Escolher entre WireGuard e OpenVPN deixou de ser uma questão técnica de nicho. É a decisão que define se a sua ligação VPN atinge 892 Mbps ou fica presa nos 222 Mbps, se a bateria do telemóvel aguenta o dia inteiro com o túnel ligado, e se a sua infraestrutura corporativa depende de 4.000 linhas de código auditável ou de uma base com centenas de milhares de linhas herdada de 2001.
Esta comparação detalhada de WireGuard vs OpenVPN reúne benchmarks de três fontes independentes, a criptografia exata de cada protocolo, uma tabela de especificações com mais de dez linhas, exemplos reais de fornecedores que adotaram cada um, um guia de migração e um veredicto final apoiado em dados. No fim, vai saber qual protocolo VPN faz sentido para o seu caso concreto, seja teletrabalho, autoalojamento, contornar censura ou proteger uma rede empresarial.
WireGuard vs OpenVPN: o resumo rápido em 30 segundos
Se tem pressa, aqui fica o essencial. O WireGuard é mais rápido, mais leve e mais simples de auditar. Vence em velocidade bruta, latência, eficiência de bateria e roaming entre redes (passar de Wi-Fi para dados móveis sem cair a ligação). O OpenVPN é mais flexível, mais maduro e melhor para contornar firewalls restritivas, porque consegue correr sobre TCP na porta 443 e disfarçar-se de tráfego HTTPS normal.
Para a maioria dos utilizadores domésticos e para teletrabalho moderno, o WireGuard é a escolha por defeito em 2026. Para ambientes onde a censura é agressiva, onde precisa de compatibilidade com hardware antigo, ou onde a conformidade exige certificados X.509 complexos, o OpenVPN continua a ter o seu lugar. A boa notícia é que não tem de escolher de forma definitiva: a maioria dos fornecedores de VPN sérios oferece ambos, e pode alternar conforme a situação.
O que é o WireGuard e porque mudou as regras do jogo
O WireGuard é um protocolo de VPN criado por Jason A. Donenfeld, com o lançamento inicial em 2016. Foi desenhado a partir do zero para corrigir aquilo que o seu autor considerava os pecados do IPsec e do OpenVPN: demasiada complexidade, demasiadas opções de configuração e uma superfície de ataque enorme. A filosofia do projeto é radical na sua simplicidade. Em vez de oferecer dezenas de cifras configuráveis, o WireGuard fixa uma única suite criptográfica moderna e não negoceia. Não há “agilidade de algoritmos”, logo não há downgrade para cifras fracas.
O marco que consagrou o protocolo aconteceu em março de 2020, quando o WireGuard foi integrado diretamente no núcleo do Linux, na versão 5.6 do kernel, e depois retroportado para a série 5.4 de suporte alargado. Correr dentro do kernel, em vez de no espaço de utilizador, é parte do segredo da sua velocidade: há menos cópias de memória e menos comutações de contexto entre o sistema operativo e a aplicação. Linus Torvalds, criador do Linux, descreveu publicamente o código do WireGuard como “uma obra de arte” em comparação com o horror que considerava ser o OpenVPN e o IPsec, um elogio raro vindo de alguém conhecido pela sua dureza.
O WireGuard assenta no Noise Protocol Framework, o mesmo conjunto de padrões criptográficos que dá base a aplicações como o Signal. Cada par (peer) é identificado por uma chave pública Curve25519, e o estabelecimento da ligação resume-se a uma troca rápida de chaves. Não há sessões pesadas nem renegociações constantes. Quando muda de rede, o túnel simplesmente continua a partir do novo endereço, o que explica a sua excelência no roaming móvel. Toda a base de código ronda as 4.000 linhas, um número que torna possível a um único especialista ler e compreender o protocolo inteiro num fim de semana.
O que é o OpenVPN e porque continua relevante em 2026
O OpenVPN nasceu em 2001, pela mão de James Yonan, e durante quase duas décadas foi o padrão de ouro das VPN de código aberto. Construído sobre a biblioteca OpenSSL e sobre o protocolo TLS, o OpenVPN herda toda a maturidade e flexibilidade do ecossistema TLS que protege também a web. Isto significa autenticação por certificados X.509, suporte para RSA e ECDSA, e a capacidade de afinar praticamente todos os parâmetros da ligação. Essa flexibilidade é simultaneamente a sua maior força e a sua maior fraqueza.
