WireGuard 比 OpenVPN 快,数据利用率更高,且处理网络切换更加流畅,同时保持了强大的安全性。不过,OpenVPN 拥有长期的可靠性记录,更加注重隐私,并被更多的 VPN 服务支持。对于注重隐私的用户,OpenVPN 仍是最好用的选择。
VPN(虚拟专用网络)通过 VPN 协议来创建和保护你的网络连接。两个最常用的协议是 OpenVPN 和 WireGuard。
OpenVPN 于 2001 年发布,一直被认为是行业的黄金标准。而自 2019 年发布以来,新的 WireGuard 协议迅速崛起,威胁到了 OpenVPN 的地位。
在这篇详细的指南中,我们将 比较 OpenVPN 和 WireGuard,看看你应该使用哪个协议。
我们通过实验室测试,揭示了哪种协议在七个关键领域表现更好,包括 安全性、速度、隐私、易用性等。
我们还会介绍这些协议的背景,解释它们的工作原理之间的差异。
总结表:WireGuard vs OpenVPN
下面是 OpenVPN 和 WireGuard 在各个关键类别中的对比:
WireGuard vs OpenVPN 对比表
类别 | 赢家 | 备注 |
---|---|---|
速度 | WireGuard | WireGuard 的速度是 OpenVPN 的两倍,如果实现得当。 |
安全性与加密 | 平局 | 两种协议都没有已知的安全漏洞。 |
翻墙 | OpenVPN | 由于可以使用 TCP 443 端口,OpenVPN 更擅长翻墙(如中国的防火长城)。 |
移动性 | WireGuard | WireGuard 在移动用户的连接上比 OpenVPN 更加可靠,因为它处理网络变化更好。 |
数据使用量 | WireGuard | 与不使用 VPN 相比,OpenVPN 增加了多达 20% 的数据开销,而 WireGuard 只增加了 4%。 |
隐私与日志记录 | OpenVPN | 使用 WireGuard 时,VPN 服务需要进行一些缓解措施以确保用户隐私。 |
VPN 和设备兼容性 | OpenVPN | OpenVPN 目前被更多的 VPN 服务和设备支持。 |
接下来是对这两种协议的介绍,或者你可以使用下面的跳转链接直接跳到你最关心的部分。
WireGuard vs OpenVPN: 速度对比
WireGuard 的设计初衷就是速度,而 OpenVPN 则不是。因此,WireGuard 比 OpenVPN 快得多。
WireGuard 协议经过优化,可以同时使用多个处理器核心,并采用更快的加密方法。
WireGuard 自己的测试表明,他们的协议至少比 OpenVPN 快 3 倍——传输速度为 1011Mbps,而 OpenVPN 为 258Mbps。
不过,WireGuard 团队承认这些结果“有些老旧,并且测试条件不太理想”。
因此,我们自己进行了测试,看看哪个协议更快。
WireGuard 比 OpenVPN 更快
NordVPN 是一个非常优秀的 VPN 服务,早期就支持了 WireGuard 和 OpenVPN。因此,它是进行速度测试对比的理想选择。
我们连接到世界各地的 NordVPN 服务器,分别使用 OpenVPN(UDP)协议和 NordLynx(WireGuard)协议,并记录了我们的连接速度。
以下是我们在不同服务器节点的速度测试结果详细对比:
服务器节点 | OpenVPN(UDP) | WireGuard(NordLynx) |
---|---|---|
美国 | 142Mbps | 254Mbps(快 79%) |
英国 | 135Mbps | 286Mbps(快 112%) |
德国 | 131Mbps | 277Mbps(快 111%) |
日本 | 139Mbps | 269Mbps(快 94%) |
澳大利亚 | 118Mbps | 207Mbps(快 75%) |
或者,你可以通过以下图表查看我们对 OpenVPN 和 WireGuard 速度的比较结果:
我们的测试结果显示,无论我们连接到世界的哪个地方,WireGuard 的速度都比 OpenVPN 快 75% 以上。
在距离较近的连接中,差异更为明显,WireGuard 的速度超过 OpenVPN 的两倍。
这些结果与 NordVPN 自己比较 NordLynx 和 OpenVPN 的结果相符。他们进行了 8,200 次日均自动测试,并得出结论:NordLynx 的速度比 OpenVPN 快 2 倍。
我们的建议:
通常,我们在 100Mbps 的有限连接上进行所有速度测试,但为了这次比较,我们使用了 350Mbps 的连接。这可能高于你家中网络的连接速度。因此,WireGuard 的优势在这里可能比日常使用中更为显著,因为它能更好地利用所有可用带宽。
它确实是更快的协议,但在你的设备上,WireGuard 和 OpenVPN 之间的差异可能会更小。
