VLESS+REALITY vs WireGuard vs OpenVPN: реальные тесты скорости, утечки DNS и латентность - 2025
Сравнение популярных протоколов по скорости, задержке, утечкам DNS/WebRTC и устойчивости в сложных сетевых условиях.
Зачем вообще сравнивать протоколы защищённых соединений?
Представьте, что вам нужно доставить письмо из Москвы в Амстердам. Можно отправить обычной почтой — быстро, но конверт могут вскрыть. Можно бронированным инкассаторским автомобилем — надёжно, но медленно и дорого. А можно нанять курьера, который выглядит как обычный турист, говорит на местном языке и несёт письмо в обычном рюкзаке — быстро, незаметно и при этом содержимое зашифровано.
Именно так работают разные протоколы защищённых соединений. И выбор «курьера» напрямую влияет на скорость, надёжность и уровень приватности вашего интернет-трафика.
В мае 2025 года мы провели серию независимых тестов пяти протоколов с серверами в пяти странах. В этом материале — только цифры и факты.
Методология тестирования
Период тестирования: 5–22 мая 2025 года
Количество измерений: 240 замеров на каждый протокол (8 замеров × 5 временных интервалов × 6 дней)
Клиентская точка: Москва, оптический канал 1 Гбит/с (проверен без VPN: 940/880 Mbps)
Инструменты:
- Speedtest CLI 1.2.0 (Ookla)
iperf3для прямых замеров пропускной способности- DNSLeakTest.com + browserleaks.com для проверки утечек
pingиmtrдля замера латентности и jitter- Wireshark 4.4.3 для анализа трафика и DPI-видимости
Протоколы в тесте:
- VLESS + REALITY (TLS 1.3 camouflage)
- WireGuard
- OpenVPN UDP
- OpenVPN TCP
- Shadowsocks + obfs4
- L2TP/IPSec (контрольная группа, устаревший стандарт)
Краткий технический обзор протоколов
VLESS + REALITY
Протокол нового поколения, разработанный как ответ на глубокую инспекцию пакетов (DPI). Ключевая идея: трафик визуально неотличим от обычного HTTPS-соединения с реальным легитимным сайтом (например, с Apple, Cloudflare или Amazon). Это достигается за счёт «заимствования» TLS-сертификата реального домена — пакеты данных буквально выглядят как обращение к icloud.com или подобному ресурсу.
Аналогия: Курьер, который внешне неотличим от сотрудника Apple Store — та же форма, тот же бейдж, те же движения. Никто не задержит для проверки.
WireGuard
Современный протокол с минималистичной кодовой базой (~4 000 строк против 100 000+ у OpenVPN). Работает на уровне ядра ОС, что даёт исключительную скорость. Главный недостаток: использует фиксированный порт UDP с характерной «цифровой подписью» трафика — DPI-системы его легко идентифицируют.
Аналогия: Очень быстрый мотоциклист в яркой форме. Доставит мгновенно, но заметен издалека.
OpenVPN (UDP / TCP)
Проверенный временем протокол с 20-летней историей. Хорошая документация, широкая поддержка. TCP-режим значительно медленнее UDP из-за двойного подтверждения доставки пакетов. Оба варианта хорошо определяются DPI.
Аналогия: Государственная почта. Надёжна, давно проверена, но медленная и работает по предсказуемому маршруту — все знают, что это почта.
Shadowsocks + obfs4
Протокол, изначально разработанный для китайского рынка под давлением «Великого Фаервола». Obfs4 (obfuscation layer 4) делает трафик похожим на случайный шум — без явных заголовков и паттернов. Хорошая маскировка, но уступает REALITY по устойчивости к fingerprinting.
L2TP/IPSec
Включён как контрольная группа. Устаревший протокол 1999 года, встроенный в большинство операционных систем. Низкая производительность, предсказуемые порты (UDP 500, 4500), легко блокируется на уровне firewall.
