Is OpenVPN nog steeds relevant in 2026?

Ja – om één specifieke reden. OpenVPN-TCP op poort 443 met TLS-verduistering is nog steeds de meest betrouwbare manier om een VPN-tunnel door diepgefilterde netwerken zoals de Grote Firewall van China te krijgen. Voor dagelijks gebruik op een niet-geblokkeerd netwerk is WireGuard sneller en lichter.

Is OpenVPN sneller dan WireGuard?

Nee. WireGuard is doorgaans 2 tot 4 keer sneller op dezelfde link, omdat het in de kernel draait en een kleinere, modernere cryptografische stapel gebruikt. OpenVPN 2.6's Data Channel Offload verkleint de kloof op Linux, maar dicht deze niet.

Ja, mits correct geconfigureerd. Het protocol is onafhankelijk gecontroleerd door Cure53 en Quarkslab, draait op beproefde TLS en ondersteunt AES-256-GCM en ChaCha20-Poly1305. Het grootste risico in de echte wereld is een verkeerde configuratie van de server, en niet de zwakke punten in het protocol zelf.

Kan deep packet inspection OpenVPN detecteren?

Ja. Hoewel de payload gecodeerd is, zijn de protocolheaders herkenbaar. TLS-verduisteringswrappers (ingebouwd in de meeste grote commerciële VPN-apps) helpen het verkeer te vermommen als gewone HTTPS, wat ervoor zorgt dat OpenVPN-TCP/443 werkt in landen met restricties.

Welke cijfers gebruikt OpenVPN?

Moderne OpenVPN-configuraties gebruiken standaard AES-256-GCM met Perfect Forward Secrecy via Diffie-Hellman-sleuteluitwisseling. ChaCha20-Poly1305 wordt ook ondersteund, vooral op mobiele apparaten, waar het sneller kan zijn dan AES op processors zonder AES-NI hardwareversnelling. HMAC-SHA256 wordt gebruikt voor pakketverificatie.

OpenVPN uitgelegd: het 25 jaar oude werkpaard dat nog steeds alles in één niche verslaat

OpenVPN werd gelanceerd op 13 mei 2001. Vijfentwintig jaar later is het niet langer het snelste VPN-protocol of de schoonste codebase, maar het is nog steeds het enige dat betrouwbaar werkt op de meest vijandige netwerken ter wereld. Hier is de eerlijke beoordeling: wat OpenVPN goed maakt, wat het oud maakt en wanneer het nog steeds de juiste keuze is boven WireGuard.

De volledige artikeltekst vindt u hieronder in het Engels.

De geschiedenis die er nog steeds toe doet

OpenVPN is gemaakt door James Yonan en uitgebracht onder GPLv2 op 13 mei 2001. De commerciële entiteit, OpenVPN Inc., werd opgericht in 2002 en verkoopt nu OpenVPN Access Server naast de gratis community-editie. De nieuwste stabiele release (2.7.4) werd uitgebracht op 30 april 2026.

OpenVPN werd het standaard "open" VPN-protocol van de jaren 2000 en 2010 om een simpele reden: het werkte overal, op elk besturingssysteem, achter elke firewall. PPTP was onveilig. L2TP/IPsec was complex om te configureren en traag. SSTP was alleen voor Windows. OpenVPN sprak TCP of UDP, op elke poort, met een gebruikersruimte-daemon die op alles kon worden geïnstalleerd. Het werd standaard de lingua franca.

Architectuur: SSL/TLS in gebruikersruimte

De bepalende technische keuze van OpenVPN was om de hele tunnel te bouwen uit standaard TLS – dezelfde primitief die HTTPS aandrijft. Dit had drie grote gevolgen:

Het erfde het hele TLS-ecosysteem: bekende certificaatstromen, goed begrepen cijfers, een enorme hoeveelheid auditwerk, volwassen tooling.
Het draait volledig in de gebruikersruimte, niet in de kernel. Eenvoudig te installeren, eenvoudig te updaten, eenvoudig te sandboxen. Langzaam vergeleken met een kernelmodule, omdat elk pakket de kernel-/gebruikersruimtegrens overschrijdt.
Het kan zijn TLS-sessie over TCP/443 transporteren, waardoor het verkeer er bijna identiek uitziet als gewone HTTPS voor een diepe pakketinspecteur. Dit is het grootste resterende voordeel van OpenVPN in 2026.

