[Início](https://servprivacy.com/pt) /
[Guias de Hospedagem com Privacidade](https://servprivacy.com/pt/guides) /
VPN Auto-Hospedada em VPS Sem KYC: WireGuard vs OpenVPN






Operações


# VPN Auto-Hospedada em VPS Sem KYC: WireGuard vs OpenVPN



Um VPS com 30 dias de vida em uma jurisdição amigável, pago em cripto, com WireGuard ou OpenVPN por cima — e você controla o limite de confiança. Veja como escolher entre os dois e o que endurecer.


[Read the guide](#guide-body)
[Perguntas frequentes](#guide-faq)






#### On this page




- [Guide](#guide-body)

- [Perguntas frequentes](#guide-faq)

- [Related guides](#guide-related)

- [Recommended pages](#guide-cta)






Sem KYC
Somente Cripto
Sem Logs
DMCA ignorado
Root Completo
NVMe SSD





11 min de leitura
Atualizado em May 2026

On this page

[01Por que auto-hospedar em vez de usar uma VPN comercial?](#por-que-auto-hospedar-em-vez-de-usar-uma-vpn-comercial)
[02WireGuard vs OpenVPN: comparação em nível de protocolo](#wireguard-vs-openvpn-comparação-em-nível-de-protocolo)
[03Quando o OpenVPN ainda é a escolha certa](#quando-o-openvpn-ainda-é-a-escolha-certa)
[04Quando o WireGuard é a escolha certa](#quando-o-wireguard-é-a-escolha-certa)
[05Armadilhas de configuração que pegam as pessoas](#armadilhas-de-configuração-que-pegam-as-pessoas)
[06Escolhendo o VPS certo para o trabalho](#escolhendo-o-vps-certo-para-o-trabalho)
[07Higiene operacional](#higiene-operacional)
[FAQPerguntas frequentes](#guide-faq)
[→Recommended pages](#guide-cta)







Uma VPN auto-hospedada em um VPS sem KYC em um país favorável à privacidade é uma das melhorias de privacidade mais rentáveis que você pode fazer em 2026. Por menos de $10 por mês você substitui um provedor comercial de VPN — cuja política de não-logs você precisa aceitar na fé — por uma configuração onde o limite de confiança é seu. Os dois protocolos que vale a pena executar hoje são WireGuard e OpenVPN. Eles parecem intercambiáveis em uma página de marketing; não são. Este guia analisa as diferenças reais, os detalhes de configuração que importam e a higiene operacional que mantém a máquina útil por anos.

## Por que auto-hospedar em vez de usar uma VPN comercial?

### O limite de confiança se move para você

Um provedor comercial de VPN vê cada site que você visita. A política de privacidade deles é uma promessa — auditável apenas no sentido mais frouxo, mesmo com auditorias públicas de não-logs. Quando você auto-hospeda, a única entidade que vê seu tráfego na camada VPN é você. O host sabe que o IP existe e que o tráfego flui; o que está dentro do túnel é opaco para eles.

### Sem KYC, sem reputação ruim de IP compartilhado

IPs de saída de VPN comercial são continuamente bloqueados. A partir de 2026, os ranges de IP da maioria dos grandes provedores estão sinalizados pelo Cloudflare, captchas do Google, sistemas antifraude de serviços financeiros e geobloqueios de streaming. Um endpoint auto-hospedado em um IP de datacenter novo e sem histórico raramente atinge nenhum desses — até você abusar dele, quando o IP se torna queimado e você sobe um novo.

### Custo

VPN comercial: $5–$13 por mês por usuário. Auto-hospedado em VPS de 1 GB / 1 vCPU: $5–$8 por mês, suportando uma casa inteira e facilmente atingindo 200 Mbps no WireGuard. O ponto de cruzamento está em um usuário.

### O que você abre mão

Seleção de saída em múltiplos países. Uma VPN comercial oferece 50+ países de saída com um clique; auto-hospedar oferece exatamente o país do seu VPS. A solução é subir dois ou três servidores em jurisdições diferentes — ainda mais barato que o comercial.

WireGuard prioriza simplicidade e velocidade do kernel; OpenVPN prioriza maturidade e flexibilidade de ofuscação.

