VPNSmith
vps-comparatifsCOMP

OpenVPN vs WireGuard: tiefgehender technischer Vergleich 2026

OpenVPN vs WireGuard: Technische Analyse zu Verschlüsselung, Handshake, Kernel vs Userspace, Akkulaufzeit auf Mobilgeräten, Audit-Historie und ein reproduzierbares iperf3-Benchmark-Verfahren für Ihren eigenen VPS.

Von Eric Gerard · Fondateur · VPNSmith — Spécialiste self-host VPN & VPS GDPR9 Min. LesezeitPhoto via Unsplash

Sie schwanken zwischen OpenVPN und WireGuard für Ihr selbst gehostetes VPN auf Contabo (oder Hetzner, OVH). Überall liest man "WireGuard ist schneller", ohne je zu verstehen, warum. Dieser technische Vergleich klärt das: Wir betrachten die Kryptografie unter der Haube, die Handshake-Mechanik, den Einfluss von Kernel vs Userspace, den Akkuverbrauch auf Mobilgeräten und die Audit-Historie — und wir geben Ihnen das reproduzierbare iperf3-Verfahren, damit Sie den Unterschied auf Ihrem eigenen VPS überprüfen können.

Spoiler: WireGuard gewinnt in nahezu jeder Hinsicht. OpenVPN behält zwei legitime Nischen.

Warum dieser Vergleich 2026 noch relevant ist

Man könnte erwarten, dass die Debatte OpenVPN vs WireGuard seit 2020 abgeschlossen ist, doch sie wird in jedem Sysadmin-Forum weitergeführt. Drei Gründe erklären warum.

Erstens, OpenVPN hat eine massive installierte Basis. Die meisten Unternehmensnetzwerkgeräte (Cisco AnyConnect-kompatibel, Pulse Secure, einige Fortinet-Konfigurationen) sprechen immer noch nativ OpenVPN oder über einen Adapter. Legacy-VPN-Setups in Unternehmen wurden selten aus Stabilitäts- und Compliance-Gründen migriert. Wenn Sie einem Sysadmin-Team beitreten, das ein seit 2015 geerbtes Unternehmens-VPN wartet, wird OpenVPN Ihnen weitere 5-10 Jahre dienen, bevor das Management eine Migration akzeptiert. Das technische Verständnis des Vergleichs ist daher nützlich, um eine interne Migrationsstrategie zu verteidigen.

Zweitens, feindliche Netzwerkbedingungen, bei denen OpenVPN durch den TCP-Modus und Port 443 einen leichten Vorteil behält, sind nicht marginal. Hotel-WiFis, einige asiatische Café-Hotspots, Port-Grenz-VPNs — alle beschränken sich auf HTTPS und blockieren standardmäßig UDP. Reines WireGuard kommt unter diesen Bedingungen ohne Overlay (wstunnel oder Cloak) nicht durch, und das Overlay fügt 5-15% Latenz und Komplexität hinzu. OpenVPN-TCP-443 bleibt der einfachste Hack, wenn Sie weder die Zeit noch die Werkzeuge haben, um wstunnel einzusetzen.

Schließlich, OpenVPNs kryptografisches Audit ist reifer. OpenVPN mit OpenSSL wurde seit 2005 von Akademikern überprüft und hat ein 19-jähriges Analyse-Ökosystem angesammelt. WireGuard verwendet moderne Primitiven (Noise Protocol Framework), die wunderschön gestaltet sind, aber eine kürzere kumulative Audit-Historie haben. Für regulierte Umgebungen wie Gesundheitswesen oder Verteidigung, die formale kryptografische Zertifizierungen erfordern, hat OpenVPN manchmal noch den Standardvorteil durch Trägheit.

Diese drei Nuancen rechtfertigen nicht, OpenVPN als Standardwahl für eine neue Implementierung im Jahr 2026 zu empfehlen — WireGuard gewinnt in 90% der Fälle — aber sie erklären, warum der technische Vergleich immer noch veröffentlicht werden sollte.

Was ist der Unterschied zwischen WireGuard und OpenVPN?

WireGuard verwendet einen festen modernen Kryptostack (Curve25519, ChaCha20-Poly1305), der als Linux-Kernelmodul (~5.000 Zeilen) gebaut ist. OpenVPN ist ein konfigurierbarer Userspace-Daemon (~70.000 Zeilen), der auf OpenSSL basiert. WireGuards 1,5-RTT-Handshake verbindet sich viel schneller als OpenVPNs mehrstufiger TLS-Handshake, und auf einer schnellen Verbindung läuft WireGuard näher an der Leitungsrate, während OpenVPN mehr Durchsatz an den Userspace-Overhead verliert.

