Вибір VPN-протоколу — не суто технічне питання. Від нього залежить швидкість роботи співробітників на «віддаленці», складність підтримки і рівень захисту корпоративних даних. WireGuard, OpenVPN і IPSec — три домінуючих протоколи у корпоративному середовищі. Розберемо кожен з погляду практичного застосування.

WireGuard: новий стандарт швидкості

WireGuard — найновіший із трьох. Він був включений до ядра Linux у версії 5.6 (2020) і швидко став еталоном продуктивності серед VPN-протоколів завдяки мінімалістичному кодовому базису (близько 4 000 рядків проти 600 000 у OpenVPN).

Швидкість

У незалежних тестах WireGuard показує пропускну здатність у 2–4 рази вищу за OpenVPN при однаковому залізі. На типовому VPS з каналом 1 Гбіт/с: WireGuard — 800–950 Мбіт/с, OpenVPN (UDP) — 200–400 Мбіт/с, IPSec/IKEv2 — 400–600 Мбіт/с.

Безпека

WireGuard використовує сучасні криптографічні примітиви: Curve25519 для обміну ключами, ChaCha20-Poly1305 для шифрування, BLAKE2s для хешування. Менша кодова база означає меншу поверхню атаки — простіше аудиторувати і складніше знайти вразливості.

Мінуси WireGuard

  • Статичні IP для кожного клієнта на сервері — менш зручно при великій кількості користувачів

  • UDP-only — може блокуватися в деяких корпоративних мережах і готелях

  • Менша зрілість екосистеми порівняно з OpenVPN

MikroTik + WireGuard

Підтримується з RouterOS 7.x. Налаштування відносно просте, продуктивність чудова навіть на бюджетних моделях типу hEX.

OpenVPN: перевірений часом стандарт

OpenVPN існує з 2001 року і є найширше підтримуваним VPN-рішенням у світі. Практично будь-який маршрутизатор, будь-яка ОС і більшість корпоративних файрволів вміють з ним працювати.

Переваги OpenVPN

  • Максимальна сумісність — клієнти для Windows, macOS, Linux, iOS, Android, RouterOS

  • TCP-режим — працює навіть крізь суворі корпоративні фільтри на порту 443 (HTTPS)

  • Гнучкість конфігурації — сотні параметрів для тонкого налаштування

  • Велика спільнота — величезна кількість документації і готових конфігурацій

Мінуси OpenVPN

Складне налаштування PKI (Certificate Authority, сертифікати клієнтів). Нижча продуктивність через SSL/TLS overhead. У TCP-режимі — «проблема TCP over TCP» при нестабільному з'єднанні.

MikroTik + OpenVPN

Підтримується, але з обмеженнями: до RouterOS 7 — лише TCP-режим без UDP, що знижує швидкість. Для повноцінного OpenVPN-сервера краще використовувати окремий Linux-сервер.

IPSec/IKEv2: корпоративний стандарт

IPSec — протокол безпеки мережевого рівня, вбудований у більшість корпоративних маршрутизаторів і операційних систем. IKEv2 — сучасна версія протоколу узгодження ключів для IPSec.

Переваги IPSec/IKEv2

  • Нативна підтримка — вбудований у Windows, macOS, iOS, Android без додаткових клієнтів

  • MOBIKE — автоматичне відновлення з'єднання при зміні мережі (Wi-Fi → 4G) без переривання сесії

  • Висока продуктивність — апаратне прискорення AES на сучасному залізі

  • Сайт-до-сайту — стандарт де-факто для з'єднання офісів між собою

Мінуси IPSec

Складна конфігурація, особливо при використанні NAT. Може блокуватися файрволами (UDP 500, 4500). Більша складність відлагодження при проблемах.

MikroTik + IPSec

Відмінна підтримка. MikroTik + IPSec/IKEv2 — ідеальна комбінація для корпоративних site-to-site VPN між офісами. Апаратне прискорення IPSec на більшості моделей CCR і hEX.

Підсумкова рекомендація

  • Для доступу співробітників з дому → WireGuard (швидкість, простота клієнта)

  • Для обходу суворих фільтрів → OpenVPN TCP на порту 443

  • Для з'єднання офісів між собою → IPSec/IKEv2 на MikroTik

  • Для мобільних користувачів iOS/macOS без додаткового ПЗ → IKEv2 (вбудований клієнт)

У більшості середніх компаній оптимальне рішення — гібридне: WireGuard для remote access співробітників і IPSec для з'єднання між офісами. Це дає максимальну продуктивність при мінімальній складності підтримки.