OpenVPN vs WireGuard: Vergleich für Unternehmen
Timo Wevelsiep•Aktualisiert: 30.06.2026Hinweis zum Inhalt: Versionen, Befehle und Preise können sich ändern. Bitte prüfen Sie kritische Schritte vor dem produktiven Einsatz eigenständig. Dieser Leitfaden ersetzt keine individuelle Beratung.
VPN-Schicht für verteilte Standorte planen? WZ-IT baut souveräne Fernwartungs-Plattformen mit WireGuard-Backend und Mesh-Overlay. Zur Remote-Management-Plattform
OpenVPN und WireGuard lösen dieselbe Aufgabe - verschlüsselte Tunnel zwischen Standorten und Clients - mit gegensätzlicher Philosophie. WireGuard ist schlank (rund 4.000 Zeilen Code), nutzt fest verdrahtete moderne Kryptografie, läuft seit Linux-Kernel 5.6 im Kernel-Space und ist in den meisten Messungen schneller. OpenVPN ist die ausgereifte, hochflexible TLS/SSL-Lösung mit konfigurierbaren Ciphern, UDP- oder TCP-Transport und reichem Funktionsumfang. Kurz: WireGuard für neue, performante Standortverbünde; OpenVPN, wenn Sie maximale Flexibilität, TCP/443-Tarnung oder breite Legacy-Kompatibilität brauchen.
Inhaltsverzeichnis
- OpenVPN vs WireGuard im Vergleich
- Protokoll und Architektur
- Performance und Durchsatz
- Codebasis und Auditierbarkeit
- Konfiguration und Feature-Umfang
- Roaming und NAT
- Sicherheit
- Wann OpenVPN, wann WireGuard?
- WireGuard plus Mesh: NetBird als moderne Aufsatz-Schicht
- Unser Vorgehen bei WZ-IT
- Weiterführende Guides
OpenVPN vs WireGuard im Vergleich
| Kriterium | WireGuard | OpenVPN |
|---|---|---|
| Protokoll | Noise_IK (feste Kryptografie) | TLS/SSL über OpenSSL/mbedTLS |
| Kryptografie | Curve25519, ChaCha20-Poly1305, BLAKE2s | konfigurierbar (AES-128/256, ChaCha20-Poly1305) |
| Codebasis | ca. 4.000 Zeilen | > 70.000 Zeilen + Krypto-Bibliothek |
| Transport | nur UDP (Standard 51820) | UDP oder TCP (oft 1194 oder 443) |
| Ausführung | Kernel-Space (Mainline seit 5.6) | User-Space, Kernel-Offload mit DCO ab 2.6 |
| Performance | sehr hoch, Handshake < 100 ms | hoch (mit DCO), TLS-Handshake mehrere Sekunden |
| Konfiguration | minimal, deklarativ | umfangreich (PKI, Cipher, Push-Optionen) |
| Authentifizierung | Schlüsselpaare | Zertifikate, Benutzer/Passwort, RADIUS, LDAP |
| Roaming/NAT | nativ (Endpoint-Update, Keepalive) | mit --float, weniger nahtlos |
| Tarnung/DPI | keine (UDP-only) | TCP/443 umgeht restriktive Firewalls |
| Layer-2-Bridging | nein | ja (TAP-Modus) |
Die Tabelle zeigt das Grundmuster: WireGuard gewinnt bei Schlankheit, Geschwindigkeit und Auditierbarkeit, OpenVPN bei Flexibilität und Kompatibilität.
Protokoll und Architektur
WireGuard basiert auf dem Noise-Protokoll-Framework und nutzt den Noise_IK-Handshake mit einem festen Satz moderner Primitive: Curve25519 für den Schlüsselaustausch, ChaCha20 mit Poly1305 für die authentifizierte Verschlüsselung (AEAD), BLAKE2s zum Hashing und HKDF zur Schlüsselableitung (wireguard.com/protocol). Es gibt keine Cipher-Aushandlung und keine Optionen - genau das macht das Protokoll vorhersehbar und klein.
OpenVPN setzt auf den bewährten TLS/SSL-Stack über OpenSSL (oder mbedTLS). Schlüsselaustausch und Authentifizierung laufen über eine eigene PKI mit Zertifikaten, der Datenkanal verschlüsselt mit konfigurierbaren Ciphern. Diese Architektur ist seit über 20 Jahren im Einsatz, extrem flexibel und in nahezu jedem Betriebssystem und jeder Appliance verfügbar.