A vantagem estratégica do OpenVPN em 2026 continua a ser o transporte. Ao contrário do WireGuard, que só funciona sobre UDP, o OpenVPN corre tanto sobre UDP como sobre TCP. Pode ser configurado para usar a porta 443 em TCP, exatamente a mesma porta que todo o tráfego HTTPS usa. Para um firewall ou para um sistema de inspeção profunda de pacotes, distinguir uma ligação OpenVPN nesta configuração do tráfego normal de um site é difícil. É por isto que o OpenVPN sobrevive em países e redes empresariais onde o WireGuard é simplesmente bloqueado.
O custo desta flexibilidade é a complexidade. A configuração de um servidor OpenVPN envolve gerar uma autoridade de certificação, emitir certificados para cada cliente, definir parâmetros de cifra, de compressão e de autenticação. A base de código, quando se soma o núcleo do OpenVPN às bibliotecas OpenSSL de que depende, ultrapassa largamente as centenas de milhares de linhas. Mais código significa mais superfície para vulnerabilidades, e historicamente o OpenSSL já protagonizou falhas graves como o Heartbleed. Nada disto torna o OpenVPN inseguro hoje, mas explica porque os auditores preferem a navalha minimalista do WireGuard.
Tabela de especificações: WireGuard vs OpenVPN lado a lado
A tabela seguinte resume as diferenças técnicas que mais importam na decisão. Os valores de desempenho são intervalos observados em testes públicos e dependem do hardware, pelo que devem ser lidos como ordens de grandeza e não como números absolutos.
| Característica | WireGuard | OpenVPN |
|---|---|---|
| Ano de lançamento | 2016 (estável em 2020) | 2001 |
| Autor / Mantenedor | Jason A. Donenfeld | James Yonan / OpenVPN Inc. |
| Linhas de código | ~4.000 | Centenas de milhares (com OpenSSL) |
| Cifra de dados | ChaCha20-Poly1305 | AES-256-GCM (configurável) |
| Troca de chaves | Curve25519 (ECDH) | RSA / ECDSA via TLS |
| Função de hash | BLAKE2s, SipHash24 | SHA-2 (via OpenSSL) |
| Transporte | Apenas UDP | UDP e TCP |
| Disfarce em porta 443 | Limitado | Sim (TCP 443) |
| Integração no kernel Linux | Sim (desde 5.6) | Não (espaço de utilizador) |
| Velocidade típica | Até 892 Mbps e mais | ~155 a 222 Mbps |
| Latência | Baixa | Mais alta |
| Eficiência de bateria | Excelente | Razoável |
| Roaming entre redes | Transparente | Reconexão necessária |
| Complexidade de configuração | Baixa | Alta |
| Licença | GPLv2 | GPLv2 |
O padrão é claro nesta comparação de WireGuard vs OpenVPN: o WireGuard ganha em velocidade, simplicidade e eficiência, enquanto o OpenVPN ganha em flexibilidade de transporte e resistência a bloqueios. As secções seguintes desdobram cada uma destas linhas com dados concretos.
Criptografia comparada: ChaCha20-Poly1305 vs AES-256-GCM
A suite fixa do WireGuard
O WireGuard usa um conjunto fixo de primitivas modernas. Para cifrar os dados, recorre ao ChaCha20-Poly1305, uma cifra de fluxo autenticada (AEAD) desenhada por Daniel J. Bernstein. A troca de chaves usa Curve25519, uma curva elítica de alto desempenho e resistência conhecida. Para funções de hash, o WireGuard combina BLAKE2s e SipHash24, e a derivação de chaves usa HKDF. A grande vantagem do ChaCha20 é que não depende de instruções de aceleração de hardware para ser rápido. Em processadores sem aceleração AES dedicada, como muitos chips ARM de telemóveis e routers, o ChaCha20 costuma superar o AES com folga.
A flexibilidade do OpenVPN
O OpenVPN, por defeito nas configurações modernas, usa AES-256-GCM, outra cifra AEAD considerada robusta e padrão na indústria. A diferença é que o OpenVPN permite negociar e configurar a cifra, podendo usar AES-128, AES-256, ChaCha20 e outras conforme a versão e a biblioteca subjacente. A autenticação faz-se por certificados emitidos por uma autoridade de certificação que o administrador controla. Esta abordagem casa bem com infraestruturas empresariais que já gerem PKI, mas exige disciplina: uma cifra mal escolhida ou um certificado mal gerido enfraquece toda a ligação. No WireGuard esse risco desaparece, simplesmente porque não há nada para configurar mal.
