Ветеран ВПН-протоколов (2001). Open-source, гибкий, проверенный. Медленнее WireGuard, но более совместим с restricted сетями. ClownVPN юзает как fallback.
История
Запущен 2001 James Yonan. К 2010 стал de facto стандартом для consumer VPN. До 2020 — доминирующий протокол. WireGuard теснит его с 2020.
Архитектура
- SSL/TLS-based: юзает OpenSSL для шифрования и handshake.
- UDP или TCP: умеет работать через оба транспорта.
- User space: не в ядре, дополнительный overhead.
- Гибкая конфигурация: тысячи опций, легко настраивается.
Шифрование
Default современный setup:
- Cipher: AES-256-GCM.
- Authentication: SHA-512 HMAC.
- Key exchange: ECDHE (Elliptic Curve Diffie-Hellman Ephemeral).
- Cert exchange: TLS 1.2 или 1.3.
Всё проверенное peer-reviewed crypto, secure. Просто медленнее современных альтернатив.
Производительность
- 10-25% потеря скорости vs голой сети.
- Handshake 200-500мс (полный TLS).
- Reconnect медленнее WireGuard — при смене сети полный новый handshake.
- CPU-overhead выше — особенно на старых девайсах.
TCP vs UDP
UDP (default): быстрее, лучше для большинства задач. Может быть заблокирован агрессивными firewalls.
TCP/443: медленнее (TCP overhead + TCP-в-TCP проблема), но проходит через любые firewalls — выглядит как обычный HTTPS-трафик. Юзается в restricted сетях.
Когда лучше OpenVPN чем WireGuard
- Сеть блокирует UDP (корпоративные firewalls, школьные сети).
- Нужна максимальная совместимость со старыми устройствами/ОС.
- Audit-heavy ситуации где предпочитают наиболее проверенный временем протокол.
Минусы
- Большая кодовая база (~100K строк) — больше attack surface.
- User-space только — нет kernel-space оптимизаций.
- Медленнее, больше battery drain на мобильных.
В ClownVPN
WireGuard — default. OpenVPN — fallback когда UDP/WireGuard не работают (некоторые ограничивающие сети). Auto-switching при проблемах подключения.