OpenVPN vs WireGuard: корпоративный VPN для 100 удалённых сотрудников юридической фирмы

Юридическая фирма «ПравоГрупп» перевела 100 адвокатов на удалённую работу. Требовалось организовать безопасный доступ к внутренним системам: 1С, CRM, файловому серверу с конфиденциальными документами (адвокатская тайна) и корпоративной почте.

Требования:

• Безопасность — шифрование AES-256 или ChaCha20, двухфакторная аутентификация, отсутствие логов на VPN-сервере.
• Совместимость — Windows 10/11, macOS, iOS, Android. Часть адвокатов работает из судов с мобильных устройств.
• Простота — сотрудники не IT-специалисты, настройка на устройстве должна занимать 2 минуты.
• Производительность — VPN не должен замедлять работу с документами (файлы до 500 МБ).
• Управление — веб-панель для IT-администратора, отзыв доступа за 30 секунд при увольнении сотрудника.

Мы развернули оба решения — OpenVPN и WireGuard — на тестовых серверах и провели сравнение.

OpenVPN и WireGuard — принципиально разные подходы к VPN:

Ключевое отличие: OpenVPN работает в userspace через TUN/TAP, WireGuard — как модуль ядра Linux. Это даёт WireGuard преимущество в производительности до 3-4x, но ограничивает гибкость.

Установка OpenVPN и создание PKI (Public Key Infrastructure):

# Ubuntu 22.04
apt install -y openvpn easy-rsa

# Инициализация PKI
make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

# Параметры CA
cat > vars << 'EOF'
set_var EASYRSA_REQ_COUNTRY    "RU"
set_var EASYRSA_REQ_PROVINCE   "Moscow"
set_var EASYRSA_REQ_CITY       "Moscow"
set_var EASYRSA_REQ_ORG        "PravoGroup LLC"
set_var EASYRSA_REQ_EMAIL      "it@pravogroup.ru"
set_var EASYRSA_REQ_OU         "IT Department"
set_var EASYRSA_KEY_SIZE       4096
set_var EASYRSA_ALGO           rsa
set_var EASYRSA_CA_EXPIRE      3650
set_var EASYRSA_CERT_EXPIRE    365
set_var EASYRSA_CRL_DAYS       180
EOF

# Создание CA
./easyrsa init-pki
./easyrsa build-ca nopass
# Common Name: PravoGroup-CA

# Серверный сертификат
./easyrsa gen-req vpn-server nopass
./easyrsa sign-req server vpn-server

# DH-параметры (занимает 5-10 минут)
./easyrsa gen-dh

# TLS-Auth ключ (защита от DoS)
openvpn --genkey secret /etc/openvpn/ta.key

# Клиентский сертификат (для каждого сотрудника)
./easyrsa gen-req ivanov-av nopass
./easyrsa sign-req client ivanov-av

Серверная конфигурация /etc/openvpn/server.conf:

port 1194
proto udp
dev tun

ca       /etc/openvpn/easy-rsa/pki/ca.crt
cert     /etc/openvpn/easy-rsa/pki/issued/vpn-server.crt
key      /etc/openvpn/easy-rsa/pki/private/vpn-server.key
dh       /etc/openvpn/easy-rsa/pki/dh.pem
tls-auth /etc/openvpn/ta.key 0

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt

# Маршруты к корпоративной сети
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"

# DNS
push "dhcp-option DNS 192.168.1.10"
push "dhcp-option DOMAIN pravogroup.local"

# Безопасность
cipher AES-256-GCM
data-ciphers AES-256-GCM:CHACHA20-POLY1305
auth SHA256
tls-version-min 1.2

# Производительность
sndbuf 524288
rcvbuf 524288
push "sndbuf 524288"
push "rcvbuf 524288"

# Логирование
log-append /var/log/openvpn/openvpn.log
verb 3
status /var/log/openvpn/status.log 30

# Keepalive
keepalive 10 120

# Максимум клиентов
max-clients 120

# Безопасность процесса
user nobody
group nogroup
persist-key
persist-tun

Клиентский файл ivanov-av.ovpn:

client
dev tun
proto udp
remote vpn.pravogroup.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
data-ciphers AES-256-GCM:CHACHA20-POLY1305
auth SHA256
key-direction 1
verb 3


-----BEGIN CERTIFICATE-----
# ... содержимое ca.crt ...
-----END CERTIFICATE-----



-----BEGIN CERTIFICATE-----
# ... содержимое ivanov-av.crt ...
-----END CERTIFICATE-----