OpenVPN gebruikt OpenSSL (of, sinds versie 2.3, mbed TLS als alternatief) voor zijn crypto. De ondersteunde cijfers omvatten AES-256-GCM en ChaCha20-Poly1305, perfecte voorwaartse geheimhouding via Diffie-Hellman-sleuteluitwisseling en HMAC-pakketauthenticatie. Authenticatie kan gebruik maken van vooraf gedeelde sleutels, X.509-certificaten, gebruikersnaam/wachtwoord (via plug-ins) of PKCS#11-smartcards.

UDP versus TCP-modi

OpenVPN kan via UDP (standaard poort 1194, de door IANA toegewezen poort) of TCP (doorgaans 443 om na te bootsen) worden uitgevoerd. HTTPS).

UDP: sneller, eenvoudiger. Standaard bij de meeste providers. Lijdt aan hetzelfde blokkeerbaarheidsprobleem als WireGuard: veel firewalls op bedrijfs- en landniveau blokkeren willekeurig UDP-verkeer.
TCP/443: langzamer vanwege het TCP-over-TCP-meltdown-probleem, maar niet te onderscheiden van reguliere HTTPS, tenzij de inspecteur een zeer diepgaande stateful analyse uitvoert. Deze modus is de reden waarom OpenVPN in 2026 nog steeds in de toolkit zit.

Wat OpenVPN goed doet

Uitgebreid gecontroleerd. Onafhankelijke audits door Cure53 en Quarkslab in 2017 hebben een handvol problemen gevonden die zijn gepatcht. Daaropvolgende audits zijn voortgezet.
Wordt overal uitgevoerd. Native clients bestaan voor Windows 7+, macOS 10.8+, Linux, BSD-varianten, Solaris, QNX, Android 4.0+, iOS 6+ en de meeste routerfirmware (DD-WRT, OpenWrt, pfSense, OPNsense, IPFire, Tomato).
Overleeft vijandige netwerken. TCP/443 + TLS-verduistering is nog steeds de meest betrouwbare manier om een VPN-tunnel uit China, Iran of een zwaar gefilterd bedrijfsnetwerk te krijgen.
Gratis en open source onder GPLv2. Forkable, inspecteerbaar, geen leverancier lock-in.
Volwassen beveiliging. De daemon laat root-privileges vallen na init, gebruikt mlockall om sleutels uit de swap te houden, kan een chroot-jail binnengaan en kan een SELinux-context toepassen.

Wat OpenVPN krijgt wrong

Slow. Userspace-daemon plus de grootte van de TLS-handshake betekent dat OpenVPN doorgaans 30-50% van de doorvoer van WireGuard op dezelfde link levert. De Data Channel Offload (DCO)-functie die in OpenVPN 2.6 is toegevoegd, verkleint deze kloof op Linux door het datapad naar de kernel te verplaatsen, maar de kloof is nog steeds reëel.
Detecteerbaar door deep packet inspection. Ook al is de OpenVPN-payload gecodeerd, de protocolheaders zijn herkenbaar voor inspecteurs die weten waar ze op moeten letten. TLS-verduisteringswrappers helpen, maar het kale protocol is vingerafdrukbaar.
LGrote codebasis. ~70.000 regels is veel aanvalsoppervlak vergeleken met WireGuard's ~4.000.
Zwaarder mobiel batterijgebruik. Gebruikersruimteverwerking plus constant keepalives.
Configuratiecomplexiteit. Het officiële configuratiebestandsformaat heeft tientallen richtlijnen. Verkeerde configuratie is een reëel risico voor zelfhosters.

