WireGuard vs OpenVPN

WireGuard został zaprojektowany z myślą o prędkości. OpenVPN nie. W związku z tym WireGuard jest znacznie szybszy od OpenVPN.

Protokół WireGuard jest zoptymalizowany, aby używać wielu rdzeni procesorów jednocześnie i stosuje szybsze metody szyfrowania.

Własne pomiary WireGuard sugerują, że protokół jest co najmniej 3 razy szybszy od OpenVPN – jego przepustowość wynosi 1011 Mb/s w porównaniu do 258 Mb/s w przypadku OpenVPN.

Zespół WireGuard przyznaje jednak, że wyniki te są przestarzałe, a testy nie zostały przeprowadzone w optymalnych warunkach.

W związku z powyższym przeprowadziliśmy własne badania, aby sprawdzić, który protokół jest szybszy.

WireGuard jest szybszy od OpenVPN w większości sieci VPN

NordVPN to doskonała sieć VPN i jedna z pierwszych, które obsługują zarówno WireGuard, jak i OpenVPN. W związku z tym idealnie nadaje się do przeprowadzenia testu prędkości.

Połączyliśmy się z serwerami NordVPN dookoła świata za pomocą protokołu OpenVPN (UDP) i NordLynx (WireGuard), a następnie zarejestrowaliśmy uzyskane prędkości połączenia.

Oto podsumowanie naszych wyników testów prędkości OpenVPN i WireGuard:

Lokalizacja serwera	OpenVPN (UDP)	WireGuard (NordLynx)
Stany Zjednoczone	142 Mb/s	254 Mb/s (79% szybszy)
Wielka Brytania	135 Mb/s	286 Mb/s (112% szybszy)
Niemcy	131 Mb/s	277 Mb/s (111% szybszy)
Japonia	139 Mb/s	269 Mb/s (94% szybszy)
Australia	118 Mb/s	207 Mb/s (75% szybszy)

Alternatywnie, oto wizualna reprezentacja naszych ustaleń dotyczących prędkości OpenVPN w porównaniu z WireGuard:

Nasze badania wykazały, że WireGuard był konsekwentnie ponad 75% szybszy od OpenVPN, niezależnie od tego, z jakim miejscem na świecie się łączyliśmy.

W przypadku połączeń na krótszych dystansach różnica była jeszcze bardziej zauważalna – WireGuard działał ponad dwa razy szybciej od OpenVPN.

Uzyskane wyniki potwierdzają to, co firma NordVPN zaobserwowała, porównując NordLynx i OpenVPN. Przeprowadzała 8 200 zautomatyzowanych testów dziennie przez miesiąc i doszła do wniosku, że NordLynx był do 2 razy szybszy od OpenVPN.

Przeprowadziliśmy podobne testy z innymi usługami VPN, które działają z oboma protokołami. Oto nasze rezultaty:

	Surfshark VPN		Mullvad VPN		Private Internet Access
Kraj	OpenVPN	WireGuard	OpenVPN	WireGuard	OpenVPN	WireGuard
Stany Zjednoczone	110 Mb/s	261 Mb/s	64 Mb/s	331 Mb/s	92 Mb/s	28 Mb/s
Wielka Brytania	121 Mb/s	286 Mb/s	345 Mb/s	345 Mb/s	228 Mb/s	181 Mb/s
Australia	78 Mb/s	235 Mb/s	261 Mb/s	269 Mb/s	111 Mb/s	18 Mb/s

Podobnie jak w przypadku NordVPN, WireGuard okazał się szybszym protokołem zarówno dla użytkowników Surfshark, jak i Mullvad.

Warto zwrócić uwagę na wyniki Private Internet Access (PIA). Ponieważ WireGuard to stosunkowo nowy protokół, kilka oferujących go usług VPN nie zoptymalizowało jeszcze swoich aplikacji, aby zmaksymalizować jego wydajność.

Mullvad jest świetnym studium przypadku w tym aspekcie. Pod koniec kwietnia 2021 roku wydał aktualizację, która pozwoliła na lepszą integrację WireGuard z usługą.

Przed aktualizacją VPN był około 70% wolniejszy z WireGuard niż z OpenVPN. Po aktualizacji WireGuard jest obecnie najszybszym protokołem, jakiego można użyć z Mullvad.

Spodziewamy się podobnego trendu w przypadku innych VPN-ów, takich jak PIA, ponieważ pracują one nad ulepszeniem WireGuard jako części swojej usługi.

