WireGuard vs OpenVPN vs IKEv2: честное сравнение протоколов
Откройте почти любое VPN-приложение — и экран, который реально определяет его поведение, спрятан где-то в настройках: выбор протокола. WireGuard vs OpenVPN vs IKEv2 — это не маркетинговый вопрос.
От протокола зависит скорость туннеля, расход батареи, скорость восстановления соединения при переходе с Wi-Fi на мобильный интернет и объём кода, стоящего между вашим трафиком и сетью.
Это спокойный, инженерный взгляд на три протокола, которые вы увидите в VPN-приложениях для iPhone и Mac в 2026 году. Никакого нагнетания страха, никаких рейтингов с партнёрских страниц. Только то, что каждый из них из себя представляет, в чём его сильные стороны, в чём слабые и какой из них обычно является правильным выбором по умолчанию для современного мобильного использования.
Почему выбор протокола вообще важен
VPN-протокол — это свод правил, по которым два компьютера договариваются об установке зашифрованного туннеля и передаче через него пакетов. Протокол определяет, как происходит обмен ключами, какой шифр защищает данные, как соединение переживает смену сети и сколько вычислений требует обработка каждого пакета.
Звучит абстрактно — пока не видишь последствий. Более тяжёлое рукопожатие означает более медленное первое подключение. Более крупная кодовая база означает большую поверхность атаки для уязвимостей. Протокол, не умеющий переживать смену сети, будет разрывать туннель каждый раз, когда вы выходите из зоны Wi-Fi в кафе. Протокол, работающий в ядре, будет расходовать меньше батареи, чем работающий в пользовательском пространстве.
Поэтому когда люди спрашивают, какой VPN «самый быстрый» или «самый безопасный», они на самом деле задают вопрос о протоколе, сами того не зная. Вот честный ответ.
WireGuard
WireGuard — самый новый из трёх, и именно он больше всего изменил представление о том, каким должен быть современный VPN. Он был намеренно спроектирован небольшим.
Эталонная реализация насчитывает около 4 000 строк кода. OpenVPN для сравнения — десятки тысяч строк с учётом зависимостей от OpenSSL. Количество строк кода не является гарантией безопасности, но это оценка поверхности для аудита. Небольшую кодовую базу компетентная команда может проверить от начала до конца за разумное время. Разросшуюся — фактически нет.
WireGuard также жёстко задаёт криптографические примитивы вместо того, чтобы договариваться о них. Один шифр (ChaCha20-Poly1305), один обмен ключами (Curve25519), одна хеш-функция (BLAKE2s). Никакого меню наборов шифров, никаких атак на понижение версии. Если протоколу когда-нибудь понадобится изменить примитив, меняется номер версии и старые клиенты перестают подключаться. Это нетипично и сделано намеренно.
Рукопожатие не хранит состояния на стороне сервера: серверу не нужно помнить текущий сетевой адрес клиента, чтобы туннель оставался активным. Именно это заставляет WireGuard ощущаться быстрым при переходе между сетями. Телефон переключается с Wi-Fi на LTE, отправляет один пакет с нового IP — и туннель продолжает работать. Никакого повторного согласования.
Есть одна честная критика WireGuard, которую стоит назвать. По умолчанию пир сохраняет один и тот же внутренний IP между сессиями, потому что сервер идентифицирует клиентов по открытому ключу, а не по выданному на сессию адресу. Для корпоративной сети это нормально. Для продукта, ориентированного на конфиденциальность, провайдер должен обрабатывать это намеренно: ротировать внутренние IP, ограничивать время жизни пира, следить за тем, чтобы логи не превратили этот статический адрес в долгосрочный идентификатор. Протокол даёт строительные блоки; провайдер должен использовать их правильно.
WireGuard работает только по UDP. Это намеренное решение, и оно же является его главным практическим недостатком. В сети, блокирующей UDP или разрешающей трафик только на TCP-порту 443 (некоторые гостиничные Wi-Fi, некоторые корпоративные гостевые сети, некоторые среды с цензурой), WireGuard просто не подключится. Встроенного резервного варианта по TCP нет.
Ещё одна полезная деталь: WireGuard включён в основную ветку ядра Linux. Это означает, что на Linux-серверах путь передачи данных работает на скорости ядра без копирования в пользовательское пространство. На iOS и macOS реализация работает в системном процессе Network Extension — это ближайший эквивалент на платформе, не допускающей сторонних расширений ядра. Это по-прежнему изолированный процесс в пользовательском пространстве, но сетевой фреймворк Apple передаёт ему пакеты эффективно, и накладные расходы на практике невелики.
OpenVPN
OpenVPN — старейший из трёх. Он развёртывается и патчится в продакшене с 2001 года, а значит, почти любой сценарий отказа, который можно себе представить, уже случался, был описан и исправлен в чьей-то сети. Это реальная ценность.
