WireGuard, OpenVPN и REALITY: что ставить сегодня

Я понял, что пора перестать «ставить что-то VPN-ное», когда в электричке связь начала прыгать между LTE и 3G, а рабочий звонок в Telegram превратился в лотерею. Вроде бы VPN включён. Вроде бы сервер рядом. А звук то пропадает, то возвращается.

Связь рвётся.

Причина чаще не в «плохом VPN», а в выбранном протоколе и в том, как он переживает реальные сети: перегруженный Wi‑Fi, мобильные соты с потерями пакетов, фильтры провайдера, корпоративные прокси. Протокол это не абстракция. Это конкретные компромиссы.

WireGuard: когда хочется просто работать

WireGuard я держу включённым почти всегда на ноутбуке и на домашнем роутере с OpenWrt. Он быстрый, аккуратный по накладным расходам и обычно даёт приятную задержку. На нормальном канале разницу видно даже без тестов: страницы открываются бодрее, видео меньше думает.

Но есть нюанс, который раздражает. На телефоне WireGuard иногда ведёт себя капризно при агрессивной экономии энергии. Android умеет «усыплять» фоновые соединения, и туннель может проснуться не сразу. Это не баг конкретного сервиса, это вечная борьба мобильной ОС за батарею.

Ещё одна практическая вещь: WireGuard по умолчанию живёт на UDP. На мобильной сети UDP иногда режут или «подпиливают» так, что начинается пляска с потерями. Пинг прыгает. Голос рвётся.

Если вам нужен протокол «поставил и забыл» для домашнего интернета, для стабильного Wi‑Fi, для роутера, WireGuard почти всегда первая попытка. Я начинаю с него.

OpenVPN: старичок, который до сих пор выручает

OpenVPN принято ругать за прожорливость и задержку. Часто по делу. Особенно если сравнивать с WireGuard на одном и том же сервере.

И всё же OpenVPN я не списываю. У него есть трюк, который регулярно спасает в местах, где UDP не любят. OpenVPN может работать поверх TCP, а TCP, в свою очередь, проще «протащить» через странные сети. Да, TCP поверх TCP в некоторых сценариях даёт неприятные затыки (классический эффект, когда ретрансляции начинают мешать друг другу). Но иногда это лучше, чем ничего.

И ещё: OpenVPN понятнее для многих корпоративных сред. В офисах, где сеть построена на привычных правилах и прокси, OpenVPN чаще «вписывается» без шаманства.

Если у вас Windows‑ноутбук, который то дома, то в коворкинге, то в гостинице, иметь профиль OpenVPN как запасной вариант полезно. Он не самый быстрый. Зато часто самый терпеливый.

VLESS+REALITY: когда важнее пройти, чем быть быстрым

REALITY в разговорах обычно всплывает рядом со словом «обход». И да, это про ситуации, когда соединение нужно замаскировать под обычный трафик так, чтобы фильтры не сработали на сигнатуре. На практике чаще всего это VLESS+REALITY, работающий через порт 443 (тот же порт, на котором живёт обычный HTTPS).

Тонкость в том, что REALITY это не «ускоритель интернета». Иногда он будет медленнее WireGuard. Иногда заметно медленнее. Там своя цена: лишняя логика, больше шагов на установление соединения, и не каждый сервер одинаково хорошо настроен.

Зато в проблемных сетях REALITY может оказаться единственным вариантом, который просто поднимается. Я видел это не раз: WireGuard не коннектится, OpenVPN зависает на рукопожатии, а VLESS+REALITY заводится с первой попытки.

На Android я чаще встречаю REALITY в клиентах вроде NekoBox или Hiddify. На iOS это часто Shadowrocket. Важно понимать: такие клиенты обычно про набор транспортов и прокси‑схем, а не про «классический VPN в одной кнопке». Зато гибкость там реальная.

Shadowsocks-2022 и компания: быстрый обход, но со своими ограничениями

Shadowsocks-2022 я люблю за простоту и скорость, когда нужно быстро починить доступ к сервисам и не хочется тяжёлой артиллерии. Он неплохо живёт в мобильных сетях, а клиенты под Android вроде V2RayNG (в связках и сборках) или NekoBox позволяют быстро переключаться между профилями.

