VPN

WireGuard vs. OpenVPN 2026.: kriptografski primitivi, veličina baze koda i kada je svaki ispravan podrazumevani izbor

WireGuard je noviji, manji i koristi moderne primitive. OpenVPN je stariji, veći i radi preko TCP-a 443 kako bi savladao restriktivne mreže. Oba su otvoreni standardi. Evo iskrenog okvira za izbor protokola.

By Subger Editorial TeamUpdated 30. април 2026.7 min read

Šta su WireGuard i OpenVPN, ukratko

WireGuard je VPN protokol koji je osmislio Jason A. Donenfeld i koji je 2020. integrisan u Linux jezgro. Bela knjiga na wireguard.com/papers/wireguard.pdf specifikuje njegove kriptografske primitive: Curve25519 za razmenu ključeva, ChaCha20 za simetrično šifrovanje, Poly1305 za autentifikaciju, BLAKE2s za heširanje, HKDF za izvođenje ključeva i SipHash24 za ključ heš-tabele. Implementacija u Linux jezgru obuhvata otprilike 4.000 redova koda. OpenVPN je stariji (prvi put objavljen 2001.), licenciran pod GPL, radi u korisničkom prostoru (ne u jezgru) i koristi OpenSSL ili mbedTLS za kriptografiju. Referentni priručnik za OpenVPN 2.6 objavljen je na openvpn.net.

Veličina baze koda i revizorska površina napada

Mala baza koda WireGuarda (~4.000 redova u implementaciji za Linux jezgro) namerna je dizajnerska odluka — što je manja baza koda, manja je revizorska površina napada i manje je mesta na kojima greške mogu da se sakriju. Baza koda OpenVPN-a je veća (ceo projekat uključujući openvpn binarnu datoteku, dodatke i pomoćne biblioteke obuhvata znatno više) — kompromis je preko dve decenije istorije CVE-ova, što znači da je svaki čest rubni slučaj pronađen, zakrpljen i sada deo testne grupe. Nijedan nije nedvosmisleno bezbedniji; manju bazu koda pregledalo je manje očiju kroz kraći period.

Prenos: UDP vs. TCP

WireGuard koristi isključivo UDP. OpenVPN podržava i UDP i TCP. Posledica: mreže koje blokiraju UDP — korporativni Wi-Fi sa restriktivnim izlaznim pravilima, neke hotelske mreže, mreže sa dubokom inspekcijom paketa koje označavaju ne-HTTPS UDP — blokiraju WireGuard. OpenVPN-ov TCP režim radi na TCP portu 443, istom portu koji koristi HTTPS, pa ga je teže blokirati bez ometanja normalnog veb saobraćaja. Ako se redovno povezujete sa mreža sa restriktivnim izlaznim pravilima, OpenVPN-TCP pouzdaniji je izbor, čak i ako je sporiji. Većina velikih VPN klijenata dozvoljava promenu protokola bez promene naloga.

Razlike u performansama dolaze iz prostora jezgra

Najveća prednost WireGuarda u performansama na Linuxu jeste da radi u prostoru jezgra — paketi pri svakom šifrovanju ili dešifrovanju ne moraju da prelaze granicu između korisničkog prostora i jezgra. OpenVPN radi u korisničkom prostoru, što je istorijski bio osetan dodatni trošak. OpenVPN 2.6 sa tehnologijom Data Channel Offload (DCO) premešta simetrični posao šifrovanja u jezgro i zatvara velik deo razlike. Ne objavljujemo sirove brojke o propusnosti jer one jako zavise od mrežnih uslova, opterećenja servera i doba dana; objavljena bela knjiga WireGuarda dokumentuje dizajn protokola i meri performanse prototipa, no stvarna propusnost potrošačkog VPN-a zavisi jednako toliko od infrastrukture provajdera koliko i od protokola.

Koji revidirani VPN-ovi implementiraju koji protokol

Svih pet velikih revidiranih plaćenih VPN-ova podržava i WireGuard i OpenVPN: Mullvad isporučuje sopstvenu implementaciju WireGuarda uz OpenVPN (Cure53 je u junu 2024. pregledao obe konfiguracije servera). Proton VPN podržava WireGuard, OpenVPN i Stealth protokol (varijantu OpenVPN-preko-TLS-a za restriktivne mreže). NordVPN-ov NordLynx prilagođena je implementacija WireGuarda. ExpressVPN-ov Lightway sopstveni je protokol sa sopstvenom revizorskom istorijom (Cure53 + Praetorian pregledali su 2024. ponovno pisanje Lightwaya u jeziku Rust). Surfshark podržava WireGuard i OpenVPN.

Preporuka

Kao podrazumevano koristite WireGuard ili provajderov vlasnički protokol izveden iz WireGuarda (NordLynx, ExpressVPN-ov Lightway). Pređite na OpenVPN-TCP kada mreža blokira UDP — korporativni Wi-Fi, univerzitetski Wi-Fi sa restriktivnim izlaznim pravilima, hotelske mreže sa DPI-jem. Izbor protokola retko je usko grlo za performanse potrošačkog VPN-a; izbor servera od strane provajdera i trenutno opterećenje važniji su. Za samu privatnost protokol nije bitan — svojstvo nepostojanja zapisa nezavisno je od protokola i upravo to revizije proveravaju.

Izvori

Bela knjiga WireGuarda: wireguard.com/papers/wireguard.pdf. Referentni priručnik OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Mullvad infrastrukturna revizija (Cure53 jun 2024., pokrila i OpenVPN i WireGuard konfiguracije servera): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. ExpressVPN Lightway revizije: expressvpn.com/blog/lightway-audits-cure53-praetorian. Svi URL-ovi pristupljeni 2026-04-30.