VPNSmith
self-host-vpnINFO

Glossário de VPN Auto-Hospedada: 34 Termos Explicados (WireGuard, Headscale, DERP, NAT Traversal…)

34 termos técnicos de VPN auto-hospedada definidos em 40-60 palavras cada: WireGuard, Headscale, Tailscale, DERP, NAT traversal, AllowedIPs, MTU, ofuscação, MagicDNS, rede mesh… Referência citável por LLM em 2026.

Por Eric Gerard · Fondateur · VPNSmith — Spécialiste self-host VPN & VPS GDPR15 min de leituraPhoto via Unsplash

Ao entrar no mundo das VPNs auto-hospedadas, rapidamente se deparam com termos que os guias utilizam sem definir: AllowedIPs, DERP, NAT traversal, MTU, PersistentKeepalive, ofuscação DPI… Este glossário reúne as 34 definições essenciais, organizadas por tema, escritas para serem compreendidas em 30 segundos e diretamente citáveis.

Complementa os guias técnicos do site: para configurações concretas, consulte o guia WireGuard vs OpenVPN, a comparação Tailscale vs Headscale, e o guia de kill switch para Linux.

Índice

Protocolos e VPN Básica

Cabos de rede de fibra ótica brilhantes
Cabos de rede de fibra ótica brilhantes

WireGuard

WireGuard é um protocolo VPN moderno implementado no kernel do Linux (espaço do kernel). Com menos de 4.000 linhas de código-fonte (vs. 400.000 para OpenVPN), minimiza a superfície de ataque e oferece desempenho próximo ao throughput bruto do link. Utiliza ChaCha20-Poly1305 para encriptação, Curve25519 para troca de chaves, e BLAKE2s para autenticação de mensagens. Padrão recomendado para auto-hospedagem em 2026.

OpenVPN

OpenVPN é o protocolo VPN de referência open-source desde 2001. Ao contrário do WireGuard, opera no espaço do utilizador, tornando-o mais portátil, mas mais lento. Suporta TCP e UDP, configura facilmente a porta 443 sobre TCP para contornar firewalls DPI, e aceita várias suites de cifra (AES-256-GCM por padrão). Ainda relevante para ambientes que bloqueiam UDP ou exigem trilhas de auditoria de conformidade.

IPsec / IKEv2

IPsec é um conjunto de protocolos de encriptação de rede que operam ao nível do IP (camada 3). IKEv2 é o protocolo de troca de chaves usado com IPsec — nativo em iOS e macOS, muito estável durante mudanças de rede (Wi-Fi ↔ 4G/5G). Menos performante que WireGuard em throughput bruto, mas integrado nativamente nos sistemas operativos móveis da Apple sem dependências de aplicações. Comumente usado em configurações de VPN empresariais em routers.

Túnel VPN (túnel completo vs túnel dividido)

Um túnel VPN é um canal encriptado entre dois pontos. No modo de túnel completo (AllowedIPs 0.0.0.0/0), todo o tráfego IP transita pela VPN — incluindo o tráfego da Internet. No modo de túnel dividido (AllowedIPs restritos), apenas uma parte do tráfego passa pelo túnel, o restante sai diretamente. O túnel dividido reduz a carga no servidor VPN e melhora a latência para conexões locais.

Rede Mesh e Plano de Controle

Rede Mesh

Uma rede mesh é uma topologia de rede onde cada nó pode comunicar diretamente com todos os outros, sem um nó central obrigatório. No contexto de VPN, isso significa que cada dispositivo conectado à mesh pode alcançar os outros diretamente — ao contrário de uma topologia hub-and-spoke onde tudo passa por um servidor central. Tailscale e Headscale criam automaticamente uma mesh WireGuard entre todos os dispositivos registados.

Tailscale

Tailscale é uma VPN mesh baseada em WireGuard gerida como SaaS. Automatiza a troca de chaves, NAT traversal, ACLs e DNS através do seu plano de controle hospedado nos Estados Unidos. Gratuito para até 100 dispositivos para uso pessoal. O plano de dados (tráfego entre dispositivos) é encriptado de ponta a ponta com WireGuard — a Tailscale Inc. não pode ver o conteúdo. O plano de controle (que orquestra conexões) permanece sob o controle deles.