Em termos de força criptográfica pura, ambos os protocolos são considerados seguros em 2026. Nenhum dos dois oferece ainda proteção pós-quântica nativa por defeito, embora existam experiências nesse sentido em ambos os campos. Se a resistência a computadores quânticos é uma preocupação para o seu modelo de ameaça, vale a pena acompanhar a evolução da criptografia pós-quântica, que descrevemos em detalhe noutro artigo. Para o cidadão e a empresa comuns, a escolha entre ChaCha20 e AES-256 é hoje uma questão de desempenho, não de segurança.
Benchmarks de desempenho: velocidade e latência com dados reais
A diferença de velocidade entre os dois protocolos é o argumento mais citado a favor do WireGuard, e os números de testes independentes confirmam a tendência. É importante perceber que cada teste usa hardware e condições diferentes, pelo que os valores absolutos variam, mas a direção é sempre a mesma: o WireGuard é consistentemente mais rápido.
| Fonte do teste | WireGuard | OpenVPN | Vantagem |
|---|---|---|---|
| Telnyx | Até 892 Mbps | 222 Mbps | ~4x mais rápido |
| GL.iNet (teste em router) | Até 900 Mbps | 155 a 190 Mbps | ~5x mais rápido |
| Netmaker | Até 10 Gbps | Abaixo de 100 Mbps | Ordem de grandeza superior |
Os números da Telnyx mostram o WireGuard a atingir 892 Mbps contra 222 Mbps do OpenVPN nas mesmas condições, uma vantagem de cerca de quatro vezes. A GL.iNet, num teste real num router doméstico, mediu o OpenVPN entre 155 e 190 Mbps enquanto o WireGuard chegava perto dos 900 Mbps, além de registar latência mais alta no OpenVPN. A Netmaker, em condições de laboratório otimizadas, levou o WireGuard até aos 10 Gbps enquanto o OpenVPN lutava para se manter acima dos 100 Mbps, e notou que o WireGuard completava o handshake numa fração do tempo.
Porque é o WireGuard tão mais rápido? Três razões. Primeira, corre dentro do kernel do Linux, eliminando cópias de memória entre o sistema e a aplicação. Segunda, o ChaCha20 é eficientíssimo mesmo sem aceleração de hardware. Terceira, o handshake é minimalista, o que reduz a latência inicial e a sobrecarga por pacote. O OpenVPN, ao correr no espaço de utilizador e ao carregar a maquinaria completa do TLS, paga um imposto de desempenho em cada pacote. Para quem transfere ficheiros grandes, faz videochamadas ou joga online através da VPN, esta diferença sente-se na prática.
Tabela de preços e custo de implementação
Aqui há um detalhe que muita gente desconhece: tanto o WireGuard como o OpenVPN são software livre e gratuito, ambos sob licença GPLv2. Não paga nada pelo protocolo em si. O custo real está em onde o corre, seja num servidor próprio (autoalojamento) ou através de um fornecedor de VPN comercial que trata da infraestrutura por si. A tabela seguinte compara as opções mais comuns para utilizadores em Portugal.
| Opção | Protocolos | Custo aproximado | Para quem |
|---|---|---|---|
| Servidor próprio (VPS) | WireGuard e OpenVPN | Software grátis + VPS ~3 a 6 €/mês | Entusiastas e autoalojamento |
| Mullvad | WireGuard e OpenVPN | 5 €/mês (preço fixo) | Privacidade máxima |
| ProtonVPN | WireGuard e OpenVPN | Plano gratuito disponível; pagos por subscrição | Utilizador geral |
| NordVPN (NordLynx) | WireGuard (NordLynx) | Subscrição paga (varia) | Velocidade e facilidade |
| Surfshark | WireGuard e OpenVPN | Subscrição paga (varia) | Vários dispositivos |
O autoalojamento é a opção mais barata e mais privada a longo prazo. Aluga um servidor virtual (VPS) por poucos euros por mês, instala o WireGuard em minutos, e fica com uma VPN totalmente sua, sem terceiros a ver o seu tráfego. A desvantagem é que o servidor tem um único endereço IP que lhe pertence, o que não esconde a sua identidade da mesma forma que uma VPN comercial partilhada por milhares de utilizadores. A Mullvad destaca-se por cobrar um preço fixo de 5 € por mês, sem descontos enganosos nem planos plurianuais, e por aceitar dinheiro em numerário pelo correio para quem leva o anonimato ao extremo. A ProtonVPN mantém um plano gratuito genuíno, raro neste mercado.
