WireGuard vs OpenVPN

OpenVPN został wydany w 2001 roku i jest tradycyjnie postrzegany jako złoty standard w branży. Nowy protokół VPN, WireGuard szturmem podbił rynek od czasu swojej premiery w 2015 roku i obecnie zagraża pozycji OpenVPN.

W tym szczegółowym przewodniku porównujemy OpenVPN i WireGuard, aby zobaczyć, który protokół VPN warto wybrać.

Nasze kompleksowe testy laboratoryjne ujawniły, który protokół jest najlepszy w siedmiu kluczowych obszarach takich jak zabezpieczenia, prędkość, prywatność, łatwość użycia i inne.

Zdradzimy również, jak powstały poszczególne protokoły i kto za nimi stoi. Wyjaśnimy też różnice w ich działaniu.

Tabela podsumowująca: WireGuard vs OpenVPN

Oto szybkie podsumowanie prezentujące, jak OpenVPN i WireGuard wypadają w poszczególnych kluczowych kategoriach:

Kategoria	Zwycięzca
Prędkość	WireGuard WireGuard jest dwa razy szybszy od OpenVPN, jeśli zostanie poprawnie skonfigurowany.
Zabezpieczenia i szyfrowanie	Remis Żaden z protokołów nie ma znanych luk w zabezpieczeniach.
Prywatność i przechowywanie logów	OpenVPN OpenVPN można łatwo skonfigurować tak, by nie zapisywał logów. Stosując WireGuard, sieci VPN muszą podjąć dodatkowe środki, aby zapewnić użytkownikom prywatność.
Zużycie danych	WireGuard OpenVPN zużywa do 20% więcej danych, podczas gdy WireGuard tylko 4% (w porównaniu ze zużyciem bez VPN-u).
Mobilność	WireGuard WireGuard oferuje bardziej stabilne połączenie dla użytkowników mobilnych niż OpenVPN, ponieważ lepiej radzi sobie ze zmianami sieci.
Omijanie cenzury	OpenVPN OpenVPN lepiej radzi sobie z omijaniem cenzury (np. Wielkiego Chińskiego Firewalla), ponieważ może korzystać z portu 433 TCP.
Kompatybilność z VPN-ami i urządzeniami	OpenVPN OpenVPN jest obecnie obsługiwany przez wiele więcej VPN-ów i na wielu więcej urządzeniach niż WireGuard.

Połączyliśmy się z serwerami NordVPN dookoła świata, korzystając z OpenVPN lub WireGuard i zanotowaliśmy nasze prędkości połączenia:

Nasze badania wykazały, że WireGuard był konsekwentnie ponad 75% szybszy od OpenVPN, niezależnie od tego, z jakim miejscem na świecie się łączyliśmy i na jakim urządzeniu.

W przypadku połączeń na krótszych dystansach różnica była jeszcze bardziej zauważalna – WireGuard działał niemal trzy razy szybciej od OpenVPN.

Wyniki naszych testów potwierdzają badania wykonane przez NordVPN i WireGuard.

WireGuard nawiązuje połączenie znacznie szybciej od OpenVPN. Jest to ważne, ponieważ jeśli połączenie zostanie przerwane lub tunel VPN z jakiegoś powodu przestanie działać, VPN powinien być w stanie jak najszybciej ponownie się połączyć.

Badanie Ars Technica wykazało, że nawiązanie połączenia za pośrednictwem OpenVPN może zająć nawet 8 sekund, podczas gdy WireGuard potrzebuje jedynie 100 milisekund.

Zasadniczo, OpenVPN jest znacznie wolniejszy od WireGuard na naszym szybkim połączeniu internetowym. Jeśli jednak używasz VPN-u na połączeniu o przepustowości wynoszącej 100 Mb/s lub mniej, spadek prędkości nie będzie tak widoczny.

	OpenVPN	WireGuard
Szyfry i protokoły uwierzytelniania	AES, Blowfish, Camellia, ChaCha20, Poly1305 i wiele innych	ChaCha20, Poly1035
Doskonałe utajnianie z wyprzedzeniem	Obsługiwane	Obsługiwane
Znane luki	Brak	Brak

OpenVPN umożliwia korzystanie z wielu różnych szyfrów i algorytmów uwierzytelniania, natomiast WireGuard ma stały zestaw dla  każdego wydania.

