WireGuard、OpenVPN、REALITY：别问最强，先看你在哪上网

高铁上开着热点，手机信号一格一格跳，视频会议刚连上就开始卡。我后来学乖了：别问「哪个协议最强」，先问「我现在的网络在搞什么鬼」。同一个节点，WireGuard 可能飞起，换到地铁里就突然像被掐住；OpenVPN 看着慢，但在某些奇怪的 Wi‑Fi 下反而更稳；VLESS+REALITY 则属于另一种路线，更多是在「能不能连上」这件事上帮你省心。

先别急。

先把词掰开：你要的是 VPN，还是“能通就行”

我见过不少人把所有东西都叫 VPN。严格说，WireGuard、OpenVPN 是典型 VPN；VLESS+REALITY 更像代理隧道那一派（客户端里也常被归在“代理协议”），但对日常使用者来说，差别主要落在两件事：

一是走的传输形态。WireGuard 基本是 UDP，简单直接；OpenVPN 可以 UDP 也可以 TCP；REALITY 往往跑在 443 端口，外面看起来像 TLS 的握手和流量形态。

二是连上之后系统层面怎么接管流量。iOS 上用 Shadowrocket、macOS 上用一些客户端，走的是系统 VPN 配置；Android 上 V2RayNG、NekoBox、Hiddify 这类，有的走 VPNService，有的还带分流和规则。你想要的是全局、分应用、还是只让浏览器走代理，差别很大。

看场景。

WireGuard：快是快，脾气也真有

WireGuard 的优点很工程师：协议简单、实现干净、延迟低，跑满带宽通常不费劲。家里宽带到海外节点，如果中间链路不作妖，它经常就是最顺手的选择。

但我在移动网络上踩过几次坑。UDP 一旦遇到运营商的限速、抖动、或者某些基站对 UDP 不友好，表现会很像“明明连着，但网页一会开一会不开”。这时候你会怀疑人生。

还有电量。WireGuard 本身不算耗电，但如果你为了让 NAT 不回收，给移动端把 persistent keepalive 设得很激进，手机待机耗电会肉眼可见地上去。这个点不少人忽略。

实操里我常做两件小事：

• 丢包高时先动 MTU（移动网络很容易出现路径 MTU 问题）
• 需要保持在线才开 keepalive，平时别硬撑

如果你用的是带控制面板的服务，建议看一下有没有把这些做成开关，比如常见的断线重连、kill switch、DNS 防泄漏这类，我一般直接对着服务的功能页扫一眼，省得自己瞎猜实现细节。

OpenVPN：老，但不等于该淘汰

OpenVPN 的问题也很直白：重。握手、加密栈、用户态开销，叠在一起就不可能像 WireGuard 那么轻快。你在低端路由器上跑它，CPU 一飙，延迟和抖动就跟着来。

可它也有一个很现实的优势：在一些“网络环境很怪”的地方，OpenVPN 反而更容易找到一条能跑的路。尤其是 TCP 模式，速度通常更慢，但在某些只允许 Web 形态流量的网络里，它能让你至少把消息发出去。这里的取舍很烦人，但确实存在。

我自己通常把 OpenVPN 当备份。主用 WireGuard，遇到 UDP 抽风就切。

VLESS+REALITY：我更在意“连得上”，不是“跑多快”

说 REALITY，很多人第一反应是“伪装”。我倒觉得更准确的说法是：它把连接这件事做得更像正常的 TLS 流量，常见端口是 443，某些环境下确实更不容易被粗暴拦截。

代价也不是没有。

一是链路复杂度更高，你会更依赖客户端实现质量。V2RayNG、NekoBox、Hiddify 这些更新节奏不一样，偶尔就会出现“同一份配置，这个能连那个不行”的情况。

二是调试更麻烦。WireGuard 你看日志、看握手就差不多能定位；REALITY 相关配置一旦填错（比如 serverName、publicKey 之类），表现经常是“看起来都对，但就是不通”。

不过如果你的目标是跨各种公共 Wi‑Fi、酒店网络、校园网，只要能稳定连上，我会更偏向把 VLESS+REALITY 放进常用配置里。速度够用就行。

我常用的客户端，顺手点名

不同平台的体验差得很大，我手头这些是常驻的：

• Android：V2RayNG、NekoBox、Hiddify
• iOS：Shadowrocket
• 路由器：OpenWrt（常见是 WireGuard 或 OpenVPN 插件）

这不是“最推荐清单”，只是我自己能忍的组合。真的，客户端的稳定性比协议名更影响心情。

你可以这么选：按网络和设备，不按情怀

我一般按这四类场景切配置，省脑子：

• 家里宽带、办公网：优先 WireGuard，追求低延迟
• 高铁、地铁、4G/5G 抖动：WireGuard 不稳就切 VLESS+REALITY
• 公共 Wi‑Fi、酒店那种奇葩门户：先试 VLESS+REALITY，实在不行再掏 OpenVPN TCP
• 路由器全家桶：看 CPU，扛得住就 OpenVPN 备份，平时 WireGuard

这里面没有“信仰”。只有成本。

顺带一提，很多人把问题怪在协议上，实际是订阅、线路、节点质量不行，或者 DNS 被污染。遇到这类情况我会先去翻服务的常见问题，看有没有明确写出各平台的 DNS 处理、分流建议、以及客户端兼容性，能少走不少弯路。

价格不是最后一步，是第一步

讲点不那么浪漫的：你要是经常在两三种协议之间切换，就意味着你需要服务端支持、需要多端同时在线、还需要足够多的落地点给你试错。便宜套餐最容易在这一步卡住。

我选服务时会先看订阅里到底给什么，支持哪些协议，能不能一键切换，设备数怎么计，这些通常在套餐价格里写得最直白。

如果你不想折腾太久

我自己现在的做法是：日常用 WireGuard，移动网络兜底放一条 VLESS+REALITY，再留一个 OpenVPN 当“最后的门”。如果你想直接拿现成配置少踩坑，可以看看 DuduVPN 的多协议支持，订阅和节点切换我觉得做得比较省事；需要临时开通或改配置，用他们的 Telegram bot 处理也挺快。

最后给个很具体的排障动作：手机在移动网络下频繁断流时，别先换十个节点，先把 WireGuard 的 MTU 往下调到 1280 试一次。