Architektur und kryptografische Primitiven

Der Leistungsunterschied resultiert zuerst aus dem architektonischen Modell, nicht nur aus dem Code.

OpenVPN

  • Userspace (Prozess openvpn)
  • Kryptografie: konfigurierbar über --cipher, --auth, --tls-cipher. AES-256-GCM ist seit Version 2.6 Standard.
  • Klassische TLS-Verhandlung: mehrstufig, X.509-Zertifikate, CRL, OCSP. Standard, aber schwergewichtig.
  • Externe Bibliotheken: OpenSSL oder mbedTLS. Jede OpenSSL-CVE betrifft OpenVPN.
  • Codebasis: ~70.000 Zeilen C (ohne Abhängigkeiten).

WireGuard

  • Kernelmodul (seit Linux 5.6, Mainline), oder Userspace-Implementierungen (wireguard-go auf macOS/Windows).
  • Kryptografie: von Design eingefroren. Keine Verhandlung. Curve25519 (Schlüsselaustausch), ChaCha20-Poly1305 (Verschlüsselung), BLAKE2s (Hash), HKDF (KDF), SipHash24.
  • Noise IKpsk2 Handshake: 1,5 Round-Trips, minimaler serverseitiger Zustand, kein Zertifikat.
  • Keine externe Kryptografie-Abhängigkeit: alles ist im Baum.
  • Codebasis: ~5.000 Zeilen C kernelseitig.

Dieser Größenordnungsunterschied (5k vs 70k) ist der Grund, warum WireGuard vollständig von Cure53 im Jahr 2021 auditiert werden konnte. Sie können dasselbe für OpenVPN tun — aber es sind ~6 Monate Arbeit im Vergleich zu ~3 Wochen für WireGuard.

Handshake-Geschwindigkeit

Etwas Nützliches, das Sie selbst messen können: Wie lange dauert es zwischen wg-quick up (oder openvpn) und dem ersten routbaren Paket?

Der Grund für die Lücke ist strukturell und gut dokumentiert. WireGuard führt seinen Schlüsselaustausch in einem 1,5-RTT Noise-Handshake ohne Zertifikat durch, sodass die Verbindungseinrichtung nahezu sofort erfolgt. OpenVPN benötigt 6 bis 8 Round-Trips (TCP-Handshake + TLS-Handshake + Auth + Push-Konfiguration), und der TCP-Modus fügt noch mehr hinzu, sodass seine Verbindungseinrichtung um eine Größenordnung langsamer ist. Um Zahlen für Ihre eigene Verbindung zu erhalten, messen Sie mehrere up-Zyklen und behalten Sie den Median.

Praktische Konsequenz: Bei 4G-Antennenwechsel (Roaming) verbindet sich WireGuard sofort wieder; OpenVPN benötigt manchmal 1-2 Sekunden oder mehr, und Sie verlieren sichtbare Pakete in Ihren Tools.

Kernelmodul vs Userspace: warum das wichtig ist

Wenn ein Paket durch den Userspace geht, macht es die Kernel → Userspace → Kernel-Reise: 2 CPU-Kontextwechsel, Speicher-Kopien, Scheduler-Beteiligung. Bei 1 Gbps sind das mindestens 80.000 Pakete/Sekunde, also 160.000 Kontextwechsel.

Mit WireGuard als Kernelmodul verlässt das Paket nie den Kernel. Kein Kontextwechsel, keine Kopie. Der Durchsatz hängt von der verfügbaren CPU ab, aber die effektive Obergrenze ist typischerweise 3-5× höher als die von OpenVPN im Userspace bei gleicher CPU.

Da WireGuard im Kernel läuft und OpenVPN im Userspace verschlüsselt, erreicht WireGuard eine viel höhere serverseitige Durchsatzgrenze, bevor die CPU gesättigt ist — typischerweise mehrere Male die von OpenVPN bei gleicher CPU. ChaCha20 ist tendenziell schneller als AES-256-GCM auf Hardware ohne AES-NI, da AES auf diesen Befehlssatz angewiesen ist.

Bei einem bescheidenen Ausgangslink (z.B. Contabos beworbene 200 Mbit/s) sättigt keines der Protokolle die CPU, sodass beide den Link füllen können — der praktische Unterschied liegt hier im Latenzprofil: WireGuard fügt fast keine Latenz pro Paket hinzu, OpenVPN mehr aufgrund der Userspace-Rundreise.

