Technischer Vergleich
| Kriterium | OpenVPN | WireGuard |
|---|---|---|
| Protokoll | SSL/TLS (TCP+UDP) | UDP only |
| Code-Zeilen | ~100.000 | ~4.000 |
| Kernel-Integration | Nein (Userspace) | Ja (Kernel-Modul) |
| Durchsatz | 100–300 Mbit/s | 1–10 Gbit/s |
| Verbindungsaufbau | 5–15 Sekunden | <0,1 Sekunden |
| CPU-Auslastung | Hoch | Minimal |
| Konfigurationskomplexität | Hoch | Niedrig |
| Mobil-Optimiert | Mittel | Exzellent (Roaming) |
Performance-Test (lokale Messung)
# Testumgebung: 10Gbit-LAN, Ryzen 5 5600G, 1 Hop
# OpenVPN AES-256-GCM
iperf3 -c vpn-server -t 30
# Ergebnis: ~280 Mbit/s, CPU: 45%
# WireGuard ChaCha20-Poly1305
iperf3 -c wg-server -t 30
# Ergebnis: ~4.200 Mbit/s, CPU: 12%
# Fazit: WireGuard ~15x schneller, 4x weniger CPU
Sicherheitsvergleich
OpenVPN:
+ Jahrzehntelang ausgiebig auditiert
+ Unterstützt viele Cipher-Suites
+ Renegotiation-Angriffe bekannt (TLS-Session-Keys)
- Großes Code-Base = größere Angriffsfläche
- RSA-Schlüssel anfällig für Quantum-Computing
WireGuard:
+ Kleines Code-Base (4.000 Zeilen) = weniger Bugs
+ Modernes Crypto: ChaCha20, Curve25519, BLAKE2
+ Forward Secrecy by Design
+ Formal verifizierter Handshake
- Keine Cipher-Auswahl (kann Feature sein!)
- IP-Adressen in Konfig fest, kein User-Mapping
Wann OpenVPN wählen?
✅ OpenVPN wenn:
• Kompatibilität mit alten Routern/Firewalls (TCP:443 möglich)
• Strenge Firewall die UDP:51820 blockt
• Zertifikatsbasierte PKI-Infrastruktur vorhanden
• Client-Software schon ausgerollt (roaming)
• Compliance verlangt bewährte Technologie
❌ OpenVPN wenn:
• Schnelle Übertragung (Backup, große Dateien)
• Viele mobile Clients mit schlechten Verbindungen
• Neue Infrastruktur ohne Legacy-Anforderungen
Wann WireGuard wählen?
✅ WireGuard wenn:
• Neue VPN-Infrastruktur planen
• Maximale Performance (Site-to-Site)
• Mobile Clients (Android/iOS) mit Roaming
• Einfache Wartung und kurze Konfiguration
• Linux-only oder modernes Ökosystem
❌ WireGuard wenn:
• Router/Firewall nur TCP-VPN erlaubt
• Windows-Server-VPN (OpenVPN-Client weit verbreitet)
• Benutzer-basiertes Auth benötigt (WireGuard hat nur Keys)
Hybrid: beide parallel betreiben
Empfehlung für KMU:
1. WireGuard für Site-to-Site-VPN (Büro ↔ Cloud)
2. OpenVPN als Fallback für Reise-Clients hinter strenger Firewall
3. WireGuard für mobile Mitarbeiter-Clients (schneller)
FAQ
Ist WireGuard sicherer als OpenVPN?
Beide sind sicher. WireGuard hat weniger Angriffsfläche (4.000 vs. 100.000 Code-Zeilen) und modernere Kryptografie, ist aber jünger und hat weniger Audit-Geschichte.
Unterstützt WireGuard TCP?
Nein, nur UDP. Für TCP-Tunneling gibt es udp2raw oder AmneziaWG, dann aber mit Performance-Einbußen.
Fazit
Für neue Infrastrukturen: WireGuard. Für Legacy-Kompatibilität oder UDP-blockierte Umgebungen: OpenVPN. Viele KMU betreiben beide parallel.
VPN-Beratung für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. VPN anfragen.