OpenVPN или WireGuard для офиса: сравнение в реальных задачах 2026
Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. С 2020 года мы перевели на удалёнку 60+ московских офисов — от компаний на 15 человек до структур на 200+ удалёнщиков. За это время поставили десятки серверов OpenVPN и WireGuard и точно знаем, где какой работает лучше. В статье разложу по полочкам: когда что выбирать, сколько стоит, какие грабли ждут и как мы у себя в АйТи Фреш делаем VPN под ключ за 18 000 руб.
Зачем вообще корпоративный VPN в 2026 году
Сценариев три, и они никуда не делись после ковидного бума:
- Удалённые сотрудники — бухгалтер с дачи лезет в 1С, юрист в командировке открывает СПС «Гарант», менеджер на коворкинге работает с CRM. Все эти системы крутятся в офисной сети, и нужен защищённый доступ снаружи.
- Связь между офисами — головной офис в Москве, склад в Подмосковье, филиал в Питере. Site-to-site VPN объединяет их в одну сеть, чтобы 1С работала на всех площадках.
- Защита самих сотрудников — в кафе с открытым Wi-Fi подключение к корпоративным сервисам без VPN — это подарок любому хакеру в радиусе 30 метров.
До 2019 года почти все ставили OpenVPN — других вариантов с открытым кодом, которые проверены временем, попросту не было. С появлением WireGuard в Linux-ядре 5.6 (март 2020) расклад поменялся, и сегодня на новых проектах мы по умолчанию ставим WireGuard. Но OpenVPN не умер и в некоторых сценариях он по-прежнему лучше — об этом ниже.
Сравнение в практической плоскости
Не буду перечислять архитектурные отличия — на этом интернет ломится от статей. Дам сравнение по тем критериям, по которым выбираем мы у клиентов:
| Что важно для офиса | OpenVPN | WireGuard |
|---|---|---|
| Скорость на гигабитном канале | 180–250 Мбит/с (упирается в CPU) | 800+ Мбит/с |
| Время подключения | 3–8 секунд | 0.3–1 секунда |
| Расход батареи на телефоне | Высокий — TUN-driver постоянно активен | Низкий — kernel module |
| Roaming между Wi-Fi и LTE | Разрыв соединения | Бесшовно (UDP keepalive) |
| Работа через TCP/443 | Да (маскировка под HTTPS) | Нет (только UDP) |
| Интеграция с AD/LDAP | Штатно через PAM | Только через обвязку (Firezone, NetBird) |
| 2FA из коробки | Да (TOTP, Yubikey) | Нет, нужны сторонние решения |
| Сложность настройки сервера | 4/10 (PKI, certificates, routes) | 2/10 (две команды) |
| Сложность для конечного пользователя | 3/10 | 1/10 (QR-код) |
| Объём кода | ~600 000 строк | ~4 000 строк |
Главный вывод по нашей практике: для рядовой задачи «дай удалённый доступ сотрудникам к офисным сервисам» WireGuard выигрывает по всем показателям, кроме двух — работа через TCP/443 (нужна, если у клиента сидят заказчики в странах, где блокируют UDP) и нативная интеграция с Active Directory. Если этих двух пунктов в ТЗ нет — берём WireGuard и не страдаем.
Когда брать OpenVPN — конкретные сценарии
Несмотря на «устаревший» статус, OpenVPN остаётся правильным выбором в трёх случаях:
- Сотрудники работают из стран с DPI-блокировками UDP. Если у клиента есть удалёнщики в Китае, Иране, ОАЭ или работающие через корпоративные файрволы, которые блокируют всё кроме 80/443 — OpenVPN через TCP/443 с tls-auth неотличим от обычного HTTPS-трафика. WireGuard в таких сетях не работает в принципе.
- Большой парк пользователей с авторизацией через AD. Если у клиента 100+ удалёнщиков и нужна централизованная авторизация по доменному паролю с двухфакторкой — OpenVPN с openvpn-auth-ldap решает это нативно. На WireGuard надо ставить сверху Firezone или Pritunl, что усложняет инфраструктуру.
