam neapstrādātus caurlaidspējas skaitļus, jo tie ievērojami svārstās atkarībā no tīkla apstākļiem, servera noslodzes un diennakts laika; publicētā WireGuard baltā grāmata dokumentē protokola dizainu un izmēra prototipa veiktspēju, taču reālā patērētāju VPN caurlaidspēja ir atkarīga no pakalpojumu sniedzēja infrastruktūras tikpat lielā mērā kā no protokola.
Kuri auditētie VPN realizē kuru protokolu
Visi pieci galvenie auditētie maksas VPN atbalsta gan WireGuard, gan OpenVPN: Mullvad piedāvā savu WireGuard realizāciju līdzās OpenVPN (Cure53 2024. gada jūnijā auditēja abas servera konfigurācijas). Proton VPN atbalsta WireGuard, OpenVPN un Stealth protokolu (OpenVPN-pār-TLS variantu ierobežojošiem tīkliem). NordVPN NordLynx ir pielāgota WireGuard realizācija. ExpressVPN Lightway ir individuāls protokols ar savu audita vēsturi (Cure53 + Praetorian 2024. gadā pārskatīja Lightway pārrakstīšanu uz Rust). Surfshark atbalsta WireGuard un OpenVPN.
Ieteikums
Pēc noklusējuma izvēlies WireGuard vai pakalpojumu sniedzēja no WireGuard atvasinātu individuālu protokolu (NordLynx, ExpressVPN Lightway). Pārslēdzies uz OpenVPN-TCP, kad tīkls bloķē UDP — uzņēmumu Wi-Fi, universitātes Wi-Fi ar ierobežojošiem izejas noteikumiem, viesnīcu tīkli ar DPI. Protokola izvēle reti ir patērētāju VPN veiktspējas šaurā vieta; pakalpojumu sniedzēja servera izvēle un pašreizējā noslodze ir svarīgāka. Konkrēti privātumam protokolam nav nozīmes — no-logs īpašība nav atkarīga no protokola un ir tā, ko auditi eksistē, lai pārbaudītu.
Avoti
WireGuard baltā grāmata: wireguard.com/papers/wireguard.pdf. OpenVPN 2.6 rokasgrāmata: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Mullvad infrastruktūras audits (Cure53 2024. gada jūnijs, aptvēra gan OpenVPN, gan WireGuard serveru konfigurācijas): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. ExpressVPN Lightway auditi: expressvpn.com/blog/lightway-audits-cure53-praetorian. Visi URL atvērti 2026-04-30.