Скорость VPN-туннеля — штука коварная: один протокол ест у вас пару мегабит, другой душит канал на треть, а третий улетает в CPU-лимит, хотя обе стороны сидят на гигабитах. Ниже — подробный разбор того, как разные решения ведут себя в реальных тестах в 2025 году. Спойлер: WireGuard всё ещё король, но есть нюансы, особенно если вы любите комбинировать OpenVPN c маскировками типа Cloak или Shadowsocks.
Как мы меряем «быстро» и почему не верим сухим цифрам
У любого VPN есть две ключевые скорость-метрики:
- Пропускная способность (throughput) — сколько мегабит данных прокачивается сквозь туннель без потерь.
- Дополнительная задержка (latency overhead) — во сколько миллисекунд обходится шифровка и дорога до сервера.
В наших тестах мы прогоняли iperf3 и ping на разных «площадках» — от виртуалок в Hetzner до домашнего роутера на ARM. Ниже — усреднённые значения, чтобы было с чем сравнивать. Помните: конкретная цифра у вас почти всегда отличается, но относительный отрыв протоколов остаётся похожим.
WireGuard — минимализм, работающий в ядре
За счёт крошечного кода (≈ 4 тыс. строк) и ядрового драйвера WireGuard стабильно лидирует по пропускной способности — часто это 85-95 % от «голого» канала. На ARM-процессорах с ChaCha20 разрыв с OpenVPN может достигать 40 %. Задержка растёт на 1-2 мс, handshake занимает < 100 мс.
- Плюсы: авто-роуминг, почти мгновенное подключение, быстрая шифровка ChaCha20-Poly1305.
- Минусы: нужен менеджмент ключей, старые маршрутизаторы ставят сторонние прошивки.
IKEv2/IPsec — золотая середина «из коробки»
Нативно встроен в Windows, macOS, iOS и Android. На CPU с AES-NI скорость обычно 80-90 % от канала, задержка +2-3 мс. Приятный бонус — MOBIKE, который держит туннель при прыжках между Wi-Fi и LTE.
Чистый IPsec (ESP-транспорт) — корпоративный тяжеловес
Если поднять IPsec без IKEv2, а прописать политики вручную, получаем ту же скорость, но больше мороки: конфиги громоздкие, а поставщики оборудования любят несовместимые расширения.
OpenVPN: классика плюс модные обёртки
OpenVPN UDP
При правильном MTU и AES-GCM даёт 60-75 % пропускной способности канала, задержка +5-10 мс.
OpenVPN TCP
Надёжно пробивается через прокси, но TCP-over-TCP при потере пакета может съедать до 50 % скорости на длинных трассах.
OpenVPN over Cloak
Cloak прячет трафик под HTTPS-поток. Потери на обфускации добавляют ещё 5-8 % overhead к OpenVPN TCP. Итоговая скорость падает до 50-55 % канала, задержка +10-15 мс.
OpenVPN over Shadowsocks
Здесь OpenVPN UDP идёт внутри лёгкого прокси Shadowsocks. Если включить простой шифр Shadowsocks (AEAD-2022-ChaCha20), итоговый throughput держится на уровне 55-65 %, задержка +7-10 мс.
OpenVPN Amnezia
Клиент Amnezia использует патч FakeTLS и перебирает обфускации автоматически. Скорость примерно на 5 % ниже «голого» OpenVPN UDP, зато подключение выглядит как обычный TLS-трафик.
L2TP/IPsec — двойная упаковка, двойной overhead
Из-за инкапсуляции L2TP+IPsec скорость редко превышает 50-60 % от канала, задержка +10-15 мс. Спасает только феноменальная совместимость со старым железом.
SSTP — TLS-туннель от Microsoft
Проходит через большинство прокси, но живёт строго на TCP 443. На практике выдаёт 60-70 % пропускной способности, задержка +8-12 мс.
SoftEther — швейцарский нож в мире VPN
Софт на C++, умеет эмулировать пять протоколов сразу и агрессивно распараллеливает шифрование. В пиковых тестах обгонял OpenVPN на 10-15 %, но ест больше памяти.
