Samozřejmě WireGuard. Anebo Lightway. Možná NordLynx? Ale OpenVPN…
Při procházení webových stránek poskytovatelů VPN služeb často narazíte na vychvalování podpory toho či onoho VPN protokolu.
Ovšem, který z nich byste měli zvolit vy? Na tuto otázku vám už tolik neodpoví.
Důvodem je, že neexistuje univerzální protokol, který by byl nejvhodnější pro všechny situace. Vaše optimální volba se odvíjí od mnoha faktorů, včetně typu zařízení, nastavení sítě, vašich bezpečnostních priorit a toho, čeho se snažíte dosáhnout.
Naštěstí k tomu nepotřebujete být expertem na síťové technologie. Pojďme se podívat na nejpopulárnější VPN protokoly, probereme jejich silné a slabé stránky a poskytneme vám informace potřebné pro informovanější rozhodnutí.
WireGuard
WireGuard je relativně nový hráč na poli VPN protokolů, který si ale rychle získává pozornost.
Jeho základním principem je jednoduchost, kdy opouští zbytečné funkce OpenVPN ve prospěch zjednodušeného, minimalistického designu (více o tom níže).
Většina uživatelů si rozdílu ve funkčnosti nevšimne. Zatímco OpenVPN může šifrovat váš provoz pomocí algoritmů AES, Camellia, ChaCha20, Poly1305, GOST 28147-89 a dalších, WireGuard používá pouze ChaCha20. Nicméně, vzhledem k jeho bezpečnosti, není to pro většinu uživatelů žádný problém.
Přechod na WireGuard by ale měl přinést znatelný nárůst výkonu. Časy připojení mohou být otázkou několika sekund (oproti 10-20 sekundám u některých jiných protokolů), a při testech dosahuje WireGuard minimálně dvojnásobně vyšší rychlosti stahování než OpenVPN. Podívejte se na naše srovnání nejrychlejších VPN, a zjistíte, že nejlepší poskytovatelé používají WireGuard (nebo jeho proprietární verzi).
Existují i určité nevýhody. WireGuard není tak flexibilní jako třeba OpenVPN a může mít problémy s obcházením firewallů nebo připojením k internetu v zemích, které se k VPN staví odmítavě – například v Číně.
Také není tak dobře podporován poskytovateli VPN nebo jinými zařízeními. Pokud váš router podporuje VPN, je mnohem pravděpodobnější, že budete moci použít OpenVPN. WireGuard je možné zprovoznit například instalací OpenWRT, ale to už je téma na jiný článek.
Nicméně, obecně WireGuard nabízí robustní zabezpečení s vynikající rychlostí a je to skvělý protokol, který byste měli vyzkoušet jako první.
OpenVPN
OpenVPN je na trhu již 20 let, a jeho kombinace funkcí, zabezpečení a rychlosti z něj stále činí jednoho z lídrů na trhu VPN.
Jeho velkou výhodou je flexibilita. Aplikace VPN, která se připojuje pomocí OpenVPN, má mnoho možností. Připojujete se přes UDP nebo TCP? Jaký port používáte? Jak se přihlásit na server? Jak má server ověřit svou identitu? Jaké šifrovací algoritmy používáte? A tak dále.
Všechny tyto možnosti vyžadují spoustu kódu, což OpenVPN činí složitějším než mnoho jeho konkurentů. Nicméně, jedná se o projekt s otevřeným zdrojovým kódem, což znamená, že kdokoli může nahlédnout do jeho nitra, ověřit, zda funguje správně, pomoci s opravou chyb nebo navrhnout vylepšení.
OpenVPN však má větší režii než jiné protokoly, což se projevuje v některých ohledech. Zatímco IKEv2, WireGuard a další moderní protokoly se připojují během několika sekund, OpenVPN často potřebuje 10-20 sekund. V našich testech dosahoval OpenVPN rychlosti 200-400 Mbps, zatímco WireGuard 450-900 Mbps.
Pro většinu uživatelů to nebude velký rozdíl (jak často potřebujete více než 200 Mb/s na veřejné Wi-Fi?), a OpenVPN je stále vynikající volbou protokolu: flexibilní, bezpečný a nabízí dostatečnou rychlost pro většinu situací.
Pokud ale preferujete rychlé časy připojení, méně problémů na mobilních zařízeních při přechodu mezi sítěmi a maximální možné rychlosti stahování, WireGuard nebo jiný moderní protokol pro vás může být lepší volbou.
L2TP/IPsec
L2TP (Layer 2 Tunneling Protocol)/IPsec (Internet Protocol Security), někdy nazývaný jen L2TP nebo IPsec, je VPN protokol vyvinutý společností Microsoft, který je podporován také na mnoha dalších platformách a zařízeních.
Neoplývá mnoha funkcemi, ale má vše potřebné k fungování. Například L2TP nemůže konkurovat OpenVPN v počtu šifrovacích algoritmů, ale při použití AES (což je běžná volba) je stejně efektivní jako jiné protokoly.
Stejně jako IKEv2 od Microsoftu, L2TP není navržen pro obcházení firewallů. Obvykle používá UDP porty 500 a 4500, takže je relativně snadné jej blokovat.
Další obavy se objevily v roce 2013, kdy Edward Snowden zveřejnil informace naznačující, že bezpečnost IPsec byla narušena ze strany NSA. I pokud vás nenapadá žádný národní stát, pokud byl IPsec prolomen před deseti lety, je pravděpodobné, že se to samé podařilo i jiným.
Toto vše jsou sice teoretické obavy, ale pokud potřebujete jen bezpečně nakupovat online přes veřejnou Wi-Fi, L2TP/IPsec se snadno nastavuje a měl by vám poskytnout dostatečnou ochranu.