-----BEGIN PRIVATE KEY-----
# ... содержимое ivanov-av.key ...
-----END PRIVATE KEY-----



-----BEGIN OpenVPN Static key V1-----
# ... содержимое ta.key ...
-----END OpenVPN Static key V1-----

WireGuard кардинально проще в настройке:

# Установка
apt install -y wireguard

# Генерация ключей сервера
wg genkey | tee /etc/wireguard/server_private.key | wg pubkey > /etc/wireguard/server_public.key
chmod 600 /etc/wireguard/server_private.key

# Генерация ключей клиента
wg genkey | tee /etc/wireguard/clients/ivanov-av_private.key | wg pubkey > /etc/wireguard/clients/ivanov-av_public.key

Серверная конфигурация /etc/wireguard/wg0.conf:

[Interface]
Address = 10.9.0.1/24
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY_HERE

# Firewall rules при запуске/остановке
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

# DNS для клиентов
DNS = 192.168.1.10

# Клиент: Иванов А.В.
[Peer]
PublicKey = IVANOV_PUBLIC_KEY_HERE
AllowedIPs = 10.9.0.2/32

# Клиент: Петрова М.С.
[Peer]
PublicKey = PETROVA_PUBLIC_KEY_HERE
AllowedIPs = 10.9.0.3/32

# ... повторить для каждого из 100 сотрудников

Клиентская конфигурация:

[Interface]
PrivateKey = IVANOV_PRIVATE_KEY_HERE
Address = 10.9.0.2/24
DNS = 192.168.1.10

[Peer]
PublicKey = SERVER_PUBLIC_KEY_HERE
Endpoint = vpn.pravogroup.ru:51820
AllowedIPs = 192.168.1.0/24, 192.168.2.0/24   # Split tunneling
PersistentKeepalive = 25

Запуск:

# Включить и запустить
systemctl enable --now wg-quick@wg0

# Проверить статус
wg show

# Добавить нового клиента без рестарта
wg set wg0 peer NEW_CLIENT_PUBLIC_KEY allowed-ips 10.9.0.4/32

# Удалить клиента (отзыв доступа)
wg set wg0 peer FIRED_EMPLOYEE_PUBLIC_KEY remove

Главное преимущество WireGuard — простота. Весь конфиг клиента помещается в QR-код, который сотрудник сканирует приложением WireGuard на телефоне:

# Генерация QR-кода
apt install -y qrencode
qrencode -t ansiutf8 < /etc/wireguard/clients/ivanov-av.conf

Двухфакторная аутентификация — критическое требование для юридической фирмы. OpenVPN поддерживает 2FA через PAM-плагин и Google Authenticator:

# Установка
apt install -y libpam-google-authenticator

# Настройка для каждого пользователя
su - ivanov-av
google-authenticator
# Ответы: y, y, n, y (TOTP, update .google_authenticator, no time-skew, rate-limiting)

# PAM модуль для OpenVPN
cat > /etc/pam.d/openvpn << 'EOF'
auth required pam_google_authenticator.so secret=/home/${USER}/.google_authenticator
account required pam_permit.so
EOF

# Добавить в server.conf:
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so openvpn

# В клиентском .ovpn добавить:
auth-user-pass
# При подключении OpenVPN спросит username и password (= OTP код)

WireGuard не поддерживает 2FA нативно — аутентификация только по ключам. Для 2FA на WireGuard нужен внешний портал (Firezone, Headscale).

Бенчмарки производительности (сервер: 4 ядра, 8 ГБ RAM; канал 1 Гбит/с):

WireGuard быстрее в 2.5 раза по throughput и потребляет в 5.5 раз меньше CPU. Для 100 одновременных клиентов это критично: OpenVPN на одном ядре «упирается» в CPU уже при 50 активных клиентах.

Split tunneling — направление через VPN только корпоративного трафика, а остальное — напрямую в интернет. Экономит пропускную способность VPN-сервера.