## WireGuard vs OpenVPN: comparação em nível de protocolo

### WireGuard em resumo

WireGuard é um protocolo VPN moderno projetado por Jason Donenfeld, incorporado ao kernel Linux em março de 2020. Base de código: cerca de 4.000 linhas de C (versus ~70.000 para OpenVPN). Roda no kernel space no Linux, que é a maior parte da vantagem de velocidade. A criptografia é fixa: ChaCha20-Poly1305 para simétrica, Curve25519 para troca de chaves, BLAKE2s para hashing, sem negociação de algoritmo. A configuração é um arquivo de texto de 4 a 10 linhas.

### OpenVPN em resumo

OpenVPN é o padrão estabelecido, em produção desde 2001. Roda no user space, usa OpenSSL ou mbedTLS para criptografia, suporta uma ampla gama de cifras e métodos de autenticação, e é configurável a ponto de ser excessivo. Suporte nativo para transporte TCP (essencial para algumas redes restritas onde UDP é bloqueado), autenticação de cliente baseada em TLS via certificados e autenticação plugável PAM/RADIUS. Ferramentas maduras, fácil de scriptar, gotchas operacionais bem documentados.

### Lado a lado

| Dimensão | WireGuard | OpenVPN |
| --- | --- | --- |
| Tamanho do código | ~4.000 linhas | ~70.000 linhas + OpenSSL |
| Throughput em link de 1 Gbps | ~95% da taxa de linha (~940 Mbps) | ~50–70% da taxa de linha (500–700 Mbps) |
| Tempo de handshake | ~1 RTT | ~6 RTTs |
| Porta UDP padrão | 51820 | 1194 |
| Fallback TCP | Não (use udp2raw ou wstunnel) | Sim, nativo |
| Agilidade criptográfica | Nenhuma (suite fixa) | Completa |
| Impacto na bateria mobile | Baixo (kernel + amigável ao roaming) | Moderado |
| Ofuscação | Externa (udp2raw, awg) | obfsproxy, stunnel, tls-crypt-v2 |
| Superfície de auditoria | Pequena, formalmente verificada | Grande, bem revisada |
| Maturidade operacional | Sólida desde 2021 | Sólida desde ~2008 |

### Os números de throughput, explicados

Em um VPS de $10 com um único vCPU e um link compartilhado de 1 Gbps, o WireGuard vai saturar o link até você atingir o limitador de banda do host ou o gargalo de CPU da pilha de rede no userspace — tipicamente 800–940 Mbps em 2026. O OpenVPN no mesmo hardware vai estabilizar em torno de 500–650 Mbps por causa do overhead do TLS e o custo de troca de contexto no userspace. Para uma casa transmitindo 4K, ambos são mais que suficientes. Para um dev puxando imagens de container de múltiplos gigabytes pelo túnel, o WireGuard economiza tempo real.

**Veredicto de desempenho:** WireGuard vence em velocidade por larga margem. O menor throughput do OpenVPN raramente é o gargalo na prática, mas é uma diferença real e mensurável.

## Quando o OpenVPN ainda é a escolha certa

### Redes restritas que bloqueiam UDP

Redes de hotéis, universidades e corporativas que descartam tráfego UDP quebram o WireGuard limpo. OpenVPN sobre TCP/443 é indistinguível de HTTPS no L4 e passa. O WireGuard pode ser tunelado sobre TCP usando udp2raw ou wstunnel, mas isso é uma peça móvel adicional e desfaz parte da simplicidade do WireGuard.

### Necessidades pesadas de ofuscação

Se você precisar de proteção contra sondagem ativa em um país com bloqueio de VPN baseado em inspeção profunda de pacotes — o Grande Firewall da China, Irã, a aplicação recente da Rússia contra os principais protocolos VPN — o OpenVPN com stunnel ou obfs4 tem um histórico mais longo. A solução do WireGuard ([AmneziaWG](https://github.com/amnezia-vpn/amneziawg-go) sendo o fork ofuscado mais ativamente desenvolvido) funciona, mas o ecossistema é mais jovem.

### Autenticação granular por usuário

Se você estiver executando uma VPN para uma pequena equipe e precisar revogar usuários individualmente, o modelo PKI do OpenVPN (cada usuário recebe um certificado, revogação via CRL) é mais ergonômico do que a abordagem "editar a config e recarregar" do WireGuard.