Segurança e auditabilidade: 4.000 linhas mudam tudo
A segurança de um protocolo não se mede apenas pela força das suas cifras, mas também pela capacidade de o auditar. É aqui que a diferença de tamanho da base de código se torna decisiva. As cerca de 4.000 linhas do WireGuard cabem na cabeça de um único revisor. Um especialista consegue ler a totalidade do código, compreender cada decisão e detetar anomalias. As centenas de milhares de linhas do OpenVPN, somadas à complexidade do OpenSSL, tornam essa revisão completa praticamente impossível para uma única pessoa.
Menos código significa menos superfície de ataque. Cada linha é uma oportunidade potencial para um erro, e a história da segurança informática está cheia de vulnerabilidades escondidas em bibliotecas grandes e antigas. O OpenSSL, do qual o OpenVPN depende, foi palco de falhas notórias como o Heartbleed em 2014, que expôs memória de milhões de servidores. Isto não condena o OpenVPN, que continua a ser sólido e amplamente testado, mas ilustra porque a filosofia minimalista do WireGuard agrada tanto aos investigadores de segurança. Quem quiser aprofundar como as falhas de software levam a fugas de dados pode ler a nossa análise sobre violações de dados.
Ambos os protocolos foram alvo de auditorias de segurança formais ao longo dos anos, encomendadas por fornecedores de VPN e por organizações independentes, e ambos saíram delas com boa reputação. A diferença não está na qualidade das auditorias, mas na facilidade com que elas podem ser feitas e repetidas. Um protocolo que se consegue auditar por completo em dias é estruturalmente mais confiável do que um que exige meses e equipas inteiras. Para entender melhor o papel das funções criptográficas que sustentam estes protocolos, veja o nosso guia sobre funções de hash criptográficas.
Privacidade: o problema dos IPs estáticos do WireGuard
Nem tudo são vantagens para o WireGuard. Existe uma preocupação de privacidade genuína no seu desenho que vale a pena perceber. O WireGuard associa cada cliente a uma chave pública e, por defeito, mantém na memória do servidor o mapeamento entre essa chave e o endereço IP atribuído ao túnel. Numa VPN comercial, isto poderia significar que o servidor guarda durante toda a sessão a ligação entre a sua identidade e o IP que usa, algo contrário à promessa de não-registo (no-log) que estes serviços vendem.
Os fornecedores sérios resolveram este problema com camadas adicionais. A NordVPN criou o NordLynx, uma implementação que envolve o WireGuard num sistema de duplo NAT para que nenhum endereço IP identificável seja armazenado em disco. A Mullvad e a IVPN apagam regularmente os mapeamentos e atribuem endereços dinâmicos. O OpenVPN, por usar autenticação por certificados e um modelo de sessão diferente, não sofre desta característica da mesma forma. Para quem aloja o seu próprio servidor, esta nuance é menos relevante, porque o servidor é seu e os registos também.
A lição é que a privacidade de uma VPN depende tanto do protocolo como da forma como o fornecedor o implementa e da sua política de registos. Um WireGuard mal configurado pode reter mais metadados do que um OpenVPN bem gerido, e vice-versa. Por isso, ao escolher um serviço, a auditoria de não-registo importa tanto como o protocolo anunciado. O mesmo princípio aplica-se a aplicações de mensagens, como explicamos na comparação Signal vs WhatsApp vs Telegram.
Resistência à censura e ofuscação de tráfego
Este é o terreno onde o OpenVPN ainda bate o WireGuard de forma clara. Porque corre apenas sobre UDP e usa um formato de pacote distinto, o WireGuard é relativamente fácil de identificar e bloquear por sistemas de inspeção profunda de pacotes. Países e redes corporativas com firewalls agressivas conseguem detetar e cortar ligações WireGuard com pouco esforço. Quando o tráfego UDP é simplesmente bloqueado, o WireGuard não tem para onde fugir.
O OpenVPN, ao correr sobre TCP na porta 443, mistura-se com o oceano de tráfego HTTPS que circula a toda a hora. Para um censor, bloquear esta porta significaria bloquear metade da internet, o que raramente é viável. Por isso, em ambientes de censura severa, o OpenVPN sobre TCP/443 continua a ser a ferramenta de eleição, frequentemente reforçado com camadas de ofuscação adicionais. Existem projetos que adicionam ofuscação ao WireGuard, mas não fazem parte do protocolo nativo e exigem configuração extra.