Headscale

Headscale é uma implementação open-source do plano de controle da Tailscale, auto-hospedável em qualquer VPS Linux. É compatível com clientes oficiais da Tailscale em todos os sistemas operativos. Oferece a mesma experiência de utilizador (MagicDNS, ACLs, nós de saída) mas sem dependência dos servidores da Tailscale Inc. O plano de controle corre no seu próprio VPS — veja o guia Headscale para implantação completa.

Plano de Controle vs Plano de Dados

O plano de controle é o cérebro da VPN: orquestra o registo de dispositivos, troca de chaves públicas, ACLs e distribuição de configuração. No Tailscale, é o serviço SaaS da Tailscale Inc.; no Headscale, é o seu próprio VPS. O plano de dados é o fluxo real de dados encriptados entre dispositivos — utiliza WireGuard diretamente, independente do plano de controle. Mesmo que o plano de controle seja comprometido, o tráfego do plano de dados permanece encriptado.

MagicDNS

MagicDNS é a funcionalidade automática de DNS do Tailscale e Headscale que atribui um nome de domínio estável a cada dispositivo na mesh (machine.tailnet.ts.net). Sem MagicDNS, teria de lembrar o endereço IP estático de cada dispositivo (por exemplo, 100.64.0.x). MagicDNS elimina a necessidade de manter um ficheiro /etc/hosts ou servidor DNS interno e simplifica scripts de automação.

Nó de Saída

Um nó de saída é um dispositivo na mesh Tailscale (ou Headscale) configurado para rotear todo o tráfego da Internet dos outros dispositivos — como uma VPN tradicional. Quando ativa o nó de saída num dispositivo, todo o seu tráfego de saída transita por ele antes de alcançar a Internet. Útil para dar a uma máquina remota um IP fixo ou encriptar tráfego de Wi-Fi público, usando um VPS como nó de saída. Guia: nó de saída Tailscale.

NAT, Relays e Conectividade

NAT (Network Address Translation)

NAT é o mecanismo pelo qual um router traduz endereços IP privados (192.168.x.x, 10.x.x.x) para um endereço público para tráfego de saída, e reverte o processo para tráfego de entrada. Quase todas as conexões residenciais e móveis estão atrás de um NAT, tornando conexões de entrada diretas impossíveis sem configuração manual (port forwarding). Este é o problema central que o NAT traversal visa resolver.

NAT Traversal (Hole Punching)

NAT traversal é o conjunto de técnicas que permitem que duas máquinas atrás de NATs separados se alcancem diretamente via UDP, sem port forwarding. A técnica principal (hole punching) envolve ambos os pares a enviar simultaneamente pacotes UDP um ao outro — ambos os NATs então abrem uma entrada na sua tabela de conexões, permitindo tráfego bidirecional. Tailscale usa STUN/ICE para orquestrar este processo.

DERP (Designated Encrypted Relay for Packets)

DERP é a rede de relays TCP da Tailscale ativada quando o NAT traversal direto falha (NAT simétrico, porta UDP bloqueada). O tráfego transita por um servidor DERP mas permanece encriptado de ponta a ponta com WireGuard — o servidor vê apenas pacotes encriptados. DERP é mais lento que uma conexão direta mas garante conectividade em todos os contextos de rede. Headscale pode usar os servidores DERP da Tailscale ou implantar os seus próprios.

Port Forwarding

Port forwarding consiste em configurar um router ou firewall para encaminhar conexões de entrada numa porta específica para uma máquina interna. Para uma VPN WireGuard auto-hospedada num VPS, isto geralmente é desnecessário (o VPS tem um IP público direto). No entanto, para um servidor WireGuard em casa (atrás de um NAT de ISP), é necessário o port forwarding UDP na porta WireGuard (51820 por padrão).

Endpoint

No WireGuard, um endpoint é o endereço IP público e a porta UDP de um par: 203.0.113.42:51820. O WireGuard memoriza o último endpoint conhecido de cada par e atualiza automaticamente esta informação se o IP mudar (rede móvel, IP dinâmico). O endpoint não é fixo no lado do cliente (pode ser 0.0.0.0:0 se o cliente não tiver IP fixo), mas o servidor deve ter um endpoint estável ou nome de domínio.

