WireGuard mı OpenVPN mi IKEv2 mi: Gerçek Bir Karşılaştırma
Hemen her VPN uygulamasını açtığınızda uygulamanın gerçekte nasıl davranacağını belirleyen ekran ayarların derinliklerine gömülüdür: protokol seçici. WireGuard mı OpenVPN mi IKEv2 mi sorusu bir pazarlama tercihi değildir.
Bu seçim tünelin hızını, pil maliyetini, telefonunuzun Wi-Fi'den hücresel ağa geçtiğinde ne kadar sürede yeniden bağlandığını ve trafiğinizle ağ arasında ne kadar kod bulunduğunu etkiler.
Bu yazı, 2026'da iPhone ve Mac VPN uygulamalarında karşılaşacağınız üç protokolün sakin ve mühendis gözüyle bir incelemesidir. Korku yaratma yok, bağlantı sitelerinden alınma sıralamalar yok. Yalnızca her protokolün gerçekte ne olduğu, neyi doğru yaptığı, neyi yanlış yaptığı ve modern mobil kullanımda hangisinin doğru varsayılan olduğu.
Protokol seçimi neden önemli?
VPN protokolü, iki bilgisayarın şifreli bir tünel kurmak ve paketleri bu tünel üzerinden taşımak için kullandığı kural kitabıdır. Protokol; anahtarların nasıl değiş tokuş edileceğini, hangi şifrenin veriyi koruyacağını, bağlantının ağ değişikliğinde nasıl ayakta kalacağını ve her paketin ne kadar hesaplama maliyeti getireceğini belirler.
Bu soyut bir tanım gibi durur, ta ki sonuçlarını fark edene kadar. Ağır bir el sıkışma ilk bağlantıyı yavaşlatır. Büyük bir kod tabanı güvenlik açıkları için daha geniş bir yüzey yaratır. Ağ değişikliğinde devam edemeyen bir protokol, kafe Wi-Fi'sinden her çıktığınızda tüneli yıkıp yeniden kurar. Çekirdeğin içinde çalışan bir protokol, kullanıcı uzayında çalışandan daha az pil tüketir.
İnsanlar hangi VPN'in “en hızlı” veya “en güvenli” olduğunu sorduğunda aslında çoğunlukla farkında olmadan bir protokol sorusu soruyorlar. İşte dürüst yanıt.
WireGuard
WireGuard üçünün en yenisi ve modern bir VPN'in nasıl inşa edildiği konusunda en çok şeyi değiştiren protokoldür. Kasıtlı olarak küçük tasarlanmıştır.
Referans uygulaması yaklaşık 4.000 satır kod içerir. OpenSSL bağımlılıkları dahil edildiğinde OpenVPN onlarca bin satırdır. Kod satırları bir güvenlik garantisi değildir; ancak denetim yüzeyinin bir tahminidir. Küçük bir kod tabanı yetkin bir ekip tarafından makul sürede baştan sona incelenebilir. Geniş bir kod tabanı fiilen incelenemez.
WireGuard ayrıca kriptografik ilkellerini müzakere etmek yerine kendisi seçer. Tek bir şifre (ChaCha20-Poly1305), tek bir anahtar değişimi (Curve25519), tek bir karma işlevi (BLAKE2s) vardır. Şifre paketi menüsü yok, düşürme saldırısı endişesi yok. Protokolün bir ilkeli değiştirmesi gerekirse sürüm numarası değişir ve eski istemciler bağlanmayı durdurur. Bu alışılmışın dışında ve kasıtlı bir tercihtir.
El sıkışma, sunucu açısından durumsuzdur: sunucunun tüneli canlı tutmak için bir istemcinin mevcut ağ adresini hatırlaması gerekmez. Ağlar arasında yürürken WireGuard'ın hızlı hissettirmesinin nedeni budur. Telefon Wi-Fi'den LTE'ye geçer, yeni bir IP'den tek paket gönderir ve tünel çalışmaya devam eder. Yeniden müzakere adımı yoktur.
WireGuard hakkında adil bir eleştiri değer. Varsayılan olarak bir eş, oturumlar arasında aynı dahili IP'yi korur; çünkü sunucu istemcileri oturum başına kira yerine genel anahtarla tanımlar. Bu bir kurumsal ağ için sorunsuzdur. Bir gizlilik ürünü için sağlayıcının bunu kasıtlı olarak ele alması gerekir: dahili IP'leri döndürmek, eş ömrünü sınırlamak, günlüklerin bu statik adresi uzun vadeli bir tanımlayıcıya dönüştürmemesini sağlamak. Protokol yapı taşlarını sağlar; sağlayıcının bunları doğru kullanması gerekir.
