· 14 мин чтения

OpenVPN или WireGuard для офиса: сравнение в реальных задачах 2026

OpenVPN или WireGuard для офиса: сравнение в реальных задачах 2026

Привет! Меня зовут Семёнов Евгений Сергеевич, и я руковожу компанией АйТи Фреш. С 2020 года наша команда помогла перевести на удалёнку более 60 московских офисов — от небольших компаний на 15 человек до крупных структур, где работают 200+ удалёнщиков. За эти годы мы запустили десятки серверов OpenVPN и WireGuard, так что точно знаем, какой из них в какой ситуации сработает лучше. В этом материале я собираюсь разложить всё по полочкам: расскажу, когда что выбирать, сколько это будет стоить, какие подводные камни могут ждать, и, конечно, как мы в АйТи Фреш делаем VPN под ключ всего за 18 000 руб.

Зачем вообще корпоративный VPN в 2026 году

Сценариев, по сути, три — и после ковидного бума они никуда не делись:

До 2019 года, по сути, все подряд ставили OpenVPN — просто не было других, проверенных временем open-source решений. Но вот когда WireGuard появился в Linux-ядре 5.6 (а это был март 2020), ситуация кардинально изменилась. Теперь, если запускаем что-то новое, мы по умолчанию выбираем WireGuard. Но хочу сразу сказать: OpenVPN никуда не делся и не устарел! В некоторых сценариях он по-прежнему незаменим, и об этом я расскажу чуть ниже.

Сравнение в практической плоскости

Не буду утомлять вас перечислением архитектурных различий — об этом и так полно статей в интернете. Вместо этого я предлагаю сравнение по тем критериям, которыми мы реально руководствуемся, когда подбираем решение для наших клиентов:

Что важно для офисаOpenVPNWireGuard
Скорость на гигабитном канале180–250 Мбит/с (упирается в CPU)800+ Мбит/с
Время подключения3–8 секунд0.3–1 секунда
Расход батареи на телефонеВысокий — TUN-driver постоянно активенНизкий — kernel module
Roaming между Wi-Fi и LTEРазрыв соединенияБесшовно (UDP keepalive)
Работа через TCP/443Да (маскировка под HTTPS)Нет (только UDP)
Интеграция с AD/LDAPШтатно через PAMТолько через обвязку (Firezone, NetBird)
2FA из коробкиДа (TOTP, Yubikey)Нет, нужны сторонние решения
Сложность настройки сервера4/10 (PKI, certificates, routes)2/10 (две команды)
Сложность для конечного пользователя3/101/10 (QR-код)
Объём кода~600 000 строк~4 000 строк

Самый главный вывод, который мы сделали на основе всей нашей практики: если стоит типичная задача «обеспечить сотрудникам удалённый доступ к офисным сервисам», то WireGuard выигрывает почти по всем фронтам. Есть только два исключения: если нужно работать через TCP/443 (это важно, когда у клиента есть заказчики из стран, где режут UDP-трафик) или нужна нативная интеграция с Active Directory. Если этих двух пунктов нет в техническом задании, то мы смело берём WireGuard и даже не заморачиваемся.

Когда брать OpenVPN — конкретные сценарии

Несмотря на то, что многие могут назвать его «устаревшим», OpenVPN остаётся идеальным выбором в трёх конкретных случаях:

  1. Сотрудники работают из стран с DPI-блокировками UDP. Если у клиента есть удалёнщики в Китае, Иране, ОАЭ или работающие через корпоративные файрволы, которые блокируют всё кроме 80/443 — OpenVPN через TCP/443 с tls-auth неотличим от обычного HTTPS-трафика. WireGuard в таких сетях не работает в принципе.
  2. Большой парк пользователей с авторизацией через AD. Если у клиента 100+ удалёнщиков и нужна централизованная авторизация по доменному паролю с двухфакторкой — OpenVPN с openvpn-auth-ldap решает это нативно. На WireGuard надо ставить сверху Firezone или Pritunl, что усложняет инфраструктуру.
  3. Compliance-окружение под 152-ФЗ или ФСТЭК. Для аттестации информационной системы важно использовать сертифицированные средства защиты, и здесь OpenVPN с ГОСТ-сборкой через CryptoPro или OpenVPN Connect от КриптоПро официально проходит. WireGuard под российский ГОСТ пока не сертифицирован.