Тест 1: Скорость соединения
Тест проводился с сервером в Нидерландах (Амстердам). Базовая латентность без защищённого соединения — 34 мс.
| Протокол | ↓ Загрузка, Мбит/с | ↑ Отдача, Мбит/с | Латентность, мс | Jitter, мс | % от базовой скорости |
|---|---|---|---|---|---|
| VLESS + REALITY | 423 | 368 | 38 | 2 | 45% |
| WireGuard | 491 | 402 | 32 | 1 | 52% |
| OpenVPN UDP | 264 | 198 | 48 | 4 | 28% |
| OpenVPN TCP | 163 | 142 | 58 | 7 | 17% |
| Shadowsocks + obfs4 | 318 | 252 | 44 | 3 | 34% |
| L2TP/IPSec | 89 | 76 | 62 | 11 | 9% |
Примечание: Процент от базовой скорости рассчитан по метрике загрузки. Нагрузка на шифрование снижает реальную пропускную способность у всех протоколов — это нормально. Разница между VLESS+REALITY и WireGuard (423 vs 491 Мбит/с) несущественна для большинства задач: для 4K-стриминга достаточно 25–50 Мбит/с, для видеозвонков в HD — 5–8 Мбит/с.
Вывод по скорости: WireGuard незначительно быстрее, однако VLESS+REALITY обеспечивает сопоставимую скорость при значительно более высоком уровне маскировки трафика.
Тест 2: Проверка утечек DNS и WebRTC
Утечка DNS — ситуация, когда ваши DNS-запросы (то есть запросы «как найти сайт example.com?») уходят через провайдера, а не через защищённый туннель. Это раскрывает историю посещений, даже если сам трафик зашифрован.
Аналогия: Вы едете в бронированном автомобиле, но перед выездом спрашиваете у соседа, как доехать до адреса — теперь сосед знает, куда вы едете.
Методология: Все тесты проводились через DNSLeakTest.com (расширенный тест) и browserleaks.com/dns. Каждый сценарий повторялся 10 раз.
| Протокол | DNS-утечка | WebRTC-утечка | IPv6-утечка | Итоговая оценка |
|---|---|---|---|---|
| VLESS + REALITY | ✅ Нет | ✅ Нет | ✅ Нет | 🟢 Отлично |
| WireGuard | ✅ Нет | ✅ Нет | ⚠️ Зависит от клиента | 🟡 Хорошо |
| OpenVPN UDP | ✅ Нет | ⚠️ 3 из 10 тестов | ✅ Нет | 🟡 Удовлетворительно |
| OpenVPN TCP | ✅ Нет | ⚠️ 2 из 10 тестов | ✅ Нет | 🟡 Удовлетворительно |
| Shadowsocks + obfs4 | ✅ Нет | ✅ Нет | ⚠️ Требует настройки | 🟡 Хорошо |
| L2TP/IPSec | ⚠️ 4 из 10 тестов | ❌ Постоянно | ❌ Постоянно | 🔴 Неприемлемо |
Расшифровка результата WebRTC для OpenVPN: WebRTC — это технология браузерных видеозвонков, которая может раскрыть реальный IP-адрес даже при активном защищённом соединении. Проблема решается настройкой клиента или отключением WebRTC в браузере, но требует дополнительных действий от пользователя.
Вывод по утечкам: VLESS+REALITY показал нулевые утечки по всем трём категориям во всех 10 тестах. Это связано с архитектурой протокола: DNS-запросы маршрутизируются через сам туннель на уровне ядра соединения.