W powyższym filmie możesz zobaczyć różnicę między OpenVPN (UDP) i WireGuard w czasie rzeczywistym podczas naszych testów za pomocą Proton VPN. Różnica prędkości pobierania była bezdyskusyjna: OpenVPN osiągał średnio 250 Mb/s, a WireGuard 335 Mb/s.

Czas do połączenia

WireGuard również szybciej nawiązuje połączenie niż OpenVPN. Jest to ważne, ponieważ jeśli połączenie zostanie utracone, lub tunel VPN zostanie z jakiegoś powodu przerwany, chcesz przecież, aby Twój VPN szybko połączył się ponownie.

Badanie Ars Technica wykazało, że nawiązanie połączenia za pośrednictwem OpenVPN może zająć nawet 8 sekund, podczas gdy WireGuard potrzebuje jedynie 100 milisekund.

OpenVPN i WireGuard to dwa rodzaje protokołów VPN. Protokół VPN to technologia używana do stworzenia bezpiecznego tunelu między Twoim urządzeniem i serwerem VPN.

Inaczej mówiąc, protokół VPN stanowi kluczowy element umożliwiający działanie sieci VPN.

Możesz używać OpenVPN lub WireGuard niezależnie, aby stworzyć własne połączenie VPN. Zazwyczaj jednak są one częścią osobistych usług VPN.

Oto przegląd głównych cech obu protokołów:

Cecha	OpenVPN	WireGuard
Data wydania	Maj 2001 roku	Wrzesień 2019 roku
Szyfrowanie	AES, Blowfish, Camellia	ChaCha20, Poly1305
Długość kodu	Ponad 70 000 linijek	~ 4 000 linijek
Open Source	Tak	Tak
Zabezpieczenia	Silne	Silne
Prywatność	Wysoka	Wymaga dodatkowych zabezpieczeń
Prędkość	Umiarkowana	Wysoka

OpenVPN

Oryginalne oprogramowanie OpenVPN zostało stworzone w 2001 roku przez Jamesa Yonana.

Yonan zbudował OpenVPN, aby upewnić się, że jego połączenie będzie prywatne podczas podróży przez Azję Centralną i używania azjatyckich oraz rosyjskich połączeń internetowych.

Dzisiaj, Yonan jest dyrektorem technicznym OpenVPN Inc. Firma oferuje usługi B2B oraz działający protokół OpenVPN.

Dyrektor generalny i założyciel firmy, Francis Dinha dorastał w Iraku i podziela obawy Yonana dotyczące ochrony prywatności przed państwową inwigilacją.

Oprogramowanie OpenVPN zostało pobrane ponad 60 milionów razy i prawie każdy współczesny VPN obsługuje ten protokół.

OpenVPN jest dostępny na licencji open-source, co oznacza, że każdy może sprawdzić jego kod źródłowy.

Przez ponad dekadę OpenVPN był uważany za wzór bezpieczeństwa VPN. Jednak wraz z wydaniem WireGuard, pojawił się nowy pretendent do tego zaszczytnego tytułu.

WireGuard

WireGuard został stworzony przez Jasona A. Donenfelda z Edge Security. Pierwsza stabilna wersja pojawiła się na rynku we wrześniu 2019 roku.

WireGuard został zaprojektowany, aby ulepszyć istniejące protokoły VPN – jest prostszy, szybszy i łatwiejszy w użyciu.

W przeciwieństwie do OpenVPN WireGuard jest „kryptograficznie zarozumiały”, jak określił to sam Donenfeld. Oznacza to, że wybrał jedno rozwiązanie dla wszystkich aspektów bezpieczeństwa usług VPN.

W rezultacie WireGuard obejmuje mniej opcji niż OpenVPN, ale jest również znacznie mniej skomplikowany.

Podobnie jak OpenVPN, WireGuard również udostępnia swój kod źródłowy.

Mimo że został wydany dopiero we wrześniu 2019 roku, WireGuard jest już obsługiwany przez wiele usług VPN. Przykładowo NordVPN zbudował swój autorski protokół na jego podstawie.

Który z tych protokołów jest lepszy? OpenVPN czy WireGuard? Zacznijmy od porównania ich prędkości.

	OpenVPN	WireGuard
Szyfry i protokoły uwierzytelniania	często stosowane: AES, Blowfish, Camellia również obsługiwane: ChaCha20, Poly1305 (i wiele innych)	ChaCha20, Poly1035
Doskonałe utajnianie z wyprzedzeniem	Obsługiwane	Obsługiwane
Znane luki	Brak	Brak

OpenVPN umożliwia korzystanie z wielu różnych szyfrów i algorytmów uwierzytelniania, natomiast WireGuard ma stały zestaw dla  każdego wydania.