Но тут важно не путать: Shadowsocks это скорее прокси-туннель, а не VPN в том смысле, в каком его ожидают некоторые приложения. На уровне системы это может работать по-разному, зависит от клиента и платформы. Где-то будет полноценный режим «весь трафик через туннель», где-то придётся разбираться с правилами маршрутизации.

И есть ещё одна ловушка. Некоторые приложения (банки, корпоративные MDM, отдельные стриминги) реагируют не на факт «есть VPN», а на конкретные признаки сетевого пути. С Shadowsocks иногда проще попасть в серую зону: вроде доступ появился, а часть сервисов начинает вести себя странно.

Так бывает.

Что выбирать, если без философии

Я не верю в «единственный правильный протокол». Реальная жизнь всё равно заставит держать два-три варианта.

Вот как я обычно раскладываю по задачам:

• WireGuard: основной режим для дома, роутера, стабильного Wi‑Fi, игр (если важна задержка).
• OpenVPN (TCP): запасной вариант для сетей, где UDP не проходит или связь слишком рваная.
• VLESS+REALITY: когда сеть явно фильтрует и нужно именно пройти, даже ценой скорости.
• Shadowsocks-2022: быстрый «починить доступ», особенно на телефоне, если клиент и режим вам подходят.

На iOS выбор клиента иногда важнее протокола: что поддерживает приложение, так и будете жить. На Android больше свободы, но и больше мест, где можно ошибиться настройкой.

Немного про батарею, задержку и мобильные потери

Три коротких наблюдения из практики.

Первое: на телефоне наименее раздражающими по батарее у меня обычно оказываются хорошо настроенные WireGuard-профили. Но при плохой сети выигрывает не всегда он.

Второе: если вы часто перемещаетесь (метро, электричка, такси), смотрите не на «скорость по тесту», а на то, как соединение переживает смену вышек и кратковременные обрывы. Некоторые реализации и транспорты восстанавливаются мягко, некоторые ломаются и требуют ручного переподключения. Это бесит.

Третье: задержка. Для созвонов и игр важна не максимальная скорость, а ровный пинг и минимум потерь. В этом смысле WireGuard часто выигрывает. Но если сеть режет UDP, вы упрётесь в стену и придётся уходить в TCP или в маскировку.

Два профиля на устройство, и жить легче

Я стараюсь не плодить десять конфигов «на всякий случай». Достаточно двух активных и одного аварийного.

Мой минимальный набор выглядит так:

• основной профиль WireGuard;
• резерв OpenVPN (TCP);
• аварийный VLESS+REALITY для сетей, которые явно фильтруют.

И да, я подписываю профили человеческими именами: «Дом WG», «Публичный Wi‑Fi OVPN TCP», «443 REALITY». Через месяц вы сами себе скажете спасибо.

Где всё это удобно взять и не утонуть в настройках

Хороший VPN-сервис отличается не тем, что «поддерживает протоколы», а тем, что даёт внятные конфиги, нормальные приложения и быстрые способы переключиться, когда сеть начала чудить. Если хочется заранее понять, какие режимы вообще доступны и что с ними можно сделать, полезно заглянуть в список функций DuduVPN.

Ещё один бытовой момент: вы почти наверняка захотите поставить VPN на несколько устройств. Телефон, ноутбук, планшет, роутер. Тут уже всплывают вопросы по числу подключений, по вариантам оплаты, по срокам. Я обычно смотрю это на странице с тарифами, потому что сюрпризы в таких местах раздражают сильнее всего.

Если же вы настраиваете нестандартный клиент (OpenWrt, отдельные приложения под iOS, экзотические сборки под Android) и упираетесь в мелочи, проще сначала пробежать ответы в FAQ, чем искать по чатам, где половина советов устарела.

Бывает, что проблема не в протоколе. А в DNS.

Перед тем как менять WireGuard на OpenVPN, я всегда проверяю, кто именно резолвит доменные имена, и не подменяет ли их сеть. Особенно в публичных Wi‑Fi.

Если хочется без ручной возни

Если вам нужен сервис, где можно держать WireGuard как основной вариант и при этом иметь запасные схемы на случай «не коннектится», я бы посмотрел на DuduVPN и, если удобнее настраивать через телефон, на их Telegram bot.

А на роутере, если у вас OpenWrt, поставьте WireGuard, включите постоянное соединение и не забудьте про корректный MTU: когда в мобильной раздаче начинаются странные подвисания, это одна из первых ручек, за которую стоит подёргать.