WireGuard vs OpenVPN

OpenVPN lanserades 2001 och ses traditionellt sett som en standard för branschen. Det nya VPN-protokollet WireGuard har dock stigit i popularitet sedan det släpptes 2015 och hotar nu att knuffa ned OpenVPN från tronen.

I den här ingående guiden jämför vi OpenVPN och WireGuard för att ta reda på vilket VPN-protokoll du bör använda.

Våra omfattande labbtester avslöjar vilket av protokollen som är bäst inom sju utvalda områden, som säkerhet, hastighet, integritet och användarvänlighet m.m.

Vi berättar även om hur dessa protokoll kom till, ger bakgrundsinformation om vilka som står bakom dem och förklarar skillnaderna på hur de fungerar.

Sammanfattning: WireGuard vs OpenVPN

Här är en snabb sammanfattning av hur OpenVPN och WireGuard presterar i varje nyckelkategori:

Kategori	Vinnare
Hastighet	WireGuard WireGuard är två gånger så snabbt som OpenVPN om det används korrekt.
Säkerhet och kryptering	Oavgjort Inget av protokollen har några kända sårbarheter.
Sekretess och loggning	OpenVPN Det är lätt att konfigurera OpenVPN så att det blir loggningsfritt, medan VPN-tjänster med WireGuard måste vidta särskilda åtgärder för att skydda användarnas integritet.
Dataförbrukning	WireGuard OpenVPN ökar förbrukningen med 20 %, medan WireGuard bara använder 4 % mer data (jämfört med om ingen VPN används).
Mobilanvändning	WireGuard WireGuard erbjuder mer pålitlig anslutning för mobilanvändare än OpenVPN eftersom det hanterar nätverksförändringar bättre.
Kringgående av censur	OpenVPN OpenVPN är bättre på att kringgå censur (t.ex. kinesiska brandväggen) eftersom det kan använda TCP-port 443.
VPN- och enhetskompatibilitet	OpenVPN OpenVPN stöds för närvarande av många fler VPN-tjänster och enheter än WireGuard.

Vi anslöt till NordVPN-servrar världen över med antingen OpenVPN eller WireGuard och registrerade vår anslutningshastighet:

 

Våra test visade att WireGuard genomgående var över 75 % snabbare än OpenVPN, oavsett var i världen vi anslöt till, och på alla enheter.

På anslutningar med kortare avstånd märktes skillnaden ännu mer – WireGuard var nästan tre gånger så snabbt som OpenVPN.

Våra testresultat stämmer även överens med tester som gjorts av NordVPN och WireGuard.

WireGuard etablerar även en anslutning mycket snabbare än OpenVPN. Detta är viktigt eftersom VPN-tjänsten behöver återanslutas snabbt om anslutningen förloras eller om VPN-tunneln avbryts av någon anledning.

En studie av Ars Technica upptäckte att en OpenVPN-anslutning kan ta hela 8 sekunder att upprätta, medan WireGuard-anslutningar tar cirka 100 millisekunder.

Sammantaget är OpenVPN betydligt långsammare än WireGuard på anslutningar med hög hastighet. Om du däremot använder en VPN med en anslutning på 100 Mbit/s eller mindre blir hastighetsförlusten inte lika tydlig.

	OpenVPN	WireGuard
Krypteringskoder och autentiseringsprotokoll	AES, Blowfish, Camellia, ChaCha20, Poly1305 m.fl.	ChaCha20, Poly1035
Perfekt framåtsekretess	Stöds	Stöds
Kända sårbarheter	Inga	Inga

OpenVPN möjliggör användning av en rad olika krypteringskoder och autentiseringsalgoritmer, medan WireGuard endast har ett fast utbud för varje lansering.

Detta innebär att OpenVPN snabbt kan konfigureras till att använda något annat om en säkerhetssårbarhet upptäcks i en algoritm, medan WireGuard kräver en programvaruuppdatering på alla enheter. Det är omständligt, men säkerställer att inga enheter använder osäker kod.

Det finns för närvarande inga kända säkerhetsrisker på varken WireGuard eller OpenVPN.

OpenVPN använder OpenSSL-biblioteket för kryptering, som först släpptes 1998 och har testats ingående under en lång tid. Biblioteket har stöd för flera olika krypteringskoder, bl.a. AES, Blowfish och ChaCha20.

