VPN 协议怎么选?为什么 365VPN最终做了自研协议
很多用户选 VPN,先看的是“快不快”“稳不稳”“能不能连上”。但真正决定这些体验的,往往不是服务器数量,而是底层协议怎么设计、怎么封装、怎么处理流量特征。OpenVPN、IKEv2/IPsec、WireGuard 仍然是今天最主流的三类 VPN 协议;与此同时,越来越多国际厂商开始在这些通用协议之上做自研改造,原因很简单:标准协议解决的是“能用”,产品真正竞争的是“在复杂网络里依然好用”。
一、主流 VPN 协议
1)OpenVPN:兼容性强,成熟,但不算轻
OpenVPN 之所以长期占据主流位置,核心是成熟、通用、跨平台,部署经验也非常丰富。OpenVPN 官方把它概括为“安全、灵活、跨平台兼容”,并提到它可以通过模拟 HTTPS 流量来穿过部分防火墙环境。放到实际使用里,这意味着它通常比较稳,适合桌面端、路由器和各种需要广泛兼容的环境。
但 OpenVPN 的短板也很明显。它诞生更早,历史包袱更重,配置项多,协议栈不算轻。在对速度、延迟和移动设备续航更敏感的场景里,它常常不是最利落的那个。WireGuard 官方甚至直接把自己的定位写成“比 IPsec 更简单,也预期会明显比 OpenVPN 更高性能”,这类对比本身就说明了 OpenVPN 在现代轻量化竞争里已经不占优势。
2)IKEv2/IPsec:移动切网体验好,但对复杂网络不总是友好
IKEv2 是 IETF 标准里的 Internet Key Exchange 第 2 版,负责为 IPsec 建立认证和密钥交换机制。它的一个重要优势在于移动性支持。RFC 5266 描述了 MOBIKE 能力,目标就是让支持 IKEv2 的 IPsec VPN 在不可信网络环境中保持移动连接能力。说得直白一点,手机在 Wi-Fi 和蜂窝网络之间来回切,IKEv2/IPsec 往往恢复得比较自然。
问题也在这里。IKEv2/IPsec 很适合“标准企业网络”与“移动办公”语境,但面对更复杂的 NAT、限制型网络、特殊端口策略或者需要更强伪装能力的环境时,表现未必总是最好。OpenVPN 官方自己的对比文章也把 IKEv2/IPsec 归类为适合移动用户,但提醒它可能存在兼容性限制。它不是差,而是更像一套强调正统、安全、移动重连的传统强协议。
3)WireGuard:轻、快、现代,但它并不负责“伪装”
WireGuard 这几年上升很快,原因很直接。WireGuard 官方首页对它的描述就是:简单、快速、现代、采用先进密码学,目标是比 IPsec 更轻、比 OpenVPN 更高性能。它的设计哲学很克制,代码量也更小,因此更容易审计、维护和优化。
不过,WireGuard 的优点和缺点其实来自同一个地方:它专注于做一件事,就是把 VPN 隧道本身做好。它并不把流量混淆、反 DPI、TCP 封装这些事情做进协议本体。WireGuard 官方在“Known Limitations”里写得很明白:WireGuard 不专注于混淆,混淆应该放在更高一层来做;它也不支持 TCP 模式。对普通用户,这意味着 WireGuard 在干净网络里通常体验很好,但在强审查、强干扰、强识别的网络环境中,单靠原生 WireGuard 并不一定够。
另外,基于 WireGuard 的实现还要面对一个现实问题:它原始架构里的静态 IP 映射思路,在商业 VPN 场景下会引出隐私和用户标识关联的处理难题。NordVPN 在介绍 NordLynx 时就明确提到,他们之所以做额外的双 NAT 设计,是因为原始 WireGuard 架构要求服务器保存用户与内网 IP 的静态对应关系,而这不符合他们的隐私目标。
4)协议对照表
主流的VPN 协议有很多,通过下面的表格可以更好地看出各家协议之间的区别。
| 协议 | 速度 | 安全性 | 抗封锁 | 代码量/复杂度 | 移动端支持 | 适用场景 | 备注 |
|---|---|---|---|---|---|---|---|
| PPTP | 快 | 极差 | 无 | 低 | 一般 | 已淘汰 | 协议老旧,安全性问题明显,不建议使用 |
| L2TP/IPSec | 中等 | 良好 | 差 | 中等 | 一般 | 传统企业网络 | 配置相对常见,但在复杂网络环境下表现一般 |
| IKEv2/IPSec | 快 | 优秀 | 差 | 中等 | 优秀 | 移动办公、手机端 | 切换 Wi-Fi 和蜂窝网络时恢复较快 |
| OpenVPN UDP | 较快 | 优秀 | 中等 | 高 | 一般 | 通用翻墙、重视稳定性 | 速度和稳定性较均衡,兼容性强 |
