VPN

WireGuard против OpenVPN в 2026 году: криптографические примитивы, размер кодовой базы и когда что выбрать по умолчанию

WireGuard новее, меньше и использует современные примитивы. OpenVPN старше, крупнее и работает поверх TCP 443, чтобы проходить через ограничивающие сети. Оба — открытые стандарты. Вот честная схема выбора протокола.

By Subger Editorial TeamUpdated 30 апреля 2026 г.7 min read

Что такое WireGuard и OpenVPN, кратко

WireGuard — это протокол VPN, разработанный Джейсоном А. Доненфельдом и включённый в ядро Linux в 2020 году. Технический документ на wireguard.com/papers/wireguard.pdf описывает его криптографические примитивы: Curve25519 для обмена ключами, ChaCha20 для симметричного шифрования, Poly1305 для аутентификации, BLAKE2s для хеширования, HKDF для выработки ключей, SipHash24 для ключа хеш-таблицы. Реализация в ядре Linux составляет примерно 4 000 строк кода. OpenVPN старше (первый выпуск в 2001 году), распространяется под лицензией GPL, работает в пользовательском пространстве (не в ядре) и использует OpenSSL или mbedTLS для криптографии. Справочное руководство OpenVPN 2.6 опубликовано на openvpn.net.

Размер кодовой базы и поверхность аудита

Небольшая кодовая база WireGuard (~4 000 строк в реализации для ядра Linux) — это сознательный выбор при проектировании: чем меньше кодовая база, тем меньше поверхность аудита и тем меньше мест, где могут прятаться ошибки. Кодовая база OpenVPN крупнее (весь проект, включая бинарник openvpn, плагины и вспомогательные библиотеки, охватывает гораздо больше) — компромисс в более чем двух десятилетиях истории CVE, а значит, каждый распространённый частный случай уже найден, исправлен и теперь является частью набора тестов. Ни один из них не является однозначно безопаснее; меньшую кодовую базу изучало меньше глаз и в течение меньшего времени.

Транспорт: UDP против TCP

WireGuard использует только UDP. OpenVPN поддерживает и UDP, и TCP. Вывод: сети, блокирующие UDP — корпоративный Wi-Fi с жёсткими правилами исходящего трафика, некоторые гостиничные сети, сети с глубоким анализом пакетов, помечающим UDP без HTTPS, — будут блокировать WireGuard. Режим TCP у OpenVPN работает на TCP-порту 443, том же, что использует HTTPS, и поэтому его сложнее заблокировать, не сломав обычный веб-трафик. Если вы регулярно подключаетесь из сетей с жёсткими правилами исходящего трафика, OpenVPN-TCP — более надёжный выбор, даже если он медленнее. Большинство крупных VPN-клиентов позволяют переключать протоколы без смены учётной записи.

Разница в производительности идёт из пространства ядра

Главное преимущество WireGuard в производительности на Linux в том, что он работает в пространстве ядра — пакетам не нужно пересекать границу между пользовательским пространством и ядром при каждой операции шифрования или дешифрования. OpenVPN работает в пользовательском пространстве, что исторически было заметными накладными расходами. OpenVPN 2.6 с Data Channel Offload (DCO) переносит работу симметричного шифра в ядро и закрывает большую часть разрыва. Мы не публикуем «сырые» цифры пропускной способности, потому что они сильно зависят от условий сети, нагрузки на сервер и времени суток; опубликованный технический документ WireGuard описывает устройство протокола и измеряет производительность прототипа, но реальная пропускная способность потребительского VPN зависит от инфраструктуры провайдера не меньше, чем от протокола.

Какие аудированные VPN реализуют какой протокол

Все пять крупных аудированных платных VPN поддерживают и WireGuard, и OpenVPN: Mullvad поставляет собственную реализацию WireGuard наряду с OpenVPN (Cure53 проверил конфигурации обоих серверов в июне 2024 года). Proton VPN поддерживает WireGuard, OpenVPN и протокол Stealth (вариант OpenVPN-поверх-TLS для ограничивающих сетей). NordLynx у NordVPN — это адаптированная реализация WireGuard. Lightway у ExpressVPN — это собственный протокол со своей историей аудитов (Cure53 + Praetorian в 2024 году проверили переписанный на Rust Lightway). Surfshark поддерживает WireGuard и OpenVPN.

Рекомендация

По умолчанию используйте WireGuard или производный от WireGuard собственный протокол поставщика (NordLynx, Lightway у ExpressVPN). Переключайтесь на OpenVPN-TCP, когда сеть блокирует UDP — корпоративный Wi-Fi, университетский Wi-Fi с жёсткими правилами исходящего трафика, гостиничные сети с DPI. Выбор протокола редко является узким местом для производительности потребительского VPN; выбор серверов провайдером и текущая нагрузка важнее. Конкретно для приватности протокол не имеет значения — свойство «без логов» не зависит от протокола, и именно его существуют, чтобы проверять, аудиты.

Источники

Технический документ WireGuard: wireguard.com/papers/wireguard.pdf. Справочное руководство OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Аудит инфраструктуры Mullvad (Cure53 июнь 2024, охватил конфигурации серверов и OpenVPN, и WireGuard): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Аудиты Lightway у ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Все URL получены 2026-04-30.