WireGuard、OpenVPN、REALITY 怎么选：我日常踩坑后的答案

地铁里信号一跳，协议差别立刻露馅

周一早高峰的地铁，手机信号从 5G 掉到 4G，再掉到一格。视频还在播，但画面开始糊。这时候你用的 VPN 协议是什么，体验差得会很明显。

我平时在 iOS 上用 Shadowrocket，Android 会在 V2RayNG、NekoBox 之间换着试，家里路由器是 OpenWrt。协议这东西别看名字酷不酷，核心就是三件事：连得上、稳不稳、耗不耗电。剩下的才是速度。

我最常用的还是 WireGuard。原因很现实：它一般走 UDP，握手和加密开销小，延迟低，手机耗电也相对友好。你从 Wi‑Fi 切到蜂窝数据，很多时候不会卡半分钟。

但我也见过翻车。

一类是网络环境对 UDP 不友好，丢包一高，WireGuard 会表现得像“时快时慢”，尤其是你在移动网络边走边用的时候。另一类是某些地方对 WireGuard 的特征比较敏感，连上不稳定，或者直接握手失败。这不是 WireGuard 的错，是环境不讲武德。

我自己的习惯是：WireGuard 作为默认方案，遇到连不上再切别的。别纠结。

如果你用的是成品服务，除了协议本身，还得看它有没有把基础体验打磨好，比如分流、DNS、防泄漏这些。我有时会直接翻一眼他们的功能页里写的具体能力，因为很多“快不快”的差别，最后其实落在细节配置。

OpenVPN 我不会天天用，但我不会删。

它的优点很朴素：成熟、兼容性好、出问题好排查。你在 Windows 或 macOS 上遇到公司网络、酒店网络各种奇怪限制时，OpenVPN 反而更容易找到一个能跑的姿势，尤其是走 TCP、甚至把端口放在 443 的时候（就是大家都在用的 TLS 端口）。

代价也明显：慢一点，耗电一点，握手时间更长一点。手机上尤其明显。你如果在 iOS 上开着 OpenVPN 后台跑一整天，电量曲线会给你答案。

还有一点挺烦：很多人把“OpenVPN = 稳”当成定律，其实不是。网络差的时候，TCP 上套 TCP 也会让体验变怪，卡顿的那种怪。遇到这种情况，我会让它退回备用位，不跟它较劲。

REALITY 我更愿意把它当成一种“通过性策略”，不是单纯追求跑满带宽。

它常见的组合是 VLESS+REALITY，思路是把连接形态尽量贴近正常的 TLS 行为，让你在一些偏严格的网络里更容易建立连接。你会发现：同一个地方，WireGuard 怎么都握手不上，REALITY 却能先把通道打通。

但这条路也有 trade-off。

第一，客户端和配置更挑剔。你在 Android 上用 Hiddify 或 NekoBox 可能很顺，但换个内核、换个订阅格式就开始出小毛病。第二，调试成本更高。真实世界里，问题经常不是“协议不行”，而是 SNI、分流规则、DNS、或者某个参数没跟服务端对齐。

我一般怎么选？很直白：能用 WireGuard 就别折腾，遇到封锁明显、握手失败频繁，再把 REALITY 抬出来。

这句话我想说得重一点。

协议选对了，DNS 泄漏照样能让你“看起来没开 VPN”。在 iOS/Android 上尤其常见：App 里显示已连接，但系统 DNS 还在走本地网络，结果某些网站按地区给你跳转，或者干脆报错。

我自己会固定检查这几项（真就这几项，别搞成玄学）：

如果你是路由器全家桶（OpenWrt 上跑客户端，让家里设备全走隧道），还要额外留意 MTU。MTU 不合适时，表现很像“网速正常但某些站点打不开”。这坑我踩过。

顺便说个现实：很多人只问“哪个协议最快”，却不愿意看服务端线路和节点质量。你要是准备订阅付费服务，我建议先把价格和套餐限制翻一下，至少搞清楚设备数、流量策略、有没有针对移动网络优化。

我平时大概这么用：

这里没有“最佳答案”。你只要记住：协议只是工具，场景才是老板。

如果你不想在客户端里来回换内核、调参数、对着日志猜问题，直接用一套把 WireGuard、REALITY 这类常用方案都配好的服务会轻松很多。我自己用的是 DuduVPN，有问题就丢给他们的 Telegram bot 处理，省下来的时间更值钱。

最后给个实用小动作：连上后去做一次 IP 和 DNS 泄漏测试，别等到出门在外才发现“其实没走隧道”。