VPN主流协议介绍

VPN 协议，广义上讲，是 VPN 服务所使用的传输协议。但严格来说，它仅指具有加密功能且仅在虚拟专用网中使用的协议，例如 OpenVPN。在某些代理使用率较高的地区，如亚洲部分区域，用户常将“代理协议”和“VPN 协议”混淆。这主要是因为部分用户对 VPN 和代理的区别不明确，误以为两者是同一概念，进而认为协议也是等同的。此外，一些 VPN 厂商为满足地域需求，将代理协议纳入 VPN 协议范畴，使代理协议成为广义上的 VPN 协议。

VPN 协议是一组规则，用于确定用户和网络请求终端如何通过虚拟专用网络传输数据，包括从本地设备的 VPN 客户端到 VPN 厂商的服务器，从 VPN 服务器到目标互联网地址，以及反向过程。整个数据传输过程都通过“VPN 隧道”进行。除了特有的隧道技术，数据加密解密技术、密匙管理技术和身份认证技术也应用于 VPN 工作中。

VPN 协议对 VPN 服务至关重要，因为它不仅决定了数据的路由方式，还决定了数据的加密程度。不同的协议具有不同的规范和优劣势，这些差异直接影响到网速、在线隐私和安全性。

PPTP 点对点隧道协议

PPTP 的英文全称是 Point to Point Tunneling Protocol，是拨号时代的初生代 VPN 通信协议，由微软开发，最早同 Windows 95 OSR2一起于1996年发布，一直沿用至今。它同时使用 TCP 和 GRE 来完成 PPP 数据包的封装和传输。

PPTP 从发布之初开始就被因为安全性能低的弱点被诟病。一开始的 PPTP 并没有加密授权特性，只能依靠 PPP (Point-to-Point Protocol点对点协议) 的 MPPE 实现加密保护。即使后面 MPPE升级实现了RSA RC4 算法，支持128位密匙，仍拥有诸多安全漏洞，很容易被（国家安全局等）解密攻破并受到（字典/暴力）攻击。为此，部分 VPN 厂商已经弃之不用。即使仍有一些 VPN 因为其良好的稳定性和连接速度将其延用，当用户有敏感或重要信息需要保护的时候，PPTP 也并不建议选择。

优点：速度快，平台支持度高，易配置
缺点：安全系数低，容易被防火墙阻挡，被第三方攻破

IPSec Internet Protocol Security

IPSec 是通过分组 IP 协议并对其进行加密和安全认证的协议集合，是常用的 VPN 协议之一，用以有效保证安全的加密 Internet 通信。IPsec 网络传输协议族主要包括安全协议认证头AH（Authentication Header）、封装安全载荷 ESP（Encapsulating Security Payload）和因特网密匙交换 IKE (Internet Key Exchange）。它们协同工作以验证源并锁定 IP 数据包，从而建立受保护的连接。

IPSec 可以作为 VPN 服务的协议独立工作，不仅适用于多台机器之间入口对入口的通信，还可用于端对端的分组通信。由于本身缺失加密机制，通常与上述的 IKEv2或 L2TP 组合使用。

优点：网络层保护，无需依赖独立应用，无兼容问题
缺点：安全系数低，服务器负载高

IKEv2 / IPSec Internet Key Exchange version 2

IKEv2是上述IPsec协议套件的一部分。独特的 MOBIKE 功能确保了 VPN 连接的稳定性，因为它不会受到任何可能的网络变化的影响。作为由微软和思科/Cisco 联合开发的 IKE 的最新版本，该 VPN 协议通常通过在 IPSec 身份验证套件内在 VPN 客户端和 VPN 服务器之间创建安全关联/SA 来屏蔽流量，就此出现了 IKEv2/IPsec。

IKEv2/IPsec 不仅安全，而且连接快速。因此，许多 VPN 应用程序已经被利用，估计更多的 VPN 将利用该协议来提供快速和私密的网络浏览。

优点：速度快，稳定，安全性较高，易配置
缺点：可被防火墙阻挡，闭源

L2TP / IPSec 第2层隧道协议

L2TP 又叫第2层隧道协议，是上述 PPTP 的继承者，因为本身让没有加密功能，为了提高安全级别，通常与 IPSec 一起实施以添加加密。这使得该协议组的工作速度比任何单个协议（如 OpenVPN）都要慢。

L2TP / IPsec 很容易设置。但由于它绕过防火墙的能力不强，当你想解锁某个区域的任何互联网过滤器时，L2TP/IPSec并不是首选。知名的VPN 厂商如 NordVPN 已经在 2018 年底停止了对 PPTP 和 L2TP 的支持。

