WireGuard vs. OpenVPN unter Linux: Welches VPN ist besser?
Inhaltsverzeichnis:
Die Wahl des passenden VPN-Protokolls prägt Geschwindigkeit, Sicherheit und Wartungsaufwand im Linux-Betrieb spürbar. WireGuard und OpenVPN dominieren seit Jahren den Markt für quelloffene Tunnel-Software und decken die gesamte Bandbreite vom Heim-Router bis zum Enterprise-Cluster ab. Beide Lösungen verschlüsseln Verbindungen technisch zuverlässig, gehen aber sehr unterschiedliche Wege bei Architektur und Konfiguration.
Administratoren stehen daher oft vor der Frage, welches Werkzeug zur eigenen Infrastruktur passt. Aktuelle Benchmarks aus 2024 und 2025 zeigen WireGuard meist mit 30 bis 60 Prozent höherem Durchsatz, während OpenVPN bei Firewall-Traversal und TCP-Fallback weiterhin die Nase vorn hat.
Performance und Durchsatz im direkten Vergleich
Aktuelle Messungen zeigen klare Unterschiede beim reinen Datendurchsatz auf typischen Gigabit-Leitungen mit modernem Equipment. WireGuard erreicht laut offiziellen Benchmarks rund 940 Mbit/s und nutzt die Bandbreite nahezu vollständig aus. OpenVPN bleibt im selben Test bei etwa 480 Mbit/s über UDP stehen und schafft kaum die Hälfte. Die Studie der MDPI aus 2025 bestätigt diese Werte unter virtualisierten Bedingungen. WireGuard verdoppelt also den nutzbaren Durchsatz gegenüber dem älteren Konkurrenten und liefert besonders bei datenintensiven Anwendungen ein gewichtiges Argument.
Der Grund liegt im Kernel-Modul von WireGuard, das seit Linux 5.6 fest integriert ist und ohne Userspace-Umweg arbeitet. Pakete wandern nicht mehr zwischen Userspace und Kernel hin und her, was teure Kontextwechsel komplett vermeidet. OpenVPN dagegen läuft als Userspace-Daemon und verursacht messbar mehr Overhead bei jedem einzelnen Paket. Die CPU-Last fällt bei WireGuard deutlich geringer aus, meist zwischen acht und 15 Prozent. OpenVPN belastet denselben Prozessor laut Benchmarks mit 45 bis 60 Prozent unter Volllast und bringt schwächere Hardware schnell ans Limit.
Latenz und Verbindungsaufbau
Die zusätzliche Verzögerung pro Paket bleibt bei WireGuard mit ein bis drei Millisekunden minimal und praktisch nicht spürbar. OpenVPN fügt acht bis zwölf Millisekunden hinzu, wie unabhängige Tests von The New Stack belegen. Bei interaktiven Anwendungen wie SSH oder Remote-Desktop fällt dieser Unterschied spürbar ins Gewicht und nervt im Dauerbetrieb. Auch der Verbindungsaufbau verläuft asymmetrisch zwischen beiden Protokollen mit deutlichen Vorteilen für den Newcomer. WireGuard nutzt einen einzigen kryptographischen Handshake, während OpenVPN eine vollständige TLS-Aushandlung benötigt.
Diese kompakte Architektur spart wertvolle Millisekunden bei jedem Reconnect und summiert sich im Mobilbetrieb deutlich. Mobile Nutzer bemerken den Unterschied beim Wechsel zwischen WLAN und Mobilfunk besonders im Alltag. OpenVPN baut die Verbindung in solchen Momenten oft sekundenlang neu auf und unterbricht laufende Sitzungen. WireGuard wechselt das Netz dagegen praktisch unterbrechungsfrei für den Anwender. Auch DNS-Anfragen und kurze HTTPS-Sessions profitieren von der niedrigen Latenz, weil Round-Trips schneller abgeschlossen sind.