Shadowsocks — прокси, который иногда быстрее VPN
Хотя Shadowsocks — прокси, а не полноценный VPN, многие используют его именно ради скорости: на ChaCha20 трафик идёт с 90-95 % пропускной способностью канала, задержка почти не растёт. Минус — нет шифрованного туннеля для всего трафика ОС, нужно либо Tun2Socks, либо браузерные плагины.
Xray (V2Ray core) — конструктор с тремя коробками
Xray умеет Shadowsocks, VLess, VMess и кучу обфускаций (XTLS, Reality). На VLess+XTLS-Direct скорость почти как у чистого Shadowsocks, задержка +2-4 мс. На Reality (обёртка под HTTPS) теряется около 5-7 % пропускной способности.
Amnezia VPN — open-source комбайн
Amnezia Client умеет автоматом поднимать WireGuard, OpenVPN и Shadowsocks c маскировками. При выборе WireGuard вы получаете те же 85-95 % канала. С OpenVPN FakeTLS — смотрите секцию выше. Плюс — удобный GUI для «не-DevOps» настройщиков.
Сводная таблица производительности
| Протокол / схема | Тип транспорта | Средняя скорость от канала | Доп. задержка | Особенности |
|---|---|---|---|---|
| WireGuard | UDP | 85-95 % | +1-2 мс | Ядро, ChaCha20, мгновенный роуминг |
| IKEv2/IPsec | UDP | 80-90 % | +2-3 мс | MOBIKE, встроен в ОС |
| IPsec (ESP) | UDP | 80-90 % | +2-3 мс | Ручные политики, корпоративные сети |
| OpenVPN UDP | UDP | 60-75 % | +5-10 мс | Гибкая аутентификация |
| OpenVPN TCP | TCP | 50-65 % | +8-12 мс | TCP-over-TCP overhead |
| OpenVPN + Cloak | TCP/HTTPS | 50-55 % | +10-15 мс | Маскировка под веб-трафик |
| OpenVPN + Shadowsocks | UDP inside UDP | 55-65 % | +7-10 мс | Лёгкая обфускация |
| OpenVPN Amnezia (FakeTLS) | TCP/HTTPS | 55-70 % | +6-10 мс | Авто-подбор маскировок |
| L2TP/IPsec | UDP + UDP | 50-60 % | +10-15 мс | Наследие, старое железо |
| SSTP | TCP 443 | 60-70 % | +8-12 мс | Туннель в TLS 1.2 |
| SoftEther | TCP/UDP | 70-80 % | +5-8 мс | Мульти-протокол, много потоков |
| Shadowsocks | UDP/TCP | 90-95 % | +1-2 мс | Не VPN, нужен Tun2Socks |
| Xray (VLess XTLS) | UDP/TCP | 85-92 % | +2-4 мс | Маскир. Reality, гибкая настройка |
Как выбрать протокол под конкретную задачу
- Максимальная скорость + низкий пинг — WireGuard или IKEv2/IPsec на железе с AES-NI / ARM-NEON.
- Надо «подружиться» с любым клиентом и сертификатами — OpenVPN UDP.
- Нужен трафик, похожий на обычный HTTPS — OpenVPN+Amnezia или Xray Reality.
- Старый роутер с DD-WRT — L2TP/IPsec: медленнее, но взлетит без плясок.
- Хотите проксировать только браузер — Shadowsocks или Xray с плагином, скорость почти «как без всего».
Заключение
В 2025-м по чистой скорости лидируют WireGuard и IKEv2/IPsec, тогда как OpenVPN остаётся универсальным «работягой» благодаря гибкой аутентификации и богатому сообществу. Маскировки (Cloak, Shadowsocks, Amnezia, Xray) неминуемо отнимают пару-тройку мегабит, но дают другое преимущество — трафик выглядит «обычным» и реже вызывает вопросы у сетевого оборудования. Пробуйте на своей инфраструктуре и помните: цифра в таблице — это ориентир, а не приговор. Удачных экспериментов и let it flow!
