OpenVPN или WireGuard для офиса: сравнение в реальных задачах 2026
Привет! Меня зовут Семёнов Евгений Сергеевич, и я руковожу компанией АйТи Фреш. С 2020 года наша команда помогла перевести на удалёнку более 60 московских офисов — от небольших компаний на 15 человек до крупных структур, где работают 200+ удалёнщиков. За эти годы мы запустили десятки серверов OpenVPN и WireGuard, так что точно знаем, какой из них в какой ситуации сработает лучше. В этом материале я собираюсь разложить всё по полочкам: расскажу, когда что выбирать, сколько это будет стоить, какие подводные камни могут ждать, и, конечно, как мы в АйТи Фреш делаем VPN под ключ всего за 18 000 руб.
Зачем вообще корпоративный VPN в 2026 году
Сценариев, по сути, три — и после ковидного бума они никуда не делись:
- Удалённые сотрудники — бухгалтер с дачи лезет в 1С, юрист в командировке открывает СПС «Гарант», менеджер на коворкинге работает с CRM. Все эти системы крутятся в офисной сети, и нужен защищённый доступ снаружи.
- Связь между офисами — головной офис в Москве, склад в Подмосковье, филиал в Питере. Site-to-site VPN объединяет их в одну сеть, чтобы 1С работала на всех площадках.
- Защита самих сотрудников — в кафе с открытым Wi-Fi подключение к корпоративным сервисам без VPN — это подарок любому хакеру в радиусе 30 метров.
До 2019 года, по сути, все подряд ставили OpenVPN — просто не было других, проверенных временем open-source решений. Но вот когда WireGuard появился в Linux-ядре 5.6 (а это был март 2020), ситуация кардинально изменилась. Теперь, если запускаем что-то новое, мы по умолчанию выбираем WireGuard. Но хочу сразу сказать: OpenVPN никуда не делся и не устарел! В некоторых сценариях он по-прежнему незаменим, и об этом я расскажу чуть ниже.
Сравнение в практической плоскости
Не буду утомлять вас перечислением архитектурных различий — об этом и так полно статей в интернете. Вместо этого я предлагаю сравнение по тем критериям, которыми мы реально руководствуемся, когда подбираем решение для наших клиентов:
| Что важно для офиса | OpenVPN | WireGuard |
|---|---|---|
| Скорость на гигабитном канале | 180–250 Мбит/с (упирается в CPU) | 800+ Мбит/с |
| Время подключения | 3–8 секунд | 0.3–1 секунда |
| Расход батареи на телефоне | Высокий — TUN-driver постоянно активен | Низкий — kernel module |
| Roaming между Wi-Fi и LTE | Разрыв соединения | Бесшовно (UDP keepalive) |
| Работа через TCP/443 | Да (маскировка под HTTPS) | Нет (только UDP) |
| Интеграция с AD/LDAP | Штатно через PAM | Только через обвязку (Firezone, NetBird) |
| 2FA из коробки | Да (TOTP, Yubikey) | Нет, нужны сторонние решения |
| Сложность настройки сервера | 4/10 (PKI, certificates, routes) | 2/10 (две команды) |
| Сложность для конечного пользователя | 3/10 | 1/10 (QR-код) |
| Объём кода | ~600 000 строк | ~4 000 строк |
Самый главный вывод, который мы сделали на основе всей нашей практики: если стоит типичная задача «обеспечить сотрудникам удалённый доступ к офисным сервисам», то WireGuard выигрывает почти по всем фронтам. Есть только два исключения: если нужно работать через TCP/443 (это важно, когда у клиента есть заказчики из стран, где режут UDP-трафик) или нужна нативная интеграция с Active Directory. Если этих двух пунктов нет в техническом задании, то мы смело берём WireGuard и даже не заморачиваемся.
Когда брать OpenVPN — конкретные сценарии
Несмотря на то, что многие могут назвать его «устаревшим», OpenVPN остаётся идеальным выбором в трёх конкретных случаях:
- Сотрудники работают из стран с DPI-блокировками UDP. Если у клиента есть удалёнщики в Китае, Иране, ОАЭ или работающие через корпоративные файрволы, которые блокируют всё кроме 80/443 — OpenVPN через TCP/443 с tls-auth неотличим от обычного HTTPS-трафика. WireGuard в таких сетях не работает в принципе.
- Большой парк пользователей с авторизацией через AD. Если у клиента 100+ удалёнщиков и нужна централизованная авторизация по доменному паролю с двухфакторкой — OpenVPN с openvpn-auth-ldap решает это нативно. На WireGuard надо ставить сверху Firezone или Pritunl, что усложняет инфраструктуру.
