OpenVPN besteht aus über 400.000 Zeilen Code. WireGuard aus knapp 4.000. Das ist nicht nur eine Statistik – es ist der Kern des Unterschieds zwischen den beiden Protokollen. Linus Torvalds, der Erfinder des Linux-Kernels, bezeichnete WireGuard 2018 als „Kunstwerk" und baute es direkt in den Kernel ein. Warum das für dich als VPN-Nutzer relevant ist, klären wir hier.
WireGuard: Wie das Protokoll funktioniert
WireGuard wurde 2015 von Jason Donenfeld entwickelt und 2019 in den Linux-Kernel aufgenommen. Es basiert auf dem Noise Protocol Framework und nutzt ausschließlich moderne Kryptografie-Primitiven: ChaCha20 für die Verschlüsselung, Poly1305 für die Authentifizierung, Curve25519 für den Schlüsselaustausch. Diese Kombination ist nicht nur sicher, sondern auch erheblich effizienter als die AES-basierte Kryptografie von OpenVPN – besonders auf Geräten ohne dedizierte AES-Hardwarebeschleunigung, also auf den meisten Smartphones.
Technisch funktioniert WireGuard wie ein einfacher Netzwerk-Adapter: Es gibt kein kompliziertes Verbindungs-Handshake, kein Aushandeln von Verschlüsselungsparametern. Die Schlüssel werden vorab konfiguriert. Dadurch ist der Verbindungsaufbau quasi momentan (<100 ms) und das Reconnect nach einem Netzwechsel (WLAN → Mobilnetz) fast unmerklich.
OpenVPN: Warum das alte Protokoll trotzdem nicht stirbt
OpenVPN existiert seit 2001 und hat in 25 Jahren eine Position als De-facto-Standard im VPN-Bereich erreicht. Es läuft auf jedem Betriebssystem, fast jeder Router-Firmware und praktisch jedem VPN-Dienst. Das ist kein kleiner Vorteil – wer einen alten DD-WRT-Router als VPN-Gateway nutzt oder VPN in eine Unternehmensinfrastruktur integrieren will, braucht oft OpenVPN.
Ein echter Stärke-Fall für OpenVPN: Die Verbindung über TCP Port 443. HTTPS läuft ebenfalls über TCP 443 – Deep Packet Inspection kann OpenVPN dort kaum von normalem Webtraffic unterscheiden. In Ländern mit starker Internetzensur (China, Iran, Russland) ist das der Hauptgrund, warum OpenVPN noch immer relevant ist. WireGuard ist dagegen leichter identifizierbar, da es immer UDP nutzt und ein charakteristisches Handshake-Muster hat.
Geschwindigkeit: Die Zahlen
Unabhängige Benchmarks (u.a. von Mullvad, Comparitech, Ars Technica) zeigen konsistente Ergebnisse. Auf einer 1-Gbit/s-Leitung:
| Protokoll | Download (Ø) | CPU-Last (Server) | Verbindungsaufbau | Reconnect |
|---|---|---|---|---|
| WireGuard | ~700–900 Mbit/s | Niedrig | <100 ms | <0,5 Sek. |
| OpenVPN UDP | ~200–400 Mbit/s | Mittel–Hoch | 1–3 Sek. | 2–5 Sek. |
| OpenVPN TCP | ~80–200 Mbit/s | Hoch | 2–5 Sek. | 3–8 Sek. |
Messwerte auf dedizierten Test-Servern; reale Werte auf Consumer-Anschlüssen liegen typisch bei einem Drittel bis der Hälfte davon, der relative Unterschied bleibt aber gleich.
Das WireGuard-Datenschutz-Problem – und wie Anbieter es lösen
WireGuard speichert intern die IP-Adresse jedes verbundenen Peers, bis der Server-Prozess neu gestartet wird. Das ist ein Design-Entscheidung, keine Sicherheitslücke. Aber sie widerspricht dem No-Logs-Versprechen vieler VPN-Anbieter.
Die Lösung der Anbieter: Doppeltes NAT (NordVPN nennt das NordLynx) oder regelmäßige IP-Rotation. NordVPN weist jedem Nutzer eine interne IP zu, sodass die echte IP nicht direkt in WireGuards Peer-Liste steht. Mullvad rotiert die IP-Adressen. Beide Ansätze lösen das Problem in der Praxis.
Wann welches Protokoll?
- Schnelles Surfen, Streaming, mobiles Netz, Gaming: WireGuard – kein Nachdenken nötig
- Länder mit Internetsperrung, Deep Packet Inspection: OpenVPN TCP auf Port 443
- Ältere Router und Embedded-Geräte ohne WireGuard-Support: OpenVPN
- Akkueffizienz auf Mobilgeräten: WireGuard (ChaCha20 ist effizienter als AES ohne Hardwarebeschleunigung)
ProtonVPN Free unterstützt beide Protokolle und wählt standardmäßig WireGuard. Wer aus einem zensierenden Netzwerk verbindet, findet in den App-Einstellungen die Option, manuell auf OpenVPN TCP umzuschalten.