VPN

WireGuard наспроти OpenVPN во 2026: криптографски примитиви, големина на кодот и кога секој е вистинскиот стандарден избор

WireGuard е поново, помал и користи современи примитиви. OpenVPN е постаро, поголемо и работи преку TCP 443 за да премине рестриктивни мрежи. И двата се отворени стандарди. Еве ја искрената рамка за избор на протокол.

By Subger Editorial TeamUpdated 30 април 2026 г.7 min read

Што се WireGuard и OpenVPN, накратко

WireGuard е VPN протокол дизајниран од Jason A. Donenfeld и вграден во јадрото на Linux во 2020 година. Белата книга на wireguard.com/papers/wireguard.pdf ги специфицира неговите криптографски примитиви: Curve25519 за размена на клучеви, ChaCha20 за симетрично шифрирање, Poly1305 за автентикација, BLAKE2s за хеширање, HKDF за изведување на клучеви, SipHash24 за клуч на хеш-табела. Имплементацијата во јадрото на Linux опфаќа приближно 4.000 редови код. OpenVPN е постаро (првпат објавено во 2001 година), лиценцирано под GPL, работи во корисничкиот простор (не во јадрото) и користи OpenSSL или mbedTLS за криптографија. Референтниот прирачник за OpenVPN 2.6 е објавен на openvpn.net.

Големина на кодот и ревизорска површина

Малиот код на WireGuard (~4.000 редови во имплементацијата во јадрото на Linux) е намерна дизајнерска одлука — колку е помал кодот, толку е помала ревизорската површина и помалку места каде што може да се кријат грешки. Кодот на OpenVPN е поголем (целиот проект, вклучувајќи го бинарниот openvpn, приклучоците и придружните библиотеки, опфаќа многу повеќе) — компромисот е над две децении историја на ранливости CVE, што значи дека секој чест граничен случај е најден, закрпен и сега е дел од тест-пакетот. Ниеден не е недвосмислено побезбеден; помалиот код го прегледале помалку очи во пократок период.

Транспорт: UDP наспроти TCP

WireGuard користи исклучиво UDP. OpenVPN поддржува и UDP и TCP. Импликацијата: мрежите што блокираат UDP — корпоративен Wi-Fi со рестриктивни правила за излез, некои хотелски мрежи, мрежи со длабока инспекција на пакети што означуваат не-HTTPS UDP — ќе го блокираат WireGuard. TCP режимот на OpenVPN работи на TCP порта 443, истата порта што ја користи HTTPS, и затоа е потешко да се блокира без да се прекине вообичаениот веб-сообраќај. Ако редовно се поврзувате од мрежи со рестриктивни правила за излез, OpenVPN-TCP е посигурниот избор, дури и ако е побавен. Повеќето големи VPN клиенти дозволуваат префрлање на протоколи без менување на сметката.

Разликите во перформансите доаѓаат од просторот на јадрото

Најголемата предност на WireGuard во перформансите на Linux е тоа што работи во просторот на јадрото — пакетите не мораат да ја преминуваат границата помеѓу корисничкиот простор и јадрото при секоја операција на шифрирање или дешифрирање. OpenVPN работи во корисничкиот простор, што историски било забележителен трошок. OpenVPN 2.6 со Data Channel Offload (DCO) ја преместува работата на симетричното шифрирање во јадрото и затвора голем дел од јазот. Не објавуваме сурови бројки за пропусност бидејќи тие многу варираат според мрежните услови, оптоварувањето на серверот и времето од денот; објавената бела книга на WireGuard го документира дизајнот на протоколот и го мери прототипот, но вистинската пропусност на потрошувачки VPN зависи подеднакво од инфраструктурата на провајдерот и од протоколот.

Кои ревидирани VPN-и кој протокол го имплементираат

Сите пет големи ревидирани платени VPN-и поддржуваат и WireGuard и OpenVPN: Mullvad нуди своја сопствена имплементација на WireGuard покрај OpenVPN (Cure53 ги ревидираше двете серверски конфигурации во јуни 2024). Proton VPN поддржува WireGuard, OpenVPN и протокол Stealth (варијанта на OpenVPN преку TLS за рестриктивни мрежи). NordLynx на NordVPN е приспособена имплементација на WireGuard. Lightway на ExpressVPN е сопствен протокол со своја историја на ревизии (Cure53 + Praetorian во 2024 година го прегледаа повторното пишување на Lightway во Rust). Surfshark поддржува WireGuard и OpenVPN.

Препорака

Стандардно користете WireGuard или сопствениот протокол на провајдерот изведен од WireGuard (NordLynx, Lightway на ExpressVPN). Префрлете се на OpenVPN-TCP кога мрежата блокира UDP — корпоративен Wi-Fi, универзитетски Wi-Fi со рестриктивни правила за излез, хотелски мрежи со длабока инспекција на пакети. Изборот на протокол ретко е тесно грло за перформансите на потрошувачки VPN; изборот на сервери на провајдерот и тековното оптоварување имаат поголемо значење. Особено за приватноста, протоколот нема значење — својството без евиденција е независно од протоколот и е тоа што ревизиите постојат да го проверат.

Извори

Бела книга на WireGuard: wireguard.com/papers/wireguard.pdf. Референтен прирачник на OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Инфраструктурна ревизија на Mullvad (Cure53 јуни 2024, ги покри и OpenVPN и WireGuard серверските конфигурации): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Ревизии на Lightway на ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Сите URL-адреси пристапени 2026-04-30.