Тест 3: Латентность по серверным локациям
Замеры проводились методом ping (100 пакетов ICMP) и mtr из точки в Москве. Указаны средние значения за период тестирования.
| Локация сервера | Пинг без туннеля | VLESS+REALITY | WireGuard | OpenVPN UDP |
|---|---|---|---|---|
| 🇳🇱 Нидерланды (Амстердам) | 34 мс | 38 мс | 32 мс | 48 мс |
| 🇩🇰 Дания (Копенгаген) | 31 мс | 36 мс | 30 мс | 44 мс |
| 🇩🇪 Германия (Франкфурт) | 29 мс | 34 мс | 29 мс | 42 мс |
| 🇫🇷 Франция (Париж) | 36 мс | 41 мс | 35 мс | 50 мс |
| 🇺🇸 США (Нью-Йорк) | 128 мс | 133 мс | 128 мс | 142 мс |
| 🇺🇸 США (Лос-Анджелес) | 179 мс | 185 мс | 180 мс | 195 мс |
Для понимания цифр: Латентность до 50 мс — отлично (видеозвонки, игры, стриминг). 50–100 мс — хорошо (веб, мессенджеры, почта). 100–180 мс — приемлемо для просмотра контента, но заметно в онлайн-играх. Американские серверы естественно дают более высокую задержку из-за физического расстояния (~10 000 км).
Накладные расходы VLESS+REALITY на латентность: +4–6 мс к базовому пингу. Это один из лучших показателей среди протоколов с маскировкой трафика — TLS-рукопожатие оптимизировано.
Тест 4: Устойчивость к глубокой инспекции пакетов (DPI)
DPI (Deep Packet Inspection) — технология анализа трафика, которую используют интернет-провайдеры для классификации и фильтрации соединений. Современные DPI-системы умеют распознавать не только тип протокола, но и «поведенческий паттерн» трафика.
Аналогия: Таможенный офицер, который не просто смотрит на паспорт, но анализирует вашу походку, одежду, акцент и реакции.
Для тестирования использовался анализ трафика через Wireshark 4.4.3 с правилами nDPI 4.8 (движок, используемый во многих коммерческих DPI-решениях).
| Протокол | Идентификация по заголовку | Идентификация по паттерну | Идентификация по поведению | Итоговая DPI-оценка |
|---|---|---|---|---|
| VLESS + REALITY | ❌ Не определяется | ❌ Не определяется | ❌ Не определяется | 🟢 Невидим |
| Shadowsocks + obfs4 | ❌ Не определяется | ⚠️ Иногда | ⚠️ Частично | 🟡 Хорошая маскировка |
| WireGuard | ✅ Определяется | ✅ Определяется | ✅ Определяется | 🔴 Полностью виден |
| OpenVPN UDP | ✅ Определяется | ✅ Определяется | ✅ Определяется | 🔴 Полностью виден |
| OpenVPN TCP | ✅ Определяется | ✅ Определяется | ✅ Определяется | 🔴 Полностью виден |
| L2TP/IPSec | ✅ Определяется | ✅ Определяется | ✅ Определяется | 🔴 Полностью виден |
Почему VLESS+REALITY невидим для DPI:
Протокол реализует механизм «borrowing» — соединение буквально выглядит как TLS 1.3 handshake с реальным легитимным доменом. DPI-система видит валидный сертификат, корректный TLS fingerprint и стандартное поведение клиента. Отличить такое соединение от обычного HTTPS-трафика на уровне сетевого оборудования — практически невозможно без разрыва самого TLS-соединения, что нарушило бы работу законного трафика.
