Récemment, j’ai découvert que le package OpenVPN sur mes OPNSense n’allait plus être mis à jour dès la version 26.1, ce qui signifie dès janvier 2026. À la place, l’équipe de Decision a intégré depuis quelques version le serveur VPN WireGuard. Quelles-sont les différences entre les deux produits ?
Possibilité de configuration
WireGuard se distingue tout d’abord par sa simplicité de configuration et de déploiement. En effet, il suffit d’ajouter simplement des « utilisateurs », et les fichiers de configuration sont générés automatiquement. En revanche, comparé à OpenVPN, la configuration est restreinte. On ne peut, par exemple, choisir le protocole de chiffrement (uniquement basé sur le ChaCha20-Poly1305 pour le chiffrement), et uniquement si on veut que le client connecté puissent avoir ses paquets routés en dehors du LAN auquel il est connecté.
Cependant, il est intéressant de voir que l’on peut saisir manuellement les clés privées et publiques du client, ce qui signifie que si un compte est supprimé par erreur, et que l’on doit le recréer, il n’y aura pas besoin de redéployer le fichier de configuration du client.
De plus, il n’est possible de faire passer uniquement les paquets sur une connexion TCP (ce qui peut alourdir le traitement dans certains cas), mais on peut spécifier le port d’écoute du serveur VPN.
Sécurité de la communication
Tout d’abord, les deux VPN sont sécurisés, il n’y a pas de doute la dessus. En revanche, ce qui va les différencier, c’est au niveau de la maturité des protocoles de chiffrement. En effet, OpenVPN se base sur OpenSSL, qui est une librairie mature qui a fait ses preuves, tandis que WireGuard utilise une librairie plus moderne (comme spécifié plus haut).
Après avoir fait plusieurs recherches, j’ai découvert que le code d’OpenVPN faisait beaucoup plus de ligne, et donc il pouvait y avoir d’avantages de failles qui se glisseraient dans le code. WireGuard de son côté contient beaucoup moins de ligne, et est donc plus facile à auditer.
Performances
WireGuard est directement intégré nativement dans Linux, ce qui permet d’améliorer les performances drastiquement. On découvre ainsi que OpenVPN n’arrivent pas à atteindre les performances de WireGuard (à configuration égale). WireGuard est pensé, à la base, pour les clients mobiles tels que les tablettes ou encore les téléphones portables, mais fonctionne parfaitement sur des ordinateurs.
Pour donner un exemple concret: en effectuant un transfert de fichier entre mon infra et mon poste, le lien OpenVPN ne dépasse pas les 100mbit/s, or avec la même configuration, WireGuard arrive à atteindre les 250Mbit/s sans problèmes.
Lequel choisir ?
Dans mon cas, sachant que mon pare-feu est un OPNSense, je n’ai pas le choix de migrer sur un WireGuard. En revanche, si vous avez juste besoin d’un serveur VPN pour accéder à distance à une infrastructure, et que vous n’êtes pas forcément à l’aise avec la gestion d’un serveur VPN, WireGuard peut être intéressant.
OpenVPN reste une solution viable dans le cas ou le serveur VPN se trouve derrière un pare-feu restrictif, et la configuration nécessite d’être maîtrisée de bout en bout.
