WireGuard、OpenVPN、REALITY 我怎么给不同设备选协议

上周我在咖啡馆赶稿，Mac 连着公共 Wi‑Fi，手机开热点给 iPad，同一时间还得挂着公司内网。VPN 一断，Slack 卡死，Git pull 半天没反应。最烦的是你明明“连上了”，网页却像在憋气。

协议选错，体验直接崩。

我见过太多人把“选协议”当成玄学，其实就两件事：你要的是速度，还是要的是能连上。别纠结。先测延迟。

先别问“哪个最好”，你在躲什么

如果你只是想让 YouTube 不转圈，或者 Steam 下载别掉速，那你更在意延迟、丢包和耗电。如果你是在一个会干预流量的网络里（校园网、某些公司 Wi‑Fi、出差酒店），你在意的是“握手能不能过”，以及被识别的概率。

同样是 VPN，WireGuard 的感觉像开了直连；OpenVPN 更像老式柴油机，慢点但能扛；VLESS+REALITY 则是另一个思路，把流量伪装进 TLS 的外衣里，赌对面不敢乱动 443 端口。

顺手提一句，很多人以为“协议决定一切”，但客户端实现、节点线路、DNS 策略、甚至手机信号强度，都会把结果改写。手机更挑剔。

WireGuard：速度快到你以为没开 VPN

WireGuard 走 UDP，握手和状态管理很干净，移动网络里频繁切基站时，重连也快。这就是它在 Android、iOS 上很吃香的原因：体感延迟低，电量消耗也通常比 OpenVPN 好看。

但它也有脾气。某些网络会对 UDP 不友好，尤其是你在地铁里信号忽强忽弱的时候，丢包一高，WireGuard 的“快”就变成“时好时坏”。我自己的经验是：在同一条线路上，WireGuard 更容易把带宽吃满，但在糟糕网络里，它比你想的更敏感。

还有一点挺现实：WireGuard 配置简单到几行，但如果你希望更细的分流、自动规则、按应用代理，就得看客户端和服务端方案是不是配套。像 OpenWrt 上跑 WireGuard 很舒服，可你要做花活（比如按域名分流），还是得把 DNS 和规则搞清楚。DuduVPN 的一些常用能力我一般会直接看它的功能页说明，省得自己猜它到底在哪层做的。

OpenVPN：老而不死，适合“只要能连上”

OpenVPN 的优势不是“快”，而是生态。Windows、macOS、路由器固件、各种奇怪的网络环境，它都能想办法活下来。你把它切到 TCP，再套到 443 端口上，很多地方就不太会去碰它，因为一碰就可能误伤正常的 TLS 流量。

代价也明显：TCP 套 TCP 的时候，丢包重传会叠加，网页打开那种黏糊感很熟悉。还有 CPU 占用，低端路由器跑起来容易发热，手机上也更费电，尤其后台挂一整天。

我一般把 OpenVPN 当“兜底协议”。当 WireGuard 在某个网络里抽风，OpenVPN 往往还能把连接撑住，哪怕速度一般。

VLESS+REALITY：能活下来的那套伪装

VLESS+REALITY 这类东西，我更愿意把它理解成“传输层的伪装技巧”。它不像传统 VPN 那样一眼就能被特征识别，而是尽量让自己长得像普通的 TLS 连接。你会看到很多人把它和各种客户端配在一起：Android 上用 V2RayNG、NekoBox，Windows 上用 Hiddify，iOS 上不少人还是靠 Shadowrocket。

好处是，在一些会主动识别、限速甚至直接掐断的网络里，它更容易通过。坏处也很真实：参数多，链路里多一层处理，调起来有点烦。你还得接受“同一个配置，在不同客户端上表现不一致”这种事，尤其是 iOS 上，后台保活和系统策略会把体验搅乱。

如果你经常出差、换网络，又不想每次都赌运气，这一套值得放进你的工具箱里，但别指望它永远最快。

我自己怎么配：手机、电脑、路由器各一套

我现在的习惯比较粗暴，按场景切，别折磨自己：

• iOS（Shadowrocket）：优先 WireGuard，遇到 UDP 抽风再切 OpenVPN
• Android（NekoBox 或 V2RayNG）：常驻 VLESS+REALITY，想省电再换 WireGuard
• macOS/Windows：日常 WireGuard，进公司内网或酒店网就备一个 OpenVPN
• OpenWrt 路由器：家里常开 WireGuard，做旁路由时把 DNS 和分流规则固定住

这里面最容易被忽略的是 DNS。你协议选对了，但 DNS 走了本地解析，照样会慢，甚至会有奇怪的地区漂移。真要省心，就把“DNS 走哪里、是否防泄漏、是否支持分应用”当成和协议同等重要的选项。设置细节我一般直接翻常见问题，比在群里问一圈更快。

连接不上时，我先做这两步

我排障不喜欢一上来就重装，先做两个检查：

• 把协议从 UDP 跳到 TCP（WireGuard 不行就换 OpenVPN TCP/443），看是不是网络在针对传输层
• 换一个 DNS 策略或直接让客户端接管 DNS，排除解析被污染或走错出口

很多“突然不好用”，其实是那家店的 Wi‑Fi 做了奇怪的 QoS，或者你手机刚好在 5G 和 4G 来回切，丢包把体验拖垮了。

如果你不想自己拼配置、挑客户端兼容，我建议直接用一套省心的服务。像我这种经常在 iOS、Android、OpenWrt 来回切的人，会更看重节点切换和协议备份是否顺手，可以看看 DuduVPN 的方案，开通和续费我一般走它的价格页；临时要账号或找入口，用 Telegram bot 也挺快。

最后给个很实用的小技巧：在移动网络里感觉卡顿时，先别急着怪节点，先把同一节点从 WireGuard 切到 VLESS+REALITY 试一下，能立刻判断你是在被 UDP 搞，还是线路本身在掉包。