连接时间
WireGuard 建立连接的速度也比 OpenVPN 快得多。这很重要,因为如果连接丢失或 VPN 隧道中断,你希望你的 VPN 能快速重新连接。
Ars Technica 的一项研究发现,OpenVPN 连接可能需要长达 8 秒的时间,而 WireGuard 连接只需要约 100 毫秒。
总结:
WireGuard 是一个非常快速的协议,如果在 VPN 服务中正确集成。它的设计初衷就是为了速度,如果你在进行对速度敏感的活动,如游戏或流媒体,使用 WireGuard 是最好用的选择。
赢家:WireGuard
WireGuard vs OpenVPN: 加密与安全性
OpenVPN 与 WireGuard 加密与认证对比表
类别 | OpenVPN | WireGuard |
---|---|---|
加密算法与认证协议 | 常用: AES, Blowfish, Camellia 支持: ChaCha20, Poly1305 (及更多) | ChaCha20, Poly1035 |
完美前向保密 | 支持 | 支持 |
已知漏洞 | 无 | 无 |
OpenVPN 允许你使用多种加密算法和认证算法,而 WireGuard 每个版本只有一组固定的算法。
这意味着,如果某个算法发现了安全漏洞,OpenVPN 可以快速配置使用其他算法。而 WireGuard 则需要在所有设备上进行软件更新。这虽然麻烦,但确保了没有设备使用不安全的代码。
目前,WireGuard 和 OpenVPN 都没有已知的安全漏洞。
选择与安全
OpenVPN 和 WireGuard 之间的一个关键区别是选择与安全的权衡。
OpenVPN 使用自 1998 年发布以来经过长期测试的 OpenSSL 库进行加密。该库支持多种加密算法,包括 AES、Blowfish 和 ChaCha20。
而 WireGuard 不提供加密选择。相反,它强制使用 ChaCha20 进行加密,Poly1305 进行认证。
因此,WireGuard 代码行数比 OpenVPN 少得多:大约 4,000 行代码对比至少 70,000 行代码。
这种较小的代码量使得安全研究人员更容易审核和验证 WireGuard 的代码。此外,WireGuard 的攻击面也比 OpenVPN 小得多。
更少的代码也大大降低了 WireGuard 中出现漏洞的可能性。
总结:
OpenVPN 在加密和安全方面提供了更大的自由度,但 WireGuard 更容易审核且攻击面更小。两种协议都非常安全,但技术不那么精通的用户可能更愿意信任 WireGuard 的专家,而不是自己掌握安全设置。
新加密算法是否安全?
通常,安全研究人员更喜欢使用已经存在一段时间的加密技术。这是因为新算法可能会有尚未被发现的漏洞。因此,选择更成熟的选项通常更安全。
在这种情况下,OpenVPN 是更为成熟的选项。它比 WireGuard 早发布了 18 年,而它使用的 AES 加密算法也比 WireGuard 使用的 ChaCha20 和 Poly1305 算法早近十年。
不过,WireGuard 的相对不成熟性在实践中似乎并不是一个巨大的安全风险。主要有三个原因:
- WireGuard 的代码库很小,可以很快审核。 这缓解了很多关于协议缺乏严格测试的担忧,因为专家可以更快地审核它的代码。
- ChaCha20 非常安全。 ‘ChaCha20′ 中的 ’20’ 表示有 20 轮加密来保护数据。2008 年,ChaCha7(7 轮)被破解,但 ChaCha8 至今仍未被破解。因此,可以相信 ChaCha20 提供了很高的安全性。
- Linux 和 Google 的认可。 Linux 的创始人 Linus Torvalds 表示:“我可以再次表白我对 [WireGuard] 的爱吗……也许代码并不完美,但我已经浏览过,与 OpenVPN 和 IPSec 的恐
怖相比,它是一件艺术品。” WireGuard 随后被包含在 Linux 内核中,这代表了对其安全性的强有力支持。Google 也已经开始在其 Android 设备上使用 ChaCha20 和 Poly1305 来加密流量。
总结:
WireGuard 和 OpenVPN 都是非常安全的 VPN 协议。哪个在加密和安全方面更好,主要取决于个人偏好。
如果你对新技术持怀疑态度,或希望对安全设置有更多控制,那么 OpenVPN 是更好的选择。如果你喜欢高效、精简的代码库,那么可以选择 WireGuard。
赢家:没有明确赢家。平局。
WireGuard vs OpenVPN: 翻墙
OpenVPN 和 WireGuard 都是非常稳定可靠的 VPN 协议,在大多数情况下都能提供稳定的网络连接。
不过,只有 OpenVPN 允许使用 TCP 通信协议。这对于绕过严格的网络封锁非常有用,因为 TCP 连接可以使用 443 端口,这是常规 HTTPS 流量使用的端口。