WireGuard vs OpenVPN Durchsatz (typisch)

Auf einer schnellen Verbindung (100+ Mbps) ist das erwartete Muster konsistent und folgt direkt aus der Architektur:

  • WireGuard UDP bleibt am nächsten an der Rohleitungsrate (geringster Verlust), mit der niedrigsten hinzugefügten Latenz und den wenigsten Retransmits.
  • OpenVPN UDP verliert merklich mehr Durchsatz als WireGuard, da jedes Paket die Kernel/Userspace-Grenze überschreitet; ChaCha20 ist normalerweise etwas schneller als AES-256-GCM auf CPUs ohne AES-NI.
  • OpenVPN TCP ist das langsamste der drei — TCP-over-TCP-Zusammenbruch bei Verlust fügt Retransmits und Latenz hinzu — und sollte für Netzwerke reserviert werden, die UDP vollständig blockieren.

Dies sind Tendenzen, keine Zahlen aus einem privaten Labor — Ihre genauen Zahlen hängen von Ihrem VPS, Ihrer CPU und Ihrem Link ab. Um Ihre zu erhalten, führen Sie das reproduzierbare Verfahren im WireGuard vs OpenVPN Benchmark-Leitfaden mit iperf3 auf Ihrem eigenen Server durch.

Akkulaufzeit auf Mobilgeräten

Leuchtende Glasfaser-Netzwerkkabel
Leuchtende Glasfaser-Netzwerkkabel

Auf Telefonen neigt das leichtere Protokoll dazu, etwas weniger Akku für die gleiche Arbeitslast zu verbrauchen. WireGuards Vorteil ergibt sich aus einfacherer Kryptografie (ChaCha20-Poly1305 ohne Verhandlung vs AES-GCM mit einer TLS-Verhandlung) und keinem TLS-Keepalive — nur ein optionales UDP-Keepalive alle 25 Sekunden. OpenVPN, insbesondere im TCP-Modus, behält mehr Zustand und erledigt mehr Arbeit pro Paket, sodass es unter einem dauerhaften Always-On-Tunnel im Allgemeinen etwas mehr Strom verbraucht. Der Unterschied ist bescheiden und zeigt sich wirklich nur bei langen Sitzungen.

Audit-Historie und CVEs

OpenVPN

  • Erstes vollständiges unabhängiges Audit: 2017 (OSTIF + QuarksLab + Cryptography Engineering). 2 große Schwachstellen gefunden, darunter eine RCE.
  • CVEs seitdem: ~28 CVE-Einträge (2018-2025), darunter 3 RCEs.
  • Angriffsfläche: OpenVPN + OpenSSL (kombinierte Codebasis ~500.000 Zeilen C/C++).
  • Ruf: solide nach 22 Jahren in Produktion, aber das historische Gewicht zeigt sich.

WireGuard

  • Cure53-Audit (2018) zur Linux-Implementierung. 0 kritische Schwachstellen.
  • Formales Audit der kryptografischen Primitiven (IEEE S&P 2018-Papier) — mathematischer Beweis des Noise IKpsk2-Protokolls.
  • CVEs seitdem: 0 kritische kernelseitig, einige wireguard-go (Userspace) Implementierungsfehler in weniger als 7 Tagen behoben.
  • Angriffsfläche: ~5.000 Zeilen Kernel-C.

Für einen Angreifer ist WireGuard ~14× schwerer tiefgehend zu fuzzern als OpenVPN, einfach weil es weniger Code zu fuzzern gibt.

Wann sollten Sie OpenVPN anstelle von WireGuard behalten?

Behalten Sie OpenVPN, wenn Sie TCP auf Port 443 benötigen, um Unternehmens- oder Hotelfirewalls zu umgehen, die ausgehendes UDP blockieren, wenn Sie Legacy-Geräte unterstützen müssen (Windows vor Version 10, Android vor 5.0), oder wenn formale Audit-Trail-Anforderungen (ISO 27001, NIS2) OpenVPNs Pro-Verbindungsprotokollierung einfacher machen, um konform zu sein. In allen anderen Fällen ist WireGuard die bessere Wahl.