Performance und Durchsatz
WireGuard erreicht in der Praxis spürbar mehr Durchsatz, weil es im Kernel-Space arbeitet und schlanke Krypto-Primitive nutzt. Unabhängige Vergleiche nennen 20 bis 40 Prozent höheren Durchsatz und einen Verbindungsaufbau in unter 100 Millisekunden, während OpenVPNs TLS-Handshake klassisch mehrere Sekunden braucht.
OpenVPN war lange im Nachteil, weil jedes Paket zwischen User-Space und Kernel wechseln musste. Data Channel Offload (DCO) ab OpenVPN 2.6 verlagert die Datenverschlüsselung in ein Kernelmodul und reduziert diese Kontextwechsel drastisch (blog.openvpn.net). Das DCO-Modul wurde im April 2025 in die Linux-Mainline (Kernel 6.16) aufgenommen; Benchmarks zeigen je nach Hardware den Sprung von rund 1 auf bis zu 10 Gbit/s pro Tunnel. Auf modernen Systemen ist der Performance-Abstand damit deutlich kleiner als früher - WireGuard bleibt aber das schlankere Design.
Codebasis und Auditierbarkeit
Der wohl größte konzeptionelle Unterschied: WireGuard besteht aus rund 4.000 Zeilen Code und lässt sich von einem Prüfer in Stunden statt Wochen durchsehen (wireguard.com). OpenVPN umfasst über 70.000 Zeilen und ist zusätzlich auf eine große Krypto-Bibliothek (OpenSSL, hunderttausende Zeilen) angewiesen. Zum Vergleich: IPsec-Stacks liegen oft bei mehreren hunderttausend Zeilen.
Eine kleine Codebasis ist kein Selbstzweck. Sie verkleinert die Angriffsfläche, erleichtert formale Audits und reduziert die Wahrscheinlichkeit subtiler Implementierungsfehler. Für regulierte Betreiber, die Nachvollziehbarkeit und Auditierbarkeit nachweisen müssen, ist das ein realer Vorteil. Mehr zur Datenebene auf unserer WireGuard-Expertise.
Konfiguration und Feature-Umfang
Hier kehrt sich der Vorteil um. WireGuard ist bewusst minimal: Pro Peer ein Schlüsselpaar, eine Liste von AllowedIPs (Cryptokey Routing) und ein Endpoint - mehr braucht ein Tunnel nicht. Was WireGuard nicht mitbringt: dynamische IP-Vergabe, DNS-Push vom Server, Benutzer-Login oder zentrale Richtlinien. Das ist Absicht und wird durch eine Steuerungsebene ergänzt (siehe unten).
OpenVPN ist ein Feature-Schwergewicht: dynamische Adresszuweisung, Routen- und DNS-Push an Clients, Benutzer-Passwort-Login, RADIUS- und LDAP-Anbindung über Plugins, Zertifikatswiderruf (CRL), Layer-2-Bridging im TAP-Modus und TCP-Transport über Port 443, um restriktive Firewalls und Deep Packet Inspection zu umgehen. Diese Flexibilität hat ihren Preis in Komplexität: Eine OpenVPN-Konfiguration mit PKI, Ciphern und Push-Optionen ist deutlich umfangreicher als eine WireGuard-[Interface]/[Peer]-Datei.
Roaming und NAT
WireGuard lernt den Endpunkt der Gegenstelle aus eingehenden Paketen (Endpoint-Roaming) und hält die NAT-Zuordnung mit PersistentKeepalive offen. Wechselt ein mobiler Client das Netz oder bekommt der Standort eine neue IP, läuft der Tunnel ohne Neuaufbau weiter - ideal für Standortanbindung hinter NAT ohne offenen Inbound-Port.
OpenVPN unterstützt mit --float ebenfalls wechselnde Client-Adressen, baut bei IP-Wechseln aber tendenziell neu auf, was sich für mobile Nutzer weniger nahtlos anfühlt. Für stationäre Site-to-Site-Tunnel spielt das kaum eine Rolle.