To oznacza, że jeśli zostanie znaleziona luka w zabezpieczeniach algorytmu, OpenVPN może być szybko skonfigurowany do współpracy z innym. Z kolei WireGuard będzie wymagał aktualizacji oprogramowania na wszystkie urządzenia. To problematyczne, ale daje pewność, że żadne urządzenia nie korzysta nigdy z niebezpiecznego kodu.

Na obecną chwilę nie są znane żadne luki w zabezpieczeniach WireGuard ani OpenVPN.

Wybór kontra bezpieczeństwo

Jedna z kluczowych różnic między OpenVPN i WireGuard to kompromis między możliwością wyboru a bezpieczeństwem.

OpenVPN używa do szyfrowania biblioteki OpenSSL, która została wydana po raz pierwszy w 1998 i została już dobrze przetestowana przez lata swojego funkcjonowania. Biblioteka obsługuje wiele różnych szyfrów, w tym AES, Blowfish i ChaCha20.

Z drugiej strony, WireGuard nie pozwala wybrać metody szyfrowania. Zamiast tego zmusza Cię do skorzystania z ChaCha20 do szyfrowania i Poly1305 do uwierzytelniania.

W rezultacie WireGuard wymaga znacznie mniej linijek kodu niż OpenVPN: około 4 000 w porównaniu z minimum 70 000.

Dzięki niewielkiemu rozmiarowi audyt i weryfikacja kodu WireGuard są dla specjalistów ds. cyberbezpieczeństwa o wiele łatwiejsze niż w przypadku OpenVPN. Minimalizuje to również możliwą skalę potencjalnych ataków, czego nie można powiedzieć o OpenVPN.

Ponadto, mniej linijek istotnie redukuje szansę na pojawienie się błędów w kodzie WireGuard.

Czy nowe algorytmy szyfrowania są bezpieczne?

Zasadniczo, specjaliści ds. cyberbezpieczeństwa preferują technologie szyfrowania, które funkcjonują już od jakiegoś czasu. Dzieje się tak, ponieważ nowe algorytmy mogą czasem mieć luki, które nie zostały jeszcze zidentyfikowane. W związku z tym bezpieczniej jest wybrać sprawdzoną opcję.

W tym przypadku OpenVPN to najlepiej sprawdzona opcja. Protokół został wydany 18 lat przed WireGuard, a szyfr AES, z którego korzysta, jest niemal o dekadę starszy od algorytmów ChaCha20 i Poly1035 używanych przez WireGuard.

Jednak w praktyce, stosunkowa nowość WireGuard nie stanowi dużego zagrożenia dla bezpieczeństwa. Istnieją ku temu trzy główne powody:

1. Niewielka baza kodu WireGuard oznacza, że można ją poddać szybkiemu audytowi. Niweluje to wiele obaw związanych z brakiem rygorystycznych testów bezpieczeństwa protokołu, ponieważ eksperci mogą sprawdzić jego kod znacznie szybciej niż kod OpenVPN.
2. ChaCha20 jest bardzo bezpieczny. Liczba „20” w „ChaCha20” oznacza, że zachodzi 20 rund szyfrowania, aby chronić dane. W 2008 roku ChaCha7 (z siedmioma rundami) został złamany, jednak ChaCha8 pozostaje niezłamany po dziś dzień. Możesz więc mieć absolutną pewność, że ChaCha20 oferuje wystarczający poziom bezpieczeństwa.
3. Aprobata Linuksa i Google. Linus Torvalds, twórca Linuksa powiedział: „Chciałbym jeszcze raz podkreślić, że uwielbiam [WireGuard]… Może kod nie jest perfekcyjny, ale przejrzałem go i w porównaniu do horrorów zawartych w OpenVPN oraz IPSec, to prawdziwe dzieło sztuki. ” WireGuard został od tego czasu włączony do jądra Linuksa, co stanowi ważną aprobatę jego poziomu bezpieczeństwa. Również Google używa teraz ChaCha20 i Poly1305 do szyfrowania ruchu na swoich urządzeniach z Androidem.

OpenVPN i WireGuard to niezawodne protokoły VPN, które zapewniają stabilne połączenie z Internetem w niemal wszystkich warunkach.

Jednak tylko OpenVPN oferuje możliwość wyboru protokołu komunikacyjnego TCP. Pomaga on ominąć surową cenzurę, ponieważ połączenia TCP są w stanie skorzystać z portu 443, którego używa zwykły ruch HTTPS.

Jest mało prawdopodobne, że systemy cenzury w krajach takich jak Chiny, Rosja czy Turcja zablokują port 443 – oznaczałoby to konieczność wstrzymania całej niezbędnej aktywności jak bankowość internetowa czy zakupy online.

