Начало работы

OpenVPN или WireGuard: какой протокол лучше выбрать?

OpenVPN был бесспорно лучшим, пока не появился WireGuard. Прочтите, пожалуйста, чтобы узнать, какой из них лучше всего подходит для ваших нужд.

Виртуальные частные сети (VPN) используют протоколы безопасности, чтобы обеспечить безопасное подключение к Интернету. OpenVPN и WireGuard считаются двумя наиболее известными протоколами безопасности. В данной статье мы изучим ключевые параметры для сравнения OpenVPN и WireGuard.

1. Производительность и скорость

Пропускная способность WireGuard составляет 1011 Мбит/с по сравнению с 258 Мбит/с у OpenVPN при подключении к порту 1 Гбит/с. Современные компьютерные системы способны поддерживать многопоточность, но OpenVPN не может обеспечить более высокую скорость из-за работы на уровне пользователя. WireGuard же работает на уровне ядра системы и намного меньше нагружает процессор.

Ping в случае использования Wireguard также в разы ниже (лучше), чем при использовании OpenVPN - 0,403 мс и 1,541 мс соответственно.

Далее приведены примеры тестов скорости при подключении через сервер в Великобритании к глобальным серверам на скорости порта 350 Мбит/с по протоколам UDP для OpenVPN и Wireguard:

 

Расположение сервера OpenVPN (UDP) WireGuard
Великобритания 135 Мбит/с 286 Мбит/с (на 112% быстрее)
Германия 131 Мбит/с 277 Мбит/с (на 111% быстрее)
США 142 Мбит/с 254 Мбит/с (на 79% быстрее)
Япония 139 Мбит/с 269 ​​Мбит/с (на 94% быстрее)
Австралия 118 Мбит/с 207 Мбит/с (на 75% быстрее)

 

Выводы: Поскольку UDP является более быстрым протоколом, чем TCP, мы рекомендуем проводить тесты скорости на нём, а также использовать в работе в первую очередь UDP, а не TCP в случае с OpenVPN. WireGuard же работает намного быстрее, чем OpenVPN, так как он реализует преимущества многоядерных процессоров, а также использует более быстрое шифрование. Нам удавалось получать результаты тестов скорости через WireGuard как минимум на 75% быстрее по сравнению с OpenVPN, независимо от того, откуда подключаются пользователи. При соединениях на более короткие расстояния WireGuard способен обеспечить вдвое большую скорость, чем OpenVPN.

Сравнение пропускной способности OpenVPN и WireGuard

Throughput-test-between-OpenVPN-and-WireGuard

Сравнение времени отклика (ping) для OpenVPN и WireGuard

Ping-test-between-OpenVPN-and-WireGuard

2. Шифрование и поддержка библиотек

Криптографические алгоритмы в OpenVPN основаны на библиотеке OpenSSL, которая имеет широкий спектр методов шифрования, которая использует AES, Blowfish, Camellia, ChaCha20, Poly1035, DES и Triple DES и другие методы для аутентификации. Для хеширования применяется MDS, MD4, SHA-1 и SHA-2, BLAKE2 и другие. Для получения ключей используются RSA, DSA, X25519 и другие. Кроме того, у вас есть выбор из двух протоколов транспортного уровня: UDP или TCP.

В отличие от OpenVPN, который обладает определенной степенью гибкости в своих алгоритмах, WireGuard имеет фиксированный набор алгоритмов. Он использует ChaCha20 для шифрования, Poly1035 для аутентификации, BLAKE2s для хеширования с RFC7693 и SipHash24 для хэш-ключей, а также поддерживает протокол UDP и PFS.

Более того, WireGuard работает с криптографией с открытым ключом и строгой аутентификацией. Он предлагает безопасный генератор ключей, и в нем предусмотрено автоматическое управление ключами. Возможность предварительного обмена ключами также добавляет дополнительный уровень безопасности. OpenVPN, с другой стороны, использует сертификаты и закрытый ключ для идентификации и шифрования.

Выводы: Поскольку WireGuard имеет ограниченный набор видов и алгоритмов шифрования, важно обновлять его версию, как только выходит новая. С другой стороны, OpenVPN может использовать любой доступный вид и алгоритм шифрования, а также алгоритм аутентификации, поэтому не так важно вовремя его обновлять.

OpenVPN шифрует данные и использует аутентификацию, полагаясь на библиотеку OpenSSL. Библиотека OpenSSL существует уже много лет и прошла тщательное тестирование. Напротив, WireGuard позволяет использовать только собственный вид шифрования ChaCha20 с аутентификацией Poly1305.

Кроме того, OpenVPN использует RSA и AES для каналов данных и управления, что сводит к минимуму возможность атак, связанных со взломом паролей и ключей шифрования. Максимальная длина ключа шифрования, которую поддерживает OpenVPN, составляет 4096 бит, в то время как максимальная длина ключа WireGuard составляет всего 256 бит. На данный момент для OpenVPN и WireGuard неизвестно каких-либо серьезных уязвимостей.

3. Безопасность и конфиденциальность

OpenVPN — один из самых безопасных вариантов, но его необходимо соответствующим образом настроить. Более того, его код прошел аудит и поддерживается многими экспертами. Код WireGuard также легко проверяется, и на данный момент для него неизвестно каких-либо уязвимостей. Он чрезвычайно безопасен, быстр и устойчив к взлому благодаря более быстрым и сравнительно свежим криптоалгоритмам. Более того, при обнаружении уязвимости конечные точки автоматически обновляются до новой версии, гарантируя, что ни одна из них не будет использоваться со скомпрометированным кодом.

