VPN protokolleri karşılaştırması
VPN protokolleri birbirinin yerine geçmez. Her biri farklı bir şeyi optimize eder. Çoğu tüketici VPN incelemesi bunu "WireGuard en hızlı, OpenVPN en uyumlu" diye düzleştirip orada bırakır — ki bu, sansür sınırını geçtiğinde gerçekten önemli olan protokolleri atlar.
Gerçekten ne çalıştıracağına karar veren biri için yazılmış dürüst versiyon.
Hızlı karşılaştırma
| Protokol | Hız | Güvenlik | Sansür direnci | Kurulum |
|---|---|---|---|---|
| WireGuard | Mükemmel | Güçlü, formal analiz edilmiş | Zayıf (tanınabilir imza) | Kolay |
| OpenVPN | Orta | Güçlü, çok olgun | Default zayıf, obfs ile daha iyi | Kolay |
| VLESS Reality (XRay) | İyi | Güçlü | Mükemmel (gerçek TLS handshake) | Self-host'ta zor |
| IPSec/IKEv2 | Çok iyi | Güçlü (NSA-grade) | Zayıf (iyi bilinen imza) | Mobile'da kolay |
| Shadowsocks | İyi | Yeterli | Orta (paternler artık tanınıyor) | Self-host'ta zor |
Serbest ağdaysan WireGuard varsayılan cevap. VPN'leri targetleyen bir ülkede DPI arkasındaysan, VLESS Reality bu listede ciddi şekilde tespit edilmesi zor olan tek protokol.
WireGuard
2024 sonrası her yeni VPN deployment'ı için varsayılan. Yaklaşık 4.000 satır core kod, formal analiz edilmiş. ChaCha20-Poly1305 şifreleme, Curve25519 key exchange, BLAKE2s hashing. Stateless cryptokey routing — session table tutmak yok. Handshake iki round-trip, data path sıkı.
Pratikte: düşük gecikme, hem client hem sunucuda düşük CPU, ağlar arası hızlı roaming, tipik ev bağlantısında %5 throughput kaybı.
Bedeli: protokol gizlenmeye çalışmaz. WireGuard paketleri belirgin bir şekle sahip — UDP, sabit header yapısı, mesaj tipleri 1–4. WireGuard'ı tanımak isteyen DPI sistemi bunu ucuza yapar. Türkiye, İran ve Rusya WireGuard endpoint'lerini düzenli olarak signature'a göre bloklar.
Ağı VPN'lere aktif düşman değilken WireGuard kullan.
Fexyn WireGuard'ı nasıl kullanıyor.
OpenVPN
Uyumluluk yedeği. 2001'den beri var. UDP veya TCP üzerinde çalışır. OpenSSL/mbedTLS'li control channel ve ayrı data channel sarar. Modern config TLS 1.3 + ECDSA + AES-256-GCM; eski deployment'lar hala TLS 1.2 + RSA üzerinde.
OpenVPN WireGuard'dan yavaş. Control channel daha ağır, data path daha çok userspace iş ister, paket kayıplarında TCP fallback head-of-line blocking ekler. Tanınabilir bir protokol — TCP/443'teki OpenVPN, ilk bakışta HTTPS gibi görünmesine rağmen, DPI çalıştıran herkes tarafından tespit edilebilir.
OpenVPN sana erişim verir. TCP/443 üzerinde çalışır. UDP'yi bloklayan otel ağlarında çalışır. Router'larda, NAS'larda, eski Linux distro'larında, openvpn paketi olan her şeyde çalışır. Diğer her şey başarısız olduğunda OpenVPN over TCP genelde bağlanır.
Modern OpenVPN deployment'larında büyük kazanım: kısa-ömürlü sertifikalar. Vault PKI'den 24 saatlik client cert vermek, uzun-ömürlü OpenVPN PKI'leri bezdiren cert revocation problemini ortadan kaldırır.
Fexyn OpenVPN'i nasıl kullanıyor.
VLESS Reality
Sansürlü ülkelerde DPI'ı yenmek için spesifik olarak inşa edilmiş. XRay üzerinde çalışır (v2ray-core fork'u).
Numara: VLESS Reality, gerçek bir public website'a (microsoft.com, cloudflare.com gibi handshake host) gerçek TLS 1.3 bağlantısı kurar. TLS handshake gerçek; sertifika o public site'ın gerçek sertifikası, gerçek CA tarafından imzalı. Kurulan session içinde VPN data'sı akar.
Kabloyu izleyen DPI için bağlantın, başka birinin browser'dan microsoft.com yüklemesiyle aynı görünür. Sansürcü trafiğini aynı host'a yapılan başka HTTPS oturumundan ayırt edemez. Bloklamak için handshake host'unu bloklamak gerekir — sansürcü genelde bunu yapmaz.