Установка WireGuard за 10 минут на VDS

Представьте себе стандартную ситуацию: офис, 30 удалёнщиков, и им нужен VPN для доступа к 1С и почте. Мы берём VDS, например, у Selectel или Reg.ru (выбираем Ubuntu 22.04, 2 vCPU, 2 GB RAM, что обходится примерно в 700 руб./мес.), и буквально за 10 минут наш сервер уже готов к работе.

# === Установка WireGuard на сервере ===
apt update && apt install -y wireguard

# Генерируем ключи сервера
cd /etc/wireguard
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key

# Конфиг сервера
cat > /etc/wireguard/wg0.conf <<EOF
[Interface]
Address = 10.66.66.1/24
ListenPort = 51820
PrivateKey = $(cat server_private.key)
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
EOF

# Включаем форвардинг
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

# Запускаем
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

# Проверяем
wg show

Теперь генерим конфиг для клиента — скрипт на 20 строк, чтобы не делать руками для каждого:

#!/bin/bash
# add_client.sh — генерация WireGuard клиента
# Использование: ./add_client.sh ivanov

NAME=$1
SERVER_PUB=$(cat /etc/wireguard/server_public.key)
SERVER_IP="vpn.example.ru"  # или IP сервера
NEXT_IP=$(grep AllowedIPs /etc/wireguard/wg0.conf | awk -F'.' '{print $4}' | awk -F'/' '{print $1}' | sort -n | tail -1)
CLIENT_IP="10.66.66.$((NEXT_IP + 1))"

cd /etc/wireguard/clients
mkdir -p $NAME
cd $NAME
wg genkey | tee privatekey | wg pubkey > publickey

CLIENT_PRIV=$(cat privatekey)
CLIENT_PUB=$(cat publickey)

# Конфиг клиента
cat > $NAME.conf <<EOF
[Interface]
PrivateKey = $CLIENT_PRIV
Address = $CLIENT_IP/32
DNS = 10.10.30.5

[Peer]
PublicKey = $SERVER_PUB
Endpoint = $SERVER_IP:51820
AllowedIPs = 10.10.0.0/16
PersistentKeepalive = 25
EOF

# Добавляем peer на сервере
wg set wg0 peer $CLIENT_PUB allowed-ips $CLIENT_IP/32

# QR-код для телефона
qrencode -t ansiutf8 < $NAME.conf
qrencode -o $NAME.png < $NAME.conf

echo "Клиент $NAME готов: /etc/wireguard/clients/$NAME/"

Запускаем ./add_client.sh ivanov — получаем .conf файл, png с QR-кодом и активный peer на сервере. Сотрудник на телефоне открывает приложение WireGuard, сканирует QR — и работает. На ноутбуке — импорт .conf файла через GUI клиент. Реально 30 секунд на подключение нового пользователя.

Установка OpenVPN с easy-rsa

С OpenVPN, конечно, возни побольше — тут нужна полноценная PKI. В таких случаях я обычно использую скрипт angristan/openvpn-install: он здорово выручает, избавляя от ручной рутины, и автоматически строит всю PKI. Вот как это выглядит:

# === Автоматическая установка OpenVPN ===
wget https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh
./openvpn-install.sh
# Скрипт спросит несколько вопросов и поставит всё сам

# === Добавление нового клиента ===
./openvpn-install.sh
# Выбираем "Add a new user"
# На выходе — файл /root/имя.ovpn, готовый к раздаче

Если хочется руками — для прода у нас есть свой плейбук Ansible, который ставит OpenVPN с двухфакторной аутентификацией через Google Authenticator и журналированием подключений в Loki. Развёртывание занимает 4 минуты на чистом VDS.