## Quando o WireGuard é a escolha certa

Para quase todo o resto: VPN pessoal, VPN doméstica, VPN mobile com troca frequente de rede, túneis sensíveis ao desempenho, dispositivos de baixo consumo e qualquer configuração onde a simplicidade reduz o risco operacional. A config de 4 linhas significa que a superfície para erros de configuração é minúscula — uma causa comum de vazamentos de privacidade no OpenVPN é deixar a compressão ativada (CRIME) ou usar cifras desatualizadas porque a config é intimidadora.

### Clientes mobile

O comportamento de roaming do WireGuard — reestabelecendo silenciosamente o túnel quando a rede subjacente muda — é dramaticamente mais suave do que o do OpenVPN, onde as reconexões frequentemente interrompem os apps. No mobile, a diferença no impacto da bateria também é real: a eficiência em nível de kernel do WireGuard economiza pontos percentuais mensuráveis de bateria diária em um telefone com VPN sempre ativa.

## Armadilhas de configuração que pegam as pessoas

### Ajuste de MTU

Ambos os protocolos adicionam overhead a cada pacote (cerca de 60 bytes para WireGuard, mais para OpenVPN). Se o MTU da rede subjacente for 1500 e o MTU interno permanecer em 1500, pacotes grandes ficam fragmentados ou descartados — o sintoma é "coisas pequenas funcionam, transferências grandes travam". Corrija no servidor VPS: iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu. O WireGuard é parcialmente autossuficiente, mas cenários TCP-sobre-UDP-sobre-TCP ainda podem ser problemáticos.

### Abuso da porta 25 e o problema de reputação de spam

A maioria dos hosts respeitáveis bloqueia o TCP/25 de saída (SMTP) por padrão — sem ele, um VPS comprometido se torna um relay de spam em horas. A partir de 2026, virtualmente todos os provedores de VPS offshore bloqueiam a porta 25 em IPs compartilhados. Não tente contornar isso; se você genuinamente precisar de SMTP, solicite um IP de reputação estático e aceite o onboarding mais longo. Execute seu endpoint VPN no IP padrão e seu servidor de e-mail em outro lugar.

### Reputação do ASN

ASNs de datacenter ficam progressivamente mais pressionados por captchas do Cloudflare, Google e da maioria dos sistemas antifraude. ASNs de datacenter offshore boutique (ranges de IP pequenos/médios na Islândia, Moldávia, Panamá) frequentemente têm reputação mais limpa do que os ASNs de nuvem de consumo gigante. Escolha o host adequadamente. Para mais sobre isso, veja o [caso de uso de hospedagem VPN](https://servprivacy.com/pt/use-cases/vpn-hosting).

### Killswitch — PostUp/PostDown

Um killswitch garante que, se o túnel VPN cair, o dispositivo pare de enviar tráfego em vez de vazar ao redor dele. O WireGuard implementa isso de forma elegante com hooks PostUp/PreDown na config — o padrão canônico é PostUp = iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT. O equivalente no OpenVPN são os scripts --route-up e --down-pre. Teste o killswitch encerrando manualmente o processo VPN e observando se o tráfego ainda flui; se fluir, o killswitch não está engajado.

### Vazamentos de DNS

Ambos os protocolos transportam tráfego IP; nenhum automaticamente roteia DNS pelo túnel. Configure o cliente VPN para usar um servidor DNS acessível apenas pelo túnel (geralmente o próprio VPS executando unbound ou dnscrypt-proxy). No Linux, instale a integração do resolvconf ou use o systemd-resolved com o escopo correto. Teste com [dnsleaktest.com](https://dnsleaktest.com) após cada atualização maior do SO ou cliente.

### Vazamentos de IPv6

Se seu cliente tem IPv6 e a VPN só transporta IPv4, o tráfego IPv6 contorna o túnel e expõe seu IP real. Ou desative o IPv6 no nível do dispositivo, ou estenda a config da VPN para tratar IPv6 dentro do túnel. O WireGuard suporta túneis dual-stack de forma limpa; o OpenVPN também, com a config de servidor correta.

