Глоссарий
WireGuard vs IKEv2
Оба — быстрые современные протоколы. WireGuard проще, с меньшей кодовой базой. У IKEv2 лучше мобильность (MOBIKE) при смене сети.
IKEv2 (часто в паре с IPsec, пишется IKEv2/IPsec) — VPN-протокол, разработанный совместно Microsoft и Cisco, стандартизованный в RFC 5996 и 7296. WireGuard — современный претендент. Оба разумные варианты для общего использования; разница меньше, чем между WireGuard и OpenVPN.
Сравнение
| WireGuard | IKEv2/IPsec | |
|---|---|---|
| Год | 2016 | 2005 |
| Кодовая база | ~4 000 строк | Различные IPsec-стеки, большие |
| Шифр | ChaCha20-Poly1305 | Различные; современный: AES-256-GCM |
| Транспорт | UDP | UDP (шифрованный IPsec) |
| Мобильность | Ограниченная | MOBIKE — сильная |
| Скорость | Быстрее | Сравнимая |
| Встроенная поддержка | iOS через приложение, Linux нативно | iOS нативно, macOS нативно, Windows |
| Аудит | Множественный | Ограниченный per-stack |
Мобильность (MOBIKE)
Отличительная фича IKEv2. MOBIKE (Mobility and Multihoming Protocol, RFC 4555) позволяет соединению переживать смену underlying сети — переключение Wi-Fi → сотовая, изменения IP в пути, sleep-wake циклы. Реализация Apple на iOS использует MOBIKE; ощущение — VPN бесшовно переживает сетевые переходы.
У WireGuard прямого MOBIKE-эквивалента нет. Часть клиентов реализуют логику переподключения, имитирующую поведение, но протокольной поддержки не хватает. Для очень мобильных пользователей (commuters, частые путешественники) IKEv2 исторически имел значимое преимущество.
На практике современные WireGuard-клиенты переподключаются достаточно быстро, чтобы разница была мала. Sub-second реконнекты на большинстве сетей. Преимущество MOBIKE проявляется больше всего на сетях с медленным handover.
Скорость
Оба быстрые. Бенчмарки варьируются, но обычно WireGuard на 5-10% быстрее на одном соединении. Overhead протокола похож; меньшая кодовая база WireGuard даёт маржинальный CPU efficiency.
Для большинства пользователей скорость не решающий фактор между этими двумя — разница маленькая, и доминируют другие факторы.
Встроенная поддержка
iOS, macOS и Windows имеют нативные IKEv2/IPsec стеки, встроенные в ОС. Сторонние приложения не нужны; настройка — в системных параметрах сети. Значимое операционное преимущество.
WireGuard требует приложение (официальные WireGuard-приложения или клиент VPN-провайдера). Linux имеет kernel-поддержку WireGuard с 5.6.
Для пользователей, специально предпочитающих OS-уровень настройки VPN сторонним приложениям, IKEv2 имеет преимущество.
Конфигурируемость
IKEv2/IPsec имеет больше конфигурируемости — разные DH-группы, разные опции ESP-шифров, поведение NAT-T, различные режимы инкапсуляции. WireGuard сознательно минимален.
Для пользователей коммерческого VPN разница в конфигурируемости в основном невидима (провайдер настраивает). Для self-hoster или enterprise IT гибкость IKEv2 иногда полезна.
Когда что использовать
WireGuard: современные клиенты, performance-чувствительное использование, простая история аудита. Дефолтный выбор.
IKEv2: нативное использование iOS/macOS без сторонних приложений, частые сценарии handover (commuting, путешествия), enterprise-среды с существующей IPsec-инфраструктурой.
Для большинства пользователей оба работают. WireGuard — маржинальный дефолт. IKEv2 разумен, если конкретно нужна MOBIKE-стиль мобильность или нативная OS-поддержка.
Что поставляет Fexyn
Fexyn Bolt — это WireGuard. IKEv2 как основной протокол не поставляем — большинству пользователей он не нужен, и наша инфраструктура оптимизирована под WireGuard плюс VLESS Reality (Stealth). Кому нужен именно IKEv2 — провайдеры вроде Mullvad и ProtonVPN предлагают его как опцию.
Попробуй Fexyn бесплатно 7 дней — Bolt (WireGuard) для общего использования; Stealth (Reality) для DPI-плотных сетей.
Связанные термины
Попробуй Fexyn бесплатно 7 дней
Приложение для Windows доступно сейчас в бета-версии. WireGuard, VLESS Reality и OpenVPN — без логов истории просмотров, DNS-запросов и содержимого трафика.
Цены