| OpenVPN TCP | 较慢 | 优秀 | 较好 | 高 | 一般 | 高限制网络、兼容优先 | 稳定但延迟通常更高 |
| WireGuard | 很快 | 优秀 | 差 | 低 | 优秀 | 低延迟、高性能场景 | 轻量现代,但原生抗识别能力有限 |
| SSTP | 中等 | 良好 | 较好 | 中等 | 一般 | Windows 环境 | 走 HTTPS 通道,对部分网络更友好 |
| SoftEther | 快 | 优秀 | 较好 | 高 | 良好 | 多协议兼容、复杂环境 | 灵活性高,可模拟 HTTPS 流量 |
| Shadowsocks | 快 | 良好 | 较好 | 低 | 良好 | 轻量代理场景 | 严格说更偏代理,不是传统 VPN |
| Trojan | 快 | 良好 | 较好 | 中等 | 良好 | 高伪装需求场景 | 流量更像正常 HTTPS,常用于高限制环境 |
| V2Ray / VMess | 中等 | 良好 | 较好 | 高 | 良好 | 需要灵活分流和伪装的场景 | 配置复杂,生态丰富 |
| Hysteria 2 | 很快 | 良好 | 较好 | 中等 | 良好 | 高丢包、高延迟网络 | 基于 QUIC,弱网下表现往往不错 |
二、为什么标准协议不够,厂商还要做“自研”
先把一件事说清。很多所谓“自研协议”,并不一定是在密码学层面重新发明一套全新协议。更常见的做法,是在成熟协议之上重做握手、会话保持、流量封装、指纹处理、NAT 穿透、路由调度、失败重试和自动切换。换句话说,自研的重点往往不是“另起炉灶”,而是“把通用协议产品化”。
厂商走向自研,通常有四个原因。
第一,标准协议的目标太通用。IETF 标准要兼顾普适性,OpenVPN 和 WireGuard 官方项目也更关心协议正确性、安全性与通用部署,不会专门为某一家服务商的用户结构、地区网络、终端形态去优化。商业产品却必须解决更细的问题,比如某些运营商网络下的握手成功率、移动端切换网络的重连速度、某些国家或地区的 DPI 干扰。
第二,复杂网络环境会逼着厂商做流量特征处理。gfw.report 在 2023 年发布的研究指出,2021 年 11 月起,中国的防火长城部署了对“全加密流量”的新型被动检测与阻断机制。这类研究的含义不是“某一个协议必然失效”,而是网络审查和协议识别都在升级,单纯“把内容加密”不再等于“很难被识别”。这正是为什么越来越多厂商开始把混淆、封装和指纹伪装做成协议层或传输层能力。
第三,商业 VPN 还要兼顾隐私与易用性。WireGuard 很快,但商业服务要处理动态分配、共享 IP、日志边界、用户标识隔离这些现实问题,所以会出现像 NordLynx 这种“基于 WireGuard,但加一层自己的机制”的做法。
第四,自研可以把“自动选择最佳连接”做得更聪明。协议不是孤立存在的,它和节点调度、出口质量、运营商路径、是否走 UDP 或 TCP、失败后如何回退,都绑在一起。用户看到的是一个按钮,背后其实是一整套连接策略。Hotspot Shield 甚至把 Automatic 作为推荐模式,让系统按网络环境自动选择协议,这本身就是“协议产品化”的体现。
三、国际知名 VPN 的自研协议,已经很多了
最典型的例子是 ExpressVPN 的 Lightway。官方把它定义为自家的现代 VPN 协议,强调更快、更省电、更可靠,也更容易审计和维护。更重要的是,ExpressVPN 后来把 Lightway 核心开源,并公开说明它接受外部审查。这说明今天大厂做自研,不再只是把“私有”当卖点,而是开始强调“自研,但尽量可审计”。
NordVPN 的 NordLynx 是另一条路。它没有完全绕开 WireGuard,而是在 WireGuard 基础上加入自家双 NAT 机制,解决原始架构里静态 IP 映射带来的隐私顾虑。这个例子很有代表性:很多自研协议并不是从零开始,而是在成熟协议之上补商业化短板。
VyprVPN 的 Chameleon 更像“反识别”路线。官方写得很直接:它会扰乱 OpenVPN 数据包元数据,让流量不容易被 DPI 识别,同时底层仍然使用未经修改的 OpenVPN 256-bit 加密。它的卖点不是“重新发明加密”,而是“让你更不容易因为流量特征而被认出来”。
Hotspot Shield 的 Hydra 也属于自研路线。官方支持文档把 Hydra 定义为自家专有协议,并称其为速度和安全上的首选;另一篇文档则说明 Hydra 使用基于 TLS、遵循 NIST 建议的安全机制来建立加密连接。这里能看出另一种思路:对外保留部分实现细节,但底层安全原理仍然尽量建立在成熟密码学与标准实践上。