OpenVPN versus WireGuard

De eerlijke vergelijking:

Snelheid: WireGuard wint meestal met 2–4×.
Mobiele batterij: WireGuard wint.
Auditvriendelijkheid: WireGuard wint vanwege grootte.
Overbruggen beperkende netwerken: OpenVPN-TCP/443 wint. Geen wedstrijd.
Maturity: OpenVPN wint jaren in het wild.
Configureerbaarheid: OpenVPN wint. WireGuard is eigenzinnig qua ontwerp.

Voor een volledig overzicht, bekijk onze VPN-protocollenvergelijking.

Wanneer u voor OpenVPN kiest in 2026

Je bevindt je in een land dat actief VPN-verkeer blokkeert. OpenVPN-TCP/443 met TLS-verduistering is uw beste kans.
U bevindt zich achter een bedrijfsfirewall die alleen uitgaande 80/443 toestaat.
U moet zelf hosten op oudere hardware waarop WireGuard niet wordt ondersteund.
U heeft gebruikersnaam-/wachtwoordverificatie nodig via LDAP of RADIUS - ingebouwd via OpenVPN plugins.

Wanneer u iets anders moet kiezen

U gebruikt een normale residentiële of mobiele verbinding en wilt gewoon snelheid: gebruik WireGuard.
U gebruikt iOS of macOS en wilt native altijd aan met een lange levensduur van de batterij: gebruik IKEv2.
U heeft vandaag post-kwantumcodering nodig - noch stock OpenVPN noch stock WireGuard leveren dit, maar specifieke WireGuard-builds en ProtonVPN's NordWhisper / NordVPN's post-quantum Linux-client doen dat wel.

En welk protocol u ook gebruikt, voer na de installatie onze lektest uit om te bevestigen dat de tunnel echt werkt.

Veelgestelde vragen

Is OpenVPN nog steeds relevant in 2026?: Ja – om één specifieke reden. OpenVPN-TCP op poort 443 met TLS-verduistering is nog steeds de meest betrouwbare manier om een VPN-tunnel door diepgefilterde netwerken zoals de Grote Firewall van China te krijgen. Voor dagelijks gebruik op een niet-geblokkeerd netwerk is WireGuard sneller en lichter.
Is OpenVPN sneller dan WireGuard?: Nee. WireGuard is doorgaans 2 tot 4 keer sneller op dezelfde link, omdat het in de kernel draait en een kleinere, modernere cryptografische stapel gebruikt. OpenVPN 2.6's Data Channel Offload verkleint de kloof op Linux, maar dicht deze niet.
Is OpenVPN veilig?: Ja, mits correct geconfigureerd. Het protocol is onafhankelijk gecontroleerd door Cure53 en Quarkslab, draait op beproefde TLS en ondersteunt AES-256-GCM en ChaCha20-Poly1305. Het grootste risico in de echte wereld is een verkeerde configuratie van de server, en niet de zwakke punten in het protocol zelf.
Kan deep packet inspection OpenVPN detecteren?: Ja. Hoewel de payload gecodeerd is, zijn de protocolheaders herkenbaar. TLS-verduisteringswrappers (ingebouwd in de meeste grote commerciële VPN-apps) helpen het verkeer te vermommen als gewone HTTPS, wat ervoor zorgt dat OpenVPN-TCP/443 werkt in landen met restricties.
Welke cijfers gebruikt OpenVPN?: Moderne OpenVPN-configuraties gebruiken standaard AES-256-GCM met Perfect Forward Secrecy via Diffie-Hellman-sleuteluitwisseling. ChaCha20-Poly1305 wordt ook ondersteund, vooral op mobiele apparaten, waar het sneller kan zijn dan AES op processors zonder AES-NI hardwareversnelling. HMAC-SHA256 wordt gebruikt voor pakketverificatie.