VPN-протоколы в сравнении
VPN-протоколы не взаимозаменяемы. Каждый оптимизируется под что-то своё. Большинство потребительских VPN-обзоров сводят это к «WireGuard самый быстрый, OpenVPN самый совместимый» и на этом заканчивают — а это пропускает протоколы, которые реально важны, когда пересекаешь границу с цензурой.
Вот честная версия — для того, кто выбирает, что реально запустить.
Быстрое сравнение
| Протокол | Скорость | Безопасность | Обход цензуры | Настройка |
|---|---|---|---|---|
| WireGuard | Отличная | Сильная, формально проанализирован | Слабый (узнаваемая подпись) | Простая |
| OpenVPN | Средняя | Сильная, очень зрелый | Слабый по умолчанию; лучше с обфускацией | Простая |
| VLESS Reality (XRay) | Хорошая | Сильная | Отличный (настоящий TLS-handshake) | Сложная при self-hosting |
| IPSec/IKEv2 | Очень хорошая | Сильная (NSA-grade) | Слабый (хорошо известная подпись) | Простая на мобилках |
| Shadowsocks | Хорошая | Адекватная | Средний (паттерны теперь распознаются) | Сложная при self-hosting |
Если ты в свободной сети — WireGuard ответ по умолчанию. Если ты за DPI в стране, которая таргетирует VPN — VLESS Reality единственный в этом списке, который реально сложно детектировать.
WireGuard
Дефолт для любой новой VPN-инсталляции с 2024+. Около 4 000 строк ядра, формально проанализирован. Шифрование ChaCha20-Poly1305, обмен ключами Curve25519, хеширование BLAKE2s. Stateless cryptokey routing — не нужно поддерживать таблицу сессий. Handshake — два круга, data path — плотный.
На практике это означает низкую задержку, низкий CPU и на клиенте и на сервере, быстрый роуминг между сетями, и потерю ~5% throughput на типичном домашнем подключении.
Подвох: протокол не пытается прятаться. Пакеты WireGuard имеют характерную форму — UDP, фиксированная структура хедера, типы сообщений 1–4. DPI-система, которая хочет распознать WireGuard, делает это дёшево. Иран, Россия и Турция регулярно блокируют WireGuard-endpoint'ы по подписи.
Используй WireGuard, когда сеть не враждебна к VPN.
Как Fexyn использует WireGuard.
OpenVPN
Совместимость как fallback. С 2001 года. Работает по UDP или TCP. Оборачивает control channel на OpenSSL/mbedTLS и отдельный data channel. TLS 1.3 + ECDSA + AES-256-GCM — современная конфигурация; старые деплои всё ещё на TLS 1.2 + RSA.
OpenVPN медленнее WireGuard. Control channel тяжелее, data path требует больше userspace-работы, TCP fallback добавляет head-of-line blocking при потере пакетов. Это тоже узнаваемый протокол — OpenVPN на TCP/443 детектируется любым, у кого есть DPI, несмотря на то что выглядит как HTTPS на первый взгляд.
Что OpenVPN даёт — это охват. Работает по TCP/443. Работает на отельных сетях, которые блокируют UDP. Запускается на роутерах, NAS, древних Linux-дистрибутивах — всём, где есть пакет openvpn. Когда всё остальное падает — OpenVPN по TCP обычно подключается.
Большая победа в современных деплоях OpenVPN — короткоживущие сертификаты. Выпуск 24-часовых клиентских сертификатов из Vault PKI убирает проблему отзыва сертификатов, которая мучила долгоживущие OpenVPN PKI.
VLESS Reality
Построен специально для обхода DPI в странах с цензурой. Запускается на XRay (форк v2ray-core).
Трюк: VLESS Reality устанавливает настоящее TLS 1.3 соединение к настоящему публичному сайту (handshake host вроде microsoft.com или cloudflare.com). TLS-handshake — настоящий; сертификат — реальный, который выдаёт этот публичный сайт. Внутри установленной сессии идут VPN-данные.
