WireGuard 比OpenVPN 快,資料利用率更高,處理網路切換更流暢,同時保持了強大的安全性。不過,OpenVPN 擁有長期的可靠性記錄,更重視隱私,並被更多的VPN 服務支援。對於注重隱私的用戶,OpenVPN 仍是最佳選擇。
VPN(虛擬私人網路)透過VPN 協定來創建和保護你的網路連線。兩個最常用的協定是OpenVPN和WireGuard。
OpenVPN 於2001 年發布,一直被認為是業界的黃金標準。而自2019 年發布以來,新的WireGuard 協定迅速崛起,威脅了OpenVPN 的地位。
在這篇詳細的指南中,我們將比較OpenVPN 和WireGuard,看看你應該使用哪個協定。
我們透過實驗室測試,揭示了哪種協議在七個主要領域表現更好,包括安全性、速度、隱私、易用性等。
我們也會介紹這些協議的背景,解釋它們的運行原理之間的差異。
總結表:WireGuard vs OpenVPN
以下是OpenVPN 和WireGuard 在各個主要類別中的比較:
WireGuard vs OpenVPN 比較表
| 類別 | 贏家 | 備註 |
|---|---|---|
| 速度 | WireGuard | WireGuard 的速度是OpenVPN 的兩倍,如果達到得當。 |
| 安全性與加密 | 平手 | 兩種協定都沒有已知的安全漏洞。 |
| 翻墙 | OpenVPN | 由於可以使用TCP 443 端口,OpenVPN 更擅長翻墙(如中國的防火長城)。 |
| 行動性 | WireGuard | WireGuard 在行動用戶的連線上比OpenVPN 更可靠,因為它處理網路變化更好。 |
| 資料使用量 | WireGuard | 與不使用VPN 相比,OpenVPN 增加了多達20% 的資料開銷,而WireGuard 只增加了4%。 |
| 隱私與日誌記錄 | OpenVPN | 使用WireGuard 時,VPN 服務需要進行一些緩解措施以確保使用者隱私。 |
| VPN 和裝置相容性 | OpenVPN | OpenVPN 目前由更多的VPN 服務和裝置支援。 |
接下來是對這兩種協議的介紹,或者你可以使用下面的跳轉連結直接跳到你最關心的部分。
WireGuard vs OpenVPN: 速度對比
WireGuard 的設計初衷就是速度,而OpenVPN 則不是。因此,WireGuard 比OpenVPN 快得多。
WireGuard 協定經過最佳化,可以同時使用多個處理器核心,並採用更快的加密方法。
WireGuard 自己的測試表明,他們的協定至少比OpenVPN 快3 倍——傳輸速率為1011Mbps,而OpenVPN 為258Mbps。
不過, WireGuard 團隊承認這些結果「有些老舊,並且測試條件不太理想」。
因此,我們自己進行了測試,看看哪個協議更快。
WireGuard 比OpenVPN 快
NordVPN 是個非常優秀的VPN 服務,早期就支援了WireGuard 和OpenVPN。因此,它是進行速度測試對比的理想選擇。
我們連接到世界各地的NordVPN 伺服器,分別使用OpenVPN(UDP)協定和NordLynx(WireGuard)協議,並記錄了我們的連線速度。
以下是我們在不同伺服器位置的速度測試結果詳細比較:
| 伺服器位置 | OpenVPN(UDP) | WireGuard(NordLynx) |
|---|---|---|
| 美國 | 142Mbps | 254Mbps(快79%) |
| 英國 | 135Mbps | 286Mbps(快112%) |
| 德國 | 131Mbps | 277Mbps(快111%) |
| 日本 | 139Mbps | 269Mbps(快94%) |
| 澳洲 | 118Mbps | 207Mbps(快75%) |
或者,你可以透過以下圖表查看我們對OpenVPN 和WireGuard 速度的比較結果:
我們的測試結果顯示,無論我們連接到世界的哪個地方, WireGuard 的速度都比OpenVPN 快75% 以上。
在距離較近的連線中,差異更為明顯, WireGuard 的速度超過OpenVPN 的兩倍。
這些結果與NordVPN 自己比較NordLynx 和OpenVPN 的結果相符。他們進行了8,200 次日均自動測試,並得出結論:NordLynx 的速度比OpenVPN 快2 倍。
我們的建議:
通常,我們在100Mbps 的有限連線上進行所有速度測試,但為了這次比較,我們使用了350Mbps 的連線。這可能高於你家中網路的連線速度。因此,WireGuard 的優勢在這裡可能比日常使用中更為顯著,因為它能更好地利用所有可用頻寬。
它確實是更快的協議,但在你的裝置上, WireGuard 和OpenVPN 之間的差異可能會更小。