把上面例子放在一起,你就会发现一个趋势:国际头部 VPN 已经不满足于只提供 OpenVPN、IKEv2、WireGuard 三个选项,而是在“通用协议 + 自家优化层”这个方向持续投入。原因不是厂商想把事情搞复杂,而是现实网络环境本来就很复杂。
四、为什么面向大陆用户,更需要“协议定制化”
对大陆用户来说,VPN 的难点从来不只是速度。真正棘手的是连接成功率、稳定性、峰值时段的抖动、特定运营商环境下的掉线,以及某些协议特征在 DPI 下更容易被识别。gfw.report 的研究已经表明,针对全加密流量的检测和阻断机制在持续演进。放在这种背景下,协议设计不能只追求“加密强度”,还得兼顾“流量长得像什么”“握手阶段暴露了什么”“失败后如何快速切换”。
这也是为什么“更不容易封锁”这件事,往往不只是一个协议名称的胜负。真正起作用的,通常是几层东西叠加在一起:传输层封装、流量混淆、协议指纹控制、节点质量、路由策略,以及客户端的自动回退逻辑。用户常看到“这个节点今天快,明天又不行”,本质上不是加密算法突然变差了,而是环境在变,识别规则也在变。
五、 365VPN 自研协议:更有针对性的协议
在前面几种主流协议的对比里,其实已经能看出一个结论:速度、安全性、抗封锁能力,很难在同一套通用协议里同时拉满。不同协议各有长处,也各有明显边界。有的足够成熟,但在高限制网络里容易暴露特征;有的性能很高,却并不是为复杂审查环境而生。也正因为这样,365VPN 选择了自研协议这条路线。
首先,365VPN 的协议设计更强调高审查环境下的可用性。传统通用协议在立项时,优先考虑的是适配范围广、部署简单、兼容不同平台;而面向大陆用户时,首要目标往往变成了连接成功率。365VPN 的自研协议会把对抗深度包检测、降低流量识别度这些需求前置到架构层,而不是等到问题出现后,再在外面追加一层修补方案。
其次,这类自研方案通常会更重视流量伪装能力。365VPN 的协议思路,不是简单把数据包包上一层加密外壳,而是尽量让整体通信特征更接近日常网页访问。从握手方式,到数据包大小分布,再到传输节奏,都会朝着更自然、更不容易被识别的方向优化。这样做的意义很现实:在复杂网络环境里,流量越像普通 HTTPS,请求越不容易被单独挑出来处理。
再往下看,性能也是自研协议的重要原因。365VPN 如果只是照搬现成协议,确实能提供基础连接能力,但很难把速度、延迟和稳定性一起调到更适合自家用户的状态。自研协议可以围绕连接建立速度、数据封装效率和吞吐表现单独优化。结果就是,用户点下连接之后,等待时间更短,网页打开更利落,视频和 AI 工具这类对连续传输更敏感的场景,也更不容易出现明显卡顿。
还有一点很重要,就是对网络变化的适应能力。大陆用户面临的网络环境并不是静止的,不同地区、不同运营商、不同时间段,甚至同一条线路在白天和晚上,表现都可能不一样。365VPN 选择协议自研,一个核心目的,就是把“自动判断环境并调整策略”的能力做进底层。用户不需要反复手动切节点、切模式、改设置,客户端会根据当前网络条件尽量选择更合适的传输方式,把复杂操作藏在背后。
从安全角度看,自研协议还有一个实际好处,就是可以把实现做得更精简。代码越臃肿,历史兼容负担越重,潜在风险点也往往越多。365VPN 如果采用更轻量的实现思路,就更有利于后续审查、修补和升级,也能更快响应新问题。对于用户来说,感受到的未必是“代码量变少”这件事本身,而是连接更稳,更新更快,很多调整在后台就完成了。
最后,自研最大的优势,其实是迭代速度。开源通用协议有自己的价值,但它们要照顾广泛社区、兼顾不同场景,更新节奏不一定能紧跟某一类地区网络的变化。365VPN 自己掌握协议能力之后,可以更快针对新的限制方式做调整,发现异常后直接修正并推送,而不用长期等待外部项目演进。这种响应能力,对大陆用户尤其关键,因为网络限制往往不是一次性的,而是在不断变化中的。
结语
VPN 协议的发展,已经从“哪一个更安全”走到了“哪一个更适合真实网络环境”。OpenVPN 仍然稳,IKEv2/IPsec 依旧适合移动切网,WireGuard 则把速度和简洁推到了很高的位置。问题是,标准协议只解决了底座,商业产品还得解决识别、切网、回退、伪装和易用性。也正因如此,Lightway、NordLynx、Chameleon、Hydra 这类自研方案才会不断出现。
但从目前的大环境来看,这些广为人知的协议并不符合大陆用户的使用场景,自研协议的优势会更大。365VPN 之所以坚持协议自研,就是为了把“更容易连上、更难被识别、连接更快、适应性更强、升级更及时”这些需求,尽量放进同一套方案里。对普通用户来说,不需要理解协议细节,只会在使用时感受到一件事:少折腾一些,连接更省心。