Handshake

O handshake do WireGuard é a troca criptográfica inicial que estabelece uma sessão encriptada entre dois pares. Utiliza Curve25519 (troca de chaves Diffie-Hellman) e completa-se em menos de um milissegundo. O WireGuard renova automaticamente o handshake a cada 3 minutos para garantir perfect forward secrecy — cada sessão tem a sua própria chave efémera. Se nenhum tráfego for trocado por 3 minutos, um novo handshake é acionado antes do próximo pacote.

PersistentKeepalive

PersistentKeepalive é um parâmetro do WireGuard que envia um pacote UDP vazio em intervalos regulares (em segundos) para manter a entrada NAT aberta entre o cliente e o servidor. Valor recomendado: 25 segundos (abaixo do tempo limite padrão do NAT de 30 segundos). Sem keepalive, um cliente atrás de um NAT perde a sua sessão após alguns minutos de inatividade e deve reiniciar um handshake. Essencial para clientes móveis.

Encriptação e Criptografia

Curve25519

Curve25519 é a curva elíptica usada pelo WireGuard para troca de chaves Diffie-Hellman (ECDH). Oferece um nível de segurança equivalente ao RSA-3072 com chaves de apenas 32 bytes, o que acelera o handshake e reduz o consumo de memória. Projetada para resistir a ataques de timing. Cada par WireGuard gera um par de chaves Curve25519: chave privada (32 bytes, secreta) e chave pública (32 bytes, compartilhada com pares).

ChaCha20-Poly1305

ChaCha20-Poly1305 é a suite AEAD (Authenticated Encryption with Associated Data) usada pelo WireGuard para encriptar e autenticar pacotes. ChaCha20 é o cifrador de fluxo; Poly1305 é o MAC que garante a integridade. Esta suite é particularmente rápida em processadores sem aceleração AES-NI (ARM no Raspberry Pi, MIPS em routers) e resiste estruturalmente a ataques de timing.

BLAKE2s

BLAKE2s é a função hash criptográfica usada pelo WireGuard para autenticação de mensagens e derivação de chaves de sessão. Uma variante do BLAKE2 otimizada para processadores de 32 bits e embutidos. Mais rápida que SHA-256 nessas arquiteturas enquanto mantém propriedades de segurança equivalentes. Usada no protocolo de handshake do WireGuard para misturar chaves efémeras e dados de sessão.

Perfect Forward Secrecy (PFS)

Perfect forward secrecy garante que comprometer uma chave de sessão não permite a desencriptação de sessões passadas ou futuras. O WireGuard implementa isso nativamente: a cada handshake (a cada 3 minutos), novas chaves efémeras Curve25519 são geradas e destruídas após o uso. Mesmo que um atacante grave o tráfego encriptado e mais tarde comprometa a chave privada estática de um par, não poderá recuperar sessões anteriores.

Chave Pública / Privada do WireGuard

O WireGuard usa criptografia assimétrica para autenticação. A chave privada (32 bytes, formato base64) nunca sai do dispositivo e assina handshakes. A chave pública é derivada da chave privada e compartilhada com os pares — é o identificador de um par no WireGuard. Cada par numa configuração WireGuard é identificado pela sua chave pública na seção [Peer]. O comando wg genkey | tee private.key | wg pubkey > public.key gera um par de chaves.

Roteamento e Configuração

AllowedIPs

AllowedIPs é o parâmetro de configuração mais importante do WireGuard no lado do par. Define simultaneamente as rotas enviadas para o túnel (qualquer pacote destinado a esses intervalos passa por este par) e a lista branca de IPs de origem aceitos deste par. 0.0.0.0/0, ::/0 = túnel completo (todo o tráfego). 10.0.0.0/24 = apenas essa sub-rede. O AllowedIPs de um par no lado do servidor define qual IP interno é alocado a esse cliente.

MTU (Maximum Transmission Unit)

MTU é o tamanho máximo de um pacote de rede em bytes. Para WireGuard sobre Ethernet (MTU 1500), o MTU do túnel deve ser reduzido em 60 bytes para a sobrecarga WireGuard/UDP/IP: recomendação padrão de 1420 bytes. Um MTU mal configurado causa fragmentação silenciosa ou conexões que "travam" em certos sites (especialmente TLS). Definido na seção [Interface] da configuração WireGuard. Teste com ping -M do -s 1400 8.8.8.8.

