WireGuard vs OpenVPN

WireGuard и OpenVPN — два самых развёрнутых VPN-протокола в 2026. WireGuard — современный выбор. OpenVPN — legacy с продолжающимся операционным использованием. Компромиссы понятные и стабильные.

Сравнение

	WireGuard	OpenVPN
Год	2016 (production 2020)	2001
Кодовая база	~4 000 строк	~600 000 строк
Шифр	ChaCha20-Poly1305	AES-256-GCM (по умолчанию)
Транспорт	UDP (всегда)	UDP или TCP
Скорость	Быстрее	Медленнее (особенно TCP)
Время подключения	Меньше секунды	2-5 секунд обычно
Конфигурируемость	Минимальная	Огромная
Обход фаервола	Ограниченный (только UDP)	Сильный (режим TCP-443)
История аудита	Множественная	Множественная

WireGuard выигрывает с заметным отрывом. Overhead протокола примерно 5-10% на чистом соединении; overhead OpenVPN обычно 15-25% по UDP, больше по TCP. Наши бенчмарки показывают WireGuard ~890 Mbps против OpenVPN ~720 Mbps на одном 1Gbps source-соединении до локального VPN-сервера.

Причины: меньшая кодовая база, меньше overhead протокола на пакет, нет TLS handshake (WireGuard использует Noise framework с более простой криптографией), работа в kernel space на Linux для дополнительного ускорения.

Безопасность

Оба считаются криптографически правильными в 2026.

WireGuard использует фиксированную современную криптографию: ChaCha20-Poly1305 для симметричного шифрования, X25519 для key exchange, BLAKE2s для хеширования. Никакой переговоров; никаких атак протокольного даунгрейда.
OpenVPN поддерживает много вариантов шифров; современная рекомендуемая конфигурация — AES-256-GCM с ECDHE. Старые конфиги (Blowfish, слабые DH-группы) не должны использоваться в 2026.

Меньшая кодовая база WireGuard — структурное преимущество: меньше attack surface, проще аудитировать. Множественные независимые аудиты не нашли значимых проблем. OpenVPN аудируется с 2001 и многократно патчился; зрелость — актив, но большая кодовая база имеет более длинную историю CVE.

Конфигурируемость

OpenVPN выигрывает в гибкости. Поддерживает TCP и UDP, выбор порта (обычно 443 для обхода фаервола), различные топологии туннеля, аутентификацию по сертификату или паролю, множественные опции шифров, поддержку очень старых систем и обширный скриптинг через плагины.

WireGuard сознательно минимален. UDP-only, один шифр, простая аутентификация по парам ключей. Минимализм — фича; даёт предсказуемое поведение и маленький attack surface. Также ограничивает use cases.

Обход фаервола

OpenVPN over TCP на порту 443 выглядит как обычный HTTPS для фаервола. Многие корпоративные и школьные сети, блокирующие весь "VPN-трафик", пропускают OpenVPN-TCP-443, потому что не могут легко отличить его от веб-браузинга.

WireGuard работает только по UDP. Сети, полностью блокирующие UDP (часть корпоративных фаерволов, часть отельных Wi-Fi), не могут подключиться к WireGuard вообще. Это реальное ограничение.

Для пользователей в сетях с активной фильтрацией VPN-протоколов (Россия, Китай, Иран, ОАЭ, Пакистан) ни тот ни другой недостаточен. VLESS Reality + Vision — это класс протоколов, который работает в этих средах.

Когда что использовать

WireGuard: чистые сети, мобильное использование, performance-чувствительные приложения. Дефолт для большинства современных VPN-клиентов, включая Fexyn (где Bolt = WireGuard). Используй, если нет конкретной причины не использовать.

OpenVPN-UDP: когда WireGuard недоступен на платформе. Часть embedded-систем и старого сетевого оборудования поддерживают OpenVPN, но не WireGuard.

OpenVPN-TCP-443: сети, блокирующие UDP или известные VPN-протоколы на сетевом уровне, но пропускающие TCP-443. Медленно, но работает.

Ни то ни другое: сети с активным DPI на VPN-протоколах. Используй VLESS Reality (Fexyn Stealth).

Что поставляет Fexyn

Fexyn Bolt — это WireGuard. Fexyn Secure — это OpenVPN. По умолчанию Bolt; Secure — fallback совместимости. Для DPI-плотных сетей переключайся на Stealth (VLESS Reality + Vision).

Попробуй Fexyn бесплатно 7 дней — Bolt по умолчанию, Secure как fallback, Stealth для цензурируемых рынков.