WireGuard VPN moderno em velocidade de kernel, ~4.000 linhas de código
Um protocolo VPN pequeno o suficiente para ser auditado em uma tarde e rápido o suficiente para saturar um link gigabit.
Um protocolo VPN moderno projetado por Jason Donenfeld, mergeado na mainline do kernel Linux na versão 5.6 (2020). Usa uma suite criptográfica fixa e opinativa — Curve25519, ChaCha20, Poly1305, BLAKE2s — roda inteiramente sobre UDP, e autentica peers por chaves públicas estáticas. A implementação de referência tem menos de 4.000 linhas de código, uma ordem de grandeza menor que OpenVPN ou IPsec.
Um "VPN pessoal em um VPS" é nosso caso de uso de entrada mais comum.
Uma parcela significativa de novos clientes compra um VPS tier de entrada de 1 GB para exatamente um trabalho: subir WireGuard, apontar o laptop e o celular para ele, e parar de confiar em qualquer marca de VPN consumer a que vinham pagando €12 por mês. A matemática é irrespondível — um VPS a €4/mês roteia o tráfego do cliente a partir de um IP que pertence a ele, não a partir de um pool compartilhado com milhares de estranhos e pré-sinalizado em todo corredor de captcha na web.
WireGuard é o protocolo certo para esse trabalho porque é rápido, simples e vem dentro do kernel de toda distribuição Linux moderna. Não há PKI para gerenciar, sem autoridade certificadora para babá, sem negociação obscura de cifra. Duas chaves públicas, dois endpoints, uma linha allowed-IPs, e o túnel está no ar. O arquivo de configuração é curto o suficiente para commitar em um repo git sem constrangimento.
Operacionalmente recomendamos WireGuard para: privacidade de navegação pessoal, acesso remoto a redes domésticas ou de escritório, links seguros entre VPSes em regiões diferentes, e setups split-tunnel em que apenas destinos específicos transitam pelo VPN. A página de caso de uso e o guia passo a passo cobrem a carteira de padrões comuns.
As páginas que se apoiam neste termo.
As perguntas que as pessoas realmente fazem.
Como o WireGuard difere do OpenVPN?
WireGuard roda em kernel space, usa uma suite criptográfica moderna fixa e tem uma base de código cerca de dez vezes menor que o OpenVPN. O resultado prático é throughput que satura um link gigabit com CPU modesta, latência de handshake de único-dígito-milissegundo e um arquivo de configuração que você consegue ler em uma sentada. OpenVPN continua útil para ambientes que exigem PKI baseada em certificado ou fallback TCP via porta 443; WireGuard vence em desempenho bruto, superfície de auditoria e simplicidade operacional.
WireGuard é privado?
WireGuard cifra e autentica todo tráfego entre peers usando criptografia moderna (Curve25519 para troca de chaves, ChaCha20-Poly1305 para o canal de dados). Um observador passivo no fio só vê pacotes UDP entre dois IPs e não consegue ler o conteúdo. WireGuard, contudo, não esconde que dois peers específicos estão conversando; tooling como obfsproxy ou Tor é necessário para essa camada de privacidade.
Posso rodar meu próprio servidor WireGuard em um VPS NordBastion?
Sim — esse é um dos casos de uso mais populares para planos de VPS tier de entrada no site. Um nó de 1 GB RAM e único vCPU termina WireGuard confortavelmente para uma equipe pequena ou um domicílio. O guia passo a passo leva cerca de quinze minutos de "acabei de receber minha senha root" a "meu celular está navegando pelo VPS".
WireGuard funciona em mobile?
Sim. Apps oficiais do WireGuard são publicados para iOS e Android, ambos bem mantidos e livres de trackers. O comportamento de roaming — manter o túnel vivo através de transições Wi-Fi/celular e mudanças de IP — é uma das propriedades de destaque do protocolo e funciona essencialmente de forma transparente em celulares modernos.