Если вы хотите быть уверены, что ваши данные в безопасности, OpenVPN — лучший протокол. Он не хранит никакой личной информации о своих пользователях, например, их IP-адреса. В свою очередь алгоритм WireGuard Cryptokey Routing сохраняет IP-адреса пользователей на сервере VPN до его перезагрузки. Однако в настоящее время существуют обходные пути, которые делают WireGuard более конфиденциальным.

Выводы: WireGuard — относительно новый протокол, но он может обеспечить такую ​​же безопасность, как и OpenVPN, который существует дольше, прошел больше сторонних аудитов безопасности и имеет более длительный послужной список, чем WireGuard. Зрелость WireGuard будет еще более привлекательной благодаря минимальной кодовой базе и обновленным алгоритмам шифрования.

Консервативный выбор — OpenVPN. Однако WireGuard постоянно улучшается, внедряя обновленные алгоритмы шифрования. WireGuard — это более современный вариант с применением новейших технологий.

4. Мобильность и совместимость

Сегодня пользователи часто переключаются между Wi-Fi и мобильными сетями при использовании своих устройств, поэтому очень важно, чтобы ваше программное обеспечение VPN также поддерживало такую возможность. WireGuard отлично подходит для обеспечения мобильности, поскольку он поддерживает лёгкий переход между устройствами и сетями. Кроме того, он совместим с Windows, Android, macOS, iOS и популярными дистрибутивами Linux. 

OpenVPN испытывает некоторые проблемы с мобильностью, поскольку не всегда идёт в ногу с сетевыми коммутаторами, однако он совместим с большинством компьютерных платформ. Помимо указанных выше систем, его можно использовать в Solaris, QNX, Maemo, FreeBSD и ChromeOS. OpenVPN работает практически с любой платформой, поэтому является наиболее популярным среди многих производителей, внедряющих его в свои маршрутизаторы, брандмауэры и т.д. WireGuard слишком молод, чтобы многие производители могли интегрировать его в свое оборудование, но вы все равно можете создать свой собственный сервер на любом популярном дистрибутиве Linux.

Выводы: WireGuard предоставляет лучшую мобильность, чем OpenVPN. В то время как OpenVPN исторически тяжело справляется с изменениями в сети, WireGuard справляется с ними без проблем. Для мобильных устройств службы VPN используют другой протокол, IKEv2 — хороший протокол, но с закрытым исходным кодом. Следовательно, WireGuard представляет собой отличное решение с открытым исходным кодом при выборе протокола VPN для мобильных устройств.

5. Обход цензуры

OpenVPN и WireGuard — отличные протоколы для VPN, но OpenVPN предлагает то, чего нет у WireGuard, — возможность работать по протоколу TCP. TCP более надежен, чем UDP, поэтому подходит для обхода строгих режимов цензуры. Это связано с тем, что TCP-порт 443 — это тот же порт, который использует HTTPS. В данном случае OpenVPN остается самым безопасным и стабильным.

Выводы: UDP быстрее и стабильнее при использовании с туннелями VPN, но TCP предпочтительнее для обхода цензуры. Маловероятно, что какая-либо страна заблокирует порт 443, который используется для всех видов основных видов деятельности, таких как электронная коммерция и банковское дело. OpenVPN с протоколом TCP работает более эффективно, для обхода режимов цензуры, чем WireGuard.

6. Методы аутентификации

При использовании OpenVPN для аутентификации на сервере VPN могут использоваться три различных метода:

  1. С помощью предварительно сгенерированных сервером общих ключей
  2. С использованием аутентификации на основе сертификатов (более безопасен)
  3. С использованием имени пользователя и пароля

В случае WireGuard аутентификация выполняется просто путем обмена вашими открытыми и закрытыми ключами. С помощью собственного секретного ключа сервер может идентифицировать списки пользователей. Клиентская сторона также предоставляет секретный ключ и открытый ключ сервера, который вы используете для установления соединения.

Плюсы и минусы OpenVPN

Плюсы:

  1. OpenVPN — хорошо зарекомендовавшая себя и настоятельно рекомендуемая многими экспертами программа шифрования.
  2. Он использует библиотеку OpenSSL и TLS, шифруя все данные, и является ведущим стандартом в криптографии.
  3. Может работать как через UDP так и через TCP протокол.

Минусы:

  1. Производительность, пинг и скорость работы существенно, а иногда и в разы уступают Wireguard.
  2. OpenVPN имеет большую уязвимость к атакам по сравнению с WireGuard.
  3. Ручная настройка сложна для OpenVPN и может стать помехой даже для опытных пользователей.

Плюсы и минусы WireGuard

Плюсы:

  1. WireGuard — это безопасная и быстрая VPN с первоклассной криптографией, которая работает значительно быстрее, чем OpenVPN.
  2. Wireguard также подходит для увеличение времени автономной работы вашего устройства, потому что он потребляет меньше энергии.
  3. Установка и настройка Wireguard проще, чем OpenVPN.

Минусы:

  1. Разработка WireGuard еще не полностью завершена, но в будущем он должен стать отличным VPN протоколом.
  2. Одним из основных недостатков WireGuard  является то, что он не использует порт 443 и не поддерживает протокол TCP. Это делает его не самым хорошим выбором для обхода ограничений контента.
  3. Wireguard поддерживается основными операционными системами, но все же далеко не всеми в отличие от OpenVPN.

IP-адреса для VPN.

Заказать услугу Личный VPN и Socks 5 прокси, в рамках которой мы предоставляем готовые конфигурации как OpenVPN (UDP и TCP), так и Wireguard, также другие протоколы.