To oznacza, że jeśli zostanie znaleziona luka w zabezpieczeniach algorytmu, OpenVPN może być szybko skonfigurowany do współpracy z innym. Z kolei WireGuard będzie wymagał aktualizacji oprogramowania na wszystkie urządzenia. To problematyczne, ale daje pewność, że żadne urządzenia nie korzysta nigdy z niebezpiecznego kodu.

Na obecną chwilę nie są znane żadne luki w zabezpieczeniach WireGuard ani OpenVPN.

OpenVPN używa do szyfrowania biblioteki OpenSSL, która została wydana po raz pierwszy w 1998 i została już dobrze przetestowana przez lata swojego funkcjonowania. Biblioteka obsługuje wiele różnych szyfrów, w tym AES, Blowfish i ChaCha20.

WireGuard, utworzony w 2015 nie umożliwia wyboru szyfrowania. Zamiast tego, wymusza użycie ChaCha20 do szyfrowania i Poly1305 do uwierzytelniania.

W rezultacie WireGuard wymaga znacznie mniej linijek kodu niż OpenVPN: około 4 000 w porównaniu z minimum 70 000.

Dzięki niewielkiemu rozmiarowi audyt i weryfikacja kodu WireGuard są dla specjalistów ds. cyberbezpieczeństwa o wiele łatwiejsze niż w przypadku OpenVPN. Minimalizuje to również możliwą skalę potencjalnych ataków, czego nie można powiedzieć o OpenVPN.

Ponadto, mniej linijek istotnie redukuje szansę na pojawienie się błędów w kodzie WireGuard.

Czy nowe algorytmy szyfrowania są bezpieczne?

Specjaliści ds. cyberbezpieczeństwa preferują technologie szyfrowania, które funkcjonują już od jakiegoś czasu. Dzieje się tak, ponieważ nowe algorytmy mogą czasem mieć luki, które nie zostały jeszcze zidentyfikowane. W związku z tym bezpieczniej jest wybrać sprawdzoną opcję.

W tym przypadku OpenVPN to najlepiej sprawdzona opcja. Protokół został wydany dekady przed WireGuard, a szyfr AES, z którego korzysta, jest niemal o dekadę starszy od algorytmów ChaCha20 i Poly1035 używanych przez WireGuard.

Jednak w praktyce, stosunkowa nowość WireGuard nie stanowi dużego zagrożenia dla bezpieczeństwa. Istnieją ku temu trzy główne powody:

1. Niewielka baza kodu WireGuard oznacza, że można ją poddać szybkiemu audytowi. Niweluje to wiele obaw związanych z brakiem rygorystycznych testów bezpieczeństwa protokołu, ponieważ eksperci mogą sprawdzić jego kod znacznie szybciej niż kod OpenVPN.
2. ChaCha20 jest bardzo bezpieczny. Liczba „20” w „ChaCha20” oznacza, że zachodzi 20 rund szyfrowania, aby chronić dane. W 2008 roku ChaCha7 (z siedmioma rundami) został złamany, jednak ChaCha8 pozostaje niezłamany po dziś dzień. Możesz więc mieć absolutną pewność, że ChaCha20 oferuje wystarczający poziom bezpieczeństwa.
3. Aprobata Linuksa i Google. Linus Torvalds, twórca Linuksa powiedział: „Chciałbym jeszcze raz podkreślić, że uwielbiam [WireGuard]… Może kod nie jest perfekcyjny, ale przejrzałem go i w porównaniu do horrorów zawartych w OpenVPN oraz IPSec, to prawdziwe dzieło sztuki. ” WireGuard został od tego czasu włączony do jądra Linuksa, co stanowi ważną aprobatę jego poziomu bezpieczeństwa. Również Google używa teraz ChaCha20 i Poly1305 do szyfrowania ruchu na swoich urządzeniach z Androidem od 2014 roku.