連線時間
WireGuard 建立連線的速度也比OpenVPN 快得多。這很重要,因為如果連線遺失或VPN 隧道中斷,你希望你的VPN 能快速重新連線。
Ars Technica 的一項研究發現,OpenVPN 連線可能需要長達8 秒的時間,而WireGuard 連線只需要約100 毫秒。
總結:
WireGuard 是一個非常快速的協議,如果在VPN 服務中正確整合。它的設計初衷就是為了速度,如果你在進行對速度敏感的活動,如遊戲或串流媒體,使用WireGuard 是最佳選擇。
贏家:WireGuard
WireGuard vs OpenVPN: 加密與安全性
OpenVPN 與WireGuard 加密與認證比較表
| 類別 | OpenVPN | WireGuard |
|---|---|---|
| 加密演算法與認證協定 | 常用: AES, Blowfish, Camellia 支援: ChaCha20, Poly1305 (及更多) | ChaCha20, Poly1035 |
| 完美前向保密 | 支援 | 支援 |
| 已知漏洞 | 無 | 無 |
OpenVPN 允許你使用多種加密演算法和認證演算法,而WireGuard 每個版本只有一組固定的演算法。
這意味著,如果某個演算法發現了安全漏洞, OpenVPN 可以快速設定使用其他演算法。而WireGuard 則需要在所有裝置上進行軟體更新。這雖然麻煩,但確保了沒有設備使用不安全的代碼。
目前,WireGuard 和OpenVPN 都沒有已知的安全漏洞。
選擇與安全
OpenVPN 和WireGuard 之間的一個主要區別是選擇與安全的權衡。
OpenVPN 使用自1998 年發布以來經過長期測試的OpenSSL 函式庫進行加密。該程式庫支援多種加密演算法,包括AES、Blowfish和ChaCha20。
而WireGuard 不提供加密選擇。相反,它強制使用ChaCha20進行加密,Poly1305進行認證。
因此, WireGuard 程式碼行數比OpenVPN 少得多:大約4,000 行程式碼對比至少70,000 行程式碼。
這種較小的程式碼量使得安全研究人員更容易審核和驗證WireGuard 的程式碼。此外,WireGuard 的攻擊面也比OpenVPN 小得多。
更少的程式碼也大大降低了WireGuard 中出現漏洞的可能性。
總結:
OpenVPN 在加密和安全性方面提供了更大的自由度,但WireGuard 更容易審核且攻擊面更小。兩種協議都非常安全,但技術不那麼精通的用戶可能更願意信任WireGuard 的專家,而不是自己掌握安全設定。
新加密演算法是否安全?
通常,安全研究人員更喜歡使用已經存在一段時間的加密技術。這是因為新演算法可能會有尚未被發現的漏洞。因此,選擇更成熟的選項通常更安全。
在這種情況下, OpenVPN 是更成熟的選項。它比WireGuard 早發布了18 年,而它使用的AES 加密演算法也比WireGuard 使用的ChaCha20 和Poly1305 演算法早近十年。
不過, WireGuard 的相對不成熟性在實踐中似乎並不是一個巨大的安全風險。主要有三個原因:
1.WireGuard 的程式碼庫很小,可以很快審核。這緩解了許多關於協議缺乏嚴格測試的擔憂,因為專家可以更快地審查它的程式碼。
2.ChaCha20 非常安全。‘ChaCha20′ 中的’20’ 表示有20 輪加密來保護資料。 2008 年,ChaCha7(7 輪)被破解,但ChaCha8 至今仍未被破解。因此,可以相信ChaCha20 提供了很高的安全性。
3.Linux 和Google 的認可。Linux 的創辦人Linus Torvalds 表示:「我可以再表白我對[WireGuard] 的愛嗎…也許程式碼並不完美,但我已經瀏覽過,與OpenVPN 和IPSec 的恐
麋相比,它是一件藝術品。 「 WireGuard 隨後被包含在Linux 核心中,這代表了對其安全性的強大支援。Google 也已經開始在其Android 裝置上使用ChaCha20 和Poly1305 來加密流量。
總結:
WireGuard 和OpenVPN 都是非常安全的VPN 協定。哪個在加密和安全性方面更好,主要取決於個人偏好。
如果你對新技術持懷疑態度,或希望對安全設定有更多控制,那麼OpenVPN 是更好的選擇。如果你喜歡高效率、精簡的程式碼庫,那麼可以選擇WireGuard。
贏家:沒有明確贏家。平局。
WireGuard vs OpenVPN: 翻墙
OpenVPN 和WireGuard 都是非常可靠的VPN 協議,在大多數情況下都能提供穩定的網路連線。