Sicherheit
Beide Protokolle gelten bei sauberer Konfiguration als sicher. WireGuards Stärke ist die feste, moderne Kryptografie ohne Aushandlung: Es gibt keine schwachen Cipher-Suiten, keine Downgrade-Angriffe und keine Optionen, die man falsch setzen kann. Die kleine Codebasis hält die Angriffsfläche niedrig. Ein Hinweis zum Datenschutz: WireGuard speichert ohne Zusatzschicht statische Tunnel-IPs pro Peer; in Mesh-Overlays wird das durch dynamische Zuteilung gelöst.
OpenVPN ist über zwei Jahrzehnte gehärtet und durch die TLS-Reife extrem robust. Die größere Konfigurierbarkeit bedeutet aber auch mehr Möglichkeiten für Fehlkonfiguration (veraltete Cipher, schwache TLS-Einstellungen). Aktuelle Versionen wie OpenVPN 2.6.20 (April 2026) beheben Sicherheitslücken laufend (github.com/OpenVPN) - patchen Sie zeitnah. Für regulierte Fernzugriffe ist die Netzsegmentierung pro Standort entscheidend; mehr dazu im Beitrag NIS2-konformer Fernzugriff. Dieser Beitrag ist allgemeine Information und keine Rechtsberatung.
Wann OpenVPN, wann WireGuard?
WireGuard, wenn: Sie neue Standortverbünde oder Mesh-Netze aufbauen, hohen Durchsatz und niedrige Latenz brauchen, mobile Clients nahtlos roamen sollen, Anlagen outbound-only hinter NAT anzubinden sind oder eine kleine, auditierbare Codebasis gefordert ist. Das trifft auf die meisten modernen IoT- und Fernwartungs-Szenarien zu.
OpenVPN, wenn: Sie restriktive Netze über TCP/443 tarnen müssen, Layer-2-Bridging (TAP) brauchen, komplexe Benutzerauthentifizierung über RADIUS oder LDAP zentral abbilden, eine bestehende OpenVPN-Landschaft betreiben oder sehr breite Client-Kompatibilität bis hin zu älteren Systemen benötigen.
In gemischten Umgebungen ist auch ein Nebeneinander sinnvoll: WireGuard als schneller Standard, OpenVPN als Fallback für Netze, in denen UDP blockiert ist.
WireGuard plus Mesh: NetBird als moderne Aufsatz-Schicht
WireGuard ist eine reine Datenebene - schnell, aber ohne Steuerungslogik. Genau die Features, die OpenVPN attraktiv machen (zentrale Verwaltung, Benutzer-Login, Richtlinien), liefert ein Mesh-Overlay als Aufsatz-Schicht auf WireGuard. NetBird ist hier die moderne Antwort: vollständig self-hostbar, mit Control Plane, SSO-Anbindung (z. B. Keycloak oder Authentik), regelbasierten Zugriffsrichtlinien (Zero-Trust), automatischer Schlüsselverteilung und NAT-Traversal. So kombinieren Sie WireGuards Geschwindigkeit mit dem Komfort und der Zentralverwaltung, die man sonst von OpenVPN kennt. Was NetBird genau leistet, erklärt der Beitrag Was ist NetBird?.
Damit verschiebt sich die Frage in der Praxis oft von "OpenVPN oder WireGuard?" hin zu "WireGuard pur oder WireGuard mit Mesh-Control-Plane?".
Unser Vorgehen bei WZ-IT
Wir bauen die VPN-Schicht als Fundament souveräner Fernwartungs-Plattformen. In neuen Projekten setzen wir auf WireGuard als Datenebene und ein self-hostbares Mesh-Overlay für Verwaltung, SSO und Audit; OpenVPN bleibt die Option, wo TCP-Tarnung oder Legacy-Anforderungen es verlangen. Wie das produktiv aussieht, zeigt die Case Study ABCO Water Systems mit verteilten Industrieanlagen in Australien. Konzeption, Aufbau und Betrieb übernehmen wir auf Wunsch komplett - im Rahmen unserer Remote-Management-Plattformen.
Weiterführende Guides
- WireGuard-Expertise - Datenebene und Betrieb
- NetBird - Mesh-Overlay als Aufsatz-Schicht
- WireGuard zur Standortanbindung
- Was ist NetBird?