Maliyet: TLS handshake'ten ekstra gecikme, kriptografiden daha çok client CPU, WireGuard'dan biraz daha yüksek throughput maliyeti. WireGuard bloklandığında değer.
Türkiye için: Türk Telekom ve büyük mobile operatörler düzenli olarak DPI ile WireGuard ve OpenVPN'i yakalar. VLESS Reality bu yapıda bağlantı kalır çünkü microsoft.com'u bloklamak BTK için kabul edilemez kollateral hasar.
Fexyn VLESS Reality'yi nasıl kullanıyor · Sansürlü ülkelerde VLESS Reality WireGuard'dan neden iyi.
IPSec / IKEv2
Mobile OS'unun zaten konuştuğu protokol. macOS, iOS ve Windows native IKEv2 client'ı ile gelir. AES-256, 3DES (deprecated), HMAC-SHA2. Güçlü kriptografi, iyi auditlenmiş.
Hız iyi. Ağ değişikliğinde reconnection mükemmel — IKEv2'nin MOBIKE eklentisi tüm protokoller arasındaki en temiz mobile-VPN handover hikayelerinden biri. Mobile sağlayıcılar bu yüzden corporate VPN için sever.
Sansür direnci zayıf. IKEv2 UDP/500 ve UDP/4500 kullanır, çok tanınabilir handshake patternleri ile. VPN'leri imzaya göre filtreleyen her yer IKEv2'yi anında filtreler.
Çoğu tüketici VPN'i IKEv2 göndermesinin sebebi OS'un zaten desteklemesi — doğru protokol olduğu için değil. Bir kolaylık, bir güvenlik tercihi değil.
Shadowsocks
SOCKS5-tabanlı şifreli proxy, GFW'yı yenmek için orijinal olarak Çin'de inşa edildi. Tek-port, stream veya AEAD şifrelerle şifreli. $5 VPS'te çalışacak kadar hafif.
Birkaç yıl (yaklaşık 2017–2020) DPI-evasion için varsayılan araçtı. Sonra GFW fingerprintlerini öğrendi — timing patternleri, padding diversity eksikliği, ciphertext entropy distribution. 2023'te vanilla Shadowsocks önemli olan bölgelerde tespit ediliyor ve throttle ediliyordu.
ShadowTLS ve shadow-tls-v3 gibi varyantlar bunu trafiği gerçek TLS handshake'e sararak yamalar — bu yapısal olarak VLESS Reality'nin yaptığına benzer, ancak VLESS Reality retrofit yerine taze tasarımdan başlar.
Zaten biliyorsan Shadowsocks kullan. 2026'daki yeni deployment'lar için VLESS Reality daha iyi seçim.
Karşılaştırma: VLESS vs Shadowsocks.
Trojan ne olacak?
Trojan akıllı bir protokoldü — SOCKS bağlantısını HTTPS sunucusuna benzeyen TLS'e sarıp, yanlış parolada gerçek web sayfasına fallback yapar. Akıllı tasarım, iyi uygulama.
Fexyn Trojan göndermez. Sebep basit: VLESS Reality aynı use case'i (gerçek TLS üzerinden DPI evasion) kapsar ve daha aktif olarak maintained. İkisini de çalıştırmak iki protokolün aynı rol için yarışması anlamına gelir, ikisine de sahip olmanın net avantajı yok.
Fexyn senin için nasıl seçer
Fexyn üç protokol gönderir ve aralarında otomatik geçiş yapar:
- Fexyn Bolt WireGuard. Temiz ağlarda varsayılan.
- Fexyn Stealth VLESS Reality / XRay. Kısıtlı ağlar için.
- Fexyn Secure OpenVPN. En kilitli ağlar için uyumluluk fallback'i.
Rotation engine ağının tarihsel olarak izin verdiğine göre protokolleri sırayla dener. Sen yönetmezsin, eğer istemezsen. Spesifik bir sebebin varsa app settings'ten bir protokolü pin'le.
IKEv2 göndermiyoruz çünkü OS zaten yapıyor — tekrar yapmak sadece daha kötü bir client olurdu. Shadowsocks göndermiyoruz çünkü VLESS Reality kapsar.
İlgili okuma
- Fexyn'de WireGuard
- Fexyn'de OpenVPN
- Fexyn'de VLESS Reality
- VLESS vs WireGuard
- Deep packet inspection açıklaması
Fexyn'i 7 gün ücretsiz dene — üç protokol de dahil, otomatik rotation ile.