Drei Fälle, in denen OpenVPN vertretbar bleibt:

  1. TCP erforderlich: Einige Unternehmensfirewalls blockieren ausgehendes UDP. OpenVPN unterstützt TCP nativ. WireGuard benötigt einen Wrapper (wstunnel, udp2raw), was die Einrichtung kompliziert.
  2. Standardport 443: OpenVPN auf 443/TCP sieht für grundlegende DPI wie HTTPS aus. Nützlich in Hotels oder strengen Unternehmensnetzwerken.
  3. Legacy-Kompatibilität: Windows < 10, Android < 5, iOS < 12, Low-End-Heimrouter — WireGuard liefert nicht immer einen offiziellen Client. OpenVPN ist seit 2002 überall.

Für die Fälle 1 und 2 können Sie WireGuard immer noch über udp2raw in gefälschtem TCP/443 tunneln — siehe WireGuard-Vorlagen 2026, Vorlage 7.

Wann auf WireGuard umsteigen

Alles andere. Insbesondere:

  • Selbstgehostetes VPN auf persönlichem VPS (Contabo, Hetzner, OVH) — Leistungsgewinn + einfache Einrichtung
  • Mobiles VPN (iOS, Android) — Akkulaufzeitgewinn + schnelles Wiederverbinden
  • Site-to-Site mit Hochgeschwindigkeitsverbindungen (>100 Mbps) — klarer Durchsatzgewinn
  • Hub-and-Spoke zwischen mehreren Standorten — Konfigurationsgewinn (5 Zeilen vs 30 Zeilen pro Peer)
  • Multi-Country-Roadwarrior — sofortiger Handshake bei Netzwerkwechsel

Wenn Sie heute von Grund auf neu auf einem frischen Contabo-VPS beginnen, muss die Standardwahl WireGuard sein. OpenVPN ist ein Rückfall für exotische Fälle.

OpenVPN → WireGuard-Migration ohne Ausfallzeit

Bereits OpenVPN in der Produktion? Saubere Migration in 4 Schritten:

  1. WireGuard parallel bereitstellen auf demselben VPS, Port 51820, Subnetz 10.66.66.0/24 (unterschiedlich zum Subnetz von OpenVPN).
  2. Iptables-Regeln anpassen: MASQUERADE für beide Subnetze, kein FORWARD dazwischen.
  3. Clients einzeln migrieren, die Konnektivität von jedem testen, bevor das OpenVPN-Zertifikat entfernt wird.
  4. OpenVPN deaktivieren: systemctl stop openvpn-server@server dann disable. Konfiguration 30 Tage aufbewahren, nur für den Fall, dann apt remove openvpn.

Keine Ausfallzeit, kein Client ohne VPN. Für eine Flotte von einigen Dutzend Peers kann eine schrittweise Migration wie diese typischerweise über ein paar Wochen ohne Dienstunterbrechung durchgeführt werden.

Fazit

WireGuard ist die Standardwahl im Jahr 2026 für die große Mehrheit der selbstgehosteten Fälle. Schneller auf schnellen Verbindungen (weniger Durchsatzverlust durch Overhead), einfacher (~5k Zeilen vs ~70k), leichter auf dem Handy-Akku und vollständig auditiert. OpenVPN bleibt relevant für TCP-only, strikte Port 443 oder Legacy-Kompatibilität.

Wenn Sie das vollständige WireGuard-Setup auf einem Contabo-VPS wünschen, führt Sie der Schritt-für-Schritt-Leitfaden vom Contabo-Anmeldeprozess bis zum ersten Ping. Der von uns empfohlene Anbieter ist /go/contabo-vps-2y — VPS S Cloud €4,99/Monat über 24 Monate.

Und für sofort einsatzbereite Konfigurationsvorlagen: WireGuard-Vorlagen 2026.

Nicht sicher, welchen Anbieter Sie für Ihren WireGuard-Server wählen sollen? Der interaktive VPS-Vergleich filtert Contabo, Hetzner und OVH nach Latenz aus Ihrer Region, RAM und 24-Monats-Preis — die genauen Kriterien, die für einen VPN-Exit-Knoten wichtig sind. Sobald Sie einen Anbieter ausgewählt haben, überspringen Sie die manuelle Schlüsselgenerierung: Unser WireGuard-Konfigurationsgenerator gibt eine verifizierte, kopierfertige wg0.conf in weniger als einer Minute aus.

★ Nürnberger DSGVO-Rechenzentrum · ✓ Dedizierte IPv4 inklusive · 200+ Mbps garantiert

Spin up the VPS from this guide → ContaboPublic IPv4 · full root · EU & US locations
Verwandte Artikel

Als nächstes lesen