Что такое OpenVPN

OpenVPN — это протокол VPN с 2001 года. Это запасной вариант на совместимость, который работает почти везде: роутеры, NAS-боксы, древние Linux-дистрибутивы, гостиничные сети, блокирующие UDP. Когда WireGuard и VLESS Reality оба не работают, OpenVPN поверх TCP/443 обычно всё равно подключается.

Как OpenVPN работает

OpenVPN использует два канала:

• Контрольный канал — обрабатывает аутентификацию и обмен ключами, обёрнут в TLS на OpenSSL или mbedTLS. Тот же TLS, который браузер использует для HTTPS.
• Канал данных — несёт твой реальный VPN-трафик, шифруется симметричным шифром, согласованным на контрольном канале.

Современный деплой использует TLS 1.3, ECDSA-сертификаты и AES-256-GCM. Старые деплои всё ещё работают на TLS 1.2 и RSA, что криптографически нормально, но медленнее.

OpenVPN может работать на UDP (быстрее) или TCP (совместимее). UDP — по умолчанию. TCP — fallback, когда UDP заблокирован, что случается на гостиничных сетях, больничных сетях и корпоративных сетях, агрессивно фильтрующих исходящий UDP.

В чём OpenVPN выигрывает

Охват. OpenVPN поверх TCP/443 на первый взгляд похож на HTTPS-соединение. Работает на том же порту, что веб-трафик. Гостиничные фаерволы и корпоративные прокси, блокирующие VPN по портам, не могут заблокировать OpenVPN-over-443, не заблокировав одновременно сайты.

Зрелость. OpenVPN многократно аудировали, он развёрнут в продакшне два десятилетия и работает фактически на каждой ОС. Возраст протокола здесь — сила: каждый странный edge-кейс уже встречался и пропатчен.

В чём OpenVPN проигрывает

Скорость. OpenVPN ощутимо медленнее WireGuard. Контрольный канал тяжелее, data-path требует больше работы в userspace, а TCP-fallback добавляет head-of-line blocking при потере пакетов. На быстром домашнем соединении throughput заметно ниже WireGuard.

Узнаваемость. Несмотря на работу на порту 443, паттерны трафика OpenVPN определяются DPI. Целеустремлённый цензор может фингерпринтить handshake OpenVPN и блокировать его. Поэтому одного OpenVPN недостаточно в Иране или России.

Проблема отзыва сертификатов — долгоживущие OpenVPN-сертификаты создают риск, который трудно митигировать без серьёзной инфраструктурной работы.

Современные деплои OpenVPN

Главное улучшение последних лет — короткоживущие сертификаты. Вместо выдачи 12-месячного клиентского сертификата, который надо отзывать при компрометации, выдаётся 24-часовой сертификат из Vault PKI. Если он утечёт, окно утечки ограничено.

Fexyn делает именно так. Fexyn Secure использует OpenVPN с 24-часовыми сертификатами, выданными Vault PKI. Конфигурация также форсит DNS через туннель и использует AES-256-GCM с TLS 1.3.

Подробнее об OpenVPN на Fexyn или сравни его с альтернативами в сравнении протоколов.

Попробуй Fexyn бесплатно 7 дней — Secure используется автоматически как fallback, когда более быстрые протоколы заблокированы.