WireGuard yalnızca UDP'dir. Bu kasıtlı bir tasarım tercihidir ve aynı zamanda en büyük pratik dezavantajıdır. UDP'yi engelleyen veya yalnızca TCP 443 numaralı bağlantı noktasındaki trafiğe izin veren bir ağda (bazı otel Wi-Fi'leri, bazı kurumsal misafir ağları, bazı sansür ortamları) WireGuard bağlanamaz. Yerleşik bir TCP yedekleme mekanizması yoktur.
Bilinmesi gereken diğer şey, WireGuard'ın ana hat Linux çekirdeğinde yer aldığıdır. Bu, Linux sunucularda veri yolunun çekirdek hızında çalıştığı, kullanıcı uzayı kopyalamasının olmadığı anlamına gelir. iOS ve macOS'ta uygulama, üçüncü taraf çekirdek uzantılarına izin vermeyen bir platformdaki en yakın eşdeğer olan sistem yönetimli bir Network Extension sürecinde çalışır. Hâlâ korumalı bir kullanıcı uzayı sürecidir; ancak Apple'ın ağ çerçevesi paketleri verimli biçimde iletir ve ek yük pratikte küçüktür.
OpenVPN
OpenVPN üçünün en eskisidir. 2001'den bu yana üretim ortamlarında dağıtılıp yamalanmıştır; bu da hayal edebileceğiniz neredeyse her hata modunun zaten birinin ağında karşılaşıldığı, raporlandığı ve düzeltildiği anlamına gelir. Bu gerçek bir değerdir.
Hem UDP hem de TCP'yi destekler. UDP, normal koşullarda daha iyi performans sağlar. Genellikle 443 numaralı bağlantı noktasında kullanılan TCP, tünelin sıradan HTTPS trafiği gibi görünmesini sağlar. Kısıtlayıcı ağlarda bu bazen bağlantı kurmanın tek yoludur. Web taraması dışında her şeyi engelleyen bir konferans Wi-Fi'sine bağlanmış biriyseniz TCP/443 yedeklemesini muhtemelen değerli buldunuz.
Kriptografi OpenSSL tarafından sağlanır. Bu esnek, iyi anlaşılmış ve operatörlere geniş bir şifre menüsü sunar. Aynı zamanda WireGuard'ın kilitli ilkellerinden anlamlı biçimde daha büyük bir saldırı yüzeyidir. 2014'teki Heartbleed ders kitabındaki örnektir: güvenlik açığı bulunan OpenSSL derlemelerini kullanan OpenVPN dağıtımları dahil, ona bağımlı her ürünü sessizce etkileyen yaygın dağıtımlı bir kütüphanedeki kusur. Yamalar her zaman gelir. Önemli olan yüzeyin WireGuard'ın ortaya çıkardığından daha geniş olduğudur.
Performans açısından dürüst olmak gerekirse: OpenVPN'in el sıkışması daha ağırdır (tam TLS tarzı bir müzakere yapar) ve paket başı ek yükü daha yüksektir. Hızlı bir bağlantıda farkı ölçersiniz. Yavaş bir bağlantıda fark etmeyebilirsiniz. Daha fazla iş kullanıcı uzayında gerçekleştiğinden mobilden pil tüketimi de daha yüksektir.
OpenVPN'in bugünkü yeri “en hızlı” veya “en hafif” değildir. “En uyumlu” olanıdır. VPN trafiğini aktif olarak engelleyen bir ağda, OpenVPN TCP/443 üzerinden WireGuard'ın bağlanamadığı durumlarda hâlâ bağlantı kurar. Bu uyumluluğun maliyeti TCP-over-TCP çöküşüdür: dış TCP katmanı iç TCP katmanı zaten yeniden iletim yaptığı için yeniden iletim yaptığında, kararsız bir bağlantıda verim çökebilir. Bu doğru bir kaçış kapısıdır, doğru günlük tünel değildir.
IKEv2 / IPsec
IKEv2 (Internet Key Exchange sürüm 2), bir IPsec tünelinin anahtar değişim yarısıdır. Apple platformlarında işletim sisteminin yerel olarak anladığı protokoldür. Herhangi bir üçüncü taraf uygulama yüklemeden iOS Ayarları'nda bir IKEv2 profili yapılandırabilirsiniz. Döngüde ekstra yazılım istemediğinizde bu gerçek bir avantajdır.