WireGuard som grundades 2015 erbjuder inga valmöjligheter när det gäller kryptering. Du är i stället tvungen att använda ChaCha20 för kryptering och Poly1305 för autentisering.

Därmed använder WireGuard mycket mindre kod än OpenVPN: cirka 4 000 rader kod jämfört med 70 000 (minst).

Det minskade fotavtrycket gör det lättare för säkerhetsforskare att granska och verifiera WireGuards kod än OpenVPN:s. Det gör även WireGuards möjliga attackyta betydligt mindre än OpenVPN:s.

Dessutom minskar WireGuards kortare kod risken för buggar avsevärt.

Är nya krypteringsalgoritmer säkra?

Säkerhetsforskare föredrar krypteringsteknik som varit med ett tag. Detta beror på att nyare algoritmer ibland har sårbarheter som helt enkelt inte upptäckts ännu. Då är det ofta säkrare att välja ett mer beprövat alternativ.

I detta fall är OpenVPN det överlägset mest beprövade alternativet. Det lanserades decennier före WireGuard, och AES-koden det använder är nästan 10 år äldre än ChaCha20- och Poly1035-algoritmerna som WireGuard använder.

I praktiken verkar dock WireGuard relativt låga ålder inte vara en stor säkerhetsrisk. Det finns tre huvudsakliga anledningar till detta:

1. WireGuards minimala kodbas innebär att det kan granskas väldigt snabbt. Detta lindrar mycket av oron kring protokollets brist på ingående testning, eftersom experter kan granska det mycket snabbare än OpenVPN:s öppna kod.
2. ChaCha20 är väldigt säkert. Numret 20 i ChaCha20 betyder att det finns 20 krypteringsrundor som skyddar datan. År 2008 knäcktes ChaCha7 (med sju rundor), men ChaCha8 har än idag inte knäckts. Därför kan du känna dig trygg med att ChaCha20 erbjuder hög säkerhet.
3. Rekommenderas av Linux och Google. Linus Torvalds som grundade Linux säger: ”Jag måste bara säga hur mycket jag älskar [WireGuard]… Koden kanske inte är perfekt, men jag har skimmat den och jämfört med hemska OpenVPN och IPSec är detta ett mästerverk.” WireGuard har sedan dess ingått i Linux-kärnan, vilket tyder på stort tillit till dess säkerhet. Google bytte även till ChaCha20 och Poly1305 när det gäller kryptering av trafik på Android-enheter år 2014.

Protokoll	Loggning	Åtgärd
OpenVPN	Standardinställningen lagrar verkliga IP-adresser	Serverkonfigurering, disklösa servrar
WireGuard	IP-adressen lagras på servern tills den startas om	Dubbel NAT, disklösa servrar

Att en VPN-tjänst inte lagrar någon identifierbar information om dig är ett måste. Detsamma gäller VPN-protokollet som används.

När du konfigurerar OpenVPN-servrar måste en VPN-tjänst välja serverns loggningsnivå (även kallat filutförlighet). Det börjar på nivå 0, som loggar väldigt lite information, och går upp till 9, där mycket känslig information samlas in.

Vår forskning visade att OpenVPN:s standardkonfiguration har utförlighet på nivå 3, vilket loggar verkliga IP-adresser och användarnamn.

Det är dock extremt enkelt för VPN-tjänster att konfigurera servern till att sänka loggningsnivån till 0 och undvika loggning av verkliga IP-adresser. Detta kan också göras genom att konfigurera servern att regelbundet rensa all information.

Tänk dock på att det är svårt att veta om detta gjorts utan en granskning av tredje part.

WireGuard kräver att godkända IP-adresser lagras på servern tills den startas om.

Detta är oroväckande ur ett integritetsperspektiv, eftersom IP-adressen kan användas för att koppla dig till din aktivitet om servern utsätts för intrång, och därmed motverkar själva poängen med att använda en VPN.

Var medveten om att din IP-adress sannolikt loggas minst lika länge som din session pågår om du använder standardutförandet av WireGuard.