- Compliance-окружение под 152-ФЗ или ФСТЭК. Для аттестации информационной системы важно использовать сертифицированные средства защиты, и здесь OpenVPN с ГОСТ-сборкой через CryptoPro или OpenVPN Connect от КриптоПро официально проходит. WireGuard под российский ГОСТ пока не сертифицирован.
Установка WireGuard за 10 минут на VDS
Представьте себе стандартную ситуацию: офис, 30 удалёнщиков, и им нужен VPN для доступа к 1С и почте. Мы берём VDS, например, у Selectel или Reg.ru (выбираем Ubuntu 22.04, 2 vCPU, 2 GB RAM, что обходится примерно в 700 руб./мес.), и буквально за 10 минут наш сервер уже готов к работе.
# === Установка WireGuard на сервере ===
apt update && apt install -y wireguard
# Генерируем ключи сервера
cd /etc/wireguard
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
# Конфиг сервера
cat > /etc/wireguard/wg0.conf <<EOF
[Interface]
Address = 10.66.66.1/24
ListenPort = 51820
PrivateKey = $(cat server_private.key)
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
EOF
# Включаем форвардинг
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p
# Запускаем
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
# Проверяем
wg show
Теперь генерим конфиг для клиента — скрипт на 20 строк, чтобы не делать руками для каждого:
#!/bin/bash
# add_client.sh — генерация WireGuard клиента
# Использование: ./add_client.sh ivanov
NAME=$1
SERVER_PUB=$(cat /etc/wireguard/server_public.key)
SERVER_IP="vpn.example.ru" # или IP сервера
NEXT_IP=$(grep AllowedIPs /etc/wireguard/wg0.conf | awk -F'.' '{print $4}' | awk -F'/' '{print $1}' | sort -n | tail -1)
CLIENT_IP="10.66.66.$((NEXT_IP + 1))"
cd /etc/wireguard/clients
mkdir -p $NAME
cd $NAME
wg genkey | tee privatekey | wg pubkey > publickey
CLIENT_PRIV=$(cat privatekey)
CLIENT_PUB=$(cat publickey)
# Конфиг клиента
cat > $NAME.conf <<EOF
[Interface]
PrivateKey = $CLIENT_PRIV
Address = $CLIENT_IP/32
DNS = 10.10.30.5
[Peer]
PublicKey = $SERVER_PUB
Endpoint = $SERVER_IP:51820
AllowedIPs = 10.10.0.0/16
PersistentKeepalive = 25
EOF
# Добавляем peer на сервере
wg set wg0 peer $CLIENT_PUB allowed-ips $CLIENT_IP/32
# QR-код для телефона
qrencode -t ansiutf8 < $NAME.conf
qrencode -o $NAME.png < $NAME.conf
echo "Клиент $NAME готов: /etc/wireguard/clients/$NAME/"
Запускаем ./add_client.sh ivanov — получаем .conf файл, png с QR-кодом и активный peer на сервере. Сотрудник на телефоне открывает приложение WireGuard, сканирует QR — и работает. На ноутбуке — импорт .conf файла через GUI клиент. Реально 30 секунд на подключение нового пользователя.
Установка OpenVPN с easy-rsa
С OpenVPN, конечно, возни побольше — тут нужна полноценная PKI. В таких случаях я обычно использую скрипт angristan/openvpn-install: он здорово выручает, избавляя от ручной рутины, и автоматически строит всю PKI. Вот как это выглядит:
# === Автоматическая установка OpenVPN ===
wget https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh
./openvpn-install.sh
# Скрипт спросит несколько вопросов и поставит всё сам
# === Добавление нового клиента ===
./openvpn-install.sh
# Выбираем "Add a new user"
# На выходе — файл /root/имя.ovpn, готовый к раздаче
Если хочется руками — для прода у нас есть свой плейбук Ansible, который ставит OpenVPN с двухфакторной аутентификацией через Google Authenticator и журналированием подключений в Loki. Развёртывание занимает 4 минуты на чистом VDS.
Реальный кейс: переезд юристов с OpenVPN на WireGuard
Была у нас одна адвокатская контора в центре города, где работали 45 партнёров и их помощников. Они сидели на OpenVPN ещё с 2018 года — тогда его настраивал прошлый IT-аутсорсер. И, знаете, жалобы копились годами:
- «В iPad батарея садится за 4 часа, потому что включён VPN»;
- «В Шереметьево не подключается, ловит сигнал минут 5»;
- «1С через VPN тормозит, особенно когда отчёт большой».