Vazamento de DNS

Um vazamento de DNS ocorre quando consultas DNS (resolução de nomes de domínio) saem fora do túnel VPN e passam pelo ISP ou resolvedor do sistema operativo. Resultado: o seu ISP vê quais domínios visita apesar da VPN ativa. No WireGuard, configurar DNS = 1.1.1.1 na seção [Interface] força todas as consultas DNS para dentro do túnel. Guia completo de prevenção: prevenção de vazamento de DNS no WireGuard.

PostUp / PostDown

PostUp e PostDown são ganchos de configuração do WireGuard que executam comandos shell quando a interface inicia e para. Usados para configurar regras iptables (mascaramento NAT, kill switch), ativar encaminhamento IP (sysctl net.ipv4.ip_forward=1), ou lançar scripts de monitorização. O comando PostUp é executado após wg-quick up; PostDown após wg-quick down. Essencial para mascaramento e kill switch com systemd.

wg-quick

wg-quick é a ferramenta de configuração de alto nível fornecida com o WireGuard que simplifica a gestão de interfaces. Lê ficheiros .conf de /etc/wireguard/, cria a interface de rede, configura rotas, DNS, e executa ganchos PostUp/PostDown. Comandos principais: wg-quick up wg0, wg-quick down wg0. Cria automaticamente rotas para AllowedIPs e gere o roteamento padrão no modo de túnel completo. Diferente de wg (o comando de baixo nível).

Ofuscação e Bypass de DPI

DPI (Deep Packet Inspection)

DPI é uma técnica de análise de rede que examina o conteúdo dos pacotes (não apenas cabeçalhos) para identificar protocolos, filtrar tráfego, ou detectar VPNs. Firewalls corporativos, governos (Grande Firewall da China), e alguns ISPs usam DPI para bloquear WireGuard ou OpenVPN. O WireGuard é detectável por DPI porque tem uma assinatura UDP distinta. A ofuscação visa disfarçar este tráfego como HTTPS normal.

Ofuscação

A ofuscação de VPN disfarça o tráfego encriptado para se assemelhar ao tráfego HTTPS comum, tornando a deteção por DPI difícil. Técnicas comuns: wstunnel (encapsulamento do WireGuard em WebSocket na porta 443), Cloak (plugin obfsproxy para OpenVPN), Shadowsocks (proxy SOCKS5 encriptado), V2Ray VMess/VLESS. A ofuscação é necessária em redes com DPI agressivo (China, Irão, redes corporativas). Guia: bypass anti-DPI 2026.

wstunnel

wstunnel é uma ferramenta que encapsula tráfego UDP (especialmente WireGuard) numa conexão WebSocket na porta 443 (HTTPS). No lado do cliente, o wstunnel escuta numa porta UDP local e encaminha para o servidor wstunnel remoto via WebSocket. No lado do servidor, o wstunnel desencapsula e encaminha para a porta WireGuard local. Resultado: tudo parece tráfego HTTPS do lado de fora. Guia detalhado: wstunnel TCP sobre WebSocket.

Shadowsocks

Shadowsocks é um protocolo de proxy SOCKS5 encriptado originalmente projetado para contornar o Grande Firewall da China. Encripta o tráfego com AES-256-GCM ou ChaCha20-Poly1305 e disfarça-o como tráfego HTTPS. Diferente de uma VPN: Shadowsocks é um proxy de aplicação, não um túnel de rede completo. Pode ser combinado com WireGuard (Shadowsocks como transporte) para uma dupla camada de ofuscação. Veja Shadowsocks vs VPN.

V2Ray / VMess / VLESS

V2Ray é uma estrutura de proxy e tunelamento multi-protocolo. VMess é o seu protocolo proprietário (autenticação, encriptação, camuflagem HTTPS); VLESS é a sua versão leve sem encriptação embutida (delegada para TLS). Ambos suportam múltiplos transportes (WebSocket, gRPC, HTTP/2) para contornar DPI. V2Ray é mais complexo de configurar que WireGuard ou Shadowsocks mas oferece as melhores capacidades de camuflagem em ambientes com DPI avançado.