Konfigurationsaufwand und Wartung
Eine WireGuard-Konfiguration umfasst meist nur zwölf bis 30 Zeilen pro Peer und bleibt damit übersichtlich lesbar. Die Datei /etc/wireguard/wg0.conf enthält öffentliche Schlüssel, Endpunkte und erlaubte IP-Bereiche in klarer Struktur. OpenVPN-Setups bestehen häufig aus mehreren hundert Zeilen mit Zertifikaten, Cipher-Listen und TLS-Optionen. Die Tools wg und wg-quick aktivieren Tunnel mit einem einzigen Kommando ohne weitere Eingaben. Systemd-Units lassen sich über wg-quick@wg0.service direkt einbinden und beim Boot starten.

OpenVPN bietet dafür eine ausgereifte PKI-Infrastruktur mit easy-rsa und vollständigem Zertifikatswiderruf für komplexe Szenarien. Bei Bedarf an komplexen Zugriffsregeln, RADIUS-Anbindung oder LDAP-Authentifizierung punktet OpenVPN mit reichhaltigen Bordmitteln und vielen Plugins. WireGuard verzichtet bewusst auf solche Funktionen und delegiert sie an externe Werkzeuge wie wg-portal oder Tailscale. Die schlanke Codebasis von rund 4000 Zeilen erleichtert das Auditieren erheblich. OpenVPN bringt mit OpenSSL-Abhängigkeiten über 100.000 Codezeilen mit und vergrößert die Angriffsfläche entsprechend.
Kryptographie und Standardisierung
WireGuard setzt auf ein festes Set moderner Algorithmen ohne Auswahlmöglichkeit für den Administrator. Zum Einsatz kommen ChaCha20 für die Verschlüsselung und Poly1305 für die Authentifizierung als bewährte Kombination. Curve25519 erledigt den Schlüsselaustausch und BLAKE2s die Hash-Funktion im Protokoll-Header. Diese Festlegung verhindert Downgrade-Angriffe systematisch im Design. Sie vereinfacht zudem die Sicherheitsanalyse erheblich, während OpenVPN flexibel AES-256-GCM, AES-128-GCM und ChaCha20-Poly1305 unterstützt.
Bei der Standardisierung steht OpenVPN deutlich besser da als sein vergleichsweise junger Konkurrent. Es gilt seit Jahren als De-facto-Industriestandard mit FIPS-zertifizierten Varianten für regulierte Branchen. WireGuard ist noch kein offizieller IETF-Standard, wird aber bereits in RFC-Entwürfen aktiv behandelt. Behörden mit strengen Compliance-Vorgaben greifen daher häufig weiterhin zu OpenVPN aus Zertifizierungsgründen. Im privaten und mittelständischen Umfeld setzt sich WireGuard zunehmend durch und verdrängt die ältere Lösung Schritt für Schritt.
NAT-Traversal, Roaming und mobile Geräte
WireGuard arbeitet ausschließlich über UDP und kennt kein TCP-Fallback im Protokoll-Design. Hinter restriktiven Firewalls kann das zum Problem werden, etwa in Hotelnetzen oder Konferenz-WLANs mit aggressiver Filterung. OpenVPN bietet hier die Wahl zwischen UDP und TCP auf beliebigen Ports inklusive der berühmten 443. Der Port 443/TCP tarnt OpenVPN-Traffic als regulären HTTPS-Verkehr und kommt fast überall durch. WireGuard benötigt für ähnliche Tarnung Hilfsmittel wie udp2raw oder shadowsocks-Wrapper mit zusätzlichem Konfigurationsaufwand.

Beim Roaming zeigt WireGuard erneut seine Stärken durch das stateless Design ohne feste Session-Bindung. Die IP-Adresse des Clients darf sich beliebig ändern, ohne dass der Tunnel abreißt oder neu aushandeln muss. OpenVPN kann mit der Option float ähnliches leisten, reagiert aber träger auf solche Wechsel. Auf Smartphones spart WireGuard zudem Akku, weil keine ständigen Keep-Alives nötig sind. Die offiziellen Apps für Android und iOS integrieren sich nahtlos ins Energiemanagement der Plattformen und reduzieren den Verbrauch deutlich.
Fazit zum Vergleich WireGuard und OpenVPN unter Linux
