Jaký je nejlepší protokol VPN?

WireGuard, samozřejmě. Nebo Lightway. NordLynx? Ne, OpenVPN…

Procházejte většinu webů poskytovatelů VPN a najdete chvály o podpoře tohoto nebo jiného protokolu VPN.

Které byste však měli použít? Nemají k tomu tolik co říct.

Jedním z důvodů je, že neexistuje řešení, které by vyhovovalo všem protokolům a které by bylo nejlepší volbou v každé dané situaci. Vaše ideální volba závisí na řadě faktorů, od typu vašeho zařízení a nastavení sítě až po vaše priority zabezpečení a cokoli, o co se snažíte.

Naštěstí nepotřebujete síťové dovednosti na úrovni ninja, abyste na to přišli. Zde se podíváme na nejoblíbenější protokoly VPN, promluvíme si o jejich silných a slabých stránkách a poskytneme vám podrobnosti, které potřebujete k chytřejšímu výběru protokolu.

WireGuard

WireGuard může být ve světě VPN stále čerstvým nováčkem, ale má skutečný dopad.

Protokol je o jednoduchosti, vyhazuje velkou část přetížení funkcí OpenVPN ve prospěch zkráceného, ​​minimalistického designu (více o tom níže).

Většina uživatelů si nevšimne žádného rozdílu ve funkčnosti. Připojte se například k OpenVPN a váš provoz může být šifrován prostřednictvím AES, Camellia, ChaCha20, Poly1305, GOST 28147-89 a dalších; připojte se k WireGuard a budete moci používat pouze ChaCha20, ale protože je to tak bezpečné, jak to jen jde, bude vám to velmi záležet? Máme podezření, že ne.

Přechod na WireGuard by vám však měl přinést velmi znatelný rozdíl ve výkonu. Časy připojení mohou být jen několik sekund (u některých protokolů pokles z 10-20 sekund) a při nedávném testování byla rychlost stahování WireGuard alespoň dvakrát rychlejší než cokoli, co jsme viděli z OpenVPN. Podívejte se na naše nejrychlejší odpočítávání VPN a všichni nejlepší hráči mají WireGuard (nebo alespoň proprietární verzi založenou na něm).

Existují určité komplikace. WireGuard není tak flexibilní jako například OpenVPN a může mít větší potíže s obcházením firewallů nebo připojením k internetu v zemích, které nejsou vhodné pro VPN – například při pokusu o použití vaší VPN v Číně.

Také to není tak dobře podporováno poskytovateli VPN nebo jinými zařízeními. Pokud váš router podporuje například VPN, je mnohem pravděpodobnější, že použijete OpenVPN. Možná budete moci používat WireGuard instalací OpenWRT, ale to je úplně jiný článek.

Obecně však WireGuard nabízí skálopevné zabezpečení se špičkovými rychlostmi a je to skvělý protokol, který můžete vyzkoušet jako první.

protokol OpenVPN

OpenVPN existuje již 20 let, ale jeho kombinace funkcí, zabezpečení a rychlosti znamená, že protokol je stále jedním z lídrů na trhu.

Jeho flexibilita je velkou výhodou. Když se aplikace VPN připojí přes OpenVPN, má potenciálně všechny druhy možností. Připojuješ se přes UDP nebo TCP? Jaký port používáte? Jak se můžete přihlásit na server? Jak by vám měl server prokázat svou identitu? Jaké šifrovací algoritmy používáte? A seznam pokračuje.

Všechny tyto funkce vyžadují spoustu kódu, díky čemuž je OpenVPN složitější než mnoho konkurentů. Je to však projekt s otevřeným zdrojovým kódem, což znamená, že kdokoli se může podívat na vnitřnosti, potvrdit, že funguje správně, pomoci opravit jakékoli chyby, které najde, nebo navrhnout lepší způsoby, jak něco udělat.

Přesto OpenVPN zvyšuje režii vašeho provozu VPN než mnoho konkurentů, s některými velmi znatelnými účinky. IKEv2, WireGuard a mnoho moderních protokolů se mohou připojit během několika sekund; OpenVPN často trvá 10-20. V našich nedávných testech rychlosti OpenVPN obvykle zvládal 200-400 Mbps; WireGuard dosáhl 450-900 Mbps.