Para o utilizador europeu típico, que não enfrenta censura estatal, esta vantagem do OpenVPN é teórica. Mas para jornalistas, ativistas ou viajantes em regiões com forte controlo da internet, a capacidade de disfarce do OpenVPN pode ser a diferença entre ter acesso ou ficar isolado. Compreender como o tráfego cifrado se parece na rede ajuda a perceber este ponto, e o nosso artigo sobre HTTPS e TLS explica porque a porta 443 é tão difícil de bloquear.
Compatibilidade, plataformas e eficiência móvel
Em termos de plataformas, ambos os protocolos estão hoje disponíveis praticamente em todo o lado: Windows, macOS, Linux, Android, iOS e routers. A diferença está na profundidade da integração. O WireGuard vive dentro do kernel do Linux desde a versão 5.6, o que lhe dá uma vantagem de desempenho em servidores e dispositivos Linux. Existem também implementações em espaço de utilizador para os sistemas que não têm suporte nativo no kernel, mantendo a compatibilidade universal.
No telemóvel, a diferença de eficiência é palpável. O modelo de sessão leve do WireGuard consome menos bateria, porque não mantém ligações persistentes pesadas nem renegocia constantemente. Quando o ecrã se desliga e o telemóvel entra em suspensão, o WireGuard adormece de forma limpa e acorda instantaneamente. O OpenVPN, mais pesado, tende a gastar mais energia e a demorar mais a reconectar. Para quem deixa a VPN ligada o dia inteiro no telemóvel, o WireGuard prolonga visivelmente a autonomia.
O roaming é outra vitória clara do WireGuard. Ao passar de uma rede Wi-Fi para os dados móveis, ou ao mudar de ponto de acesso, o túnel WireGuard continua sem interrupção, porque a identidade é a chave pública e não o endereço IP. O OpenVPN, nessa transição, costuma precisar de restabelecer a ligação, o que provoca uma pausa de alguns segundos. Para utilizadores em movimento, esta diferença traduz-se em chamadas que não caem e transferências que não falham.
Exemplos reais: que fornecedores usam cada protocolo
A melhor forma de avaliar a maturidade de um protocolo é ver quem o usa em produção. Estes cinco exemplos reais mostram como o WireGuard e o OpenVPN coexistem no mercado de 2026.
- NordVPN com NordLynx: a NordVPN construiu o seu protocolo proprietário NordLynx em cima do WireGuard, adicionando uma camada de duplo NAT para resolver a questão dos IPs estáticos. É hoje o protocolo por defeito da NordVPN e a base da sua reputação de velocidade.
- Mullvad: esta VPN sueca, conhecida pelo foco extremo na privacidade, oferece tanto WireGuard como OpenVPN e recomenda o WireGuard por defeito. Documenta abertamente porque prefere o protocolo mais recente.
- ProtonVPN: a equipa suíça por trás do Proton Mail suporta os dois protocolos e mantém um plano gratuito, permitindo testar o WireGuard sem custo.
- Surfshark: oferece WireGuard e OpenVPN, com forte aposta no número ilimitado de dispositivos por subscrição, popular em famílias.
- Tailscale: esta plataforma de rede de malha (mesh) para empresas e equipas técnicas é construída inteiramente sobre o WireGuard, provando a sua robustez em ambientes corporativos exigentes.
Um sexto exemplo a registar é o próprio kernel do Linux, que adotou o WireGuard como código nativo, um voto de confiança que nenhum outro protocolo de VPN recebeu. Do lado do OpenVPN, milhares de empresas continuam a correr servidores OpenVPN Community Edition e Access Server para acesso remoto seguro, sobretudo onde já existe infraestrutura de certificados e onde a estabilidade comprovada ao longo de duas décadas pesa mais do que a velocidade de ponta.
O que dizem os especialistas e a comunidade
O consenso entre criptógrafos e engenheiros de rede inclina-se de forma notável para o WireGuard quando o assunto é desenho e simplicidade. O elogio mais citado pertence a Linus Torvalds, que numa mensagem pública na lista de correio do kernel do Linux descreveu o código do WireGuard como “uma obra de arte”, contrastando-o com a complexidade que considerava existir no OpenVPN e no IPsec. Vindo de alguém com fama de crítico implacável, o comentário tornou-se uma espécie de selo de qualidade para o projeto.
