Por que rodar sua própria VPN WireGuard
Uma VPN comercial exige que você confie em uma empresa que não pode ser auditada. Você paga, roteia todo o seu tráfego pelos servidores deles e acredita na palavra deles de que não guardam registros. Uma VPN auto-hospedada inverte essa lógica: você aluga um servidor, instala a VPN por conta própria, e a única parte que pode ver seu tráfego é você mesmo. Não há provedor no meio para registrá-lo, vendê-lo ou entregá-lo a autoridades.
O WireGuard é o que torna isso viável. É um protocolo VPN moderno — pequeno, rápido e simples — com algumas milhares de linhas de código em vez das centenas de milhares dos stacks mais antigos, o que facilita a auditoria e dificulta erros de configuração graves. Em um VPS modesto, ele satura a conexão com uso mínimo de CPU. Combinado com um VPS offshore e sem KYC, um túnel WireGuard auto-hospedado oferece um ponto de saída privado que pertence só a você — e este guia constrói um do zero.
O que você precisa
A configuração completa exige apenas um servidor e cerca de quinze minutos:
- Um VPS. Até o plano mais básico é suficiente — o WireGuard é extremamente leve. Escolha a jurisdição de onde você quer que seu tráfego pareça originar. Um VPS da ServPrivacy a partir de $7,50/mês com acesso root completo é mais do que o necessário.
- Uma instalação Linux limpa. Qualquer versão recente de Debian ou Ubuntu funciona bem; os comandos abaixo pressupõem uma dessas distribuições. Outras distribuições diferem apenas na etapa de instalação do pacote.
- Acesso root ou sudo e alguns minutos na linha de comando.
Você não precisa de domínio, painel de controle nem de nenhum software VPN de terceiros. O WireGuard já está integrado ao kernel moderno do Linux.
Etapa 1 — Instalar o WireGuard no servidor
Conecte-se ao seu VPS via SSH e instale as ferramentas do WireGuard. No Debian ou Ubuntu, isso é feito com um único comando: apt update && apt install -y wireguard. O módulo do kernel já está presente em qualquer kernel moderno, portanto este comando instala apenas as ferramentas de espaço de usuário — wg e wg-quick — que você usa para gerenciar os túneis.
Isso é toda a instalação. Não há daemon separado para configurar, nenhuma conta para criar e nada extra para manter atualizado além das atualizações normais do sistema.
Etapa 2 — Gerar as chaves e escrever a configuração do servidor
O WireGuard autentica os peers com criptografia de chave pública, portanto a primeira tarefa é criar um par de chaves para o servidor. Gere um com wg genkey | tee server_private.key | wg pubkey > server_public.key. A chave privada permanece no servidor e nunca é compartilhada; a chave pública será fornecida a cada cliente.
Em seguida, crie a configuração do túnel em /etc/wireguard/wg0.conf. A seção do servidor define o intervalo de endereços privados do túnel, a porta em que o WireGuard escuta (51820 por padrão) e a chave privada do servidor. Cada dispositivo que você conectar posteriormente é adicionado como um bloco [Peer] contendo a chave pública daquele cliente e seu endereço dentro do túnel. Mantenha o arquivo legível apenas pelo root — ele contém a chave privada do servidor.
A configuração é deliberadamente curta. Uma configuração de servidor funcional tem bem menos de vinte linhas, o que é parte do motivo pelo qual o WireGuard é difícil de configurar de forma perigosamente errada.
Etapa 3 — Habilitar o encaminhamento e abrir a porta
Para que a VPN roteie seu tráfego para a internet, o servidor precisa encaminhar pacotes. Habilite o encaminhamento de IP definindo net.ipv4.ip_forward=1 em /etc/sysctl.conf e aplicando com sysctl -p. A configuração do túnel também precisa de uma regra de firewall que mascare o tráfego de saída para que ele saia com o endereço do próprio servidor — isso é normalmente adicionado como uma linha PostUp no wg0.conf para ser aplicado automaticamente quando o túnel iniciar.