Мы провели замеры перед тем, как начать миграцию: средняя скорость через OpenVPN еле дотягивала до 28 Мбит/с (при входящем канале в 100 Мбит), подключение занимало мучительные 6–9 секунд, а iPhone 13 при активном VPN разряжался всего за 6 часов. После того, как мы переехали на WireGuard, и всё это буквально за один уикенд, картина изменилась:
- Скорость через VPN — 87 Мбит/с (тот же канал, тот же сервер, та же нагрузка);
- Время подключения — 0.5 секунды, незаметно для пользователя;
- Заряд батареи — 14 часов, в 2 раза больше;
- Roaming Wi-Fi → LTE на iPad — без разрыва, документы не закрываются.
Вся миграция обошлась им в 65 000 руб. — это за всё: новый сервер на VDS, все конфиги для 45 пользователей, рассылка с чёткими инструкциями и наша поддержка по любым горячим вопросам в течение двух дней. Знаете, это окупилось всего за месяц! Сэкономленные нервы партнёров и один крупный проект, который раньше «подвисал» из-за тормозов VPN, сделали своё дело.
Сколько стоит у нас VPN под ключ
Цены на апрель 2026 за полную услугу — от выбора платформы до раздачи конфигов сотрудникам:
| Размер | WireGuard | OpenVPN | WG + Firezone (веб-панель) |
|---|---|---|---|
| До 20 пользователей | 18 000 ₽ | 28 000 ₽ | 35 000 ₽ |
| 20–50 пользователей | 32 000 ₽ | 48 000 ₽ | 58 000 ₽ |
| 50–100 пользователей | 52 000 ₽ | 78 000 ₽ | 90 000 ₽ |
| 100–200 пользователей | 85 000 ₽ | 130 000 ₽ | 150 000 ₽ |
Что же входит в эту стоимость? Мы полностью берём на себя подбор и оплату VDS на ваше юридическое лицо, развёртывание сервера, генерацию ключей, заведение всех пользователей. Каждый получит индивидуальный пакет с конфигом и подробной инструкцией, а ещё мы запишем двухминутную видеоинструкцию для удобства. Плюс, мы будем сопровождать вас в течение двух месяцев, включая замену ключей при увольнениях, и предоставим всю необходимую документацию. Дальше поддержка осуществляется уже по абонентке (она входит в любой тариф «Стандарт» и выше).
Альтернатива — VPN на самом Mikrotik
А если у вас в офисе уже стоит Mikrotik с публичным IP-адресом, то отдельный VDS и вовсе не понадобится! Дело в том, что RouterOS 7.x с лета 2022 года нативно поддерживает WireGuard. Настройка такого варианта займёт у нас буквально минут десять:
# === WireGuard на Mikrotik ===
/interface wireguard
add name=wg-office listen-port=51820 private-key=$(/interface wireguard generate-key)
/ip address
add address=10.66.66.1/24 interface=wg-office
# Добавляем peer (сотрудник Иванов)
/interface wireguard peers
add interface=wg-office public-key="ABCD..." allowed-address=10.66.66.10/32 \
comment="Ivanov-laptop"
# Firewall — пропускаем трафик из VPN в локалку
/ip firewall filter
add chain=forward in-interface=wg-office out-interface=bridge1 action=accept \
comment="Allow VPN to LAN"
# NAT для выхода в интернет через офис (опционально)
/ip firewall nat
add chain=srcnat src-address=10.66.66.0/24 out-interface=ether1 action=masquerade
Подходит для офисов на 5–20 удалёнщиков. На 50+ Mikrotik упирается в CPU — лучше отдельный сервер. Для site-to-site VPN между офисами на Mikrotik — это вообще идеальное решение, ставим в обоих офисах и связываем за полчаса.
Грабли, на которых обжигаются все
После более чем 60 внедрений у меня, признаюсь честно, накопилась целая «коллекция» любимых ошибок. Вот пять из них, которые мы встречаем регулярно:
- Забыли включить ip_forward. WireGuard и OpenVPN на Linux не пересылают трафик из VPN в локальную сеть, пока не активирован
net.ipv4.ip_forward = 1в sysctl. Сотрудник подключается, но в 1С не попадает. - AllowedIPs = 0.0.0.0/0 у всех сотрудников. Это значит — весь трафик пользователя идёт через ваш сервер, включая YouTube. Сервер в Москве, у пользователя в Калуге становится медленный интернет, пользователь жалуется. Правильно — указывать только подсеть офиса (например,
10.10.0.0/16). - Не настроен PersistentKeepalive для клиентов за NAT. Через 3–5 минут бездействия трафик до офиса перестаёт идти, потому что NAT-таблица провайдера у клиента закрывает соединение. Лекарство —
PersistentKeepalive = 25в конфиге каждого клиента. - Открытый порт VPN на 22, 443, 1194 без защиты. Боты сканируют интернет 24/7, и ваш сервер ловит до 2000 попыток подключения в день. С WireGuard это не страшно (без правильного ключа peer не отвечает), с OpenVPN — обязательно ставьте Fail2ban на лог OpenVPN или меняйте порт на нестандартный.