- Compliance-окружение под 152-ФЗ или ФСТЭК. Для аттестации информационной системы важно использовать сертифицированные средства защиты, и здесь OpenVPN с ГОСТ-сборкой через CryptoPro или OpenVPN Connect от КриптоПро официально проходит. WireGuard под российский ГОСТ пока не сертифицирован.
Установка WireGuard за 10 минут на VDS
Стандартный сценарий: офис на 30 удалёнщиков, нужен VPN для доступа к 1С и почте. Берём VDS у Selectel или Reg.ru (Ubuntu 22.04, 2 vCPU, 2 GB RAM, 700 руб./мес.) и за 10 минут поднимаем сервер.
# === Установка WireGuard на сервере ===
apt update && apt install -y wireguard
# Генерируем ключи сервера
cd /etc/wireguard
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
# Конфиг сервера
cat > /etc/wireguard/wg0.conf <<EOF
[Interface]
Address = 10.66.66.1/24
ListenPort = 51820
PrivateKey = $(cat server_private.key)
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
EOF
# Включаем форвардинг
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p
# Запускаем
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
# Проверяем
wg showТеперь генерим конфиг для клиента — скрипт на 20 строк, чтобы не делать руками для каждого:
#!/bin/bash
# add_client.sh — генерация WireGuard клиента
# Использование: ./add_client.sh ivanov
NAME=$1
SERVER_PUB=$(cat /etc/wireguard/server_public.key)
SERVER_IP="vpn.example.ru" # или IP сервера
NEXT_IP=$(grep AllowedIPs /etc/wireguard/wg0.conf | awk -F'.' '{print $4}' | awk -F'/' '{print $1}' | sort -n | tail -1)
CLIENT_IP="10.66.66.$((NEXT_IP + 1))"
cd /etc/wireguard/clients
mkdir -p $NAME
cd $NAME
wg genkey | tee privatekey | wg pubkey > publickey
CLIENT_PRIV=$(cat privatekey)
CLIENT_PUB=$(cat publickey)
# Конфиг клиента
cat > $NAME.conf <<EOF
[Interface]
PrivateKey = $CLIENT_PRIV
Address = $CLIENT_IP/32
DNS = 10.10.30.5
[Peer]
PublicKey = $SERVER_PUB
Endpoint = $SERVER_IP:51820
AllowedIPs = 10.10.0.0/16
PersistentKeepalive = 25
EOF
# Добавляем peer на сервере
wg set wg0 peer $CLIENT_PUB allowed-ips $CLIENT_IP/32
# QR-код для телефона
qrencode -t ansiutf8 < $NAME.conf
qrencode -o $NAME.png < $NAME.conf
echo "Клиент $NAME готов: /etc/wireguard/clients/$NAME/"Запускаем ./add_client.sh ivanov — получаем .conf файл, png с QR-кодом и активный peer на сервере. Сотрудник на телефоне открывает приложение WireGuard, сканирует QR — и работает. На ноутбуке — импорт .conf файла через GUI клиент. Реально 30 секунд на подключение нового пользователя.
Установка OpenVPN с easy-rsa
OpenVPN сложнее — нужна полная PKI. Беру скрипт angristan/openvpn-install — он избавляет от ручной возни и делает PKI автоматически:
# === Автоматическая установка OpenVPN ===
wget https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh
./openvpn-install.sh
# Скрипт спросит несколько вопросов и поставит всё сам
# === Добавление нового клиента ===
./openvpn-install.sh
# Выбираем "Add a new user"
# На выходе — файл /root/имя.ovpn, готовый к раздачеЕсли хочется руками — для прода у нас есть свой плейбук Ansible, который ставит OpenVPN с двухфакторной аутентификацией через Google Authenticator и журналированием подключений в Loki. Развёртывание занимает 4 минуты на чистом VDS.
Реальный кейс: переезд юристов с OpenVPN на WireGuard
Адвокатская контора в центре, 45 партнёров и помощников. Сидели на OpenVPN с 2018 года — настраивал ещё прошлый IT-аутсорсер. Жалобы копились годами:
- «В iPad батарея садится за 4 часа, потому что включён VPN»;
- «В Шереметьево не подключается, ловит сигнал минут 5»;
- «1С через VPN тормозит, особенно когда отчёт большой».