在像中国、俄罗斯和土耳其这样的国家,审查系统不太可能会屏蔽 443 端口,因为这样会中断在线银行和购物等重要活动。
简言之,OpenVPN TCP 比 WireGuard 更有效翻墙,因为 WireGuard 只能使用 UDP。
下面是 UDP 和 TCP 的简要对比:
用户数据报协议 (UDP) | 传输控制协议 (TCP) | |
---|---|---|
WireGuard 支持 | ✓ | ✗ |
OpenVPN 支持 | ✓ | ✓ |
可靠性功能 | ✗ | ✓ |
速度 | 更快 | 较慢 |
我们通常建议在可能的情况下使用 UDP,因为它更快、更高效,并且在 VPN 隧道内同样稳定。然而,为了翻墙和规避审查,TCP 协议更可取。
这在你尝试在中国连接时,VPN 服务的默认选项中也有所体现。
我们发现,在几乎所有情况下,当 VPN 提供商同时提供 WireGuard 和 OpenVPN 时,你在中国连接时,服务会默认使用 OpenVPN 协议。
我们还测试了一些我们知道在中国表现良好的 VPN 服务,看看 OpenVPN 和 WireGuard 哪个更擅长绕过中国的防火墙:
- Astrill VPN 使用 OpenVPN 和 WireGuard 都能翻墙
- Private Internet Access (PIA) 只有在使用 OpenVPN 时才能连接,使用 WireGuard 失败。
总结:
OpenVPN 是翻墙的更好选择。它允许使用难以被审查系统屏蔽的 443 端口。如果你想要在中国和阿联酋等国家访问自由、全球的网络,使用 OpenVPN (TCP)。
赢家:OpenVPN
WireGuard vs OpenVPN: 移动性
如今的设备经常在移动和 WiFi 网络之间切换。一个好的 VPN 协议需要能够高效、有效地进行这种切换。
WireGuard 比 OpenVPN 更适合移动性。 它无缝处理网络变化,而 OpenVPN 在用户经常切换网络时历史上表现不佳。许多 VPN 服务实际上选择了使用不同的协议 IKEv2 来支持 手机。
IKEv2 是一个相当不错的 VPN 协议,但它是闭源的,一些人担心它可能被 NSA 破坏。而 WireGuard 提供了一个新的、开源的解决方案来解决 手机使用哪个 VPN 协议的问题。
如果你在移动中使用 VPN,我们强烈建议使用 WireGuard 而不是 OpenVPN。
总结:
与 OpenVPN 不同,WireGuard 能出色地应对经常的网络变化。它也比许多 VPN 服务目前用于移动用户的默认协议 IKEv2 更快、更注重隐私。
赢家:WireGuard
WireGuard vs OpenVPN: 数据使用量
使用 VPN 总是会增加你消耗的数据量。这是因为隧道过程需要你在网络上发送额外的信息,从而导致数据使用量的增加。
数据开销会影响你的 VPN 速度。如果你使用按使用量付费的手机合同,你可能会花费更多的钱或更快达到你的流量限制。
你使用的 VPN 协议会影响数据开销的大小。我们的研究发现,WireGuard 消耗的数据比 OpenVPN 少。以下是结果摘要:
为了测试每个协议的数据使用量,我们使用 Linux WireGuard 和 OpenVPN 大陆VPN,计算与不使用 VPN 相比,它们增加的数据量。每次测试时,我们在两台虚拟服务器之间复制一个 209MB 的测试文件。每个测试进行了三次,并计算了平均数据增加量。
结果: WireGuard 使用的数据远少于 OpenVPN。OpenVPN UDP 有 17.23% 的数据开销,而 WireGuard 只增加了 4.53% 的数据使用量。使用 OpenVPN TCP 时,这个开销甚至更大,为 19.96%。
实际上,WireGuard 是我们测试的所有 VPN 协议中 数据开销最小 的协议,包括 IKEv2 和 PPTP。而 OpenVPN 的数据开销最大。
你可以在我们的 VPN 和移动数据指南中查看这次调查的完整结果,并了解更多关于 VPN 数据使用的信息。
总结:
WireGuard 消耗的数据比 OpenVPN 少得多。如果你的网络访问有数据流量上限,或你按使用量付费,那么使用 WireGuard。
赢家:WireGuard
WireGuard vs OpenVPN: 隐私和日志记录
协议 | 日志记录 | 缓解措施 |
---|---|---|
OpenVPN | 无 | 不需要 |
WireGuard | IP 地址存储在服务器上,直到服务器重启 | 大多数商用 VPN 提供商都有缓解措施 |
一个安全的 VPN 服务的基本特征是它不存储任何关于你的个人可识别信息。这也适用于所使用的 VPN 协议。
虽然 OpenVPN 在不需要记录 IP 地址的情况下工作,但 WireGuard 需要将许可的 IP 地址存储在服务器上,直到服务器重启。
