VPN

WireGuard проти OpenVPN у 2026: криптографічні примітиви, розмір коду та коли який є правильним вибором за замовчуванням

WireGuard новіший, менший і використовує сучасні примітиви. OpenVPN старіший, більший і працює через TCP 443, щоб проходити крізь обмежувальні мережі. Обидва є відкритими стандартами. Ось чесна система вибору протоколу.

By Subger Editorial TeamUpdated 30 квітня 2026 р.7 min read

Що таке WireGuard і OpenVPN, коротко

WireGuard — це протокол VPN, розроблений Джейсоном А. Доненфельдом і включений у ядро Linux у 2020 році. Технічний документ за адресою wireguard.com/papers/wireguard.pdf визначає його криптографічні примітиви: Curve25519 для обміну ключами, ChaCha20 для симетричного шифрування, Poly1305 для автентифікації, BLAKE2s для хешування, HKDF для виведення ключів, SipHash24 для ключа хеш-таблиці. Реалізація в ядрі Linux налічує приблизно 4000 рядків коду. OpenVPN старіший (перший випуск у 2001 році), ліцензований за GPL, працює в просторі користувача (не в ядрі) і використовує OpenSSL або mbedTLS для криптографії. Довідковий посібник OpenVPN 2.6 опубліковано на openvpn.net.

Розмір кодової бази та поверхня аудиту

Невелика кодова база WireGuard (~4000 рядків у реалізації ядра Linux) є свідомим проєктним рішенням — що менша кодова база, то менша поверхня аудиту і менше місць, де можуть ховатися помилки. Кодова база OpenVPN більша (увесь проєкт, включно з бінарним файлом openvpn, плагінами та допоміжними бібліотеками, набагато обширніший) — компромісом є понад дві десятиліття історії CVE, тобто кожен поширений граничний випадок було знайдено, виправлено і тепер він є частиною набору тестів. Жоден із них не є однозначно безпечнішим; меншу кодову базу переглянуло менше очей за коротший час.

Транспорт: UDP проти TCP

WireGuard використовує лише UDP. OpenVPN підтримує як UDP, так і TCP. Висновок: мережі, які блокують UDP — корпоративний Wi-Fi з обмежувальними правилами вихідного трафіку, деякі готельні мережі, мережі з глибокою інспекцією пакетів, що позначають не-HTTPS UDP — заблокують WireGuard. Режим TCP OpenVPN працює на порту TCP 443, тому самому, який використовує HTTPS, і тому його важче заблокувати без порушення звичайного вебтрафіку. Якщо ви регулярно підключаєтеся з мереж з обмежувальним вихідним трафіком, OpenVPN-TCP є надійнішим вибором, навіть якщо він повільніший. Більшість великих клієнтів VPN дозволяють перемикати протоколи без зміни облікових записів.

Різниця у продуктивності походить із простору ядра

Найбільшою перевагою WireGuard у продуктивності на Linux є те, що він працює в просторі ядра — пакетам не потрібно перетинати межу користувач/ядро при кожній операції шифрування чи розшифрування. OpenVPN працює в просторі користувача, що історично мало відчутні накладні витрати. OpenVPN 2.6 з Data Channel Offload (DCO) переносить роботу симетричного шифру в ядро і закриває більшу частину цього розриву. Ми не публікуємо неопрацьовані числа пропускної здатності, оскільки вони сильно залежать від умов мережі, навантаження на сервер і часу доби; опублікований технічний документ WireGuard документує проєкт протоколу і вимірює продуктивність прототипу, але реальна пропускна здатність споживацького VPN залежить від інфраструктури провайдера не менше, ніж від протоколу.

Які аудитовані VPN реалізують який протокол

Усі п'ять великих аудитованих платних VPN підтримують як WireGuard, так і OpenVPN: Mullvad пропонує власну реалізацію WireGuard поряд з OpenVPN (Cure53 аудитував обидві конфігурації серверів у червні 2024). Proton VPN підтримує WireGuard, OpenVPN і протокол Stealth (варіант OpenVPN-on-TLS для обмежувальних мереж). NordLynx від NordVPN — це налаштована реалізація WireGuard. Lightway від ExpressVPN — це нестандартний протокол з власною історією аудитів (Cure53 + Praetorian у 2024 переглянули переписування Lightway мовою Rust). Surfshark підтримує WireGuard і OpenVPN.

Рекомендація

За замовчуванням обирайте WireGuard або похідний від WireGuard нестандартний протокол провайдера (NordLynx, Lightway від ExpressVPN). Перемкніться на OpenVPN-TCP, коли мережа блокує UDP — корпоративний Wi-Fi, університетський Wi-Fi з обмежувальним вихідним трафіком, готельні мережі з DPI. Вибір протоколу рідко є вузьким місцем продуктивності споживацького VPN; більше значення мають вибір сервера провайдером і його поточне навантаження. Якщо йдеться саме про приватність, протокол не має значення — властивість відсутності логів незалежна від протоколу, і саме її покликані перевіряти аудити.

Джерела

Технічний документ WireGuard: wireguard.com/papers/wireguard.pdf. Довідковий посібник OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Аудит інфраструктури Mullvad (Cure53 червень 2024, охопив конфігурації серверів як OpenVPN, так і WireGuard): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Аудити Lightway ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Усі URL-адреси відкрито 2026-04-30.