Das letzte Bit rauskitzeln: So maximierst du deinen WireGuard-Durchsatz

WireGuard ist von Haus aus extrem schnell, aber wer das Maximum aus seinem VPS oder dedizierten Server herausholen will, muss unter die Haube schauen. Ein zentraler Punkt im Contabo-Leitfaden ist der Vergleich zwischen Baseline-Performance (ohne Verschlüsselung) und Tunnel-Durchsatz.

Oft limitieren nicht die kryptographischen Rechenoperationen, sondern ineffiziente Netzwerkeinstellungen. Besonders kritisch ist der MTU-Wert (Maximum Transmission Unit). WireGuard addiert einen Overhead von 80 Bytes. Steht der Standard-Ethernet-Wert auf 1500, führt dies ohne Anpassung zur Paket-Fragmentierung, was die Performance sofort um 20 % bis 30 % einbrechen lässt.

CPU-Affinity und Kernel-Optimierung

Im Gegensatz zu alten Protokollen ist WireGuard exzellent multithreaded. Das bedeutet: Je mehr CPU-Kerne zur Verfügung stehen, desto besser skaliert der Tunnel – sofern das Betriebssystem die Last richtig verteilt. Wir nutzen intern gezieltes CPU-Pinning, um sicherzustellen, dass die Verschlüsselungsprozesse nicht mit anderen Systemaufgaben um dieselben Kerne konkurrieren.

Ein weiterer technischer Hebel sind die UDP-Puffergrößen im Linux-Kernel. Standardwerte sind oft für Web-Traffic optimiert, nicht für verschlüsselte UDP-Streams mit hoher Bandbreite. Durch das Erhöhen von net.core.rmem_max und net.core.wmem_max auf Werte um 16 MB können Paketverluste bei Lastspitzen effektiv verhindert werden. Auch Features wie GRO (Generic Receive Offload) sollten auf der Netzwerkkarte aktiv sein, um CPU-Zyklen bei der Paketverarbeitung einzusparen.

Warum Tuning kein Luxus ist

Wir nutzen WireGuard im VZC System schon seit Jahren für unsere internen Router und Backupserver. Was wir dabei gelernt haben: Die Standardkonfiguration reicht für den Alltag, aber wenn du 10-Gbps-Interfaces wirklich füllen willst, kommst du um manuelles Tuning nicht herum.

Meiner Meinung nach wird das Thema MTU/MSS Clamping oft völlig unterschätzt. Ein falsch gesetzter Wert sorgt nicht nur für langsamen Speed, sondern für Webseiten, die einfach gar nicht laden (Stichwort: Path MTU Discovery Probleme).

In unserer Infrastruktur haben wir festgestellt, dass vor allem die Wahl des richtigen CPU-Scaling-Governors (auf "Performance" statt "Ondemand") einen massiven Unterschied bei der Latenz macht.

WireGuard ist ein Biest, wenn man ihm freien Lauf lässt – aber man muss die Hardware auch entsprechend vorbereiten. Wer bei uns im System einen Tunnel aufmacht, erwartet Instant-On-Speed, und das erreichen wir nur durch diese tiefgreifenden Optimierungen.

Newsfazit

WireGuard-Performance hängt 2026 weniger vom Protokoll selbst als von der Umgebung ab. Durch Optimierung der MTU (Standard 1420), das Erhöhen der Kernel-UDP-Puffer und die Nutzung von CPU-Performance-Profilen lässt sich der Durchsatz oft verdoppeln. Im VZC System setzen wir diese Best Practices konsequent ein, um unsere Router und Server am Limit zu betreiben. Wer messen will, sollte immer iperf3-Tests parallel zur Baseline durchführen.