Krótko mówiąc, OpenVPN TCP jest skuteczniejszy, jeśli chodzi o omijanie cenzury niż WireGuard, ponieważ WireGuard działa tylko z UDP.

Oto szybkie porównanie UDP i TCP:

	User Datagram Protocol (UDP)	Transmission Control Protocol (TCP)
Obsługa WireGuard	✓	✗
Obsługa OpenVPN	✓	✓
Niezawodność	✗	✓
Prędkość	Szybszy	Wolniejszy

Zwykle zalecamy korzystanie z UDP, jeśli masz taką możliwość, ponieważ dany protokół jest szybszy, skuteczniejszy i równie stabilny w tunelu VPN. Jeżeli jednak chcesz ominąć zaporę sieciową lub obejść cenzurę, wybierz protokół TCP.

Usługi VPN zwykle używają go domyślnie, gdy próbujesz połączyć  się z Chin.

Odkryliśmy, że niemal we wszystkich przypadkach, gdy usługodawca VPN oferuje WireGuard i OpenVPN, sieć automatycznie przechodzi na OpenVPN, gdy próbujesz połączyć się z Chin.

Sprawdziliśmy też kilka usług VPN dla Chin, aby zobaczyć, który protokół lepiej radzi sobie z Wielkim Chińskim Firewallem:

• Astrill VPN pokonał cenzurę zarówno za pomocą OpenVPN, jak i WireGuard.
• Private Internet Access (PIA) był w stanie nawiązać połączenie tylko za pomocą OpenVPN.  WireGuard okazał się nieskuteczny.

Urządzenia mobilne często przełączają się między sieciami komórkowymi i Wi-Fi. Dobry protokół VPN powinien być w stanie sprawnie i skutecznie poradzić sobie z tym zadaniem.

WireGuard jest o wiele lepszy od OpenVPN, jeśli chodzi o mobilność, bez problemu zmienia sieci. OpenVPN z kolei bywa problematyczny, gdy użytkownicy regularnie przełączają się między sieciami. W związku z tym wiele usług VPN wybrało inny protokół dla urządzeń mobilnych – IKEv2.

IKEv2 to stosunkowo dobry protokół VPN, ale nie udostępnia swojego kodu źródłowego. Niektórzy obawiają się, że mógł zostać złamany przez NSA. WireGuard oferuje nowe rozwiązanie tego problemu. W dodatku jest on dostępny na licencji open-source.

Jeśli korzystasz z VPN-u w drodze, WireGuard będzie dla Ciebie lepszą opcją niż OpenVPN.

Korzystanie z usługi VPN zawsze zwiększa zużycie danych. Dzieje się tak, ponieważ proces tunelowania wymaga wysyłki dodatkowych informacji przez Internet, co prowadzi do zwiększonego zużycia.

Dodatkowe zużycie może mieć wpływ na prędkość Twojego VPN-u. Jeśli masz telefon na kartę, wybierz większy pakiet danych, ponieważ prawdopodobnie szybciej osiągniesz swój limit.

Protokół, z którego korzystasz, ma wpływ na to, ile dodatkowych danych zużywasz. Nasze badania wykazały, że WireGuard zużywa znacznie mniej danych niż OpenVPN. Oto podsumowanie wyników:

 

Aby sprawdzić zużycie danych przez każdy protokół, użyliśmy aplikacji WireGuard i OpenVPN na Linuksie, a następnie obliczyliśmy, ile danych dodały do naszego połączenia w porównaniu ze zużyciem bez VPN-u. W każdym teście skopiowaliśmy plik o wielkości 209 MB między dwoma wirtualnymi serwerami. Testy powtórzyliśmy trzykrotnie i  na tej podstawie obliczyliśmy średni wzrost zużycia.

WireGuard zużywa najmniej danych ze wszystkich protokołów VPN, które sprawdziliśmy, w tym IKEv2 i PPTP. Z drugiej strony, OpenVPN zużywa ich najwięcej.

Aby sprawdzić pełne wyniki naszych badań i dowiedzieć się więcej na temat zużycia danych przez usługi VPN, sprawdź nasz przewodnik po danych mobilnych i VPN-ach.

Protokół	Przechowywanie logów	Rozwiązanie
OpenVPN	Brak	Nie jest wymagane.
WireGuard	Adres IP jest przechowywany na serwerze do czasu jego ponownego uruchomienia	Dostępny z większością komercyjnych usług VPN

Kluczowa cecha bezpiecznego VPN-u to nieprzechowywanie danych umożliwiających identyfikację użytkowników. Dotyczy to również protokołów VPN.