O próprio Jason Donenfeld, criador do WireGuard, defende publicamente que a segurança nasce da simplicidade, e que a ausência de opções de configuração é uma funcionalidade e não uma limitação. Esta filosofia ressoa na comunidade de programadores e criadores de conteúdo técnico, onde o WireGuard é frequentemente apresentado como o exemplo de como um protocolo moderno deve ser desenhado. Canais educativos populares de desenvolvimento de software costumam usar o contraste entre as 4.000 linhas do WireGuard e a imensidão do OpenVPN para ilustrar o valor de manter o código pequeno e legível.
Do lado da defesa do OpenVPN, a posição dos administradores de sistemas experientes é pragmática: um protocolo testado em batalha durante mais de vinte anos, com suporte para TCP e ofuscação, não se descarta por moda. A comunidade reconhece o WireGuard como o futuro, mas valoriza o OpenVPN como a opção segura para cenários de compatibilidade e censura. O acordo geral, raro em debates técnicos, é que ambos têm o seu lugar e que a escolha depende do caso de uso, não de uma superioridade absoluta.
Recomendações por caso de uso
Não existe um vencedor universal. Há o protocolo certo para cada situação. Estas recomendações práticas resolvem os cenários mais comuns para utilizadores em Portugal.
- Teletrabalho e uso doméstico geral: escolha o WireGuard. É mais rápido, gasta menos bateria e liga-se instantaneamente. Para a esmagadora maioria das pessoas, é a opção certa em 2026.
- Streaming e jogos online: escolha o WireGuard. A baixa latência e a alta velocidade fazem diferença real em videojogos e em transmissões de alta definição.
- Contornar censura severa: escolha o OpenVPN sobre TCP na porta 443. A capacidade de se disfarçar de tráfego HTTPS é insubstituível em redes muito restritivas.
- Empresas com PKI existente: considere o OpenVPN. A autenticação por certificados X.509 integra-se na infraestrutura que já gere, embora o Tailscale com WireGuard seja uma alternativa moderna a avaliar.
- Autoalojamento e privacidade máxima: escolha o WireGuard num VPS próprio. Configura-se em minutos e dá-lhe controlo total sobre os registos e o tráfego.
Se ainda não tem a certeza, comece pelo WireGuard. É a escolha de menor atrito para quase todos. Só passe para o OpenVPN se encontrar um problema concreto que o WireGuard não resolva, como um bloqueio de rede ou um requisito de conformidade específico. Reforçar a segurança da sua conta com boas práticas de autenticação importa tanto como o protocolo, e o nosso guia sobre segurança de palavras-passe complementa esta decisão.
Guia de migração: de OpenVPN para WireGuard
Se já corre um servidor OpenVPN e quer experimentar o ganho de velocidade do WireGuard, a migração é surpreendentemente simples. Num servidor Linux moderno, a instalação resume-se a poucos comandos. O exemplo seguinte mostra os passos essenciais num sistema baseado em Debian ou Ubuntu.
# 1. Instalar o WireGuard
sudo apt update && sudo apt install wireguard -y
# 2. Gerar o par de chaves do servidor
wg genkey | tee servidor_privada.key | wg pubkey > servidor_publica.key
# 3. Criar a configuracao em /etc/wireguard/wg0.conf
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = (conteudo de servidor_privada.key)
[Peer]
PublicKey = (chave publica do cliente)
AllowedIPs = 10.0.0.2/32
# 4. Ativar o encaminhamento de IP
sudo sysctl -w net.ipv4.ip_forward=1
# 5. Levantar a interface e ativar no arranque
sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0Do lado do cliente, gera-se outro par de chaves, troca-se a chave pública com o servidor, e cria-se um ficheiro de configuração equivalente apontando para o endereço público do servidor na porta 51820. Em poucos minutos tem o túnel a funcionar. A recomendação prática é manter o servidor OpenVPN a correr em paralelo durante alguns dias, num porto diferente, até confirmar que o WireGuard responde bem em todas as suas redes, incluindo dados móveis e Wi-Fi público. Só depois deve desligar o OpenVPN antigo.