Он поддерживает и UDP, и TCP. UDP даёт лучшую производительность в обычных условиях. TCP, как правило на порту 443, позволяет туннелю маскироваться под обычный HTTPS-трафик. В ограничительных сетях это иногда единственный способ вообще установить соединение. Если вы когда-нибудь подключались с конференционного Wi-Fi, блокирующего всё кроме веб-браузинга, вы наверняка оценили резервный вариант по TCP/443.
Криптография обеспечивается OpenSSL. Это гибко, хорошо изучено и даёт операторам широкий выбор шифров. Это также значительно большая поверхность атаки, чем жёстко заданные примитивы WireGuard. Heartbleed в 2014 году — хрестоматийный пример: уязвимость в широко распространённой библиотеке, незаметно затронувшая все продукты, зависящие от неё, включая развёртывания OpenVPN с уязвимыми сборками OpenSSL. Патчи всегда выходят. Суть в том, что поверхность шире, чем у WireGuard.
Честная картина производительности: рукопожатие OpenVPN тяжелее (полное согласование в стиле TLS), а накладные расходы на обработку каждого пакета выше. На быстром соединении разницу можно измерить. На медленном — можно и не заметить. Расход батареи на мобильных устройствах также выше, потому что больше работы выполняется в пользовательском пространстве.
Место OpenVPN сегодня — не «самый быстрый» и не «самый лёгкий». Это «самый совместимый». В сети, активно мешающей VPN-трафику, OpenVPN по TCP/443 всё равно пробивается там, где WireGuard не может. Цена этой совместимости — коллапс TCP внутри TCP: когда внешний TCP-уровень повторно передаёт пакеты, потому что внутренний TCP-уровень уже сделал это, пропускная способность на нестабильном канале может обрушиться. Это правильный аварийный выход, а не правильный туннель для повседневного использования.
IKEv2 / IPsec
IKEv2 (Internet Key Exchange версии 2) — это половина обмена ключами в туннеле IPsec. На платформах Apple это протокол, который операционная система понимает нативно. Вы можете настроить профиль IKEv2 прямо в настройках iOS без установки каких-либо сторонних приложений. Это реальное преимущество, когда вы не хотите лишнего программного обеспечения в цепочке.
Главная фича IKEv2 на мобильных устройствах — MOBIKE: небольшое расширение, позволяющее туннелю переживать смену IP-адреса без повторного согласования. Когда вы переходите с Wi-Fi на мобильный интернет, MOBIKE сообщает серверу «я всё ещё я, просто с нового адреса» — и сессия продолжается. Время переподключения для пользователя фактически равно нулю.
Под капотом плоскость данных — это IPsec, который на платформах Apple реализован в ядре. Это обеспечивает хорошую пропускную способность и низкую нагрузку на процессор — сопоставимо с WireGuard во многих случаях, хотя большинство независимых бенчмарков всё же ставит WireGuard впереди.
Загвоздка — в сложности конфигурации. У IPsec много параметров (алгоритмы шифрования, аутентификация, идеальная прямая секретность, время жизни IKE, интервалы обновления ключей), и неправильная комбинация может дать туннель, который работает, но слабее, чем кажется. Сам протокол нормальный. Риск неправильной конфигурации реален.
IKEv2 также менее интересен для экосистемы с открытым исходным кодом, чем WireGuard, а значит, инновации в клиентах замедлились в сравнении с WireGuard. Сам протокол стабилен и зрел, вряд ли удивит вас в ту или иную сторону. Обратная сторона: вы получаете то, что даёт ОС, включая её UI для kill switch и правил по требованию, который, как правило, скромнее того, что может предложить специализированный клиент.
Сравнительная таблица
| Параметр | WireGuard | OpenVPN | IKEv2 |
|---|---|---|---|
| Скорость (типичная) | Наибольшая | Ниже | Высокая |
| Батарея на мобильном | Лучше всего | Хуже всего | Хорошо |
| Переподключение при смене сети | Быстро (без состояния) | Медленно (повторное согласование) | Быстро (MOBIKE) |
| Размер кода / проверяемость | ~4 000 строк | Десятки тысяч | Большой (стек IPsec) |
| Гибкость порта | Только UDP | UDP и TCP, любой порт | UDP 500/4500 |
| Удобство для мобильных | Отлично | Достаточно | Отлично |
| Современные криптопримитивы | Жёстко заданные, современные | Настраиваемые, включая устаревшие | Настраиваемые, есть современные |
| Нативная поддержка iOS/macOS | Network Extension | Network Extension | Нативная, приложение не нужно |
Несколько честных замечаний к таблице. «Наибольшая скорость» — реальная, но небольшая. На типичном домашнем подключении разницу в 50 Мбит/с вы не заметите. Сторонние бенчмарки сильно различаются в зависимости от железа, расстояния и методологии, но относительный порядок между тремя протоколами остаётся стабильным уже несколько лет. «Лучшая батарея» — реальная, и вы её почувствуете при длительном соединении. «Размер кода» — это аргумент о поверхности аудита, а не о количестве уязвимостей.