- Хранение конфигов клиентов в Telegram-чате. Сначала это удобно, потом сотрудник теряет телефон или его аккаунт ломают, и конфиг уплывает злоумышленнику. У нас в АйТи Фреш конфиги хранятся в HashiCorp Vault, доступ — только через 2FA, в чат отправляется одноразовая ссылка с временем жизни 24 часа.
Что делать с увольняющимися
Самый частый вопрос от директоров: «А как быстро отозвать доступ, если завтра увольняется человек, который мне не по душе?» Вот алгоритмы:
- WireGuard:
wg set wg0 peer PUBLIC_KEY remove && wg-quick save wg0— мгновенно. Если есть подозрение на компрометацию — лучше выпустить новые ключи всем оставшимся (на 30 пользователях это 5 минут работы по скрипту). - OpenVPN:
./easyrsa revoke ivanov && ./easyrsa gen-crl && cp pki/crl.pem /etc/openvpn/. Сертификат навсегда недействителен. - WG + Firezone/Pritunl: одна кнопка в веб-интерфейсе, 5 секунд.
Кстати, если вы на нашем абонентском обслуживании, то отзыв доступа — это совершенно бесплатная операция в рамках хелпдеска. Мы всё сделаем буквально за 2 минуты после звонка или запроса руководителя.
Закажите развёртывание корпоративного VPN
Мы всегда готовы помочь вам выбрать идеальное решение под ваши конкретные задачи (учитывая число пользователей, требования к compliance и географию ваших удалёнщиков), развернём сервер, раздадим все необходимые конфиги сотрудникам. А ещё мы обучим вашего IT-специалиста управлять системой и будем сопровождать вас первые два месяца. Для офисов, которые уже находятся у нас на обслуживании, VPN предоставляется совершенно бесплатно, в рамках абонентской платы.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по корпоративному VPN
- Что выбрать для офиса — OpenVPN или WireGuard?
- Для большинства офисов в 2026 году — WireGuard. Он быстрее в 3–4 раза, проще в настройке, лучше работает на мобильных, не разряжает батарею. OpenVPN остаётся выбором, когда нужна работа через TCP/443 (обход блокировок), интеграция с AD/LDAP по штатным механизмам, или строгое compliance под 152-ФЗ с проверенной криптографией.
- Сколько стоит развернуть VPN-сервер для офиса?
- Базовое развёртывание WireGuard на VDS для 30–50 пользователей — от 18 000 руб. в АйТи Фреш под ключ: установка, настройка, генерация конфигов сотрудникам, инструкции, два месяца сопровождения. OpenVPN с PKI и easy-rsa — 28 000 руб. Сам VDS обходится 700–1500 руб./мес.
- Как раздать VPN сотрудникам без IT-навыков?
- WireGuard: генерируем QR-код с конфигом, сотрудник сканирует его телефоном или ноутом — VPN сразу работает. OpenVPN: отправляем .ovpn файл и инструкцию на одну страницу с тремя скриншотами. В АйТи Фреш на каждого нового удалёнщика делаем индивидуальный пакет с архивом, картинкой и видеоинструкцией на 2 минуты.
- Можно ли поднять VPN на Mikrotik без отдельного сервера?
- Да, RouterOS 7.x поддерживает WireGuard нативно. Для офиса с 5–20 удалёнщиками этого хватает с запасом. Для 50+ пользователей лучше отдельный VDS или физический сервер — Mikrotik начинает упираться в CPU при шифровании больших объёмов.
- Что делать с увольняющимся сотрудником в WireGuard?
- Удалить его peer из конфигурации сервера:
wg set wg0 peer PUBLIC_KEY remove. Доступ пропадает мгновенно. Если есть подозрение, что бывший сотрудник скопировал конфиг — лучше выпустить новые ключи всем. В АйТи Фреш мы держим конфиги в Vault и автоматизируем выпуск/отзыв через скрипт.