Para utilizadores de VPN comerciais, a “migração” é ainda mais fácil: basta entrar nas definições da aplicação e selecionar WireGuard ou NordLynx como protocolo. Não há configuração manual nenhuma. Faça um teste de velocidade antes e depois da mudança para medir o ganho concreto na sua ligação, porque o resultado depende sempre da sua infraestrutura local.
WireGuard vs OpenVPN em redes empresariais e site-to-site
Para lá do utilizador individual, a comparação muda de tom quando o tema é ligar redes inteiras. Numa configuração site-to-site, em que dois escritórios ou dois centros de dados se ligam de forma permanente, o WireGuard brilha pela estabilidade e pelo desempenho. O túnel mantém-se de pé sem renegociações pesadas, e o débito elevado é precisamente o que uma ligação entre redes precisa para sincronizar grandes volumes de dados. Plataformas como o Tailscale e o Netmaker provam que é possível construir redes de malha corporativas inteiras sobre o WireGuard, com gestão centralizada de chaves e políticas de acesso.
O OpenVPN mantém-se forte onde a empresa já investiu numa infraestrutura de chave pública. Se a organização emite e revoga certificados X.509 para colaboradores, integra autenticação com Active Directory ou RADIUS, e tem políticas de conformidade que exigem registos detalhados de cada sessão, o OpenVPN Access Server oferece essas funcionalidades de forma madura. A revogação de acesso de um colaborador que sai da empresa é tão simples como invalidar o seu certificado, sem tocar na configuração dos restantes. No WireGuard, gerir muitos pares e rotações de chaves exige ferramentas adicionais como as referidas plataformas de malha.
A escolha empresarial em 2026 raramente é dogmática. Muitas organizações correm WireGuard para o acesso de alto desempenho dos colaboradores remotos e mantêm OpenVPN para casos específicos de compatibilidade ou de conformidade. A arquitetura híbrida, longe de ser um sinal de indecisão, é a abordagem pragmática que extrai o melhor de cada protocolo. O fator decisivo costuma ser a equipa: onde existe competência técnica para gerir chaves WireGuard, este vence; onde a inércia da PKI existente pesa, o OpenVPN permanece.
Mitos comuns sobre WireGuard e OpenVPN desfeitos
A popularidade desta comparação gerou alguns equívocos que vale a pena corrigir com dados. O primeiro mito é que o WireGuard, por ser mais recente, ainda não é seguro o suficiente para produção. Falso. Está integrado no kernel do Linux desde 2020, sustenta plataformas corporativas e foi auditado de forma independente. A sua juventude não é fragilidade, é a razão de ter um desenho limpo e sem o peso de duas décadas de remendos.
O segundo mito é que o OpenVPN está morto. Também falso. Continua a proteger milhões de ligações empresariais e é insubstituível em cenários de censura. A velocidade não é o único critério que importa, e a capacidade de disfarce do OpenVPN não tem equivalente nativo no WireGuard. Um protocolo “mais lento” que funciona onde o outro é bloqueado é, nesse contexto, infinitamente mais útil.
O terceiro mito é que mudar de protocolo melhora automaticamente a privacidade. Não melhora. A privacidade de uma VPN depende sobretudo da política de não-registo do fornecedor e da forma como implementa o protocolo, não do nome do protocolo em si. Um WireGuard mal configurado pode reter mais metadados do que um OpenVPN bem gerido. Por isso, ao avaliar um serviço, as auditorias de não-registo e a jurisdição do fornecedor pesam tanto como a tecnologia. Compreender estes pilares ajuda a tomar decisões informadas sobre toda a sua privacidade digital.
Prós e contras de cada protocolo
WireGuard
Prós: velocidade muito superior (até 4 a 5 vezes mais rápido em testes), latência baixa, base de código mínima e auditável, integração no kernel do Linux, excelente eficiência de bateria, roaming transparente entre redes e configuração simples. Contras: apenas UDP, fácil de bloquear em redes com censura, sem ofuscação nativa, e a questão dos IPs estáticos exige cuidado por parte dos fornecedores.
OpenVPN
Prós: maturidade de mais de vinte anos, suporte para TCP e UDP, capacidade de disfarce na porta 443, enorme flexibilidade de configuração, autenticação por certificados X.509 e ampla compatibilidade com hardware antigo. Contras: mais lento, maior consumo de bateria, base de código grande e difícil de auditar, configuração complexa e reconexão mais lenta ao mudar de rede.