Переподключение на телефоне на практике
Измерение, по которому протоколы больше всего различаются на телефоне, — это что происходит при смене сети. Выход из офиса, поездка в метро, переход с Wi-Fi с captive-порталом на LTE, потому что страница авторизации так и не загрузилась: мобильный VPN значительную часть своего времени тратит на такие переходы.
WireGuard справляется с этим почти незаметно. Поскольку сервер не хранит состояние адреса клиента, телефон просто отправляет пакет с нового IP — и туннель продолжает работать. IKEv2 с MOBIKE ведёт себя аналогично по замыслу: та же ассоциация безопасности мигрирует на новый адрес. Время переподключения на обоих фактически равно нулю.
OpenVPN хуже всех трёх справляется со сменой сети. Поведение по умолчанию — обнаружить изменение канала, разорвать туннель и заново построить его с нуля, выполнив полное согласование в стиле TLS. На телефоне это ощутимо — обычно секунда-две, а иногда дольше, если первая попытка не удалась. Современные клиенты OpenVPN маскируют это логикой переподключения, но в основе лежит самый медленный при восстановлении протокол.
Честная оценка
Для современного мобильного VPN WireGuard — правильный выбор по умолчанию. Криптография современная и не договорная, кодовая база достаточно мала для реального аудита, рукопожатие быстрое, расход батареи низкий, переподключение между сетями чистое. Это не дань моде. Это то, к чему пришла каждая серьёзная команда, разрабатывающая мобильный VPN, за последние пять лет.
OpenVPN по-прежнему имеет реальный сценарий использования: резервное подключение по TCP/443 в ограничительных сетях. Если ваша работа иногда заставляет вас подключаться из сети, блокирующей всё кроме веб-трафика, клиент OpenVPN в запасе действительно полезен. Для повседневного потребительского использования на телефоне это неправильный выбор по умолчанию.
IKEv2 — вполне разумный выбор, если вы хотите VPN-профиль без установки приложения. Нативная конфигурация iOS надёжна, переподключения чистые. Компромисс в том, что вы теряете возможности, которые даёт полноценный клиент: читаемые журналы соединений, понятный UI для kill switch, выбор сервера, быстрое переключение. Нативные профили отлично подходят для постоянной корпоративной конфигурации и немного разочаровывают для личного использования.
Протокол не решает остальных вопросов конфиденциальности. Провайдер всё равно должен быть честен насчёт того, что реально означает политика отсутствия логов, приложение всё равно должно правильно обращаться с ключами, и VPN не может помешать вашей операционной системе или браузеру передавать информацию о вас третьим сторонам. Протокол — часть ответа, но не весь ответ.
Итог
Если вы выбираете VPN-протокол в 2026 году и вам нужен рабочий туннель на iPhone, который быстро подключается, бережёт батарею и переживает поездку в метро с Wi-Fi на LTE — выбирайте WireGuard. Если вам регулярно нужно подключаться из сетей, которые мешают работе VPN, держите OpenVPN в запасе. Если хотите нативный профиль без установки приложения — IKEv2 правильный ответ.
Snap VPN работает только на WireGuard. Мы сделали этот выбор потому, что когда реально сравниваешь протоколы по параметрам, важным для телефона (скорость, батарея, переподключение, проверяемость), честных аргументов в пользу других протоколов как умолчания просто нет. Добавление лишних протоколов означало бы больше кода в туннеле, больше меню шифров, больше возможностей для ошибки в конфигурации и более медленные настройки по умолчанию для пользователей, которые всё равно никогда не меняли бы выбор протокола. Лучше делать одно дело хорошо.
WireGuard vs OpenVPN — это не та схватка, которая интересна на современном iPhone. WireGuard выиграл это сравнение по техническим достоинствам пару лет назад. Интересный вопрос в том, построен ли весь остальной продукт вокруг протокола с той же строгостью: анонимная идентификация, никаких журналов трафика, kill switch, который реально работает, небольшая кодовая база клиента.
Если хотите увидеть, как WireGuard работает так, как должен, на iOS, Snap уже доступен в App Store, macOS — следующий. Никакой регистрации по email. Никаких журналов трафика. Никаких идентификаторов, привязанных к реальному человеку. Анонимность по дизайну — на протоколе, заслуженно занявшем место выбора по умолчанию.