优点：设备 & 系统兼容性高，安全性较高，容易设置
缺点：速度较慢，可被防火墙阻挡 # SSTP 安全套接字隧道协议 SSTP 是另一种有微软早期开发的 VPN 专用隧道协议，伴随 Windows Vista 面世。SSTP 通过使用 SSL/TLS 来传输 PPP 流量，从而给用户提供了传输级别的安全性。此外，对 TCP 端口 443（默认）的支持有助于使流量成功通过大多数防火墙和代理。由于是微软专有协议，它被广泛认为是对 Windows 更友好的协议，但仍然对 Mac 和 Linux友好。

作为 Microsoft 的协议，与 OpenVPN 等开源协议相比，SSTP 拒绝任何独立审核。更重要的是，这个TCP式的隧道协议在带宽不足的情况可能会出现 TCP 崩溃错误。所以想要让 SSTP 产出闪电般的速度，请保证足够的带宽。

优点：安全系数高，可绕过诸多防火墙，支持多种加密 + 缺点：Windows 运行更佳，会出现 TCP 断线/崩溃 # OpenVPN OpenVPN 是一种开源、跨平台、也是目前最常用的VPN 加密协议，没有之一。它使用 OpenSSL 加密库的 SSL/TLS 进行密钥交换，以便严密保护点对点或站点到站点连接，并且通过将数据分成小包来传输数据。

OpenVPN 又可分为两种OpenVPN TCP和 OpenVPN UDP，前者更侧重网络安全而后者拥有更好的连接速度。

这里 OpenVPN TCP 当然通过 TCP 隧道传输，所有数据包都按顺序传递。与以流形式传送数据包的 UDP 相比，它具有较慢的速度（当互联网连接不稳定时会发生延迟）但具有更高的加密方式、更好的可靠性并且能够绕过非常严格的防火墙，由于它非常难以被检测和阻止例如 443 端口，它像 SSL 流量一样在线发送数据，而不是 VPN 端口。换句话说，它更适合日常在线行为，如网页浏览、购物、文件发送和电子邮件。OpenVPN TCP 只有在带宽充足的情况下才能正常工作。否则，会意外出现已知的 TCP 崩溃问题。

如果您需要 VPN 服务来解锁/加速在线游戏、流式传输高清电影和电视、实时聊天/会议或 P2P 种子下载，可以使用 OpenVPN TCP 的替代协议OpenVPN UDP。因为相较 OpenVPN TCP, OpenVPN UDP 拥有更快的速度，实现低延迟传输，同时仍然提供出色的安全性和匿名性。这就是为什么许多 VPN 将 OpenVPN UDP 设置为默认配置以向用户提供更好的用户体验的原因。

OpenVPN UPD 对比 OpenVPN TCP，谁更好？当下尚无绝对定论谁优于谁，建议您根据具体需求选取最合适的。

优点：开源协议且经过第三方审计，安全性高，支持各种加密算法，可绕过防火墙 + 缺点：不能独立使用，需要依靠第三方软件，设置较复杂，更适合桌面端

WireGuard

WireGuard 是一种新兴的开源 VPN 协议，旨在超越现有的 IKEv2/IPsec 和 OpenVPN，在性能、易用性和省电等方面表现出色。实际上，测试已经证明，WireGuard 在使用 UDP 时比 OpenVPN 的 TCP 和 UDP 都要快，而且延迟更低。它通过重新组装现有的加密算法，实现了简单但安全的目标。目前，WireGuard 已经可以在 Windows、macOS、iOS、Android 等多平台使用，尽管它仍然在持续开发中，存在一定的安全风险。

优点：速度快，轻便，工作效率高，省电，易搭建配置，抗封锁能力强。
缺点：目前主流 VPN 支持度不高，仍在持续开发中。

SoftEther（SSL-VPN）

SoftEther VPN是一款由日本程序员在硕士毕业时开发的VPN程序方案，类似于OpenVPN。它包括VPN服务器、客户端、桥接器和命令行攻击等公共组件，并于2014年成为开源软件。它能够绕过各种防火墙，支持NAT穿透，并支持多种VPN协议，包括OpenVPN、L2TP、IPsec、SSTP和自身的SSL VPN协议。然而，由于该协议流量在亚洲部分地区被屏蔽，所以在这些地区无法使用。

优点：速度快、可穿透防火墙且开源
缺点：支持的VPN软件较少。

Lightway

Lightway 是 Express VPN 提供商打造的独特 VPN 协议，具有更便捷、更轻松、更快、更安全、更可靠的特点。相比其他 VPN 协议，它的代码量非常小，仅有约 1,000 行代码，远低于 OpenVPN 的 70,000 行代码和 WireGuard 的 4,000 行代码。它利用 wolfSSL 嵌入式 SSL/TLS 库来提供安全通信，并始终保持保护开启状态，无论网络状况如何变化。官方声明表示，他们将在未来开放 VPN 协议的核心库，以提高透明度并进行进一步的安全审计。