OpenVPN split tunneling:

# server.conf — НЕ push'ить default gateway
# Удалить: push "redirect-gateway def1"

# Только корпоративные маршруты
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
push "route 10.10.0.0 255.255.0.0"

# DNS только для корпоративного домена
push "dhcp-option DOMAIN pravogroup.local"
push "dhcp-option DNS 192.168.1.10"

WireGuard split tunneling:

# Клиентский конфиг — AllowedIPs определяет, что идёт через VPN
[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = vpn.pravogroup.ru:51820
# Полный туннель (весь трафик через VPN):
# AllowedIPs = 0.0.0.0/0
# Split tunnel (только корпоративные сети):
AllowedIPs = 192.168.1.0/24, 192.168.2.0/24, 10.10.0.0/16

Kill switch — блокировка интернета при разрыве VPN (защита от утечки данных):

OpenVPN kill switch (клиент Windows — в .ovpn):

# Блокировать весь трафик, кроме VPN, если соединение разорвано
script-security 2
up /etc/openvpn/killswitch-up.sh
down /etc/openvpn/killswitch-down.sh

WireGuard kill switch (встроенный через AllowedIPs):

# Если AllowedIPs = 0.0.0.0/0 — WireGuard создаёт правила iptables,
# блокирующие весь трафик мимо VPN. Kill switch — из коробки.

# Linux клиент — дополнительная защита:
[Interface]
PrivateKey = ...
Address = 10.9.0.2/24
DNS = 192.168.1.10
PostUp = iptables -I OUTPUT ! -o wg0 -m mark ! --mark $(wg show wg0 fwmark) -m addrtype ! --dst-type LOCAL -j REJECT
PreDown = iptables -D OUTPUT ! -o wg0 -m mark ! --mark $(wg show wg0 fwmark) -m addrtype ! --dst-type LOCAL -j REJECT

Управление 100 VPN-клиентами через конфиг-файлы — боль. Мы оценили два решения с веб-интерфейсом:

Firezone — управление WireGuard через веб-панель:

# Установка Firezone (Docker)
curl -fsSL https://raw.githubusercontent.com/firezone/firezone/legacy/scripts/install.sh | bash

# Или Docker Compose
curl -fsSL https://raw.githubusercontent.com/firezone/firezone/legacy/docker-compose.prod.yml \
    -o docker-compose.yml
docker compose up -d

# Панель доступна на https://vpn.pravogroup.ru
# Возможности:
# - SSO через OIDC (Google, Okta, Azure AD)
# - Создание/удаление пользователей через веб
# - Автоматическая генерация конфигов и QR-кодов
# - Правила доступа (какие сети видит пользователь)
# - Аудит-лог подключений

Pritunl — управление OpenVPN через веб-панель:

# Установка Pritunl
apt-key adv --keyserver hkp://keyserver.ubuntu.com --recv E162F504A20CDF15827F718D4B7C549A058F8B6B
apt-key adv --keyserver hkp://keyserver.ubuntu.com --recv 7568D9BB55FF9E5287D586017AE645C0CF8E292A

echo "deb http://repo.pritunl.com/stable/apt jammy main" > /etc/apt/sources.list.d/pritunl.list
apt update && apt install -y pritunl mongodb-org

systemctl enable --now pritunl mongod

# Получить setup key
pritunl setup-key

# Панель: https://vpn.pravogroup.ru
# Возможности:
# - Управление сертификатами через веб
# - Двухфакторная аутентификация (Google Authenticator)
# - Multi-server (несколько VPN-серверов в одной панели)
# - API для автоматизации
# - Audit logging для compliance

Для «ПравоГрупп» мы выбрали Pritunl + OpenVPN по двум причинам:

1. 2FA из коробки — адвокаты работают с конфиденциальными данными, двухфакторная аутентификация обязательна.
2. TCP через 443 — часть адвокатов работает из судов и гостиниц, где UDP блокируется. OpenVPN через TCP/443 выглядит как обычный HTTPS и проходит через любой firewall.

Мы развернули гибридную архитектуру:

• Pritunl + OpenVPN — основной VPN для ноутбуков и десктопов. 2FA, TCP/443 для обхода ограничений, сертификаты через веб-панель.
• WireGuard — VPN для мобильных устройств адвокатов. Мгновенный роуминг при переключении Wi-Fi/4G, QR-код для подключения.

Оба VPN-сервера подключены к одной корпоративной сети и используют общие правила доступа через iptables.

Результаты за 3 месяца:

Рекомендации:

• Нужен 2FA или TCP/443? → OpenVPN (через Pritunl для удобства управления).
• Нужна максимальная скорость и мобильность? → WireGuard (через Firezone для веб-управления).
• Enterprise с compliance? → OpenVPN: сертификаты X.509, CRL, аудит-логи, интеграция с AD/LDAP.
• Гибридный подход — лучшее из двух миров: OpenVPN для десктопов с 2FA, WireGuard для мобильных.