Для DPI, наблюдающего за проводом, твоё соединение выглядит идентично тому, как кто-то загружает microsoft.com из браузера. Цензор не может отличить твой трафик от любой другой HTTPS-сессии к этому хосту. Чтобы заблокировать — придётся блокировать handshake host, чего цензор обычно делать не будет.
Цена: дополнительная задержка от TLS-handshake, больше CPU на клиенте из-за криптографии, чуть выше throughput-cost чем у WireGuard. Стоит того, когда WireGuard заблокирован.
Как Fexyn использует VLESS Reality · Почему VLESS Reality обходит WireGuard в странах с цензурой.
IPSec / IKEv2
Протокол, который твоя мобильная ОС уже знает. macOS, iOS и Windows все идут с нативными клиентами IKEv2. AES-256, 3DES (deprecated), HMAC-SHA2. Сильная криптография, хорошо проаудитированная.
Скорость хорошая. Переподключение при смене сети — отличное; MOBIKE-расширение IKEv2 — одна из самых чистых историй мобильного VPN-handover среди всех протоколов. Поэтому мобильные операторы любят его для корпоративного VPN.
Обход цензуры — слабый. IKEv2 использует UDP/500 и UDP/4500 с очень узнаваемыми паттернами handshake. Везде, где фильтруют VPN по подписи, IKEv2 фильтруется сразу.
Большинство потребительских VPN включают IKEv2, потому что ОС его поддерживает, а не потому что это правильный протокол. Это удобство, не выбор безопасности.
Shadowsocks
SOCKS5-based зашифрованный прокси, изначально построен в Китае для обхода GFW. Один порт, шифрование stream- или AEAD-цифрами. Достаточно лёгкий, чтобы запускаться на $5 VPS.
Несколько лет (примерно 2017–2020) был дефолтным инструментом обхода DPI. Потом GFW научился его фингерпринтам — паттернам тайминга, отсутствию разнообразия паддинга, распределению энтропии шифротекста. К 2023-му vanilla Shadowsocks детектировался и троттлился в регионах, которые имеют значение.
Варианты вроде ShadowTLS и shadow-tls-v3 это патчат, оборачивая трафик в настоящий TLS-handshake — что структурно похоже на то, что делает VLESS Reality, но VLESS Reality начинает со свежего дизайна вместо ретрофита.
Используй Shadowsocks, если уже знаешь его. Для новых деплоев в 2026-м VLESS Reality — лучший выбор.
Подробнее в сравнении: VLESS vs Shadowsocks.
А что с Trojan?
Trojan был умным протоколом — обернуть SOCKS-соединение в TLS, который выглядит как HTTPS-сервер, с откатом на настоящую веб-страницу при неверном пароле. Умный дизайн, хорошая реализация.
Fexyn не выпускает Trojan. Причина простая: VLESS Reality покрывает тот же use case (обход DPI через настоящий TLS) и активнее поддерживается. Запускать оба означало бы две вещи, конкурирующие за одну роль без явного преимущества.
Как Fexyn выбирает за тебя
Fexyn выпускает три протокола и автоматически между ними переключается:
- Fexyn Bolt — это WireGuard. Дефолт на свободных сетях.
- Fexyn Stealth — это VLESS Reality / XRay. Для рестриктивных сетей.
- Fexyn Secure — это OpenVPN. Совместимость как fallback для самых жёстких сетей.
Движок ротации пробует протоколы в порядке, который зависит от того, что твоя сеть исторически разрешала. Ты этим не управляешь, если не хочешь. Зафиксируй протокол в настройках, если есть конкретная причина.
Мы не выпускаем IKEv2, потому что ОС уже его делает, а делать ещё раз — было бы хуже клиентом. Не выпускаем Shadowsocks, потому что VLESS Reality его покрывает.
Связанное чтение
- WireGuard на Fexyn
- OpenVPN на Fexyn
- VLESS Reality на Fexyn
- VLESS vs WireGuard
- VLESS vs Shadowsocks
- Deep packet inspection, объяснение
Попробуй Fexyn бесплатно 7 дней — все три протокола включены, с автоматической ротацией.