Pro mnoho uživatelů to nebude velký rozdíl (jak často jste potřebovali více než 200 Mb/s na veřejné Wi-Fi?) a OpenVPN je pro většinu uživatelů stále vynikající volbou protokolu: flexibilní, bezpečné, některé užitečné funkce pro překonání firewallů a je dostatečně rychlý pro většinu situací.

Pokud však hledáte rychlé časy připojení, méně problémů na mobilních zařízeních při pohybu mezi sítěmi a maximální možné rychlosti stahování, WireGuard nebo jiný moderní protokol vám mohou poskytnout lepší výsledky.

L2TP/IPsec

L2TP (Layer 2 Tunneling Protocol)/IPsec (Internet Protocol Security), někdy známý jako L2TP nebo jen IPsec, je protokol Microsoft VPN, který je podporován také na mnoha dalších platformách a zařízeních.

Nemá mnoho funkcí, ale je toho dost, aby se s tím dalo vyjít. L2TP se například nemůže rovnat OpenVPN ve výběru šifrovacích algoritmů, ale při použití AES (typická volba) je stejně efektivní jako cokoli jiného.

Stejně jako u IKEv2 od Microsoftu není L2TP navrženo tak, aby obcházelo firewally. Obvykle používá například UDP porty 500 a 4500, takže je relativně snadné blokovat.

Jiné obavy se objevily v roce 2013, kdy zveřejnění Edwarda Snowdena naznačovalo, že zabezpečení IPsec bylo ohroženo NSA. A i když vás nesleduje národní stát, pokud byl IPsec před deseti lety vynechán, je vysoce pravděpodobné, že jiní už přišli na to, jak udělat totéž.

To vše je velmi teoretické a v reálném světě, pokud chcete jen nakupovat online přes veřejnou Wi-Fi, L2TP/IPsec se snadno nastavuje a měl by vás velmi zabezpečit.

Nebyla by to však naše první volba a jako první bychom se rozhodli pro WireGuard, OpenVPN nebo vlastní protokol poskytovatele.

IKEv2

IKEv2 je běžný název pro protokol IKEv2/IPsec nebo Internet Key Exchange verze 2 / Zabezpečení internetového protokolu.

IKEv2, vyvinutý společnostmi Microsoft a Cisco, existuje od roku 2005. Nenechte se však odradit jeho stářím. Technologie se vyhnula chybám dřívějších protokolů, jako je PPTP, a je stále považována za vysoce bezpečnou i dnes. A protože IKEv2 je vyspělý, je nyní široce podporován mnoha VPN na stolních počítačích i mobilních aplikacích VPN.

IKEv2 má v našich testech obvykle dobré výsledky z hlediska doby připojení a často vidíme, že je v provozu za méně než dvě sekundy. Mezitím může připojení OpenVPN trvat 10–20 sekund, než jsou navázána. Pokud svou VPN pravidelně zapínáte a vypínáte, možná kvůli kontrole e-mailů, může to znamenat obrovský rozdíl.

Rychlosti stahování nejsou špatné, protokol je v některých případech schopen překonat OpenVPN, ale za WireGuard značně zaostává. IKEv2 dosáhl vrcholu na 290 Mbps v naší nedávné aktualizaci VPN; WireGuard dosáhl rychlosti 900 Mbps a mohl by být ještě lepší, kdybychom měli rychlejší síťové připojení.

Celkově IKEv2 v ničem konkrétním nevyniká. Nemá funkce ani konfigurovatelnost OpenVPN, nemůže se rovnat rychlosti WireGuard. Ale pokud vám z nějakého důvodu nefungují (nebo prostě nejsou k dispozici), IKEv2 je silná všestranná volba, která udrží váš provoz v bezpečí a poskytne více než dostatečnou rychlost pro většinu situací.

SSTP

Secure Socket Tunneling Protocol (SSTP) je technologie společnosti Microsoft, která je integrována se systémem Windows.