IKEv2'nin mobiledeki katil özelliği MOBIKE'dir; tünelin yeniden müzakere yapmadan bir IP adresi değişikliğini atlatmasına izin veren küçük bir uzantıdır. Wi-Fi'den hücresel ağa geçtiğinizde MOBIKE sunucuya “hâlâ benim, sadece yeni bir adresteyim” der ve oturum devam eder. Kullanıcı için yeniden bağlantı süresi fiilen sıfırdır.
Altta yatan veri düzlemi IPsec'tir; Apple platformlarında çekirdekte uygulanmıştır. Bu, birçok durumda WireGuard ile karşılaştırılabilir düzeyde iyi bir verim ve düşük CPU maliyeti anlamına gelir; ancak bağımsız kıyaslama testlerinin büyük çoğunluğu WireGuard'ı hâlâ önde göstermektedir.
Sorun yapılandırma karmaşıklığıdır. IPsec'in çok sayıda ayarı vardır (şifreleme algoritmaları, kimlik doğrulama, mükemmel iletim gizliliği, IKE ömürleri, yeniden anahtar aralıkları) ve yanlış kombinasyon, çalışıyor görünen ancak göründüğünden zayıf bir tünel bırakabilir. Protokolün kendisi sorunsuz. Yanlış yapılandırma riski gerçektir.
IKEv2, WireGuard'a kıyasla açık kaynak ekosistemi için daha az ilgi çekici bir hedeftir; bu da istemci yeniliklerinin WireGuard'a kıyasla yavaşladığı anlamına gelir. Protokolün kendisi kararlı ve olgun, sizi hiçbir yönde şaşırtmayacak kadar yerleşik. Bunun olumsuz tarafı: OS'un size sunduğunu devralırsınız; kill switch ve isteğe bağlı kurallar için OS arayüzü dahil ki bu, özelleşmiş bir istemcinin sunabileceğinden genellikle daha sınırlıdır.
Karşılaştırma tablosu
| Özellik | WireGuard | OpenVPN | IKEv2 |
|---|---|---|---|
| Hız (tipik) | En hızlı | Daha yavaş | Hızlı |
| Mobilden pil tüketimi | En iyi | En kötü | İyi |
| Ağ değişiminde yeniden bağlantı | Hızlı (durumsuz) | Yavaş (yeniden müzakere) | Hızlı (MOBIKE) |
| Kod boyutu / denetlenebilirlik | ~4.000 satır | Onlarca bin satır | Büyük (IPsec yığını) |
| Port esnekliği | Yalnızca UDP | UDP ve TCP, her port | UDP 500/4500 |
| Mobil uyumluluk | Mükemmel | Yeterli | Mükemmel |
| Modern kriptografik ilkeller | Kilitli, modern | Yapılandırılabilir, eski içerir | Yapılandırılabilir, modern mevcut |
| Yerel iOS/macOS desteği | Network Extension | Network Extension | Yerel, uygulama gerekmez |
Tabloyu dürüstçe okumak için birkaç not. “En hızlı” gerçek ama küçük bir fark. Tipik bir ev bağlantısında 50 Mbps'lik farkı fark etmeyeceksiniz. Üçüncü taraf kıyaslamaları donanıma, mesafeye ve testin nasıl yapıldığına bağlı olarak büyük farklılıklar gösterir; ancak üç protokol arasındaki göreceli sıralama yıllardır tutarlıdır. “Pil en iyi” gerçektir ve uzun süreli bağlantılarda fark edersiniz. “Kod boyutu” bir denetim yüzeyi argümanıdır, güvenlik açığı sayısı değildir.
Telefonda yeniden bağlantı, pratikte
Bu protokollerin telefonda en çok farklılaştığı boyut, ağınız değiştiğinde ne olduğudur. Ofisten çıkmak, trene binmek, captive portal sayfası hiç yüklenmediği için Wi-Fi'den LTE'ye geçmek: bir mobil VPN, gerçek yaşamının önemli bir bölümünü bu geçişlerle baş ederek geçirir.
WireGuard bunu neredeyse görünmez biçimde halleder. Sunucu bir istemcinin adresi konusunda durumsuz olduğundan telefon yeni IP'sinden bir paket gönderir ve tünel devam eder. MOBIKE ile IKEv2 tasarım gereği benzer davranır: aynı güvenlik ilişkilendirmesi yeni adrese taşınır. Her iki protokolde de yeniden bağlantı süresi kullanıcı açısından fiilen sıfırdır.