Замерили перед миграцией: средняя скорость через OpenVPN — 28 Мбит/с (канал 100 Мбит). Время подключения — 6–9 секунд. Заряд батареи на iPhone 13 при активном VPN — 6 часов работы. После переезда на WireGuard за один уикенд:
- Скорость через VPN — 87 Мбит/с (тот же канал, тот же сервер, та же нагрузка);
- Время подключения — 0.5 секунды, незаметно для пользователя;
- Заряд батареи — 14 часов, в 2 раза больше;
- Roaming Wi-Fi → LTE на iPad — без разрыва, документы не закрываются.
Стоимость миграции: 65 000 руб. за всё — поставить новый сервер на VDS, сгенерить конфиги для 45 пользователей, разослать с инструкциями, два дня сопровождения по горячим вопросам. Окупилось за месяц на сэкономленных нервах партнёров и на одном проекте, который раньше «висел» из-за тормозов VPN.
Сколько стоит у нас VPN под ключ
Цены на апрель 2026 за полную услугу — от выбора платформы до раздачи конфигов сотрудникам:
| Размер | WireGuard | OpenVPN | WG + Firezone (веб-панель) |
|---|---|---|---|
| До 20 пользователей | 18 000 ₽ | 28 000 ₽ | 35 000 ₽ |
| 20–50 пользователей | 32 000 ₽ | 48 000 ₽ | 58 000 ₽ |
| 50–100 пользователей | 52 000 ₽ | 78 000 ₽ | 90 000 ₽ |
| 100–200 пользователей | 85 000 ₽ | 130 000 ₽ | 150 000 ₽ |
В стоимость входит: подбор и оплата VDS на ваше юрлицо, развёртывание сервера, генерация ключей, заведение всех пользователей, индивидуальные пакеты с конфигом и инструкцией для каждого, видеоинструкция на 2 минуты, два месяца сопровождения с заменой ключей при увольнениях, документация. Дальше — поддержка по абонентке (входит в любой тариф «Стандарт» и выше).
Альтернатива — VPN на самом Mikrotik
Если у вас в офисе уже стоит Mikrotik с публичным IP, отдельный VDS не нужен — RouterOS 7.x с лета 2022 поддерживает WireGuard нативно. Настройка занимает 10 минут:
# === WireGuard на Mikrotik ===
/interface wireguard
add name=wg-office listen-port=51820 private-key=$(/interface wireguard generate-key)
/ip address
add address=10.66.66.1/24 interface=wg-office
# Добавляем peer (сотрудник Иванов)
/interface wireguard peers
add interface=wg-office public-key="ABCD..." allowed-address=10.66.66.10/32 \
comment="Ivanov-laptop"
# Firewall — пропускаем трафик из VPN в локалку
/ip firewall filter
add chain=forward in-interface=wg-office out-interface=bridge1 action=accept \
comment="Allow VPN to LAN"
# NAT для выхода в интернет через офис (опционально)
/ip firewall nat
add chain=srcnat src-address=10.66.66.0/24 out-interface=ether1 action=masqueradeПодходит для офисов на 5–20 удалёнщиков. На 50+ Mikrotik упирается в CPU — лучше отдельный сервер. Для site-to-site VPN между офисами на Mikrotik — это вообще идеальное решение, ставим в обоих офисах и связываем за полчаса.
Грабли, на которых обжигаются все
За 60+ внедрений накопил коллекцию любимых ошибок. Вот пять, которые встречаются регулярно:
- Забыли включить ip_forward. WireGuard и OpenVPN на Linux не пересылают трафик из VPN в локальную сеть, пока не активирован
net.ipv4.ip_forward = 1в sysctl. Сотрудник подключается, но в 1С не попадает. - AllowedIPs = 0.0.0.0/0 у всех сотрудников. Это значит — весь трафик пользователя идёт через ваш сервер, включая YouTube. Сервер в Москве, у пользователя в Калуге становится медленный интернет, пользователь жалуется. Правильно — указывать только подсеть офиса (например,
10.10.0.0/16). - Не настроен PersistentKeepalive для клиентов за NAT. Через 3–5 минут бездействия трафик до офиса перестаёт идти, потому что NAT-таблица провайдера у клиента закрывает соединение. Лекарство —
PersistentKeepalive = 25в конфиге каждого клиента. - Открытый порт VPN на 22, 443, 1194 без защиты. Боты сканируют интернет 24/7, и ваш сервер ловит до 2000 попыток подключения в день. С WireGuard это не страшно (без правильного ключа peer не отвечает), с OpenVPN — обязательно ставьте Fail2ban на лог OpenVPN или меняйте порт на нестандартный.