OpenVPN działa bez konieczności rejestrowania adresów IP, WireGuard natomiast przechowuje adresy IP na serwerze do czasu jego ponownego uruchomienia.

Budzi to pewne obawy z punktu widzenia prywatności, ponieważ jeśli serwer zostanie przejęty, adres IP może zostać użyty do zidentyfikowania Twojej aktywności, co eliminuje główną korzyść wynikającą z użycia VPN-u.

Pamiętaj więc, że jeśli korzystasz ze standardowej implementacji WireGuard, Twój adres IP jest zapisywany – przynajmniej na czas trwania sesji.

Na szczęście większość komercyjnych usług VPN obsługujących WireGuard wprowadziła stosowne obejścia, które minimalizują ryzyko dla prywatności. Przykładowo:

• NordVPN: NordVPN połączył WireGuard ze swoją autorską technologią Double Network Address Translation (NAT), aby stworzyć NordLynx. Zamiast przechowywać Twój statyczny adres IP do czasu ponownego uruchomienia serwera, NordLynx przypisuje unikatowy dynamiczny adres IP każdemu tunelowi VPN. Dzięki temu każda sesja ma inny adres IP, który jest aktywny tak długo, jak trwa sesja.
• Mullvad: Aby zmaksymalizować prywatność podczas korzystania z WireGuard, Mullvad usuwa Twój adres IP ze swojego serwera po 10 minutach bezczynności. Dodatkowo Mullvad sugeruje użycie swojej funkcji multi-hop, aby przekierować ruch przez dwa lub więcej serwerów podczas korzystania z WireGuard.
• IVPN: IVPN usuwa Twój adres IP po trzech minutach bezczynności. Ponadto, generuje nowy losowy adres IP co 24 godziny, aby uniknąć problemów związanych z korzystaniem ze statycznego IP.

Powyższe środki będą wystarczające dla większości użytkowników. Jeśli jednak mieszkasz w kraju stosującym surową cenzurę lub w kraju, gdzie używanie VPN-ów jest nielegalne, prawdopodobnie nie warto ryzykować.

Jeżeli martwisz się o swoją prywatność, warto zapytać swojego dostawcy VPN, co robi, aby zapewnić bezpieczeństwo użytkownikom WireGuard.

OpenVPN jest natywnie obsługiwany przez niemal wszystkie komercyjne usługi VPN. Niestety, WireGuard nie jest aż tak szeroko dostępny.

Protokół szybko jednak nadrabia zaległości. Mimo że został wydany dopiero w 2019 roku, został już wdrożony przez wiele renomowanych VPN-ów – często zarówno na komputerach stacjonarnych, jak i urządzeniach mobilnych.

Oto tabelka informująca, które protokoły są obsługiwane przez 15 najpopularniejszych VPN-ów:

Protokół VPN	ExpressVPN	NordVPN	CyberGhost	IPVanish	Surfshark	PrivateVPN	PIA	Windscribe	Proton VPN	Astrill	VPNArea	Hotspot Shield	Mullvad	TunnelBear	PureVPN
OpenVPN	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
WireGuard	✗	✓	✓	✓	✓	✗	✓	✓	✓	✓	✗	✓	✓	✗	✓

Zazwyczaj większość VPN-ów używa OpenVPN jako domyślnego protokołu, zwłaszcza na komputerach.

Zauważyliśmy jednak, że coraz więcej dostawców decyduje się na WireGuard.

Przykładowo, CyberGhost domyślnie korzysta z WireGuard na Androidzie i iOS, a NordVPN stosuje swoją wersję WireGuard (NordLynx) jako domyślny protokół dla większości swoich aplikacji.

Łatwość użytkowania

Samodzielna, ręczna konfiguracja protokołu WireGuard jest o wiele łatwiejsza niż konfiguracja OpenVPN. Wszystko dzięki uproszczonemu kodowi i brakowi opcji szyfrowania, co ułatwia instalację.

Niewielka baza kodu WireGuard jest również atutem, jeśli chodzi o zastosowanie VPN-u na mniejszych urządzeniach oraz urządzeniach wbudowanych. Przykładowo, OVPN obejmuje kompatybilną z WireGuard aplikację wiersza poleceń dla komputerów jednopłytkowych Raspberry Pi.

Z drugiej strony, OpenVPN jest łatwiejszy w użyciu dla większości użytkowników VPN-ów, ponieważ jest natywnie obsługiwany przez więcej sieci VPN. Wystarczy pobrać preferowany VPN – protokół OpenVPN będzie zainstalowany i gotowy do użytku w niemal wszystkich z nich.