Em seguida, certifique-se de que a porta do WireGuard seja acessível. Se o VPS usa um firewall, permita UDP na porta escolhida (51820 por padrão). O WireGuard usa apenas UDP e — o que é útil para a privacidade — não responde a pacotes não solicitados, portanto um escaneamento de portas sequer consegue confirmar que o serviço está ali.
Suba o túnel com wg-quick up wg0 e habilite-o na inicialização com systemctl enable [redacted-user]@[redacted-host]. O lado do servidor está agora ativo.
Etapa 4 — Adicionar um cliente e conectar
Cada dispositivo que usa a VPN — um notebook, um celular — precisa do seu próprio par de chaves e de uma pequena configuração de cliente. Gere um par de chaves para o cliente exatamente como para o servidor, depois escreva uma configuração de cliente contendo a chave privada do cliente, seu endereço no túnel, a chave pública do servidor, o IP público e a porta do servidor como Endpoint, e um AllowedIPs igual a [redacted-ip]/0 para que todo o tráfego seja roteado pelo túnel.
Adicione o bloco [Peer] correspondente — com a chave pública do cliente — ao wg0.conf do servidor e recarregue. No cliente, instale o aplicativo WireGuard (disponível para todas as plataformas desktop e mobile), importe a configuração — a maioria dos aplicativos aceita um QR code, a forma mais prática para celulares — e ative o túnel. Em segundos, o tráfego do seu dispositivo passará a sair pelo seu VPS. Confirme verificando seu endereço IP público: ele deverá ser o do servidor.
Etapa 5 — Reforçar a segurança e manter
Um túnel funcional já resolve a maior parte; alguns ajustes finais deixam tudo sólido:
- Proteja o SSH. Use login por chave, desative a autenticação por senha e considere mover o SSH da porta 22. A VPN é tão privada quanto o servidor em que roda.
- Mantenha o sistema atualizado. O WireGuard em si precisa de pouca atenção, mas o OS subjacente deve receber atualizações de segurança — ative as atualizações automáticas.
- Um par de chaves por dispositivo. Nunca compartilhe uma única configuração de cliente entre dispositivos. Se um dispositivo for perdido, você remove apenas o bloco de peer correspondente em vez de recriar todas as chaves.
- Defina DNS na configuração do cliente. Aponte o cliente para um resolver que respeite a privacidade para que as consultas DNS também passem pelo túnel, em vez de vazarem para a rede local.
- Confie nos padrões de registro. O WireGuard não armazena nada sobre o tráfego que transporta; simplesmente não há nada registrado sobre o que passa por ele, portanto não há nada extra para desativar.
Mantido dessa forma, o servidor exige praticamente nenhuma atenção contínua — o WireGuard é quase uma configuração única e definitiva.
Quando uma VPN auto-hospedada é a escolha certa
Uma VPN WireGuard auto-hospedada é a escolha certa quando você quer um ponto de saída privado que responda somente a você — para proteger sua conexão em redes não confiáveis, para manter sua navegação longe do provedor de internet, ou para aparecer como originário de uma jurisdição específica. Como é o seu servidor, não há endereço IP compartilhado com milhares de desconhecidos e nenhuma política de registros de provedor para acreditar na palavra deles.
Vale deixar claro o que isso não faz: uma VPN com um único servidor oferece privacidade em relação ao seu provedor de internet e aos sites que você visita, mas o provedor do VPS poderia, em princípio, observar o tráfego na saída. É exatamente por isso que a escolha do host importa — um VPS offshore, sem KYC e sem registros significa que o próprio ponto de saída é mantido por um provedor que não coletou nenhuma identidade e não guarda nenhum registro. WireGuard auto-hospedado mais o VPS certo é, para a maioria das pessoas, a configuração de privacidade mais honesta disponível: nenhuma confiança necessária além da infraestrutura que você controla.