从隐私角度来看,这是令人担忧的,因为如果服务器被攻破,IP 地址可能会被用来将你与活动联系起来,从而失去使用 VPN 的主要好处。
因此,如果你使用 WireGuard 的标准实现,你的 IP 地址可能在会话期间被记录。
幸运的是,大多数支持 WireGuard 的商用 VPN 服务已经实施了缓解措施,以最大程度减少这些隐私风险。以下是一些例子:
- NordVPN: NordVPN 将 WireGuard 与其专有的双网络地址转换(NAT)技术结合,创建了 NordLynx。它不是存储你的静态 IP 地址,直到服务器重启,而是为每个 VPN 隧道分配一个独特的动态 IP 地址,使每个会话都有不同的 IP 地址,仅在会话期间有效。
- Mullvad: 为了最大限度地提高使用 WireGuard 时的隐私,Mullvad 在 10 分钟不活动后删除你的 IP 地址。作为额外的一步,Mullvad 还建议你使用其多跳功能,在使用 WireGuard 时通过两个或更多服务器路由流量。
- IVPN: IVPN 在 3 分钟不活动后删除你的 IP 地址。它还每 24 小时随机生成一个新的 IP 地址,以避免使用静态 IP 地址的问题。
这些缓解措施对大多数用户来说已经足够。然而,如果你在一个严格的审查国家或可能会因使用 VPN 而被起诉的国家,这可能不是一个值得冒险的风险。
如果你担心隐私问题,我们也建议你向你的 VPN 提供商咨询他们对 WireGuard 用户的缓解措施。
总结:
与 OpenVPN 不同,WireGuard 协议需要你的 IP 地址在 VPN 服务器上存储一段时间。VPN 服务可以并且会进行缓解,但从隐私角度来看,这并不理想。OpenVPN 不需要这种缓解措施。
赢家:OpenVPN
WireGuard vs OpenVPN: VPN 和设备兼容性
OpenVPN 被几乎所有商用 VPN 服务原生支持,而 WireGuard 的可用性则较低。
不过,WireGuard 正在迅速赶上。尽管只发布于 2019 年,这个协议已经被许多领先的 VPN 集成——通常在 PC电脑和手机应用中都有。
以下是 15 个最受欢迎的 VPN 支持的协议概览:
VPN 协议 | ExpressVPN | NordVPN | CyberGhost | IPVanish | Surfshark | PrivateVPN | PIA | Windscribe | Proton VPN | Astrill | VPNArea | Hotspot Shield | Mullvad | TunnelBear | PureVPN |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
OpenVPN | ✓ | ✓ | ✓ | ✓ |
| ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| WireGuard | ✗ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ | ✓ | ✗ | ✓ |
传统上,大多数 VPN 在 PC电脑上使用 OpenVPN 作为默认协议。
不过,我们现在看到越来越多的提供商转向支持 WireGuard。
例如,CyberGhost 现在在 Android 和 iOS 上默认使用 WireGuard,而 NordVPN 在大多数应用中默认使用其基于 WireGuard 的 NordLynx 协议。
注意: 要在路由器上使用 VPN,你可能仍需要使用 OpenVPN。在上述列表中,只有 Mullvad 支持在路由器级别使用 WireGuard。
易用性
要手动配置协议,WireGuard 比 OpenVPN 更简单。这同样归功于 WireGuard 的精简代码和缺乏加密配置选择,使其非常易于安装。
WireGuard 的轻量代码库也是在小型计算设备和嵌入式设备上使用 VPN 的一个优势。例如,OVPN 包括一个与 WireGuard 兼容的命令行 VPN梯子,适用于 Raspberry Pi 单板计算机。
不过,对于大多数 VPN 用户来说,OpenVPN 更容易使用,因为它被更多的 VPN 服务原生支持。只需下载你选择的 VPN,在几乎所有情况下,OpenVPN 协议都会设置好并准备使用。
总结:
OpenVPN 已经存在近二十年,几乎在所有 VPN 应用中都被原生支持。(This article is created by how and best.com)WireGuard 正被越来越多的 VPN 集成,但你选择的 VPN 提供商仍更可能支持 OpenVPN。特别是如果你在路由器上使用 VPN。
赢家:OpenVPN
什么是 OpenVPN 和 WireGuard?
