Je li OpenVPN još uvijek relevantan u 2026.?

Da - iz jednog specifičnog razloga. OpenVPN-TCP na portu 443 s TLS maskiranjem još je uvijek najpouzdaniji način za dobivanje VPN tunela kroz duboko filtrirane mreže poput Velikog kineskog vatrozida. Za svakodnevnu upotrebu na neblokiranoj mreži, WireGuard je brži i lakši.

Je li OpenVPN brži od WireGuarda?

Ne. WireGuard je obično 2–4× brži na istoj vezi jer radi u kernelu i koristi manji, moderniji kriptografski stog. OpenVPN 2.6 Data Channel Offload smanjuje jaz na Linuxu, ali ga ne zatvara.

Je li OpenVPN siguran?

Da kada je ispravno konfiguriran. Protokol su neovisno revidirali Cure53 i Quarkslab, radi preko TLS-a testiranog u bitkama i podržava AES-256-GCM i ChaCha20-Poly1305. Najveći rizik u stvarnom svijetu je pogrešna konfiguracija poslužitelja, a ne slabosti u samom protokolu.

Može li duboka inspekcija paketa otkriti OpenVPN?

Da. Iako je sadržaj šifriran, zaglavlja protokola su prepoznatljiva. Omotači za maskiranje TLS-a (ugrađeni u većinu velikih komercijalnih VPN aplikacija) pomažu prikriti promet kao obični HTTPS, zbog čega OpenVPN-TCP/443 radi u restriktivnim zemljama.

Koje šifre koristi OpenVPN?

Moderne OpenVPN konfiguracije zadane su na AES-256-GCM s Perfect Forward Secrecy putem Diffie-Hellman razmjene ključeva. ChaCha20-Poly1305 je također podržan, posebno na mobilnim uređajima gdje može biti brži od AES-a na procesorima bez AES-NI hardverskog ubrzanja. HMAC-SHA256 se koristi za autentifikaciju paketa.

Objašnjenje OpenVPN-a: 25-godišnji radni konj koji još uvijek pobjeđuje sve u jednoj niši

OpenVPN pokrenut je 13. svibnja 2001. Dvadeset pet godina kasnije to više nije najbrži VPN protokol niti najčišća baza kodova, ali je još uvijek jedini koji pouzdano radi na najneprijateljskijim mrežama svijeta. Evo iskrene procjene — što OpenVPN čini dobrim, što ga čini starim i kada je još uvijek pravi izbor u odnosu na WireGuard.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

Povijest koja je još uvijek važna

OpenVPN stvorio je James Yonan i izdao ga pod GPLv2 13. svibnja 2001. Komercijalni subjekt, OpenVPN Inc., osnovan je 2002. i sada prodaje OpenVPN Access Server uz besplatno izdanje zajednice. Najnovije stabilno izdanje (2.7.4) isporučeno je 30. travnja 2026.

OpenVPN postao je zadani "otvoreni" VPN protokol 2000-ih i 2010-ih iz jednostavnog razloga: radio je posvuda, na svakom operativnom sustavu, iza svakog vatrozida. PPTP nije bio siguran. L2TP/IPsec je bio složen za konfiguriranje i spor. SSTP je bio samo za Windows. OpenVPN je govorio TCP ili UDP, na bilo kojem portu, s demonom korisničkog prostora koji se mogao instalirati na bilo što. Postao je lingua franca prema zadanim postavkama.

Arhitektura: SSL/TLS u korisničkom prostoru

OpenVPN-ov definirajući tehnički izbor bio je izgraditi cijeli tunel od standardnog TLS-a — istog primitivnog elementa koji pokreće HTTPS. To je imalo tri velike posljedice:

INaslijedio je cijeli TLS ekosustav: poznate tokove certifikata, dobro razumljive šifre, golemu količinu rada na reviziji, zrele alate.
IRadi u potpunosti u korisničkom prostoru, a ne u kernelu. Jednostavan za instalaciju, jednostavan za ažuriranje, jednostavan za sandbox. Spor u usporedbi s kernel modulom, jer svaki paket prelazi granicu kernel/korisnički prostor.
I Može prenositi svoju TLS sesiju preko TCP/443, čineći da promet dubinskom inspektoru paketa izgleda gotovo identično običnom HTTPS-u. Ovo je OpenVPN-ova najveća preostala prednost u 2026.