Реальный кейс: переезд юристов с OpenVPN на WireGuard

Была у нас одна адвокатская контора в центре города, где работали 45 партнёров и их помощников. Они сидели на OpenVPN ещё с 2018 года — тогда его настраивал прошлый IT-аутсорсер. И, знаете, жалобы копились годами:

Мы провели замеры перед тем, как начать миграцию: средняя скорость через OpenVPN еле дотягивала до 28 Мбит/с (при входящем канале в 100 Мбит), подключение занимало мучительные 6–9 секунд, а iPhone 13 при активном VPN разряжался всего за 6 часов. После того, как мы переехали на WireGuard, и всё это буквально за один уикенд, картина изменилась:

Вся миграция обошлась им в 65 000 руб. — это за всё: новый сервер на VDS, все конфиги для 45 пользователей, рассылка с чёткими инструкциями и наша поддержка по любым горячим вопросам в течение двух дней. Знаете, это окупилось всего за месяц! Сэкономленные нервы партнёров и один крупный проект, который раньше «подвисал» из-за тормозов VPN, сделали своё дело.

Сколько стоит у нас VPN под ключ

Цены на апрель 2026 за полную услугу — от выбора платформы до раздачи конфигов сотрудникам:

РазмерWireGuardOpenVPNWG + Firezone (веб-панель)
До 20 пользователей18 000 ₽28 000 ₽35 000 ₽
20–50 пользователей32 000 ₽48 000 ₽58 000 ₽
50–100 пользователей52 000 ₽78 000 ₽90 000 ₽
100–200 пользователей85 000 ₽130 000 ₽150 000 ₽

Что же входит в эту стоимость? Мы полностью берём на себя подбор и оплату VDS на ваше юридическое лицо, развёртывание сервера, генерацию ключей, заведение всех пользователей. Каждый получит индивидуальный пакет с конфигом и подробной инструкцией, а ещё мы запишем двухминутную видеоинструкцию для удобства. Плюс, мы будем сопровождать вас в течение двух месяцев, включая замену ключей при увольнениях, и предоставим всю необходимую документацию. Дальше поддержка осуществляется уже по абонентке (она входит в любой тариф «Стандарт» и выше).

Альтернатива — VPN на самом Mikrotik

А если у вас в офисе уже стоит Mikrotik с публичным IP-адресом, то отдельный VDS и вовсе не понадобится! Дело в том, что RouterOS 7.x с лета 2022 года нативно поддерживает WireGuard. Настройка такого варианта займёт у нас буквально минут десять:

# === WireGuard на Mikrotik ===
/interface wireguard
add name=wg-office listen-port=51820 private-key=$(/interface wireguard generate-key)

/ip address
add address=10.66.66.1/24 interface=wg-office

# Добавляем peer (сотрудник Иванов)
/interface wireguard peers
add interface=wg-office public-key="ABCD..." allowed-address=10.66.66.10/32 \
    comment="Ivanov-laptop"

# Firewall — пропускаем трафик из VPN в локалку
/ip firewall filter
add chain=forward in-interface=wg-office out-interface=bridge1 action=accept \
    comment="Allow VPN to LAN"

# NAT для выхода в интернет через офис (опционально)
/ip firewall nat
add chain=srcnat src-address=10.66.66.0/24 out-interface=ether1 action=masquerade

Подходит для офисов на 5–20 удалёнщиков. На 50+ Mikrotik упирается в CPU — лучше отдельный сервер. Для site-to-site VPN между офисами на Mikrotik — это вообще идеальное решение, ставим в обоих офисах и связываем за полчаса.

Грабли, на которых обжигаются все

После более чем 60 внедрений у меня, признаюсь честно, накопилась целая «коллекция» любимых ошибок. Вот пять из них, которые мы встречаем регулярно:

