WireGuard: 4000 строк кода, 940 Мбит/с — быстрее и безопаснее OpenVPN вдвое.
«WireGuard переосмыслил VPN: минималистичный код, современная криптография и скорость, сопоставимая с нативным соединением.»
WireGuard — это VPN-протокол нового поколения, созданный с нуля с фокусом на безопасность через минимализм. Весь код ядра (~4000 строк) умещается в несколько экранов — его можно проверить за один аудит. Для сравнения: OpenVPN содержит сотни тысяч строк кода. Криптографический примитив фиксирован: ChaCha20 + Poly1305 + Curve25519 + BLAKE2s + SipHash — нет устаревших алгоритмов, нет negotiation, нет ошибок конфигурации.
В стеке IgNix WireGuard используется для site-to-site VPN между площадками, для удалённого доступа сотрудников и для изолированного управляющего канала администрирования. Работа в kernel-space обеспечивает производительность 940–960 Мбит/с на типичном сервере — против 480 Мбит/с у OpenVPN на том же железе. IPsec применяется там, где требуется совместимость с оборудованием Cisco, Mikrotik или стандартными корпоративными клиентами.
Роуминг WireGuard работает «из коробки»: при смене IP-адреса клиента (переключение между Wi-Fi и 4G) VPN-соединение сохраняется без разрыва. Это критично для мобильных сотрудников. Конфигурация WireGuard управляется через Ansible и хранится в Git: приватные ключи — через Ansible Vault (шифрование в репозитории), что соответствует требованиям информационной безопасности и 152-ФЗ.
Килл-фичи:
~4000 строк кода — на порядок меньше OpenVPN, полный аудит безопасности реален для одного исследователя
940–960 Мбит/с — производительность в kernel-space, вдвое быстрее OpenVPN на том же железе
Фиксированная криптография — ChaCha20 + Curve25519 + BLAKE2s, нет negotiation, нет выбора слабых алгоритмов
Встроенный роуминг — смена IP без разрыва соединения, идеально для мобильных сотрудников
UDP-only, порт 51820 — простая конфигурация firewall, нет TCP overhead, нет проблем с NAT traversal
IPsec (IKEv2) — для совместимости с Cisco, MikroTik, стандартными корпоративными VPN-клиентами Windows/iOS/Android
Ansible-управление — ключи в Vault, пиры в Git, автоматическое развёртывание на новых узлах
Что заменяет: OpenVPN, Cisco AnyConnect, Fortinet SSL VPN, Citrix Gateway, платные VPN-шлюзы
Версия: WireGuard 1.0 (в ядре Linux 5.6+, FreeBSD через wireguard-kmod)
Роль в стеке: Слой 4 — Сетевая защита / VPN и защищённые каналы