OpenVPN ağ değişikliklerini üçünün en kötüsü olarak ele alır. Varsayılan davranış, bağlantının değiştiğini algılamak, tüneli yıkmak ve sıfırdan yeniden inşa etmektir; tam TLS tarzı bir el sıkışma. Bu telefonda fark edilir, genellikle bir iki saniye ve ilk deneme başarısız olursa bazen daha uzun. Modern OpenVPN istemcileri bunu yeniden bağlantı mantığıyla örtbas eder; ancak altta yatan protokol kurtarmada en yavaş olanıdır.
Dürüst değerlendirme
Modern bir mobil VPN için WireGuard doğru varsayılandır. Kriptografi modern ve müzakere edilemez, kod tabanı gerçekten incelenebilecek kadar küçük, el sıkışma hızlı, pil maliyeti düşük ve ağlar arasındaki yeniden bağlantılar temiz. Bu bir moda tercihi değil. Ciddi her mobil VPN ekibinin son beş yılda vardığı sonuçtur.
OpenVPN'in hâlâ gerçek bir kullanım alanı var: kısıtlayıcı ağlarda TCP/443 yedeklemesi. İşiniz sizi zaman zaman web trafiği dışındaki her şeyi engelleyen ağlara sokuyor ve cebinizde bir OpenVPN istemcisi varsa bu gerçekten işe yarar. Telefonda günlük tüketici kullanımı için yanlış varsayılandır.
IKEv2, uygulama yüklemeden bir VPN profili istiyorsanız mükemmel derecede makul bir seçimdir. Yerel iOS yapılandırması sağlamdır ve yeniden bağlantılar temizdir. Ödün, gerçek bir istemcinin size sunduğu özellikleri kaybetmenizdir; okuyabileceğiniz bağlantı günlükleri, açık bir kill switch arayüzü, sunucu seçici, hızlı geçiş. Yerel profiller her zaman açık kurumsal yapılandırma için mükemmeldir ve kişisel kullanım için biraz yetersiz kalır.
Protokol gizlilik sorusunun geri kalanını çözmez. Sağlayıcının kayıt tutmama politikasının gerçekte ne anlama geldiği konusunda dürüst olması, uygulamanın anahtarları doğru şekilde yönetmesi ve bir VPN'in işletim sisteminizin veya tarayıcınızın sizinle ilgili bilgileri diğer taraflara sızdırmasını engelleyemeyeceği gerçeği değişmez. Protokol yanıtın bir parçasıdır, tamamı değildir.
Sonuç
2026'da bir VPN protokolü seçiyorsanız ve önceliğiniz hızlı bağlanan, pil tüketimi düşük ve Wi-Fi'den LTE'ye tren yolculuğunu atlatan çalışan bir iPhone tüneliyse WireGuard'ı seçin. Düzenli olarak sizi zorlayan ağlardan bağlanmanız gerekiyorsa OpenVPN'i yedek olarak tutun. Uygulama yüklemeden yerel bir profil istiyorsanız IKEv2 doğru yanıttır.
Snap VPN yalnızca WireGuard kullanır. Bu kararı aldık; çünkü protokolleri telefondan önemli olan boyutlarda (hız, pil, yeniden bağlantı, denetlenebilirlik) gerçekten karşılaştırdığınızda diğerlerini varsayılan olarak sunmak için dürüst bir gerekçe kalmıyor. Ekstra protokol eklemek, tünelde daha fazla kod, daha fazla şifre menüsü, yanlış yapılandırma için daha fazla fırsat ve protokol seçiciyi zaten değiştirmeyecek kullanıcılar için daha yavaş bir varsayılan demektir. Bir şeyi iyi yapmayı tercih ediyoruz.
WireGuard mı OpenVPN mi sorusu modern bir iPhone'da gerçekten ilginç bir rekabet değil artık. WireGuard bu karşılaştırmayı teknik açıdan birkaç yıl önce kazandı. İlginç soru, protokolün etrafındaki ürünün geri kalanının aynı özeni taşıyıp taşımadığı: anonim kimlik, trafik günlüğü yok, gerçekten çalışan bir kill switch, küçük bir istemci kod tabanı.
WireGuard'ın iOS'ta olması gerektiği gibi davrandığını görmek istiyorsanız, Snapşu an App Store'da, macOS desteği de geliyor. E-posta kaydı yok. Trafik günlüğü yok. Gerçek bir kişiye bağlı tanımlayıcı yok. Tasarım gereği anonim, varsayılan olma hakkını kazanan protokolle.