VPN на WireGuard: современный протокол в основе Pivot VPN

Pivot VPN построен вокруг WireGuard — протокола, который заменил для нас тяжёлые конструкции прошлого поколения. Это не маркетинговая надстройка и не «опция в настройках». WireGuard — это базовый транспорт, который шифрует и переносит ваш трафик в каждом приложении Pivot VPN: на смартфоне в метро, на ноутбуке в кафе, на домашнем компьютере и даже на телевизоре в гостиной. Ниже мы подробно расскажем, что такое WireGuard, почему мы выбрали именно его, как он реализован в наших клиентах и что вы заметите в повседневном использовании.

Что такое WireGuard и почему он стал стандартом

WireGuard — современный VPN-протокол с открытым исходным кодом, разработанный Джейсоном Доненфельдом. Его кодовая база умещается примерно в 4 000 строк — на порядок меньше, чем у предыдущих поколений протоколов. Маленький объём кода — это не только эстетика: чем меньше код, тем меньше места для уязвимостей, тем проще аудит, тем выше шанс, что протокол реализован одинаково корректно на всех платформах.

WireGuard построен на современной криптографии: ChaCha20 для симметричного шифрования, Poly1305 для аутентификации сообщений, Curve25519 для обмена ключами, BLAKE2s для хэширования. Здесь нет десятков «выбираемых наборов шифров», как в старых VPN-протоколах. Есть один правильный набор — и он применяется ко всему трафику без переговоров и компромиссов.

Для пользователя это означает три вещи: высокая скорость, низкая задержка и предсказуемое поведение в любой сети — от мобильного интернета до публичного Wi-Fi и оптоволокна дома.

Почему Pivot VPN выбрал WireGuard

Когда мы проектировали Pivot VPN, у нас было простое требование: соединение должно подниматься за доли секунды, держаться без разрывов и не съедать заряд батареи на смартфоне. Старые протоколы вроде OpenVPN или IPsec этот тест проходят с трудом — они слишком много «договариваются» при каждом подключении и держат тяжёлые сеансы в памяти. WireGuard ведёт себя иначе. Это stateless-протокол на уровне UDP: рукопожатие занимает один обмен пакетами, а дальше идёт чистый зашифрованный поток.

Для нас это означало возможность сделать клиент Pivot VPN, который:

• подключается за 1–2 секунды без раскручивания крутящегося колеса;
• не «отваливается» при переключении с Wi-Fi на мобильный интернет;
• работает в фоне на Android и iOS без заметного расхода батареи;
• одинаково ведёт себя на Windows, macOS и Linux, потому что WireGuard в этих системах работает на уровне ядра или эффективного userspace-демона.

Мы могли бы написать собственный «уникальный» протокол. Мы сознательно этого не сделали. Открытый, аудируемый, проверенный временем стандарт лучше любой проприетарной обёртки.

Как WireGuard реализован в клиентах Pivot VPN

WireGuard сам по себе — это спецификация и набор реализаций. Их нужно правильно встроить в приложение, чтобы пользователь получил не «голый туннель», а законченный продукт. В Pivot VPN мы используем разные подходы под каждую платформу, чтобы выжать максимум из системных API.

На Android клиент Pivot VPN использует системный VpnService и нативную реализацию WireGuard под Linux-ядро, доступную в современных версиях Android. Это означает, что шифрование происходит в ядре, а не в виртуальной машине — отсюда низкие задержки и минимальная нагрузка на процессор.

На iOS мы интегрированы через NetworkExtension и WireGuardKit — официальный фреймворк Apple-совместимой реализации. Туннель поднимается как системный, поэтому iOS корректно маршрутизирует весь трафик и сохраняет соединение даже при переходе устройства в режим сна.

На Windows клиент работает поверх wireguard-nt — драйвера сетевого ядра, который Microsoft признаёт как полноценный сетевой адаптер. Скорость такой реализации на гигабитном канале практически не отличается от скорости без VPN.

На macOS используется тот же подход через NetworkExtension, что и на iOS, плюс системный keychain для хранения ключей.

На Linux Pivot VPN опирается на встроенный модуль WireGuard в ядре (доступен с версии 5.6) и тонкий userspace-клиент для управления конфигурацией. Для серверных сценариев это даёт честную линейную производительность.

На Android TV приложение собрано на той же кодовой базе, что и мобильное, но с интерфейсом, рассчитанным на пульт. Тот же WireGuard, тот же ключ — просто другой экран.

Что вы почувствуете: скорость, задержка, батарея

Технические детали важны, но в повседневной жизни важнее ощущения. Вот что меняется, когда вы включаете Pivot VPN на WireGuard.

Скорость. На современных каналах вы практически не заметите разницы между «с VPN» и «без VPN». На гигабитном проводном подключении WireGuard способен прокачивать данные на скорости, ограниченной только процессором и сетью, — типично 700–900 Мбит/с на обычном ноутбуке. На мобильном LTE/5G скорость упирается в саму сотовую сеть, а не в VPN.

