WireGuard vs OpenVPN i 2026: kryptografiske primitiver, kodebasestørrelse og hvornår hver enkelt er det rette standardvalg
WireGuard er nyere, mindre og bruger moderne primitiver. OpenVPN er ældre, større og kører over TCP 443 for at komme igennem restriktive netværk. Begge er åbne standarder. Her er den ærlige ramme for protokolvalg.
Hvad WireGuard og OpenVPN er, kort fortalt
WireGuard er en VPN-protokol designet af Jason A. Donenfeld og integreret i Linux-kernen i 2020. Whitepaperet på wireguard.com/papers/wireguard.pdf specificerer dens kryptografiske primitiver: Curve25519 til nøgleudveksling, ChaCha20 til symmetrisk kryptering, Poly1305 til autentificering, BLAKE2s til hashing, HKDF til nøgleudledning og SipHash24 til hashtabel-nøglen. Linux-kerneimplementeringen omfatter cirka 4.000 kodelinjer. OpenVPN er ældre (udgivet første gang i 2001), GPL-licenseret, kører i brugerrummet (ikke i kernen) og bruger OpenSSL eller mbedTLS til kryptografien. Referencemanualen til OpenVPN 2.6 er offentliggjort på openvpn.net.
Kodebasestørrelse og audit-angrebsflade
WireGuards lille kodebase (~4.000 linjer i Linux-kerneimplementeringen) er et bevidst designvalg — jo mindre kodebase, desto mindre audit-angrebsflade og desto færre steder, hvor fejl kan gemme sig. OpenVPN's kodebase er større (hele projektet inklusive openvpn-binæren, plugins og understøttende biblioteker omfatter væsentligt mere) — afvejningen er over to årtiers CVE-historik, hvilket betyder, at hvert almindeligt hjørnetilfælde er fundet, rettet og nu indgår i testsuiten. Ingen af dem er entydigt sikrere; den mindre kodebase er blevet gennemgået af færre øjne over kortere tid.
Transport: UDP vs TCP
WireGuard bruger udelukkende UDP. OpenVPN understøtter både UDP og TCP. Konsekvensen: netværk, der blokerer UDP — virksomheds-Wi-Fi med restriktive udgangsregler, nogle hotelnetværk, netværk med deep packet inspection, der markerer ikke-HTTPS-UDP — blokerer WireGuard. OpenVPN's TCP-tilstand kører på TCP-port 443, samme port som HTTPS bruger, og er derfor sværere at blokere uden at forstyrre almindelig webtrafik. Hvis du regelmæssigt forbinder fra netværk med restriktive udgangsregler, er OpenVPN-TCP det mere pålidelige valg, selvom det er langsommere. De fleste store VPN-klienter lader dig skifte protokol uden at ændre konto.
Ydelsesforskelle kommer fra kernerummet
WireGuards største ydelsesfordel på Linux er, at den kører i kernerummet — pakker behøver ikke at krydse grænsen mellem brugerrum og kerne ved hver krypterings- eller dekrypteringshandling. OpenVPN kører i brugerrummet, hvilket historisk har været en mærkbar overhead. OpenVPN 2.6 med Data Channel Offload (DCO) flytter det symmetriske chifferarbejde ind i kernen og lukker en stor del af afstanden. Vi offentliggør ingen rå gennemløbstal, fordi de varierer kraftigt med netværksforhold, serverbelastning og tidspunkt på dagen; det offentliggjorte WireGuard-whitepaper dokumenterer protokoldesignet og benchmarker prototypen, men den faktiske gennemløbshastighed for en forbruger-VPN afhænger lige så meget af udbyderens infrastruktur som af protokollen.
Hvilke auditerede VPN'er der implementerer hvilken protokol
Alle fem store auditerede betalings-VPN'er understøtter både WireGuard og OpenVPN: Mullvad leverer sin egen WireGuard-implementering ved siden af OpenVPN (Cure53 auditerede begge serverkonfigurationer i juni 2024). Proton VPN understøtter WireGuard, OpenVPN og en Stealth-protokol (en OpenVPN-over-TLS-variant til restriktive netværk). NordVPN's NordLynx er en tilpasset WireGuard-implementering. ExpressVPN's Lightway er en egen protokol med sin egen audit-historik (Cure53 + Praetorian gennemgik i 2024 omskrivningen af Lightway i Rust). Surfshark understøtter WireGuard og OpenVPN.
Anbefaling
Brug WireGuard som standard, eller udbyderens WireGuard-afledte egne protokol (NordLynx, ExpressVPN's Lightway). Skift til OpenVPN-TCP, når netværket blokerer UDP — virksomheds-Wi-Fi, universitets-Wi-Fi med restriktive udgangsregler, hotelnetværk med DPI. Protokolvalget er sjældent flaskehalsen for en forbruger-VPN's ydelse; udbyderens serverudvalg og aktuelle belastning betyder mere. Specifikt for privatlivet betyder protokollen ingenting — no-logs-egenskaben er uafhængig af protokol og er det, audits findes for at verificere.
Kilder
WireGuard-whitepaper: wireguard.com/papers/wireguard.pdf. OpenVPN 2.6 referencemanual: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Mullvad-infrastruktur-audit (Cure53 juni 2024, dækkede både OpenVPN- og WireGuard-serverkonfigurationer): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. ExpressVPN Lightway-audits: expressvpn.com/blog/lightway-audits-cure53-praetorian. Alle URL'er tilgået 2026-04-30.