	Przechowywanie logów	Rozwiązanie
OpenVPN	Domyślny tryb verbose przechowuje adresy IP	Drobna konfiguracja serwera, bezdyskowe serwery
WireGuard	Domyślna konfiguracja przechowuje adresy IP	Podwójny NAT, bezdyskowe serwery

Kluczowa cecha bezpiecznego VPN-u to nieprzechowywanie danych umożliwiających identyfikację użytkowników. Dotyczy to również protokołów VPN.

Konfigurując serwery OpenVPN, usługa VPN musi wybrać poziom rejestrowania serwera, znany również jako „szczegółowość pliku”. Najniższy poziom 0 rejestruje minimalne informacje, natomiast najwyższy, 9 zapisuje już całkiem sporo poufnych danych.

Podczas naszych badań odkryliśmy, że OpenVPN domyślnie ma włączony poziom 3, który zapisuje prawdziwe adresy IP i nazwy użytkowników.

Na szczęście, zmiana na niższy poziom, by uniknąć rejestrowania adresu IP, jest bardzo łatwa. Można to osiągnąć, konfigurując serwer tak, aby regularnie usuwał wszystkie informacje.

Należy jednak mieć na uwadze, że bez niezależnego audytu trudno powiedzieć, czy poziom faktycznie został zmieniony.

Podobnie WireGuard wymaga przechowywania dozwolonych adresów IP na serwerze do czasu jego ponownego uruchomienia.

Budzi to pewne obawy z punktu widzenia prywatności, ponieważ jeśli serwer zostanie przejęty, adres IP może zostać użyty do zidentyfikowania Twojej aktywności, co eliminuje główną korzyść wynikającą z użycia VPN-u.

Pamiętaj więc, że jeśli korzystasz ze standardowej implementacji WireGuard, Twój adres IP prawdopodobnie jest zapisywany – przynajmniej na czas trwania sesji.

Na szczęście większość komercyjnych usług VPN obsługujących WireGuard wprowadziła stosowne obejścia, które minimalizują ryzyko dla prywatności. Przykładowo:

• NordVPN: NordVPN połączył WireGuard ze swoją autorską technologią Double Network Address Translation (NAT), aby stworzyć NordLynx. Zamiast przechowywać Twój statyczny adres IP do czasu ponownego uruchomienia serwera, NordLynx przypisuje unikatowy dynamiczny adres IP każdemu tunelowi VPN. Dzięki temu każda sesja ma inny adres IP, który jest aktywny tak długo, jak trwa sesja.
• Mullvad: Aby zmaksymalizować prywatność podczas korzystania z WireGuard, Mullvad usuwa Twój adres IP ze swojego serwera po 10 minutach bezczynności. Dodatkowo Mullvad sugeruje użycie swojej funkcji multi-hop, aby przekierować ruch przez dwa lub więcej serwerów podczas korzystania z WireGuard.
• IVPN: IVPN usuwa Twój adres IP po trzech minutach bezczynności. Ponadto, generuje nowy losowy adres IP co 24 godziny, aby uniknąć problemów związanych z korzystaniem ze statycznego IP.

Powyższe środki będą wystarczające dla większości użytkowników. Jeśli jednak mieszkasz w kraju stosującym surową cenzurę lub w kraju, gdzie używanie VPN-ów jest nielegalne, prawdopodobnie nie warto ryzykować.

Jeżeli martwisz się o swoją prywatność, warto zapytać swojego dostawcy VPN, co robi, aby zapewnić bezpieczeństwo użytkownikom WireGuard.

Korzystanie z usługi VPN zawsze zwiększa zużycie danych. Dzieje się tak, ponieważ proces tunelowania wymaga wysyłki dodatkowych informacji przez Internet, co prowadzi do zwiększonego zużycia.

Dodatkowe zużycie może mieć wpływ na prędkość Twojego VPN-u. W związku z tym możesz wydać więcej pieniędzy lub szybciej osiągnąć swój limit wynikający z umowy z operatorem.

Protokół, z którego korzystasz, ma wpływ na to, ile dodatkowych danych zużywasz. Nasze badania wykazały, że WireGuard zużywa znacznie mniej danych niż OpenVPN.