Som tur är har de flesta kommersiella VPN-tjänster med stöd för WireGuard har lösningar på plats som minskar sekretessriskerna. Här är några exempel:

• NordVPN: NordVPN har kombinerat WireGuard med sin egenutvecklade Double Network Address Translation-teknik (NAT) för att skapa NordLynx. I stället för att lagra din statiska IP-adress tills servern startar om tilldelar NordLynx en unik dynamisk IP-adress till varje VPN-tunnel, så att varje session får en egen IP-adress som bara varar så länge sessionen pågår.
• Mullvad: För att maximera sekretess när WireGuard används raderar Mullvad din IP-adress från sina servrar efter 10 minuters inaktivitet. Som ett extra steg rekommenderar Mullvad också att använda funktionen Multihop för att leda din trafik genom två eller fler servrar när du använder WireGuard.
• IVPN: IVPN raderar din IP-adress efter tre minuters inaktivitet. Det genererar även en ny, slumpmässig IP-adress dagligen för att undvika problemen med att använda en statisk IP-adress.

Dessa åtgärder räcker för de flesta användare. Om du däremot befinner dig i ett land med hård censur eller ett land där myndigheterna försöker åtala VPN-användare är risken troligtvis inte värd att ta.

Vi rekommenderar även att fråga din VPN-leverantör vilka begränsningar de har infört för WireGuard-användare om du är orolig för din sekretess.

Att använda en VPN ökar alltid mängden data du förbrukar. Detta beror på att tunnelprocessen kräver att ytterligare information skickas över internet, vilket ökar dataåtgången.

Dataförbrukningen kan påverka hastigheten på din VPN. Om du har kontantkort kan du göra av med mer pengar eller nå din gräns snabbare.

Vilket VPN-protokoll du använder påverkar dataförbrukningen. Vår undersökning visar att WireGuard förbrukar betydligt mindre data än OpenVPN:

WireGuard ökar bara dataförbrukningen med 4,53 %, medan OpenVPN UDP har en högre ökning på 17,23 %. OpenVPN TCP ökar förbrukningen ännu mer, hela 19,96 %.

WireGuard har faktiskt den lägsta dataåtgången av alla VPN-protokoll vi testat, inklusive IKEv2 och PPTP. OpenVPN har däremot den högsta.

För att testa vardera protokolls dataförbrukning använde vi Linux-apparna WireGuard och OpenVPN och räknade ut hur mycket extra data de lade till på vår anslutning jämfört med om vi inte använde en VPN-tjänst.

För varje test kopierades en testfil på 209 MB mellan två virtuella servrar. Vi utförde testet tre gånger och räknade ut den genomsnittliga dataökningen.

Dagens enheter flyttar sig ofta mellan mobila och wifinätverk. Ett bra VPN-protokoll måste kunna växla snabbt och effektivt.

WireGuard är betydligt bättre på att växla än OpenVPN. Det hanterar nätverksförändringar sömlöst, medan OpenVPN historiskt sett stött på problem när användare regelbundet byter mellan nätverk.

Många VPN-tjänster har faktiskt valt att använda ett annat protokoll, IKEv2, för mobila enheter.

IKEv2 är ett hyfsat bra VPN-protokoll, men det har stängd källkod och vissa är oroliga för intrång från NSA. WireGuard å andra sidan inför en ny lösning med öppen källkod som åtgärdar problemen med att använda VPN-protokoll på mobilen.

Om du använder en VPN i farten rekommenderar vi starkt att du använder WireGuard i stället för OpenVPN.

OpenVPN och WireGuard är två väldigt tillförlitliga VPN-protokoll som levererar stabil internetanslutning under de flesta omständigheter.

Det är dock bara OpenVPN som ger dig möjlighet att använda kommunikationsprotokollet TCP. Detta är bra för den som vill kringgå stränga internetbegränsningar, eftersom TCP-anslutningar kan använda port 443 – samma port som vanlig HTTPS-trafik använder.

Det är högst osannolikt att censursystem i länder som Kina, Ryssland och Turkiet skulle blockera port 443, eftersom detta skulle förhindra vanlig trafik som internetbanksanvändning och shopping.

Kort sagt är OpenVPN mer effektivt när det gäller att kringgå censur än WireGuard, eftersom WireGuard inte har nativt stöd för TCP.

Vi rekommenderar vanligtvis att använda UDP när det är möjligt eftersom det är snabbare, mer effektivt och lika stabilt vid användning av en VPN-tunnel. Ett TCP-protokoll är dock att föredra för att kringgå brandväggar och överlista censur.

Detta märks tydligt på vilket alternativ VPN-tjänster väljer som standard om du försöker ansluta i Kina.

Vi upptäckte att VPN-tjänster som erbjuder både WireGuard och OpenVPN i nästan varje fall väljer OpenVPN-protokollet som standard om man försöker ansluta från Kina.