OpenVPN koristi OpenSSL (ili, od verzije 2.3, mbed TLS kao alternativu) za svoj kripto. Podržane šifre uključuju AES-256-GCM i ChaCha20-Poly1305, savršenu tajnost naprijed putem Diffie-Hellman razmjene ključeva i HMAC provjeru autentičnosti paketa. Autentikacija može koristiti unaprijed dijeljene ključeve, X.509 certifikate, korisničko ime/lozinku (putem dodataka) ili PKCS#11 pametne kartice.

UDP u odnosu na TCP načine

OpenVPN može raditi preko UDP-a (port 1194 prema zadanim postavkama, port dodijeljen IANA-om) ili TCP-a (obično 443 za oponašanje HTTPS).

UDP: brže, jednostavnije. Zadano za većinu pružatelja usluga. Pati od istog problema s blokiranjem kao WireGuard — mnogi vatrozidi na razini poduzeća i zemalja blokiraju proizvoljan UDP promet.
TCP/443: sporiji zbog problema s prekidom TCP-over-TCP, ali ne razlikuje se od običnog HTTPS-a osim ako inspektor ne napravi vrlo duboku analizu stanja. Ovaj je način rada razlog zašto je OpenVPN još uvijek u kompletu alata 2026.

Što OpenVPN dobiva ispravno

Opsežno revidirano. Nezavisne revizije Cure53 i Quarkslaba 2017. pronašle su pregršt problema koji su zakrpani. Naknadne revizije su nastavljene.
Radi posvuda. Izvorni klijenti postoje za Windows 7+, macOS 10.8+, Linux, BSD varijante, Solaris, QNX, Android 4.0+, iOS 6+ i većinu firmvera usmjerivača (DD-WRT, OpenWrt, pfSense, OPNsense, IPFire, Tomato).
Preživljava neprijateljske mreže. TCP/443 + TLS maskiranje je još uvijek najpouzdaniji način da se VPN tunel izvuče iz Kine, Irana ili jako filtrirane korporativne mreže.
Besplatno i otvorenog koda pod GPLv2. Forkable, pregledati, bez zaključavanja dobavljača.
Zrelo sigurnosno ojačanje. Daemon odbacuje root povlastice nakon pokretanja, koristi mlockall da spriječi ključeve od zamjene, može ući u chroot zatvor i može primijeniti SELinux context.

Što OpenVPN griješi

Sporo. Demon korisničkog prostora plus veličina TLS rukovanja znači da OpenVPN obično isporučuje 30–50% WireGuardove propusnosti na istoj vezi. Značajka Data Channel Offload (DCO) dodana u OpenVPN 2.6 smanjuje ovu prazninu na Linuxu pomicanjem putanje podataka u kernel, ali praznina je i dalje stvarna.
Može se otkriti dubokom inspekcijom paketa. Iako je korisni teret OpenVPN-a šifriran, zaglavlja protokola su prepoznatljiva inspektorima koji znaju što tražiti. TLS omotači zamagljivanja pomažu, ali goli protokol je moguć otiskom prsta.
Velika baza koda. ~70 000 redaka puno je površine za napad u usporedbi s ~4000 WireGuardovih ~4000.
Veća potrošnja baterije mobilnog telefona. Obrada korisničkog prostora plus stalna obrada keepalives.
Složenost konfiguracije. Službeni format konfiguracijske datoteke ima desetke direktiva. Pogrešna konfiguracija je pravi rizik za hostere koji sami hostiraju.