 

WireGuard zużywa tylko 4,53% więcej danych, podczas gdy OpenVPN UDP aż 17,23%. W przypadku OpenVPN TCP zużycie jest jeszcze większe i wynosi 19,6%.

WireGuard zużywa najmniej danych ze wszystkich protokołów VPN, które sprawdziliśmy, w tym IKEv2 i PPTP. Z drugiej strony, OpenVPN zużywa ich najwięcej.

Aby sprawdzić zużycie danych przez każdy protokół, użyliśmy aplikacji WireGuard i OpenVPN na Linuksie, a następnie obliczyliśmy, ile danych dodały do naszego połączenia w porównaniu ze zużyciem bez VPN-u.

W każdym teście skopiowaliśmy plik o wielkości 209 MB między dwoma wirtualnymi serwerami. Testy powtórzyliśmy trzykrotnie i  na tej podstawie obliczyliśmy średni wzrost zużycia.

Urządzenia mobilne często przełączają się między sieciami komórkowymi i Wi-Fi. Dobry protokół VPN powinien być w stanie sprawnie i skutecznie poradzić sobie z tym zadaniem.

WireGuard jest o wiele lepszy od OpenVPN, jeśli chodzi o mobilność, bez problemu zmienia sieci. OpenVPN z kolei bywa problematyczny, gdy użytkownicy regularnie przełączają się między sieciami.

W związku z tym wiele usług VPN wybrało inny protokół dla urządzeń mobilnych – IKEv2.

IKEv2 to stosunkowo dobry protokół VPN, ale nie udostępnia swojego kodu źródłowego. Niektórzy obawiają się, że mógł zostać złamany przez NSA. WireGuard oferuje nowe rozwiązanie tego problemu. W dodatku jest on dostępny na licencji open-source.

Jeśli korzystasz z VPN-u w drodze, WireGuard będzie dla Ciebie lepszą opcją niż OpenVPN.

OpenVPN i WireGuard to niezawodne protokoły VPN, które zapewniają stabilne połączenie z Internetem w niemal wszystkich warunkach.

Jednak tylko OpenVPN oferuje możliwość wyboru protokołu komunikacyjnego TCP. Pomaga on ominąć surową cenzurę, ponieważ połączenia TCP są w stanie skorzystać z portu 443, którego używa zwykły ruch HTTPS.

Jest mało prawdopodobne, że systemy cenzury w krajach takich jak Chiny, Rosja czy Turcja zablokują port 443 – oznaczałoby to konieczność wstrzymania całej niezbędnej aktywności jak bankowość internetowa czy zakupy online.

Krótko mówiąc, OpenVPN jest skuteczniejszy, jeśli chodzi o omijanie cenzury niż WireGuard, ponieważ WireGuard nie działa z TCP.

Zwykle zalecamy korzystanie z UDP, jeśli masz taką możliwość, ponieważ dany protokół jest szybszy, skuteczniejszy i równie stabilny w tunelu VPN. Jeżeli jednak chcesz ominąć zaporę sieciową lub obejść cenzurę, wybierz protokół TCP.

Usługi VPN zwykle używają go domyślnie, gdy próbujesz połączyć  się z Chin.

Odkryliśmy, że niemal we wszystkich przypadkach, gdy usługodawca VPN oferuje WireGuard i OpenVPN, sieć automatycznie przechodzi na OpenVPN, gdy próbujesz połączyć się z Chin.

Sprawdziliśmy też kilka usług VPN działających w Chinach, aby zobaczyć, który protokół (Open VPN czy WireGuard) lepiej radzi sobie z Wielkim Chińskim Firewallem:

• Astrill VPN pokonał cenzurę zarówno za pomocą OpenVPN, jak i WireGuard.
• Private Internet Access (PIA) był w stanie nawiązać połączenie tylko za pomocą OpenVPN.  WireGuard okazał się nieskuteczny.

OpenVPN jest natywnie obsługiwany przez niemal wszystkie komercyjne usługi VPN. Niestety, WireGuard nie jest aż tak szeroko dostępny.

Protokół szybko jednak nadrabia zaległości. Mimo że został wydany dopiero w 2015 roku, został już wdrożony przez wiele renomowanych VPN-ów – często zarówno na komputerach stacjonarnych, jak i urządzeniach mobilnych.