Vi testade även ett par VPN-tjänster som vi vet fungerar bra i Kina för att se om OpenVPN eller WireGuard var bättre på att kringgå den kinesiska brandväggen:

• Astrill VPN kringgick censuren med både OpenVPN och WireGuard.
• Private Internet Access (PIA) kunde bara ansluta med OpenVPN, och misslyckades med WireGuard.

Nästan alla kommersiella VPN-tjänster har inbyggt stöd för OpenVPN, medan WireGuard inte alls är lika lättillgängligt.

WireGuard är dock på god väg att komma ikapp. Trots att det lanserades så sent som 2019 har protokollet redan införts i många ledande VPN-tjänster, ofta både på dator och mobil.

Här är en sammanfattning över vilka protokoll som stöds på 10 av de mest populära VPN-tjänsterna:

VPN-protokoll	ExpressVPN	NordVPN	CyberGhost	IPVanish	Surfshark	PrivateVPN	PIA	Windscribe	Proton VPN	Astrill
OpenVPN	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
WireGuard	✗	✓	✓	✓	✓	✗	✓	✓	✓	✓

Traditionellt sett använder de flesta VPN-tjänster OpenVPN som standardprotokoll, särskilt på stationära datorer. Nu ser vi dock ett stigande antal leverantörer anförtro sig till WireGuard istället.

CyberGhost använder t.ex. numera WireGuard som standard på Android och iOS, och NordVPN använder sin NordLynx-version av WireGuard som standard i de flesta av sina appar.

OpenVPN och WireGuard är två typer av VPN-protokoll. Ett VPN-protokoll är en teknik som används för att skapa en säker tunnel mellan din enhet och en VPN-server. Med andra ord är ett VPN-protokoll en viktig byggsten i hur en VPN fungerar.

Du kan använda både OpenVPN och WireGuard på egen hand för att skapa din egen VPN-anslutning. De används dock oftast som del av personliga VPN-tjänster.

Här är en sammanfattning av protokollens huvudegenskaper:

	OpenVPN	WireGuard
Lansering	2001	2015
Öppen källkod	Ja	Ja
Kodlängd	Över 70 000 rader	Cirka 4 000 rader
Hastighet	Måttlig	Väldigt snabbt
Dataförbrukning	Hög	Väldigt låg
Säkerhet och kryptering	Väldigt stark	Väldigt stark
Sekretess	Kräver konfigurering	Kräver konfigurering
VPN- och enhetskompatibilitet	Stöds av många enheter	Stöds av många enheter

OpenVPN

Den ursprungliga OpenVPN-programvaran skapades år 2001 av James Yonan.

Yonan tog fram OpenVPN som ett sätt att säkerställa att en privat anslutning när han reste genom Centralasien och använde asiatiska och ryska nätverk.

Idag är Yonan it-direktör på OpenVPN Inc. Företaget erbjuder företagstjänster och driver även OpenVPN.

Företagets vd och grundare är Francis Dinha, som växte upp i Irak och delar Yonans angelägenhet om att skydda sig från statens övervakning.

OpenVPN-programvaran har nu laddats ned mer än 60 miljoner gånger, och protokollet används idag av nästan alla VPN-tjänster.

OpenVPN erbjuds med en licens med öppen källkod, vilket innebär att vem som helst kan se den underliggande koden.

OpenVPN har setts som ledaren inom VPN-säkerhet i över 10 år, men när WireGuard släpptes uppstod konkurrens om förstaplatsen.

WireGuard

WireGuard togs fram av Jason A. Donenfeld på Edge Security, och släpptes för första gången i september 2019.

WireGuard är designat att vara enklare, snabbare och lättare att använda än befintliga VPN-protokoll.

Till skillnad från OpenVPN är WireGuard enligt Donenfeld själv ”kryptografiskt egensinnigt”. Detta innebär att han valt ut en lösning för varje aspekt av VPN-tjänstens säkerhet.

Därmed erbjuder WireGuard färre valmöjligheter än OpenVPN, men det är också betydligt mindre komplicerat.

Precis som OpenVPN har även WireGuard öppen källkod.

Trots att det släpptes så sent som i september 2015 har WireGuard redan integrerats i ett antal VPN-tjänster. NordVPN byggde t.ex. sitt egenutvecklade NordLynx-protokoll på detta.