Welches VPN passt zu Ihren Standorten? Lernen Sie uns kennen oder sehen Sie sich unsere Remote-Management-Plattformen an.
Sie möchten Remote Access & Fernwartung nicht selbst betreiben? WZ-IT übernimmt Einrichtung, Betrieb und Wartung – DSGVO-konform aus Deutschland.
Häufig gestellte Fragen
Antworten auf die wichtigsten Fragen
OpenVPN ist eine flexible TLS/SSL-VPN-Lösung mit konfigurierbaren Ciphern, UDP- oder TCP-Transport und großem Funktionsumfang. WireGuard ist ein schlankes Protokoll mit rund 4.000 Zeilen Code, fest verdrahteter moderner Kryptografie und Lauf im Linux-Kernel. OpenVPN setzt auf Flexibilität, WireGuard auf Einfachheit und Geschwindigkeit.
In den meisten Benchmarks erreicht WireGuard 20 bis 40 Prozent mehr Durchsatz und baut Verbindungen in unter 100 Millisekunden auf, während OpenVPNs TLS-Handshake mehrere Sekunden braucht. OpenVPN 2.6 mit Data Channel Offload (DCO) verschiebt die Verschlüsselung in den Kernel und schließt die Lücke auf schnellen Leitungen deutlich.
OpenVPN ist die bessere Wahl in restriktiven Netzen, die TCP über Port 443 zum Tarnen brauchen, bei Layer-2-Bridging (TAP), komplexer Benutzerauthentifizierung über RADIUS oder LDAP und in bestehenden OpenVPN-Landschaften mit breiter Client-Unterstützung auf älteren Systemen.
WireGuard verkleinert die Angriffsfläche durch feste Kryptografie ohne Cipher-Aushandlung und rund 4.000 Zeilen auditierbaren Code, was Downgrade-Fehlkonfigurationen ausschließt. OpenVPN ist über Jahre gehärtet und gilt als sicher, hat aber durch OpenSSL und Konfigurierbarkeit eine größere Codebasis und Angriffsfläche. Beide sind sicher, wenn sie sauber konfiguriert sind.
WireGuard ist seit Linux-Kernel 5.6 (März 2020) fester Bestandteil des Mainline-Kernels. Dadurch läuft es ohne Zusatzmodule und mit hoher Performance direkt im Kernel-Space.
Data Channel Offload (DCO) ist ein Kernelmodul ab OpenVPN 2.6, das die Datenverschlüsselung im Kernel statt im User-Space erledigt und so Kontextwechsel vermeidet. Das DCO-Kernelmodul wurde im April 2025 in die Linux-Mainline (6.16) aufgenommen und steigert den Durchsatz pro Tunnel deutlich.
Für neue, performante Standortverbünde hinter NAT ist WireGuard meist die richtige Wahl: outbound-only, kein offener Inbound-Port, native Roaming-Unterstützung. In großen Netzen ergänzt ein Mesh-Overlay wie NetBird die Steuerungsebene und liefert SSO, Zugriffsregeln und Schlüsselverteilung.
Mehr zu Remote Access & Fernwartung
- Was ist Apache Guacamole?
- VNC im Browser: HMI-Fernzugriff
- Fernwartung ohne VPN-Client
- Self-hosted TeamViewer-Alternative (RustDesk)
- NIS2-konformer Fernzugriff
- RBAC & Audit für Fernzugriff
- Was ist ZTNA? (Zero Trust Network Access)
- IEC 62443 für den Fernzugriff auf OT
- SSO & MFA für das Fernzugriffs-Portal
- Privileged Access Management & Session-Recording
- Fernwartung & DSGVO (Auftragsverarbeitung, AV-Vertrag)
- WireGuard zur Standortanbindung
- Was ist NetBird? (Zero-Trust Mesh-VPN)
- Was ist Headscale?
- Interne Dienste ohne VPN veröffentlichen
- Multi-Tenant-Betreiberportal für Anlagen
- OT/IT-Segmentierung, DMZ & Purdue-Modell
- SSH-Bastion / Jump-Host
- Siemens-S7-/SPS-Fernzugriff ohne offene Ports
- NetBird vs Tailscale vs WireGuard
- OpenVPN vs WireGuard
- Sichere Fernwartung von Maschinen & Anlagen
