WireGuard vs. OpenVPN i 2026: Kryptografiske primitiver, kodebasestørrelse og når hver er det riktige standardvalget
WireGuard er nyere, mindre og bruker moderne primitiver. OpenVPN er eldre, større og kjører over TCP 443 for å passere restriktive nettverk. Begge er åpne standarder. Her er det ærlige rammeverket for protokollvalg.
Hva WireGuard og OpenVPN er, kort fortalt
WireGuard er en VPN-protokoll designet av Jason A. Donenfeld og slått sammen med Linux-kjernen i 2020. Whitepaperet på wireguard.com/papers/wireguard.pdf spesifiserer dens kryptografiske primitiver: Curve25519 for nøkkelutveksling, ChaCha20 for symmetrisk kryptering, Poly1305 for autentisering, BLAKE2s for hashing, HKDF for nøkkelavledning og SipHash24 for hashtabell-nøkkel. Linux-kjerneimplementeringen omfatter omtrent 4 000 kodelinjer. OpenVPN er eldre (først utgitt i 2001), GPL-lisensiert, kjører i brukerrom (ikke i kjernen) og bruker OpenSSL eller mbedTLS for kryptografi. Referansehåndboken for OpenVPN 2.6 er publisert på openvpn.net.
Kodebasestørrelse og revisjonsangrepsflate
WireGuards lille kodebase (~4 000 linjer i Linux-kjerneimplementeringen) er et bevisst designvalg — jo mindre kodebasen er, desto mindre er revisjonsangrepsflaten og desto færre steder kan feil gjemme seg. OpenVPNs kodebase er større (hele prosjektet inkludert openvpn-binæren, plugins og støttebiblioteker omfatter langt mer) — avveiingen er over to tiår med CVE-historikk, noe som betyr at hvert vanlig spesialtilfelle er funnet, lappet og nå er del av testsuiten. Ingen av dem er entydig sikrere; den mindre kodebasen har blitt gjennomgått av færre øyne over kortere tid.
Transport: UDP vs. TCP
WireGuard bruker kun UDP. OpenVPN støtter både UDP og TCP. Implikasjonen: nettverk som blokkerer UDP — bedrifts-Wi-Fi med restriktive utgangsregler, noen hotellnettverk, nettverk med dyp pakkeinspeksjon som flagger ikke-HTTPS-UDP — vil blokkere WireGuard. OpenVPNs TCP-modus kjører på TCP-port 443, samme port som HTTPS bruker, og er derfor vanskeligere å blokkere uten å ødelegge vanlig nettrafikk. Hvis du regelmessig kobler til fra nettverk med restriktive utgangsregler, er OpenVPN-TCP det mer pålitelige valget selv om det er tregere. De fleste store VPN-klienter lar deg bytte protokoll uten å bytte konto.
Ytelsesforskjeller kommer fra kjernerom
WireGuards største ytelsesfordel på Linux er at den kjører i kjernerom — pakker trenger ikke krysse bruker-/kjernegrensen ved hver krypterings- eller dekrypteringsoperasjon. OpenVPN kjører i brukerrom, noe som historisk har vært en merkbar overhead. OpenVPN 2.6 med Data Channel Offload (DCO) flytter det symmetriske krypteringsarbeidet inn i kjernen og lukker mye av gapet. Vi publiserer ikke rå gjennomstrømningstall fordi de varierer kraftig med nettverksforhold, serverbelastning og tid på døgnet; det publiserte WireGuard-whitepaperet dokumenterer protokolldesignet og benchmarker prototypen, men den faktiske gjennomstrømningen for en forbruker-VPN avhenger like mye av leverandørens infrastruktur som av protokollen.
Hvilke reviderte VPN-er implementerer hvilken protokoll
Alle de fem store reviderte betalte VPN-ene støtter både WireGuard og OpenVPN: Mullvad leverer sin egen WireGuard-implementering ved siden av OpenVPN (Cure53 reviderte begge serverkonfigurasjonene i juni 2024). Proton VPN støtter WireGuard, OpenVPN og en Stealth-protokoll (en OpenVPN-over-TLS-variant for restriktive nettverk). NordVPNs NordLynx er en tilpasset WireGuard-implementering. ExpressVPNs Lightway er en egen protokoll med sin egen revisjonshistorikk (Cure53 + Praetorian gjennomgikk i 2024 Rust-omskrivingen av Lightway). Surfshark støtter WireGuard og OpenVPN.
Anbefaling
Bruk WireGuard som standard, eller leverandørens WireGuard-avledede tilpassede protokoll (NordLynx, ExpressVPNs Lightway). Bytt til OpenVPN-TCP når nettverket blokkerer UDP — bedrifts-Wi-Fi, universitets-Wi-Fi med restriktive utgangsregler, hotellnettverk med DPI. Protokollvalget er sjelden flaskehalsen for ytelsen til en forbruker-VPN; leverandørens serverutvalg og nåværende belastning betyr mer. Spesielt for personvern spiller protokollen ingen rolle — den logfrie egenskapen er uavhengig av protokollen og er det revisjoner finnes for å bekrefte.
Kilder
WireGuard-whitepaper: wireguard.com/papers/wireguard.pdf. OpenVPN 2.6 referansehåndbok: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Mullvad infrastrukturrevisjon (Cure53 juni 2024, dekket både OpenVPN- og WireGuard-serverkonfigurasjoner): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. ExpressVPN Lightway-revisjoner: expressvpn.com/blog/lightway-audits-cure53-praetorian. Alle URL-er hentet 2026-04-30.