## Escolhendo o VPS certo para o trabalho

Para uma VPN auto-hospedada pessoal ou doméstica, o piso de especificações é baixo: 1 GB de RAM, 1 vCPU, 20 GB de disco e a capacidade de rede para corresponder à velocidade de túnel que você deseja. O WireGuard mal usa CPU; o OpenVPN se beneficia de um core extra se você estiver empurrando mais de 500 Mbps. Escolha o país primeiro usando o [guia de jurisdições](https://servprivacy.com/pt/guides/choosing-an-offshore-jurisdiction), depois dimensione a máquina. [Veja os planos VPS](https://servprivacy.com/pt/vps) para opções de entrada abaixo de $10 por mês em sete jurisdições, e leia o [caso de uso de hospedagem VPN](https://servprivacy.com/pt/use-cases/vpn-hosting) para notas específicas de configuração.

**Recomendação padrão para 2026:** WireGuard, em um VPS de 1 GB na Islândia ou Romênia, com uma config de cliente de 4 linhas e um hook de killswitch. Suba uma segunda máquina em um país diferente se precisar de uma segunda saída. Mude para OpenVPN apenas quando tiver uma razão específica — redes restritas, autenticação granular ou requisitos de ofuscação profunda.

## Higiene operacional


- **Rotacione a máquina a cada 6 a 12 meses.** IPs de datacenter acumulam bagagem. Um novo VPS com um IP novo custa $9 e leva 10 minutos — mais barato do que lutar contra captchas.

- **Desative SSH com senha.** Apenas chave, fail2ban ou sshguard, opcionalmente uma porta diferente de 22 para reduzir ruído nos logs.

- **Execute unattended-upgrades.** Um host VPN que está um ano atrasado em patches do kernel é mais perigoso do que não ter VPN.

- **Monitore o tráfego, não o conteúdo.** Uma instalação simples do vnstat te avisa quando algo está errado — saturação repentina do uplink geralmente significa que a máquina está sendo abusada.

- **Pague em cripto, sem KYC no cadastro.** O [guia de pagamentos cripto](https://servprivacy.com/pt/guides/crypto-payments-monero-vs-bitcoin-vs-usdt) cobre o que o host aprende sobre você por escolha de moeda.





Perguntas frequentes

## FAQ de VPN auto-hospedada





### 01
O WireGuard é mais seguro que o OpenVPN em 2026?



Em configurações de qualidade equivalente, a resposta é sim, marginalmente — a pequena base de código do WireGuard (cerca de 4.000 linhas vs 70.000+ do OpenVPN mais OpenSSL) é mais fácil de auditar, e sua suite criptográfica fixa (ChaCha20-Poly1305, Curve25519) elimina os ataques de negociação de algoritmo que historicamente atingiram protocolos estilo OpenVPN. A maior diferença de segurança no mundo real é a má configuração: a config de 4 linhas do WireGuard é difícil de errar, enquanto as configs do OpenVPN acumulam opções legadas (compressão, cifras fracas) que causaram múltiplos vazamentos de privacidade em produção. Para uma VPN pessoal, opte por WireGuard.





### 02
O WireGuard vai funcionar em uma rede restrita que bloqueia tráfego VPN?



Por padrão, muitas vezes não. O WireGuard usa uma única porta UDP (padrão 51820) e é reconhecível pela inspeção profunda de pacotes. Redes que bloqueiam UDP completamente vão quebrá-lo; redes que fazem DPI para assinaturas de VPN vão detectá-lo. Soluções: tunelar o WireGuard sobre TCP/443 usando udp2raw ou wstunnel; usar AmneziaWG, um fork ofuscado do WireGuard mantido ativamente; ou recorrer ao OpenVPN sobre TCP/443 com stunnel, que tem um histórico muito mais longo em redes hostis. Para a maioria das redes domésticas, de hotéis e cafés, o WireGuard básico funciona bem.





### 03
Quanto custa uma VPN auto-hospedada em comparação com uma VPN comercial?



Auto-hospedado em um VPS de 1 GB em uma jurisdição offshore é $5 a $9 por mês em 2026. Uma VPN comercial varia de $3 (promoções anuais na ponta barata) a $13 por usuário por mês. O ponto de cruzamento onde o auto-hospedado fica mais barato é em um ou dois usuários, dependendo das promoções que você conseguiria de outra forma. O auto-hospedado também vence em confiança (você controla o limite de confiança), reputação de IP (um IP de datacenter novo geralmente tem comportamento de captcha mais limpo do que uma saída comercial muito compartilhada) e KYC (um VPS sem KYC mais pagamento cripto não deixa ligação com sua identidade).