OpenVPN protiv WireGuard

Iskrena usporedba:

Speed: WireGuard pobjeđuje 2–4×, obično.
Mobilna baterija: WireGuard pobjeđuje.
Pogodnost za reviziju: WireGuard pobjeđuje zahvaljujući veličina.
Zaobilaženje restriktivnih mreža: OpenVPN-TCP/443 pobjeđuje. Nema natjecanja.
Zrelost: OpenVPN pobjeđuje na godinama-u-divljini.
Konfigurabilnost: OpenVPN pobjeđuje. WireGuard je samouvjeren po dizajnu.

Za potpunu usporedbu pogledajte našu usporedbu VPN protokola.

Kada odabrati OpenVPN u 2026.

Vi ste u zemlji koja aktivno blokira VPN promet. OpenVPN-TCP/443 s TLS maskiranjem vaša je najbolja šansa.
Vi ste iza korporativnog vatrozida koji dopušta samo izlazne 80/443.
Morate se sami hostirati na naslijeđenom hardveru gdje WireGuard nije podržan.
Potrebna vam je autentifikacija korisničkog imena/lozinke putem LDAP-a ili RADIUS-a — ugrađeno putem OpenVPN dodataka.

Kada odabrati nešto drugo

Na normalnoj ste stambenoj ili mobilnoj vezi i samo želite brzinu — upotrijebite WireGuard.
Na iOS-u ste ili macOS-u i želite nativni uvijek uključen s velikim trajanjem baterije — upotrijebite IKEv2.
Danas vam je potrebna post-kvantna enkripcija — ovo ne isporučuju ni osnovni OpenVPN ni standardni WireGuard, ali određene verzije WireGuarda i ProtonVPN-ov NordWhisper / NordVPN-ov post-kvantni Linux klijent to čine.

I na kojem god protokolu završite, pokrenite naš test curenja nakon instalacije kako bi se potvrdilo da tunel stvarno radi.

Često postavljana pitanja

Je li OpenVPN još uvijek relevantan u 2026.?: Da - iz jednog specifičnog razloga. OpenVPN-TCP na portu 443 s TLS maskiranjem još je uvijek najpouzdaniji način za dobivanje VPN tunela kroz duboko filtrirane mreže poput Velikog kineskog vatrozida. Za svakodnevnu upotrebu na neblokiranoj mreži, WireGuard je brži i lakši.
Je li OpenVPN brži od WireGuarda?: Ne. WireGuard je obično 2–4× brži na istoj vezi jer radi u kernelu i koristi manji, moderniji kriptografski stog. OpenVPN 2.6 Data Channel Offload smanjuje jaz na Linuxu, ali ga ne zatvara.
Je li OpenVPN siguran?: Da kada je ispravno konfiguriran. Protokol su neovisno revidirali Cure53 i Quarkslab, radi preko TLS-a testiranog u bitkama i podržava AES-256-GCM i ChaCha20-Poly1305. Najveći rizik u stvarnom svijetu je pogrešna konfiguracija poslužitelja, a ne slabosti u samom protokolu.
Može li duboka inspekcija paketa otkriti OpenVPN?: Da. Iako je sadržaj šifriran, zaglavlja protokola su prepoznatljiva. Omotači za maskiranje TLS-a (ugrađeni u većinu velikih komercijalnih VPN aplikacija) pomažu prikriti promet kao obični HTTPS, zbog čega OpenVPN-TCP/443 radi u restriktivnim zemljama.
Koje šifre koristi OpenVPN?: Moderne OpenVPN konfiguracije zadane su na AES-256-GCM s Perfect Forward Secrecy putem Diffie-Hellman razmjene ključeva. ChaCha20-Poly1305 je također podržan, posebno na mobilnim uređajima gdje može biti brži od AES-a na procesorima bez AES-NI hardverskog ubrzanja. HMAC-SHA256 se koristi za autentifikaciju paketa.