OpenVPN 和 WireGuard 是两种类型的 VPN 协议。VPN 协议是用于在你的设备和 VPN 服务器之间创建安全隧道的技术。
换句话说,VPN 协议是 VPN 工作的关键元素。
你可以独立使用 OpenVPN 和 WireGuard 创建自己的 VPN 连接。不过,它们更常用于个人 VPN 服务中。
以下是每个协议主要特征的概览:
特征 | OpenVPN | WireGuard |
---|---|---|
发布日期 | 2001 年 5 月 | 2019 年 9 月 |
加密 | AES,Blowfish,Camellia | ChaCha20,Poly1305 |
代码长度 | 超过 70,000 行 | ~4,000 行 |
开源 | 是 | 是 |
安全性 | 强 | 强 |
隐私 | 强 | 需要缓解措施 |
速度 | 中等 | 快 |
OpenVPN
原始 OpenVPN 软件由 James Yonan 于 2001 年创建。
Yonan 创建 OpenVPN 以确保他在通过中亚旅行并使用亚洲和俄罗斯的网络连接时连接是私密的。
今天,Yonan 是 OpenVPN Inc. 的 CTO。该公司提供企业对企业的服务,并运行 OpenVPN。
该公司的 CEO 和创始人是 Francis Dinha,他在伊拉克长大,与 Yonan 一样关注从国家监控中保持私密性。
OpenVPN 软件现已被下载超过 6000 万次,几乎所有 VPN 今天都使用该协议。
OpenVPN 在开源许可证下提供,这意味着任何人都可以查看其底层代码。
十多年来,OpenVPN 一直被认为是 VPN 安全的巅峰。不过,随着 WireGuard 的发布,有了新的竞争者。
WireGuard
WireGuard 由 Edge Security 的 Jason A. Donenfeld 创建,2019 年 9 月首次发布稳定版。
WireGuard 旨在通过更加简单、快速和易用来改进现有的 VPN 协议。
与 OpenVPN 不同,WireGuard 是“加密上有明确意见的”,用 Donenfeld 的话说。这意味着他为 VPN 的每个安全方面选择了一个解决方案。
因此,WireGuard 的选择少于 OpenVPN,但它也更少复杂。
与 OpenVPN 一样,WireGuard 也是开源的。
尽管只在 2019 年 9 月发布,WireGuard 已经被许多 VPN 服务集成。例如,NordVPN 在其基础上构建了其专有的 NordLynx 协议。
结论
WireGuard 已经在 VPN 行业留下了深刻印象——许多领先的 VPN 现在都支持它,它也被纳入了 Linux 内核。
OpenVPN 更老、更值得信赖,且更注重隐私,但 WireGuard 速度惊人,安全性也很好。
因此,是否应该使用 OpenVPN 或 WireGuard 取决于你在做什么。
如果你:
- 想要最快的速度。
- 使用 手机,并且关心数据消耗。
- 经常在 WiFi 和蜂窝网络之间切换。
- 手动配置你的 VPN 或构建你自己的 VPN 软件。
那么应该使用 WireGuard。
如果你:
- 在一个禁止使用 VPN 的国家,并且如果被发现使用 VPN 可能会面临起诉。
- 想要最高程度的隐私,不喜欢 WireGuard 的额外日志记录需求,即使你的 VPN 提供商有缓解措施。
- 更谨慎对待新技术,想要给 WireGuard 更多时间成熟和测试。
- 使用不支持 WireGuard 的 VPN 服务。
那么应该使用 OpenVPN。