### 04
Qual especificação de VPS preciso para uma VPN auto-hospedada doméstica?



1 GB de RAM, 1 vCPU, 20 GB de disco e capacidade de rede suficiente para corresponder à velocidade de túnel que você deseja. O custo de CPU do WireGuard é ínfimo — mesmo um plano de 1 vCPU de baixo custo consegue empurrar 500+ Mbps confortavelmente. O OpenVPN se beneficia de um core extra se você estiver saturando um uplink de 500+ Mbps. A maioria dos provedores de VPS offshore em 2026 oferece essa configuração por $5 a $9 por mês. Escolha o país primeiro com base no guia de jurisdições, depois o menor plano que atinge sua meta de banda.





### 05
Por que minha VPN auto-hospedada de repente enfrenta captchas em todo lugar?



A reputação do IP do seu range de datacenter degradou — quase sempre por causa de como os locatários anteriores daquele IP se comportaram, mais a pressão geral anti-bot sobre ASNs de datacenter. Cloudflare, Google e a maioria dos grandes sistemas antifraude tratam IPs de datacenter como inerentemente menos confiáveis do que os residenciais, e o score de confiança muda continuamente. Soluções: rotacionar para um novo VPS no mesmo host (muitas vezes consegue um IP novo), escolher um host com ranges de IP menores e menos compartilhados (provedores offshore boutique geralmente superam as grandes nuvens aqui) ou combinar a VPN com uma saída residencial para a minoria de sites com captcha que você realmente precisa usar.





### 06
Meu provedor de hospedagem pode ver meu tráfego se eu executar minha própria VPN?



Eles podem ver que seu VPS existe, que o tráfego entra e sai, o volume desse tráfego e os IPs de destino de qualquer tráfego que sai do VPS sem ser tunelado. Eles não conseguem ver o que está dentro do túnel — esse é o ponto inteiro da criptografia. Eles também não conseguem ver, de nenhuma forma praticamente utilizável, qual cliente é a origem de qual fluxo de saída se vários clientes estão usando a mesma saída. O host ainda está em posição de apreender a máquina e ler a RAM, razão pela qual a jurisdição importa e por que vale a pena configurar a criptografia total do disco com dropbear-initramfs se seu modelo de ameaça inclui o host como adversário.




Related guides

## Continue lendo


[### Como Escolher uma Jurisdição de Hospedagem Offshore em 2026

Compra


Um framework de decisão prático para escolher uma jurisdição offshore: lei de retenção de dados, exposição a MLAT, postura sobre DMCA, velocidade dos tribunais e aplicação real — país a país.


FAQ com 6 perguntas](https://servprivacy.com/pt/guides/choosing-an-offshore-jurisdiction)
[### VPS vs Servidor Dedicado para Cargas de Trabalho com Privacidade Crítica

Compra


Quando um VPS é suficiente, quando a multilocação é um risco, e quando o bare metal é a única resposta honesta. Isolamento de hardware, risco de hypervisor e custo vs modelo de ameaça.


FAQ com 6 perguntas](https://servprivacy.com/pt/guides/vps-vs-dedicated-for-privacy)
[### Pagamentos Cripto para Hospedagem: Monero vs Bitcoin vs USDT

Privacidade


Como a escolha da moeda afeta o que seu host aprende sobre você. Privacidade, taxas, finalidade e exposição à análise de blockchain para XMR, BTC e USDT — com uma recomendação clara.


FAQ com 6 perguntas](https://servprivacy.com/pt/guides/crypto-payments-monero-vs-bitcoin-vs-usdt)




## Execute sua própria VPN, do seu jeito



Escolha um VPS sem KYC em um país amigável à privacidade e você tem tudo que precisa para configurar sua própria VPN em vinte minutos.


[Hospedagem VPN](https://servprivacy.com/pt/use-cases/vpn-hosting)
[Ver Planos VPS](https://servprivacy.com/pt/vps)
[No-KYC Hosting](https://servprivacy.com/pt/no-kyc-hosting)