Самый современный ВПН-протокол (2015). Быстрее, проще, безопаснее OpenVPN. Стал стандартом за 5 лет. Дефолт для большинства современных ВПН включая нас.
Что делает его особенным
Маленькая кодовая база
~4000 строк кода. Для сравнения: OpenVPN ~100K+ строк, IPsec — ~400K+. Меньше кода = меньше bug surface, легче аудитировать.
Современная криптография
- ChaCha20-Poly1305 для симметричного шифрования. Быстрее AES на CPU без AES-NI (большинство мобильных).
- Curve25519 для key exchange. Современная elliptic curve.
- BLAKE2s для хэширования. Быстрее SHA-2.
- HKDF для key derivation.
- Noise Protocol Framework для handshake.
Запуск в ядре (kernel space)
На Linux WireGuard работает в ядре (с 5.6). Меньше context-switches между user space и kernel space — выше throughput. На других OS (Windows, macOS, Android) — user space, но всё равно быстрее OpenVPN.
Производительность
- ~5-15% потеря скорости vs голой сети (vs 10-25% у OpenVPN).
- Handshake ~50мс (vs 200мс+ у OpenVPN из-за полного TLS).
- Roaming — переключение сети (WiFi ↔ сотовая) без полного re-handshake. ВПН не падает при смене сети.
Безопасность
Multiple audits, peer-reviewed published cryptography. С 2020 в Linux kernel (мажорное доверительное событие — kernel maintainers не принимают подозрительный код).
Известные слабости/trade-offs:
- В naive setup сервер запоминает последний known IP юзера — не идеально для privacy. Хорошие ВПН-провайдеры применяют randomization/obfuscation чтобы избежать.
- Только UDP. Строгие firewalls блокируют — нужен fallback на OpenVPN-TCP.
Где WireGuard юзается
- ClownVPN (default).
- NordVPN (как NordLynx — модифицированный WireGuard).
- Mullvad (default).
- ProtonVPN.
- Tailscale (built on WireGuard).
- Cloudflare WARP.