不過,只有OpenVPN 允許使用TCP 通訊協定。這對於繞過嚴格的網路封鎖非常有用,因為TCP 連接可以使用443 連接埠,這是常規HTTPS 流量使用的連接埠。
在像中國、俄羅斯和土耳其這樣的國家,審查系統不太可能阻止443 端口,因為這樣會中斷線上銀行和購物等重要活動。
簡言之,OpenVPN TCP 比WireGuard 更有效地翻墙,因為WireGuard 只能使用UDP。
以下是UDP 和TCP 的簡單比較:
| 用戶資料報協定(UDP) | 傳輸控制協定(TCP) | |
|---|---|---|
| WireGuard 支援 | ✓ | ✗ |
| OpenVPN 支援 | ✓ | ✓ |
| 可靠性功能 | ✗ | ✓ |
| 速度 | 更快 | 較慢 |
我們通常建議在可能的情況下使用UDP,因為它更快、更有高效,並且在VPN 隧道內同樣穩定。然而,為了繞過防火牆和規避審查,TCP 協議更可取。
這在你嘗試在中國連線時, VPN 服務的預設選項中也有所體現。
我們發現,在幾乎所有情況下,當VPN 提供者同時提供WireGuard 和OpenVPN 時,你在中國連線時,服務會預設使用OpenVPN 協定。
我們也測試了一些我們知道在中國表現良好的VPN 服務,看看OpenVPN 和WireGuard 哪個更擅長繞過中國的防火牆:
- Astrill VPN 使用OpenVPN 和WireGuard都能翻墙
- Private Internet Access (PIA) 只有在使用OpenVPN時才能連接,使用WireGuard 失敗。
總結:
OpenVPN 是翻墙的更好選擇。它允許使用難以被審查系統阻止的443 連接埠。如果你試圖在中國和阿聯酋等國家造訪自由、全球的互聯網,使用OpenVPN (TCP)。
贏家:OpenVPN
WireGuard vs OpenVPN: 行動性
如今的設備經常在行動和WiFi 網路之間切換。一個好的VPN 協定需要能夠有效率、有效地進行這種切換。
WireGuard 比OpenVPN 更適合行動性。它無縫處理網路變化,而OpenVPN 在用戶經常切換網路時歷史上表現不佳。許多VPN 服務實際上選擇了使用不同的協定IKEv2 來支援行動裝置。
IKEv2 是一個相當不錯的VPN 協議,但它是閉源的,有些人擔心它可能被NSA破壞。而WireGuard 則提供了一個新的、開源的解決方案來解決行動裝置使用哪個VPN 協定的問題。
如果你在行動中使用VPN,我們強烈建議使用WireGuard 而不是OpenVPN。
總結:
與OpenVPN 不同,WireGuard 能出色地應對經常的網路變化。它也比許多VPN 服務目前用於行動用戶的預設協定IKEv2 更快、更注重隱私。
贏家:WireGuard
WireGuard vs OpenVPN: 資料使用量
使用VPN 總是會增加你消耗的資料量。這是因為隧道過程需要你在網路上發送額外的訊息,導致數據使用量的增加。
資料開銷會影響你的VPN 速度。如果你使用按使用量付費的手機合同,你可能會花費更多的錢或更快達到你的數據限制。
你使用的VPN 協定會影響資料開銷的大小。我們的研究發現,WireGuard 消耗的資料比OpenVPN 少。以下是結果摘要:
為了測試每個協定的資料使用量,我們使用Linux WireGuard 和OpenVPN 應用程序,計算與不使用VPN 相比,它們增加的資料量。每次測試時,我們在兩台虛擬伺服器之間複製一個209MB 的測試檔案。每個測試進行了三次,並計算了平均數據增加。
結果:WireGuard 使用的資料遠少於OpenVPN。 OpenVPN UDP 有17.23% 的資料開銷,而WireGuard 只增加了4.53% 的資料使用量。使用OpenVPN TCP 時,這個開銷甚至更大,為19.96%。
實際上, WireGuard 是我們測試的所有VPN 協定中資料開銷最小的協議,包括IKEv2 和PPTP。而OpenVPN 的資料開銷最大。
你可以在我們的VPN 和行動數據指南中查看這次調查的完整結果,並了解更多關於VPN 資料使用的資訊。
總結:
WireGuard 消耗的資料比OpenVPN 少很多。如果你的網路造訪有數據上限,或你按使用量付費,那麼使用WireGuard。
贏家:WireGuard
WireGuard vs OpenVPN: 隱私與日誌記錄
| 協定 | 日誌記錄 | 緩解措施 |
|---|---|---|
| OpenVPN | 無 | 不需要 |
| WireGuard | IP 地址儲存在伺服器上,直到伺服器重新啟動 | 大多數商用VPN 提供者都有緩解措施 |
安全的VPN 服務的基本特徵是它不會儲存任何關於你的個人可識別資訊。這也適用於所使用的VPN 協定。