Nicméně, nebyla by to naše první volba a my bychom se spíše přiklonili k WireGuard, OpenVPN nebo k vlastnímu protokolu poskytovatele.
IKEv2
IKEv2 je zkratka pro protokol IKEv2/IPsec, neboli Internet Key Exchange verze 2 / Internet Protocol Security.
IKEv2, vyvinutý společnostmi Microsoft a Cisco, je na trhu od roku 2005. Nenechte se však odradit jeho věkem. Technologie se vyhnula chybám starších protokolů, jako je PPTP, a je stále považována za velmi bezpečnou. A díky tomu, že je IKEv2 zavedený, je nyní široce podporován mnoha VPN aplikacemi na počítačích i mobilních zařízeních.
IKEv2 v našich testech obvykle dosahuje dobrých výsledků v časech připojení, často se připojí za méně než dvě sekundy. Naproti tomu OpenVPN může trvat 10–20 sekund. Pokud VPN zapínáte a vypínáte pravidelně, například při kontrole e-mailů, může to znamenat velký rozdíl.
Rychlosti stahování nejsou špatné, protokol je v některých případech schopen překonat OpenVPN, ale za WireGuard značně zaostává. IKEv2 dosáhl v našich posledních testech rychlosti 290 Mbps, zatímco WireGuard dosáhl rychlosti 900 Mbps a mohl by dosáhnout i více, kdybychom měli rychlejší připojení k síti.
Celkově IKEv2 v ničem konkrétním nevyniká. Nenabízí funkce ani konfigurovatelnost OpenVPN a nemůže se rovnat rychlosti WireGuard. Pokud vám ale z nějakého důvodu tyto protokoly nefungují (nebo nejsou dostupné), IKEv2 je silná univerzální volba, která udrží váš provoz v bezpečí a poskytne dostatečnou rychlost pro většinu situací.
SSTP
Secure Socket Tunneling Protocol (SSTP) je technologie vyvinutá společností Microsoft, která je integrována do systému Windows.
SSTP funguje podobně jako OpenVPN, používá SSL (a volitelně TCP a port 443) k maskování připojení v prostředích, které jsou k VPN nepřátelské.
Problém je v tom, že SSTP je proprietární standard vlastněný společností Microsoft. Na rozdíl od open-source OpenVPN, WireGuard a dalších není možné si prohlédnout zdrojový kód a ověřit si, jak funguje. A protože se jedná o produkt společnosti Microsoft, nenajdete SSTP podporovaný mnoha platformami nebo aplikacemi VPN.
SSTP obecně působí bezpečně. Pokud potřebujete v systému Windows ručně nastavit připojení VPN, SSTP vám to umožní bez nutnosti instalovat aplikace třetích stran.
Pokud ale instalujete aplikaci svého poskytovatele VPN, preferovali bychom před SSTP spíše OpenVPN (pokud je k dispozici).
PPTP
PPTP (Point-To-Point Tunneling Protocol) je jedním z nejstarších VPN protokolů, který se poprvé objevil v 90. letech minulého století.
To má i určité výhody. PPTP je velmi jednoduchý, s malou režií, takže je velmi rychlý. Funguje také dobře na starých zařízeních, která nemusí mít dostatečný výkon nebo funkce pro provoz modernějších protokolů.
Problém je v tom, že výzkumníci v průběhu let objevili několik problémů s PPTP, a Microsoft již v roce 2012 uživatelům doporučoval přejít na jiný protokol.
V důsledku toho většina poskytovatelů VPN přestala PPTP podporovat, což dává smysl. Je nejistý a je lepší se mu vyhnout.
Pokud váš poskytovatel stále nabízí PPTP, může být užitečný v situacích, kde na zabezpečení nezáleží (například když potřebujete odblokovat konkrétní web). Nicméně, používejte jej pouze v případě, že selžou všechny ostatní protokoly, a ujistěte se, že se přepnete na něco lepšího, než začnete online bankovnictví nebo provádět jiné citlivé úkoly.
Proprietární protokoly
Někteří velcí poskytovatelé VPN se nespokojili se standardními protokoly a vyvinuli své vlastní inovativní technologie.
ExpressVPN například nabízí Lightway, NordVPN má NordLynx, Hotspot Shield využívá Catapult Hydra a VyprVPN má svého Chameleona.
Podle nás je to pozitivní znak, protože to ukazuje, že společnost má dostatečné zdroje a technické znalosti a věnuje velké úsilí zlepšování služeb pro své zákazníky.
Mohou ale existovat i negativa. OpenVPN, WireGuard a Lightway od ExpressVPN jsou open source, což umožňuje komukoli si prohlédnout kód a ověřit, že plní své sliby o ochraně soukromí. Většina ostatních proprietárních protokolů je však uzavřená a uživatelé musí věřit, že poskytovatel ví, co dělá, a že v kódu nejsou žádné chyby.
Z technických specifikací a našich vlastních testů vyplývá, že všechny tyto protokoly se zdají být velmi bezpečné a dokážou dosahovat vysokých rychlostí – například NordVPN dosáhl v našich posledních testech rychlosti 880 Mb/s.
Některé proprietární protokoly jsou navrženy pro specifické situace. Například Chameleon od VyprVPN může dobře fungovat, když se chcete připojit online v zemích, kde jsou VPN blokovány, takže stojí za to jej vyzkoušet, pokud cestujete do míst s omezením VPN. Nicméně, WireGuard od VyprVPN nabízí lepší výkon při běžném používání.
Lightway, NordLynx a Catapult Hydra jsou naopak navrženy jako univerzální protokoly a podle našich zkušeností fungují velmi dobře. Pokud máte službu od ExpressVPN, NordVPN nebo Hotspot Shield, doporučujeme pro dosažení nejlepších výsledků vyzkoušet tyto protokoly.