Глоссарий
OpenVPN vs SSTP
SSTP только для Windows и проприетарен от Microsoft. OpenVPN — кроссплатформенный и open-source. OpenVPN выигрывает в любом современном кейсе.
SSTP (Secure Socket Tunneling Protocol) — VPN-протокол от Microsoft, появившийся в Windows Server 2008. Туннелирует PPP-трафик внутри SSL/TLS. OpenVPN — open-source кроссплатформенный аналог. Сравнение простое: OpenVPN выигрывает в портируемости и открытости; главный плюс SSTP — нативная интеграция с Windows.
Сравнение
| OpenVPN | SSTP | |
|---|---|---|
| Год | 2001 | 2007 (с Windows Server 2008) |
| Источник | Open-source | Проприетарно Microsoft |
| Кроссплатформенность | Да (все основные ОС) | Нативно Windows; ограниченно где-либо ещё |
| Аудит кода | Множественные публичные | Закрытый код, публичных аудитов нет |
| Транспорт | UDP или TCP | TCP (TLS на 443 порту) |
| Скорость | Сравнима | Сравнима |
| Конфигурируемость | Огромная | Ограниченная |
| Нативная поддержка iOS/Android | Через OpenVPN Connect | Ограниченная сторонняя поддержка |
Зачем существует SSTP
Microsoft сделал SSTP, чтобы дать VPN-протокол, который:
- Работает по TCP/443 (выглядит как HTTPS для фаерволов)
- Нативно интегрируется с аутентификацией Windows
- Использует TLS для шифрования (привычно для админов Windows)
- Работает там, где IPsec блокируется
Нативная Windows-интеграция реально полезна в Microsoft-средах. Доменная аутентификация, групповые политики, развёртывание VPN на Windows Server — всё это с SSTP интегрируется чисто. В чисто-Windows enterprise это путь наименьшего сопротивления.
Почему OpenVPN выигрывает у большинства
OpenVPN делает всё, что делает SSTP, плюс больше:
- Кроссплатформенность. Linux, macOS, iOS, Android, FreeBSD, embedded — везде есть клиенты OpenVPN. SSTP вне Windows ограничен; есть сторонние клиенты, но не мейнстрим.
- Open-source. Код открыт. Множественные аудиты за годы. SSTP закрыт; ревью безопасности зависит от внутренних процессов Microsoft.
- TCP-443 для обхода фаервола. OpenVPN-TCP-443 — стандартный выбор для обхода фаервола в сетях без активного DPI. И OpenVPN-TCP-443, и SSTP выглядят как HTTPS на сетевом уровне; OpenVPN гибче.
- Сообщество и инструменты. Гораздо больше документации, ресурсов по диагностике, матриц совместимости.
Специфичные проблемы SSTP
Несколько особенностей:
- Закрытый протокол. Часть деталей поведения SSTP документирована только в спецификациях Microsoft, которые публичны, но неудобны для самостоятельной реализации. Сторонний клиент SSTP требует реверс-инжиниринга.
- Историческая слабость MS-CHAP-v2. Старые конфиги SSTP с MS-CHAP-v2 имеют серьёзные криптографические уязвимости (взломан в 2012). Современные конфиги используют сильнее аутентификацию; legacy-развёртывания могут не использовать.
- Ограниченная мобильная поддержка. В нативной iOS и macOS SSTP нет. На Android есть сторонние клиенты разного качества. Мобильная история заметно хуже OpenVPN.
Когда SSTP имеет смысл
Конкретные ситуации:
- Чисто-Windows enterprise. Active Directory, Windows Server VPN, IT-команды, владеющие Windows, но не OpenVPN. SSTP интегрируется чисто.
- Фаерволы, пропускающие HTTPS, но блокирующие все известные VPN. SSTP идёт через TCP/443 с TLS; некоторые фаерволы не отличают его от HTTPS. У OpenVPN-TCP-443 то же свойство; преимущество SSTP минимально.
Для потребительских VPN — ничего из этого. SSTP редко бывает в фичелистах потребительских VPN; когда есть — это обычно legacy.
Что поставляет Fexyn
Fexyn Secure — это OpenVPN. SSTP не поставляем. У современного потребительского VPN-провайдера нет ничего, что давал бы SSTP сверх OpenVPN-TCP-443.
Попробуй Fexyn бесплатно 7 дней — Bolt (WireGuard) по умолчанию, Secure (OpenVPN) для совместимости, Stealth (Reality) для DPI-плотных сетей.
Связанные термины
Попробуй Fexyn бесплатно 7 дней
Приложение для Windows доступно сейчас в бета-версии. WireGuard, VLESS Reality и OpenVPN — без логов истории просмотров, DNS-запросов и содержимого трафика.
Цены