Итоговая таблица сравнения
| Параметр | VLESS+REALITY | WireGuard | OpenVPN UDP | Shadowsocks+obfs4 | L2TP/IPSec |
|---|---|---|---|---|---|
| Скорость загрузки (Амстердам) | 423 Мбит/с | 491 Мбит/с | 264 Мбит/с | 318 Мбит/с | 89 Мбит/с |
| Латентность (Европа) | 34–41 мс | 29–36 мс | 42–50 мс | 38–46 мс | 56–65 мс |
| Утечки DNS | ✅ 0 из 10 | ✅ 0 из 10 | ✅ 0 из 10 | ✅ 0 из 10 | ⚠️ 4 из 10 |
| Утечки WebRTC | ✅ 0 из 10 | ✅ 0 из 10 | ⚠️ 3 из 10 | ✅ 0 из 10 | ❌ 10 из 10 |
| Невидимость для DPI | 🟢 Высокая | 🔴 Низкая | 🔴 Низкая | 🟡 Средняя | 🔴 Низкая |
| Kill Switch | Зависит от клиента | Зависит от клиента | Зависит от клиента | Нет | Нет |
| Поддержка Multi-hop | ✅ Да | Частично | ✅ Да | ❌ Нет | ❌ Нет |
| Возраст протокола | 2022 | 2019 | 2001 | 2012 | 1999 |
| Открытый исходный код | ✅ | ✅ | ✅ | ✅ | ❌ |
Для кого что подходит
Выбирайте VLESS+REALITY, если:
- Вы цените баланс скорости и надёжности маскировки
- Вам важно, чтобы соединение работало стабильно в сетях с DPI-фильтрацией
- Вы не хотите разбираться в технических настройках — протокол работает «из коробки»
- Вам нужна работа в странах и сетях с жёсткой фильтрацией трафика
Выбирайте WireGuard, если:
- Максимальная скорость важнее маскировки
- Вы используете сервис в стране без агрессивной DPI-фильтрации
- Вам важно низкое энергопотребление (критично для мобильных устройств)
Не выбирайте OpenVPN / L2TP, если:
- Вам важна скорость (потери 50–90% от базовой скорости)
- Вы находитесь в сети с DPI (протоколы легко идентифицируются и могут блокироваться)
Выбор сервиса: что проверить перед подпиской
Кроме протокола, при выборе провайдера защищённых соединений стоит проверить:
-
Политика логирования. Хранит ли сервис логи подключений? Надёжные провайдеры публикуют аудиты no-log политики.
-
Юрисдикция серверов. Физическое расположение серверов определяет, под какое законодательство подпадают данные. Сервера в Нидерландах, Германии, Дании регулируются законодательством ЕС, которое не обязывает предоставлять данные по запросам третьих стран.
-
Количество серверных локаций. Чем больше географических точек — тем меньше нагрузка на каждый сервер и тем ниже латентность для пользователя.
-
Поддержка. Как быстро реагирует служба поддержки? Есть ли документация на понятном языке?
-
Стабильность инфраструктуры. Есть ли у сервиса мониторинг доступности? Публикует ли он статистику uptime?
Краткие выводы
- WireGuard — быстрейший протокол в тесте (491 Мбит/с), минимальная латентность (32 мс до Амстердама), но полностью видим для DPI.
- VLESS+REALITY — единственный протокол с нулевыми утечками всех трёх типов И полной невидимостью для DPI. Скорость (423 Мбит/с) достаточна для любых задач.
- OpenVPN — надёжный, но устаревающий выбор: скорость вдвое ниже современных альтернатив, WebRTC-утечки в 30% тестов.
- L2TP/IPSec — не рекомендуется к использованию: четыре DNS-утечки из десяти и постоянные WebRTC/IPv6-утечки.
Для большинства пользователей в 2025 году оптимальный выбор — VLESS+REALITY: превосходная маскировка трафика при скорости, которой хватит для одновременного стриминга 4K на нескольких устройствах.
Данные актуальны на май 2025 года. Тестирование проводилось с Москвы на собственной инфраструктуре. Результаты могут незначительно отличаться в зависимости от провайдера, времени суток и маршрутизации трафика.
Хотите проверить скорость вашего текущего соединения? Используйте fast.com или speedtest.net — сначала без защищённого соединения, затем с ним, и сравните результаты.
Теги: безопасность интернета, защищённое соединение, VLESS, WireGuard, OpenVPN, тест скорости 2025, DNS leak test, DPI, приватность в сети, выбор протокола