雖然OpenVPN 在不需要記錄IP 地址的情況下運作,但WireGuard 需要將授權的IP 地址儲存在伺服器上,直到伺服器重新啟動。
從隱私角度來看,這是令人擔憂的,因為如果伺服器被攻破, IP 地址可能會被用來將你與活動聯繫起來,從而失去使用VPN 的主要好處。
因此,如果你使用WireGuard 的標準實現,你的IP 地址可能在會話期間被記錄。
幸運的是,大多數支援WireGuard 的商用VPN 服務已經實施了緩解措施,以最大程度減少這些隱私風險。以下是一些例子:
- NordVPN:NordVPN 將WireGuard 與其專有的雙網路地址轉換(NAT)技術結合,創建了NordLynx。它不是儲存你的靜態IP 地址,直到伺服器重啟,而是為每個VPN 隧道分配一個獨特的動態IP 地址,使每個會話都有不同的IP 地址,僅在會話期間有效。
- Mullvad:為了最大限度地提高使用WireGuard 時的隱私,Mullvad 在10 分鐘不活動後刪除你的IP 地址。作為額外的一步,Mullvad 還建議你使用其多跳功能,在使用WireGuard 時透過兩個或更多伺服器路由流量。
- IVPN:IVPN 在3 分鐘不活動後刪除你的IP 地址。它也每24 小時隨機產生一個新的IP 地址,以避免使用靜態IP 地址的問題。
這些緩解措施對大多數用戶來說已經足夠。然而,如果你在一個嚴格的審查國家或可能會因使用VPN 而被起訴的國家,這可能不是一個值得冒險的風險。
如果你擔心隱私問題,我們也建議你向你的VPN 提供者諮詢他們對WireGuard 用戶的緩解措施。
總結:
與OpenVPN 不同,WireGuard 協定需要你的IP 地址在VPN 伺服器上儲存一段時間。 VPN 服務可以且會緩解,但從隱私角度來看,這並不理想。 OpenVPN 不需要這種緩解措施。
贏家:OpenVPN
WireGuard vs OpenVPN: VPN 和裝置相容性
OpenVPN 幾乎由所有商用VPN 服務原生支持,而WireGuard 的可用性則較低。
不過, WireGuard 正在迅速趕上。儘管只發佈於2019 年,這個協定已經被許多領先的VPN 整合——通常在桌面和行動應用程式中都有。
以下是15 個最受歡迎的VPN 支援的協定概覽:
| VPN 協定 | ExpressVPN | NordVPN | CyberGhost | IPVanish | Surfshark | PrivateVPN | PIA | *Windscribe * | Proton VPN | Astrill | VPNArea | Hotspot Shield | Mullvad | TunnelBear | PureVPN |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| OpenVPN | ✓ | ✓ | ✓ | ✓ |
| ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
|WireGuard| ✗ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ | ✓ | ✗ | ✓ |
傳統上,大多數VPN 在桌面上使用OpenVPN 作為預設協定。
不過,我們現在看到越來越多的供應商轉向支援WireGuard。
例如, CyberGhost 現在在Android 和iOS 上預設使用WireGuard,而NordVPN 在大多數應用程式中預設使用其基於WireGuard 的NordLynx 協定。
注意:要在路由器上使用VPN,你可能仍需要使用OpenVPN。在上述列表中,只有Mullvad 支援在路由器層級使用WireGuard。
易用性
要手動配置協議, WireGuard 比OpenVPN 更簡單。這也歸功於WireGuard 的精簡程式碼和缺乏加密配置選擇,使其非常易於安裝。
WireGuard 的輕量程式碼庫也是在小型運算裝置和嵌入式裝置上使用VPN 的優勢。例如,OVPN 包括一個與WireGuard 相容的命令列應用程序,適用於Raspberry Pi 單板電腦。
不過,對於大多數VPN 用戶來說,OpenVPN 更容易使用,因為它被更多的VPN 服務原生支援。只需下載你選擇的VPN,在幾乎所有情況下,OpenVPN 協定都會設定好並準備使用。
總結:
OpenVPN 已經存在近二十年,幾乎在所有VPN 應用程式中都被原生支援。(This article is created by how&best) WireGuard 正被越來越多的VPN 集成,但你選擇的VPN 提供者仍更可能支援OpenVPN。特別是如果你在路由器上使用VPN。
贏家:OpenVPN
什麼是OpenVPN 和WireGuard?
