为什么要了解传统VPN协议?
之前我们介绍过针对翻墙设计的代理协议(SS、VMess、VLESS、Trojan、Hysteria),那些协议的核心目标是抗审查。但在非封锁环境下(如海外使用、企业内网),传统VPN协议依然是主流选择。它们成熟稳定、生态完善、被各大操作系统原生支持。
了解这些协议,不仅有助于你在不同场景选择合适的工具,也能让你理解为什么传统VPN在中国越来越难用——它们并非为对抗GFW而设计。
WireGuard
概述
WireGuard是2018年发布的新一代VPN协议,由Jason A. Donenfeld开发。它的代码量仅约4000行(OpenVPN超过10万行),设计理念是"简单就是安全"。2020年被合并入Linux内核,获得Linus Torvalds本人的高度评价。
技术特点
- 极简代码:约4000行,易于审计,安全漏洞面小
- 现代加密:Curve25519密钥交换、ChaCha20加密、Poly1305认证、BLAKE2哈希
- 内核级实现:运行在Linux内核空间,性能极高
- UDP传输:仅使用UDP协议,无TCP开销
- 静默设计:未认证的数据包直接丢弃,不回复任何信息(端口扫描看不到服务)
- 快速漫游:IP变化时无需重新握手,切换WiFi/4G时无感
性能对比
在同等硬件条件下,WireGuard的吞吐量通常是OpenVPN的2-4倍,延迟更低,CPU占用更少。特别适合移动设备和低功耗路由器。
局限性
- 仅UDP:在限制UDP的网络环境下无法使用(部分企业网络、学校网络)
- 固定IP:设计上每个Peer有固定内网IP,不适合大量动态用户
- 无内置混淆:流量特征明显,易被GFW识别和封锁
- 隐私争议:服务端必须保存Peer的公钥和分配的IP,天然有日志属性
适合场景
无封锁环境下的个人/企业VPN首选。组建私人网络(如Tailscale、Netmaker)的底层协议。移动设备上的常驻VPN连接。
OpenVPN
概述
OpenVPN诞生于2001年,是最老牌且应用最广泛的开源VPN协议。几乎所有VPN服务商、企业方案、路由器固件都支持OpenVPN。
技术特点
- 支持TCP和UDP:可以在UDP被封时回退到TCP(包括443端口伪装HTTPS)
- 高度可配置:加密算法、认证方式、路由策略等均可自定义
- 证书认证:支持完整的PKI证书体系
- 成熟生态:20+年的开发历史,文档丰富,社区庞大
- 跨平台:Windows、macOS、Linux、iOS、Android、路由器全覆盖
局限性
- 性能较低:用户态实现,CPU开销大,吞吐量低于WireGuard
- 代码臃肿:超过10万行代码,审计困难
- 连接建立慢:TLS握手过程较长,断线重连需要数秒
- 流量特征:握手包有明显指纹,已被GFW识别
适合场景
需要TCP传输的环境。企业级部署(成熟的权限管理和审计)。需要精细控制路由策略时。旧设备兼容。
IKEv2/IPSec
概述
IKEv2(Internet Key Exchange v2)是IPSec协议族的密钥交换协议,由微软和思科联合开发。它是Windows和iOS系统原生支持的VPN协议,不需要安装额外客户端。
技术特点
- 系统原生支持:Windows、iOS、macOS无需第三方客户端
- MOBIKE扩展:支持网络切换时保持VPN连接(从WiFi切到4G不断线)
- 快速重连:网络中断后可快速恢复连接
- 安全性高:基于IPSec的成熟加密体系
- NAT穿透:内置NAT-T支持,在NAT后也能正常使用
局限性
- 仅UDP:使用UDP 500和4500端口,部分网络可能封锁
- 配置复杂:服务端部署比WireGuard和OpenVPN都复杂
- 流量特征明显:固定端口号使其容易被识别和封锁
- Linux支持较弱:Linux上需要StrongSwan等额外软件
适合场景
iOS/Windows用户不想安装第三方客户端。企业环境中与Active Directory集成。需要稳定的移动VPN连接(切换网络不断线)。
协议横向对比
| 特性 | WireGuard | OpenVPN | IKEv2/IPSec |
|---|---|---|---|
| 诞生年份 | 2018 | 2001 | 2005 |
| 代码量 | ~4000行 | ~100000行 | 复杂(IPSec协议栈) |
| 传输层 | UDP | UDP/TCP | UDP |
| 速度 | 极快 | 中等 | 快 |
| 连接建立 | 毫秒级 | 秒级 | 较快 |
| 移动端切换 | 优秀 | 较差 | 优秀(MOBIKE) |
| 抗GFW能力 | 弱 | 弱 | 弱 |
| 系统原生支持 | Linux内核 | 需安装客户端 | Win/iOS/macOS |
| 配置难度 | 简单 | 中等 | 较复杂 |
为什么传统VPN协议在中国难用?
WireGuard、OpenVPN、IKEv2这三个协议在中国都很容易被封:
- 固定端口:IKEv2使用UDP 500/4500,OpenVPN默认1194,特征明显
- 协议指纹:GFW通过DPI能识别这些协议的握手特征
- 无伪装能力:它们不会将自己伪装成正常的HTTPS或其他流量
- 设计目标不同:它们的设计目标是"安全传输"而非"抗审查"
这就是为什么VLESS+Reality、Trojan等专为抗审查设计的协议在中国更受欢迎——它们把流量伪装成正常的TLS/HTTPS访问,GFW难以区分。
选择建议
在中国翻墙:不要选传统VPN协议,用VLESS+Reality、Trojan或Hysteria2。
在海外保护隐私:WireGuard是首选,性能最好。
企业远程办公:WireGuard(简单场景)或OpenVPN(需要精细控制)。
iOS/Windows原生:IKEv2最方便,不需要安装额外应用。
组建私人网络:Tailscale(基于WireGuard),零配置互联你的所有设备。