Oto tabelka informująca, które protokoły są obsługiwane przez 10 najpopularniejszych VPN-ów:

Protokół VPN	ExpressVPN	NordVPN	CyberGhost	IPVanish	Surfshark	PrivateVPN	PIA	Windscribe	Proton VPN	Astrill
OpenVPN	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
WireGuard	✗	✓	✓	✓	✓	✗	✓	✓	✓	✓

Zazwyczaj większość VPN-ów używa OpenVPN jako domyślnego protokołu, zwłaszcza na komputerach. Zauważyliśmy jednak, że coraz więcej dostawców decyduje się na WireGuard.

Przykładowo, CyberGhost domyślnie korzysta z WireGuard na Androidzie i iOS, a NordVPN stosuje swoją wersję WireGuard (NordLynx) jako domyślny protokół dla większości swoich aplikacji.

OpenVPN i WireGuard to dwa rodzaje protokołów VPN. Protokół VPN to technologia używana do stworzenia bezpiecznego tunelu między Twoim urządzeniem i serwerem VPN.

Inaczej mówiąc, protokół VPN stanowi kluczowy element umożliwiający działanie sieci VPN.

Możesz używać OpenVPN lub WireGuard niezależnie, aby stworzyć własne połączenie VPN. Zazwyczaj jednak są one częścią osobistych usług VPN.

Oto przegląd głównych cech obu protokołów:

	OpenVPN	WireGuard
>Data wydania	2001	2015
Open Source	Tak	Tak
Długość kodu	ponad 70 tys. linijek	~ 4 tys. linijek
Prędkość	Umiarkowana	Bardzo wysoka
Zużycie danych	Wysokie	Bardzo niskie
Zabezpieczenia i szyfrowanie	Bardzo silne	Bardzo silne
Prywatność	Wymaga konfiguracji	Wymaga konfiguracji
Kompatybilność	Szeroko obsługiwany	Szeroko obsługiwany

OpenVPN

Oryginalne oprogramowanie OpenVPN zostało stworzone w 2001 roku przez Jamesa Yonana.

Yonan zbudował OpenVPN, aby upewnić się, że jego połączenie będzie prywatne podczas podróży przez Azję Centralną i używania azjatyckich oraz rosyjskich połączeń internetowych.

Dzisiaj, Yonan jest dyrektorem technicznym OpenVPN Inc. Firma oferuje usługi B2B oraz działający protokół OpenVPN.

Dyrektor generalny i założyciel firmy, Francis Dinha dorastał w Iraku i podziela obawy Yonana dotyczące ochrony prywatności przed państwową inwigilacją.

Oprogramowanie OpenVPN zostało pobrane ponad 60 milionów razy i prawie każdy współczesny VPN obsługuje ten protokół.

OpenVPN jest dostępny na licencji open-source, co oznacza, że każdy może sprawdzić jego kod źródłowy.

Przez ponad dekadę OpenVPN był uważany za wzór bezpieczeństwa VPN. Jednak wraz z wydaniem WireGuard, pojawił się nowy pretendent do tego zaszczytnego tytułu.

WireGuard

WireGuard został stworzony przez Jasona A. Donenfelda z Edge Security. Pierwsza stabilna wersja pojawiła się na rynku we wrześniu 2015 roku.

WireGuard został zaprojektowany, aby ulepszyć istniejące protokoły VPN – jest prostszy, szybszy i łatwiejszy w użyciu.

W przeciwieństwie do OpenVPN WireGuard jest „kryptograficznie zarozumiały”, jak określił to sam Donenfeld. Oznacza to, że wybrał jedno rozwiązanie dla wszystkich aspektów bezpieczeństwa usług VPN.

W rezultacie WireGuard obejmuje mniej opcji niż OpenVPN, ale jest również znacznie mniej skomplikowany.

Podobnie jak OpenVPN, WireGuard również udostępnia swój kod źródłowy.

Mimo że został wydany dopiero we wrześniu 2015 roku, WireGuard jest już obsługiwany przez wiele usług VPN. Przykładowo NordVPN zbudował swój autorski protokół na jego podstawie.