  1. Забыли включить ip_forward. WireGuard и OpenVPN на Linux не пересылают трафик из VPN в локальную сеть, пока не активирован net.ipv4.ip_forward = 1 в sysctl. Сотрудник подключается, но в 1С не попадает.
  2. AllowedIPs = 0.0.0.0/0 у всех сотрудников. Это значит — весь трафик пользователя идёт через ваш сервер, включая YouTube. Сервер в Москве, у пользователя в Калуге становится медленный интернет, пользователь жалуется. Правильно — указывать только подсеть офиса (например, 10.10.0.0/16).
  3. Не настроен PersistentKeepalive для клиентов за NAT. Через 3–5 минут бездействия трафик до офиса перестаёт идти, потому что NAT-таблица провайдера у клиента закрывает соединение. Лекарство — PersistentKeepalive = 25 в конфиге каждого клиента.
  4. Открытый порт VPN на 22, 443, 1194 без защиты. Боты сканируют интернет 24/7, и ваш сервер ловит до 2000 попыток подключения в день. С WireGuard это не страшно (без правильного ключа peer не отвечает), с OpenVPN — обязательно ставьте Fail2ban на лог OpenVPN или меняйте порт на нестандартный.
  5. Хранение конфигов клиентов в Telegram-чате. Сначала это удобно, потом сотрудник теряет телефон или его аккаунт ломают, и конфиг уплывает злоумышленнику. У нас в АйТи Фреш конфиги хранятся в HashiCorp Vault, доступ — только через 2FA, в чат отправляется одноразовая ссылка с временем жизни 24 часа.

Что делать с увольняющимися

Самый частый вопрос от директоров: «А как быстро отозвать доступ, если завтра увольняется человек, который мне не по душе?» Вот алгоритмы:

Кстати, если вы на нашем абонентском обслуживании, то отзыв доступа — это совершенно бесплатная операция в рамках хелпдеска. Мы всё сделаем буквально за 2 минуты после звонка или запроса руководителя.

Закажите развёртывание корпоративного VPN

Мы всегда готовы помочь вам выбрать идеальное решение под ваши конкретные задачи (учитывая число пользователей, требования к compliance и географию ваших удалёнщиков), развернём сервер, раздадим все необходимые конфиги сотрудникам. А ещё мы обучим вашего IT-специалиста управлять системой и будем сопровождать вас первые два месяца. Для офисов, которые уже находятся у нас на обслуживании, VPN предоставляется совершенно бесплатно, в рамках абонентской платы.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по корпоративному VPN

Что выбрать для офиса — OpenVPN или WireGuard?
Для большинства офисов в 2026 году — WireGuard. Он быстрее в 3–4 раза, проще в настройке, лучше работает на мобильных, не разряжает батарею. OpenVPN остаётся выбором, когда нужна работа через TCP/443 (обход блокировок), интеграция с AD/LDAP по штатным механизмам, или строгое compliance под 152-ФЗ с проверенной криптографией.
Сколько стоит развернуть VPN-сервер для офиса?
Базовое развёртывание WireGuard на VDS для 30–50 пользователей — от 18 000 руб. в АйТи Фреш под ключ: установка, настройка, генерация конфигов сотрудникам, инструкции, два месяца сопровождения. OpenVPN с PKI и easy-rsa — 28 000 руб. Сам VDS обходится 700–1500 руб./мес.
Как раздать VPN сотрудникам без IT-навыков?
WireGuard: генерируем QR-код с конфигом, сотрудник сканирует его телефоном или ноутом — VPN сразу работает. OpenVPN: отправляем .ovpn файл и инструкцию на одну страницу с тремя скриншотами. В АйТи Фреш на каждого нового удалёнщика делаем индивидуальный пакет с архивом, картинкой и видеоинструкцией на 2 минуты.
Можно ли поднять VPN на Mikrotik без отдельного сервера?
Да, RouterOS 7.x поддерживает WireGuard нативно. Для офиса с 5–20 удалёнщиками этого хватает с запасом. Для 50+ пользователей лучше отдельный VDS или физический сервер — Mikrotik начинает упираться в CPU при шифровании больших объёмов.
Что делать с увольняющимся сотрудником в WireGuard?
Удалить его peer из конфигурации сервера: wg set wg0 peer PUBLIC_KEY remove. Доступ пропадает мгновенно. Если есть подозрение, что бывший сотрудник скопировал конфиг — лучше выпустить новые ключи всем. В АйТи Фреш мы держим конфиги в Vault и автоматизируем выпуск/отзыв через скрипт.

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.