Задержка. Дополнительный ping от WireGuard измеряется единицами миллисекунд. Для веб-сёрфинга, видеозвонков и стриминга это незаметно. Геймеры, которые раньше отключали VPN перед матчем, на Pivot VPN могут оставлять его включённым.

Батарея. На Android и iOS WireGuard не держит постоянного TCP-соединения и не шлёт keep-alive пакеты каждые несколько секунд. Туннель «спит», когда вы не пользуетесь сетью, и мгновенно просыпается, когда приложение запрашивает данные. По нашим внутренним замерам, фоновый расход батареи от Pivot VPN сопоставим с расходом обычного мессенджера.

Переключение сетей. WireGuard построен на UDP и не привязан к конкретному IP-адресу клиента. Когда вы выходите из дома и телефон переключается с Wi-Fi на сотовую сеть, туннель не разрывается — он просто продолжает работать с нового IP. Это, пожалуй, главное практическое отличие от старых протоколов.

Безопасность и приватность

WireGuard сам по себе обеспечивает сильное современное шифрование, но протокол — это только половина дела. Вторая половина — как сервис обращается с ключами и логами. В Pivot VPN мы придерживаемся нескольких принципов.

Каждый клиент генерирует пару ключей локально. Приватный ключ никогда не покидает ваше устройство — ни на Android, ни на iOS, ни на десктопе. На сервере хранится только публичный ключ, привязанный к вашей подписке.

Мы не ведём журналы трафика. WireGuard технически предполагает, что сервер знает последний IP-адрес клиента (чтобы отправлять ответные пакеты), и мы регулярно сбрасываем эту информацию, чтобы она не накапливалась.

На уровне приложения мы добавили kill switch — если туннель по какой-то причине обрывается, системный сетевой стек блокирует исходящий трафик до восстановления соединения. Это работает на всех платформах, где система предоставляет соответствующий API: Android, iOS, Windows, macOS.

DNS-запросы идут через защищённый туннель, а не через провайдера. Это закрывает классическую утечку, при которой VPN шифрует данные, но имена сайтов всё равно видны провайдеру.

Одна подписка — все устройства

WireGuard в Pivot VPN устроен так, что у каждого вашего устройства есть собственная пара ключей и собственная запись в нашей системе. Одна подписка позволяет одновременно держать активные туннели на телефоне, планшете, ноутбуке и Android TV. Вы не переключаете «слоты» вручную — все устройства живут параллельно.

Сценарий, который мы видим чаще всего: пользователь утром включает Pivot VPN на iPhone, днём работает за MacBook с тем же активным туннелем на другом сервере, вечером смотрит стриминг на Android TV. Все три устройства одновременно подключены к Pivot VPN, и никакой ручной синхронизации не требуется.

Серверная инфраструктура под WireGuard

Скорость WireGuard на стороне клиента не имеет смысла, если сервер становится узким горлышком. Мы строили серверный парк Pivot VPN исходя из специфики этого протокола: тонкие виртуализированные ноды с прямым доступом к сетевому интерфейсу, минимальный набор сервисов на хосте, автоматическая балансировка ключей между нодами в одной локации.

Каждая локация — это несколько физических точек присутствия с независимыми аплинками. Если один аплинк деградирует, клиент бесшовно переезжает на соседний без вашего участия. Для WireGuard это особенно естественно, потому что туннель не привязан к конкретному TCP-сеансу.

Edge-кейсы: что делать, когда WireGuard блокируют

WireGuard работает поверх UDP, и в некоторых сетях UDP-трафик режут или фильтруют — это бывает в корпоративных Wi-Fi, отелях, аэропортах и в сетях с агрессивным DPI. Мы заранее предусмотрели обходные пути.

Во-первых, Pivot VPN автоматически пробует разные порты, если основной заблокирован. Во-вторых, в проблемных регионах мы поддерживаем обфусцированные конфигурации, которые маскируют WireGuard-трафик под обычный HTTPS. Для пользователя это происходит прозрачно: вы нажимаете «Подключиться», приложение само подбирает рабочую конфигурацию.

Если WireGuard в вашей сети совсем недоступен, клиент Pivot VPN на Android, Windows и Linux может переключиться на резервный транспорт. На iOS и macOS такой переключатель работает в рамках того, что разрешает системная политика NetworkExtension.

Прозрачность и открытый код

WireGuard — это открытая спецификация. Любой может прочитать исходный код реализации, проверить криптографические примитивы, повторить рукопожатие на бумаге. Мы считаем это огромным плюсом и не пытаемся «улучшить» протокол собственными надстройками, которые сломали бы совместимость.

Наши клиенты используют официальные библиотеки WireGuard там, где они доступны (WireGuardKit на iOS/macOS, wireguard-go и wireguard-android на Android, wireguard-nt на Windows). Если вы хотите вручную собрать конфигурацию и подключиться к нашим серверам стандартным wg-quick — мы поддерживаем и такой сценарий для опытных пользователей на Linux.

WireGuard в Pivot VPN — это не «галочка в списке функций». Это фундамент, на котором стоит всё остальное: скорость, стабильность, низкий расход батареи, мгновенное переключение между сетями и работа на любом из ваших устройств — от смартфона до телевизора.