OpenVPN 和WireGuard 是兩種類型的VPN 協定。 VPN 協定是用於在你的裝置和VPN 伺服器之間建立安全隧道的技術。
換句話說, VPN 協定是VPN 運行的主要元素。
你可以獨立使用OpenVPN 和WireGuard 來建立自己的VPN 連線。不過,它們更常用於個人VPN 服務。
以下是每個協議主要特徵的概覽:
| 特徵 | OpenVPN | WireGuard |
|---|---|---|
| 發佈日期 | 2001 年5 月 | 2019 年9 月 |
| 加密 | AES,Blowfish,Camellia | ChaCha20,Poly1305 |
| 程式碼長度 | 超過70,000 行 | ~4,000 行 |
| 開源 | 是 | 是 |
| 安全性 | 強 | 強 |
| 隱私 | 強 | 需要緩解措施 |
| 速度 | 中 | 快 |
OpenVPN
原始OpenVPN軟體由James Yonan 於2001 年創建。
Yonan 創建OpenVPN 以確保他在通過中亞旅行並使用亞洲和俄羅斯的網路連線時連線是私密的。
今天, Yonan 是OpenVPN Inc. 的CTO。該公司提供企業對企業的服務,並運行OpenVPN。
該公司的CEO 和創始人是Francis Dinha,他在伊拉克長大,與Yonan 一樣專注於從國家監控中保持私密性。
OpenVPN 軟體現已下載超過6000 萬次,幾乎所有VPN 今天都使用該協定。
OpenVPN 在開源許可證下提供,這意味著任何人都可以查看其底層程式碼。
十多年來, OpenVPN 一直被認為是VPN 安全的巔峰。不過,隨著WireGuard 的發布,有了新的競爭者。
WireGuard
WireGuard由Edge Security 的Jason A. Donenfeld 創建,2019 年9 月首次發布穩定版。
WireGuard 目的是為了透過更簡單、快速且易於用來改進現有的VPN 協定。
與OpenVPN 不同,WireGuard 是“加密上有明確意見的”,用Donenfeld 的話來說。這意味著他為VPN 的每個安全方面選擇了一個解決方案。
因此, WireGuard 的選擇少於OpenVPN,但它也更少複雜。
與OpenVPN 一樣,WireGuard 也是開源的。
儘管只在2019 年9 月發布,WireGuard 已經被許多VPN 服務整合。例如,NordVPN 在其基礎上建立了其專有的NordLynx 協定。
結論
WireGuard 已經在VPN 行業中留下了深刻印象——許多領先的VPN 現在都支援它,它也被納入了Linux 核心。
OpenVPN 更老、更值得信賴,且更注重隱私,但WireGuard 速度驚人,安全性也很好。
因此,是否應該使用OpenVPN 或WireGuard 取決於你在做什麼。
如果你:
- 想要最快的速度。
- 使用行動設備,並且關心數據消耗。
- 經常在WiFi 和蜂窩網路之間切換。
- 手動設定你的VPN 或建立自己的VPN 軟體。
那麼應該使用WireGuard。
如果你:
- 在禁止使用VPN 的國家,如果被發現使用VPN 可能會面臨起訴。
- 想要最高程度的隱私,不喜歡WireGuard 的額外日誌記錄需求,即使你的VPN 提供者有緩解措施。
- 更謹慎對待新技術,想要給WireGuard 更多時間成熟和測試。
- 使用不支援WireGuard 的VPN 服務。
那麼應該使用OpenVPN。