Veredicto final: qual protocolo VPN escolher em 2026
Os dados apontam num sentido claro. Em desempenho, o WireGuard ganha por uma margem enorme, com 892 Mbps contra 222 Mbps nos testes da Telnyx e vantagens semelhantes na GL.iNet e na Netmaker. Em auditabilidade, as 4.000 linhas do WireGuard esmagam a complexidade do OpenVPN. Em eficiência móvel e roaming, o WireGuard volta a vencer. Para a grande maioria dos utilizadores em 2026, teletrabalho, streaming, jogos, autoalojamento e uso diário, o WireGuard é a recomendação principal desta comparação de WireGuard vs OpenVPN.
O OpenVPN não está obsoleto. Mantém uma vantagem decisiva em dois cenários: contornar censura agressiva, graças ao transporte TCP na porta 443, e integrar-se em infraestruturas empresariais que já dependem de certificados X.509. Se vive ou viaja em regiões com forte controlo da internet, ou se gere uma rede corporativa madura, o OpenVPN continua a ser a ferramenta certa. Felizmente, quase todos os bons fornecedores oferecem ambos, pelo que a escolha inteligente é usar WireGuard por defeito e guardar o OpenVPN como plano B para quando a rede o exigir.
Em resumo: comece pelo WireGuard, mude para OpenVPN apenas quando tiver um motivo concreto. É a estratégia que combina a velocidade do presente com a robustez de duas décadas de experiência.
Perguntas frequentes sobre WireGuard vs OpenVPN
O WireGuard é mais seguro do que o OpenVPN?
Ambos são considerados seguros em 2026. O WireGuard tem a vantagem estrutural de uma base de código muito menor, com cerca de 4.000 linhas, o que facilita a auditoria e reduz a superfície de ataque. O OpenVPN é igualmente robusto, mas a sua complexidade torna a revisão completa mais difícil. Em força criptográfica pura, o ChaCha20-Poly1305 e o AES-256-GCM estão ao mesmo nível.
Quanto mais rápido é o WireGuard?
Em testes independentes, o WireGuard mostrou-se entre quatro e cinco vezes mais rápido. A Telnyx mediu 892 Mbps contra 222 Mbps, e a GL.iNet registou cerca de 900 Mbps contra 155 a 190 Mbps do OpenVPN. O ganho real depende do seu hardware e da sua ligação, mas a vantagem é sempre significativa.
Posso usar o WireGuard para contornar censura?
É possível, mas o WireGuard é mais fácil de bloquear porque corre apenas sobre UDP e tem um formato de pacote identificável. Para censura severa, o OpenVPN sobre TCP na porta 443 costuma funcionar melhor, por se disfarçar de tráfego HTTPS normal. Existem ferramentas de ofuscação para o WireGuard, mas exigem configuração adicional.
O WireGuard gasta menos bateria?
Sim. O modelo de sessão leve do WireGuard consome menos energia e acorda da suspensão de forma mais limpa do que o OpenVPN. Para quem mantém a VPN ligada o dia inteiro no telemóvel, o WireGuard prolonga visivelmente a autonomia.
O que é o NordLynx?
O NordLynx é o protocolo proprietário da NordVPN, construído em cima do WireGuard. Adiciona uma camada de duplo NAT para resolver a preocupação de privacidade dos endereços IP estáticos do WireGuard, mantendo a velocidade do protocolo original sem armazenar identificadores em disco.
Devo migrar do OpenVPN para o WireGuard?
Para a maioria dos casos, sim. A migração é simples e o ganho de velocidade e eficiência é considerável. A exceção são cenários onde precisa de transporte TCP para contornar bloqueios ou onde depende de uma infraestrutura de certificados X.509 já estabelecida. Nesses casos, mantenha o OpenVPN ou corra os dois em paralelo.
O WireGuard e o OpenVPN são gratuitos?
Sim. Ambos são software livre sob licença GPLv2. Não paga nada pelo protocolo. O custo está apenas em onde o corre, seja um servidor próprio (poucos euros por mês num VPS) ou um fornecedor de VPN comercial como a Mullvad, que cobra 5 € por mês fixos.
Cobertura relacionada
- HTTPS e TLS explicados: o que o cadeado realmente significa
- Signal vs WhatsApp vs Telegram: a comparação de privacidade
- Criptografia pós-quântica: 50% da web já está segura
- Violações de dados: como acontecem e como se proteger
- Segurança de palavras-passe: o que realmente protege as contas
- Funções de hash criptográficas explicadas
- Mais artigos sobre privacidade