SSTP funguje trochu jako OpenVPN a používá SSL (a volitelně TCP a port 443), aby se zabránilo detekci a připojení v prostředích nepřátelských k VPN.

Problém je v tom, že SSTP je proprietární standard vlastněný společností Microsoft. Na rozdíl od open-source OpenVPN, WireGuard a dalších není možné zkontrolovat zdrojový kód a zkontrolovat, co dělá. A protože se jedná o produkt společnosti Microsoft, nenajdete SSTP podporované mnoha platformami nebo aplikacemi VPN.

SSTP obecně vypadá velmi bezpečně. A pokud potřebujete ručně nastavit připojení VPN v systému Windows, SSTP tuto práci zvládne, aniž byste museli instalovat aplikace třetích stran.

Pokud přesto instalujete aplikaci svého poskytovatele, zvolili bychom OpenVPN (je-li k dispozici) před SSTP.

PPTP

PPTP (Point-To-Point Tunneling Protocol), který se poprvé objevil v 90. letech minulého století, je jedním z nejstarších protokolů VPN.

To má určité výhody. PPTP je velmi jednoduchý, s malou režií, takže je velmi rychlý. Funguje také dobře na starých zařízeních, která nemusí mít výkon nebo funkce pro provozování aktuálnějších protokolů.

Problém je v tom, že výzkumníci v průběhu let našli několik problémů s PPTP a Microsoft již v roce 2012 navrhoval uživatelům přejít na něco jiného.

V důsledku toho většina poskytovatelů VPN upustila od podpory PPTP a myslíme si, že to dává smysl. Je to nejisté a je lepší se tomu vyhnout.

Pokud váš poskytovatel stále nabízí PPTP, může být užitečné v situacích, kdy zabezpečení není důležité (když například potřebujete odblokovat konkrétní web). Používejte jej však pouze v případě, že selhal každý jiný protokol, a ujistěte se, že jste přešli na něco lepšího, než začnete online bankovnictví nebo cokoli jiného, ​​byť jen slabě citlivého.

Proprietární protokoly

Někteří velcí poskytovatelé VPN se neomezili na standardní protokoly: ve skutečnosti vyvinuli vlastní inovativní technologie.

ExpressVPN nabízí například Lightway; NordVPN má NordLynx; Hotspot Shield využívá Catapult Hydra a VyprVPN má svého vlastního Chameleona.

Myslíme si, že je to velmi pozitivní znamení o každém poskytovateli, protože to ukazuje společnost se skutečnými zdroji a technickými znalostmi, která také vynakládá obrovské úsilí na zlepšení služeb pro své zákazníky.

Mohou existovat i spodní strany. OpenVPN, WireGuard a ExpressVPN’s Lightway jsou všechny open source, což umožňuje komukoli zkontrolovat kód a ověřit, že splňuje své sliby o ochraně soukromí. Ale většina ostatních proprietárních protokolů je uzavřený zdroj a uživatelé mohou věřit, že poskytovatel ví, co dělá, a v kódu nečíhají žádné chyby.

Když se podíváme na technické specifikace a naše vlastní testování, všechny tyto protokoly se zdají být velmi bezpečné a mohou poskytovat velmi vysoké rychlosti – například NordVPN dosáhl při našich posledních kontrolách maximální rychlosti 880 Mb/s.

Některé vlastní protokoly jsou navrženy pouze pro konkrétní situace. Chameleon od VyprVPN může odvést dobrou práci, když vás dostane online například v Číně, takže stojí za to vyzkoušet, pokud cestujete někam, kde jsou blokovány VPN. Ale WireGuard od VyprVPN poskytuje lepší výkon při obecném použití.

Lightway, NordLynx a Catapult Hydra jsou však navrženy jako univerzální protokoly a podle našich zkušeností fungují velmi dobře. Pokud jste se zaregistrovali u ExpressVPN, NordVPN nebo Hotspot Shield, pak pro dosažení nejlepších možných výsledků doporučujeme zvolit tyto výše standardní protokoly.