- Хранение конфигов клиентов в Telegram-чате. Сначала это удобно, потом сотрудник теряет телефон или его аккаунт ломают, и конфиг уплывает злоумышленнику. У нас в АйТи Фреш конфиги хранятся в HashiCorp Vault, доступ — только через 2FA, в чат отправляется одноразовая ссылка с временем жизни 24 часа.
Что делать с увольняющимися
Самый частый вопрос от директоров: «Как быстро отозвать доступ, если завтра увольняется человек, который мне не нравится?» Алгоритмы:
- WireGuard:
wg set wg0 peer PUBLIC_KEY remove && wg-quick save wg0— мгновенно. Если есть подозрение на компрометацию — лучше выпустить новые ключи всем оставшимся (на 30 пользователях это 5 минут работы по скрипту). - OpenVPN:
./easyrsa revoke ivanov && ./easyrsa gen-crl && cp pki/crl.pem /etc/openvpn/. Сертификат навсегда недействителен. - WG + Firezone/Pritunl: одна кнопка в веб-интерфейсе, 5 секунд.
В нашем абонентском обслуживании отзыв доступа — это бесплатная операция в рамках хелпдеска, делается за 2 минуты после звонка от руководителя.
Закажите развёртывание корпоративного VPN
Поможем выбрать решение под ваши задачи (число пользователей, требования к compliance, география удалёнщиков), развернём сервер, раздадим конфиги сотрудникам, обучим вашего IT-сотрудника управлять и сопроводим первые два месяца. Для офисов в обслуживании — VPN бесплатно, на абонентке.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по корпоративному VPN
- Что выбрать для офиса — OpenVPN или WireGuard?
- Для большинства офисов в 2026 году — WireGuard. Он быстрее в 3–4 раза, проще в настройке, лучше работает на мобильных, не разряжает батарею. OpenVPN остаётся выбором, когда нужна работа через TCP/443 (обход блокировок), интеграция с AD/LDAP по штатным механизмам, или строгое compliance под 152-ФЗ с проверенной криптографией.
- Сколько стоит развернуть VPN-сервер для офиса?
- Базовое развёртывание WireGuard на VDS для 30–50 пользователей — от 18 000 руб. в АйТи Фреш под ключ: установка, настройка, генерация конфигов сотрудникам, инструкции, два месяца сопровождения. OpenVPN с PKI и easy-rsa — 28 000 руб. Сам VDS обходится 700–1500 руб./мес.
- Как раздать VPN сотрудникам без IT-навыков?
- WireGuard: генерируем QR-код с конфигом, сотрудник сканирует его телефоном или ноутом — VPN сразу работает. OpenVPN: отправляем .ovpn файл и инструкцию на одну страницу с тремя скриншотами. В АйТи Фреш на каждого нового удалёнщика делаем индивидуальный пакет с архивом, картинкой и видеоинструкцией на 2 минуты.
- Можно ли поднять VPN на Mikrotik без отдельного сервера?
- Да, RouterOS 7.x поддерживает WireGuard нативно. Для офиса с 5–20 удалёнщиками этого хватает с запасом. Для 50+ пользователей лучше отдельный VDS или физический сервер — Mikrotik начинает упираться в CPU при шифровании больших объёмов.
- Что делать с увольняющимся сотрудником в WireGuard?
- Удалить его peer из конфигурации сервера:
wg set wg0 peer PUBLIC_KEY remove. Доступ пропадает мгновенно. Если есть подозрение, что бывший сотрудник скопировал конфиг — лучше выпустить новые ключи всем. В АйТи Фреш мы держим конфиги в Vault и автоматизируем выпуск/отзыв через скрипт.