Moderní VPN řešení dramaticky zjednodušily nasazení oproti tradičním IPsec tunelům. WireGuard s pouhými 4000 řádky kódu nabízí rychlost a jednoduchost, OpenVPN širokou kompatibilitu a Tailscale mesh síť bez správy. Volba závisí na požadavcích na výkon, počtu uživatelů a míře automatizace, kterou potřebujete.
WireGuard¶
sudo apt install wireguard
wg genkey | tee privatekey | wg pubkey > publickey
# /etc/wireguard/wg0.conf
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <server-private-key>
[Peer]
PublicKey = <client-public-key>
AllowedIPs = 10.0.0.2/32
WireGuard je implementovaný přímo v Linux kernelu, což znamená minimální latenci a maximální propustnost. Konfigurace je jednoduchá — pár klíčů a povolené IP. Nevýhoda: manuální správa klíčů a konfigurace pro každého peera. Pro více než 10 uživatelů zvažte automatizaci přes Ansible nebo přechod na Tailscale.
OpenVPN¶
Tradiční řešení se širokou kompatibilitou na všech platformách. Podporuje TCP i UDP transport, certifikátovou i uživatelskou autentizaci a komplexní routovací scénáře. Konfigurace je složitější a vyžaduje PKI infrastrukturu. Ideální pro enterprise s existující certifikátovou autoritou a požadavky na audit.
Tailscale¶
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up
Tailscale postavený na WireGuard eliminuje veškerou manuální konfiguraci. Automatický NAT traversal, distribuci klíčů a mesh topologii řeší control plane. Za minutu máte funkční VPN.
Srovnání¶
- WireGuard — nejrychlejší, nejnižší latence, manuální správa klíčů
- OpenVPN — nejkompatibilnější, pomalejší, bohaté autentizační možnosti
- Tailscale — zero-config mesh, pro týmy, nejjednodušší nasazení
WireGuard pro výkon, Tailscale pro jednoduchost¶
WireGuard je standard pro nové nasazení vyžadující maximální výkon. Tailscale pro VPN bez správy infrastruktury. OpenVPN pro legacy a enterprise prostředí s existující PKI.