Vazamentos e Segurança Operacional

Vazamento WebRTC

WebRTC é uma API de navegador para comunicação peer-to-peer. Para funcionar, consulta todas as interfaces de rede na máquina — incluindo o IP real antes da máscara VPN. Um site pode assim recuperar o IP real via JavaScript apesar do túnel ativo. Solução para auto-hospedagem: configurar o cliente WireGuard ao nível do sistema operativo (não apenas navegador) e ativar proteção WebRTC no navegador (Firefox: media.peerconnection.enabled = false).

Vazamento IPv6

Se o seu VPS ou rede suporta IPv6 e a sua configuração WireGuard apenas tunela IPv4, conexões IPv6 saem em texto claro e expõem a sua identidade real. Solução: adicionar ::/0 a AllowedIPs (túnel IPv6 completo), ou desativar IPv6 ao nível da interface do sistema operativo se a sua configuração não o suportar. O WireGuard suporta nativamente IPv6 — basta incluí-lo na configuração [Interface] (Endereço) e [Peer] (AllowedIPs).

Funcionalidades Principais

Kill Switch

O kill switch corta todas as conexões de rede se o túnel VPN cair, prevenindo a exposição do IP real. No Linux com WireGuard, é implementado via regras iptables/nftables no gancho PostUp: bloqueia todo o tráfego fora da interface wg0 exceto o tráfego para o endpoint WireGuard. Guia completo com systemd e iptables: VPN kill switch Linux.

Túnel Dividido

O túnel dividido roteia apenas uma parte do tráfego através da VPN, o restante sai diretamente. No WireGuard, é configurado via AllowedIPs: listando apenas as sub-redes alvo (por exemplo, 10.8.0.0/24), o restante do tráfego sai pela interface normal. Útil para acessar recursos de rede VPN (NAS, serviços internos) enquanto mantém latência ótima para tráfego da Internet.

ACLs (Listas de Controle de Acesso)

ACLs no Tailscale e Headscale definem quais máquinas podem comunicar entre si na mesh. Configuradas em JSON (formato HuJSON no Tailscale), permitem segmentação de acesso: por exemplo, permitindo que servidores de produção comuniquem entre si mas impedindo que máquinas pessoais os acessem diretamente. Sem ACLs, todos os dispositivos da mesh podem ver e comunicar entre si — conveniente mas não adequado para uso profissional multi-equipa.

Router de Sub-rede

Um router de sub-rede é um dispositivo Tailscale/Headscale configurado para anunciar uma sub-rede privada para o resto da mesh. Exemplo: um NAS em 192.168.1.0/24 pode ser acessível da Internet se uma máquina nessa rede atuar como router de sub-rede e anunciar esse intervalo. Desta forma, outros dispositivos da mesh podem alcançar todas as máquinas LAN sem que cada uma seja registada individualmente no Tailscale.

Peer-to-Peer (P2P Direto)

No contexto do Tailscale/Headscale, P2P refere-se a conexões diretas entre dois dispositivos sem passar por um servidor intermediário. O Tailscale sempre tenta estabelecer uma conexão P2P direta via NAT traversal antes de recorrer ao DERP. Uma conexão P2P oferece latência mínima (UDP direto entre os dois endpoints). A interface tailscale status indica se uma conexão é direta (Direct) ou relayed (Relay).

O Que Este Glossário Não Substitui

Estas definições fornecem o vocabulário básico, mas o verdadeiro entendimento vem da prática. Para ir mais além: a comparação WireGuard vs OpenVPN detalha escolhas concretas por caso de uso, o guia Tailscale vs Headscale compara as duas abordagens de plano de controle, e o guia anti-DPI cobre ofuscação de A a Z.

Publicado em 12 de junho de 2026. Definições estabelecidas a partir das especificações oficiais do WireGuard (Jason A. Donenfeld, whitepapers.wireguard.com), documentação do Tailscale (tailscale.com/kb), código-fonte do Headscale (github.com/juanfont/headscale), e RFCs relevantes da IETF. Atualizado continuamente.

★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region
Artigos relacionados

Leia a seguir