VPNSmith
vps-comparatifsCOMP

OpenVPN vs WireGuard: comparação técnica aprofundada 2026

Análise técnica aprofundada de OpenVPN vs WireGuard: cifra, handshake, kernel vs espaço de utilizador, bateria móvel, histórico de auditorias e um procedimento de benchmark iperf3 reproduzível para o seu próprio VPS.

Por Eric Gerard · Fondateur · VPNSmith — Spécialiste self-host VPN & VPS GDPR10 min de leituraPhoto via Unsplash

Está indeciso entre OpenVPN e WireGuard para o seu VPN auto-hospedado na Contabo (ou Hetzner, OVH). Lê em todo o lado que "WireGuard é mais rápido" sem nunca entender porquê. Esta comparação técnica esclarece: analisamos a criptografia subjacente, a mecânica do handshake, o impacto do kernel vs espaço de utilizador, o consumo de bateria móvel e o histórico de auditorias — e fornecemos o procedimento reproduzível iperf3 para que possa verificar a diferença no seu próprio VPS.

Spoiler: WireGuard vence em praticamente todos os aspetos. OpenVPN mantém dois nichos legítimos.

Porque é que esta comparação ainda importa em 2026

Esperaria que o debate OpenVPN vs WireGuard estivesse resolvido desde 2020, mas continua a surgir em todos os fóruns de administradores de sistemas. Três razões explicam porquê.

Primeiro, OpenVPN mantém uma base instalada massiva. A maioria dos dispositivos de rede empresariais (compatíveis com Cisco AnyConnect, Pulse Secure, algumas configurações Fortinet) ainda falam nativamente OpenVPN ou através de um adaptador. Configurações de VPN empresariais legadas raramente migraram por razões de estabilidade e auditoria de conformidade. Se se juntar a uma equipa de administradores de sistemas que mantém uma VPN empresarial herdada desde 2015, o OpenVPN servirá por mais 5-10 anos antes que a gestão aceite uma migração. Conhecer a comparação técnica é, portanto, útil para defender uma estratégia de migração interna.

Segundo, condições de rede hostis onde o OpenVPN mantém uma ligeira vantagem via modo TCP e porta 443 não são marginais. WiFis de hotéis, alguns hotspots de cafés asiáticos, VPNs de fronteira de portas — todos restringem a HTTPS e bloqueiam UDP por padrão. O WireGuard puro não passa nessas condições sem uma sobreposição (wstunnel ou Cloak), e a sobreposição adiciona 5-15% de latência e complexidade. OpenVPN-TCP-443 permanece o hack mais simples quando não se tem tempo nem ferramentas para implementar wstunnel.

Finalmente, a auditoria criptográfica do OpenVPN permanece mais madura. OpenVPN com OpenSSL tem sido revisto por académicos desde 2005 e acumulou 19 anos de ecossistema de análise. WireGuard usa primitivas modernas (Noise Protocol Framework) que são lindamente desenhadas, mas com um histórico de auditoria cumulativo mais curto. Para um ambiente regulado como saúde ou defesa que requer certificações criptográficas formais, o OpenVPN ainda às vezes tem a vantagem padrão por inércia.

Estas três nuances não justificam recomendar o OpenVPN como a escolha padrão para uma nova implementação em 2026 — WireGuard vence em 90% dos casos — mas explicam porque a comparação técnica ainda vale a pena ser publicada.

Qual é a diferença entre WireGuard e OpenVPN?

WireGuard usa uma pilha de criptografia moderna fixa (Curve25519, ChaCha20-Poly1305) construída como um módulo do kernel Linux (~5.000 linhas). OpenVPN é um daemon configurável em espaço de utilizador (~70.000 linhas) que depende do OpenSSL. O handshake de 1,5-RTT do WireGuard conecta-se muito mais rápido do que o handshake TLS de múltiplas viagens do OpenVPN, e numa ligação rápida o WireGuard funciona mais próximo da taxa de linha enquanto o OpenVPN perde mais rendimento devido ao overhead do espaço de utilizador.

Arquitetura e primitivas criptográficas

A diferença de desempenho vem primeiro do modelo arquitetónico, não apenas do código.

OpenVPN

  • Espaço de utilizador (processo openvpn)
  • Criptografia: configurável via --cipher, --auth, --tls-cipher. AES-256-GCM por padrão desde 2.6.
  • Negociação TLS clássica: múltiplas viagens, certificados X.509, CRL, OCSP. Padrão, mas pesado.
  • Bibliotecas externas: OpenSSL ou mbedTLS. Cada CVE do OpenSSL afeta o OpenVPN.
  • Base de código: ~70.000 linhas de C (sem dependências).

WireGuard

  • Módulo do kernel (desde Linux 5.6, mainline), ou implementações em espaço de utilizador (wireguard-go em macOS/Windows).
  • Criptografia: congelada por design. Sem negociação. Curve25519 (troca de chaves), ChaCha20-Poly1305 (encriptação), BLAKE2s (hash), HKDF (KDF), SipHash24.
  • Handshake Noise IKpsk2: 1,5 viagens, estado mínimo do lado do servidor, sem certificado.
  • Sem dependência criptográfica externa: tudo está embutido.
  • Base de código: ~5.000 linhas de C no lado do kernel.

Essa diferença de ordem de magnitude (5k vs 70k) é a razão pela qual o WireGuard pôde ser totalmente auditado de ponta a ponta pela Cure53 em 2021. Pode fazer o mesmo para o OpenVPN — mas são ~6 meses de trabalho vs ~3 semanas para o WireGuard.

Velocidade do handshake

Algo útil para cronometrar você mesmo: quanto tempo entre wg-quick up (ou openvpn) e o primeiro pacote roteável?

A razão para a diferença é estrutural e bem documentada. WireGuard faz sua troca de chaves em um handshake Noise de 1,5-RTT sem certificado, então a configuração da conexão é quase instantânea. OpenVPN precisa de 6 a 8 viagens (handshake TCP + handshake TLS + autenticação + configuração push), e o modo TCP adiciona ainda mais, então a configuração da conexão é uma ordem de magnitude mais lenta. Para obter números para sua própria ligação, cronometre vários ciclos up e mantenha a mediana.

Consequência prática: em 4G mudando de antenas (roaming), WireGuard reconecta instantaneamente; OpenVPN leva 1-2 segundos, às vezes mais, e você perde pacotes visíveis nas suas ferramentas.

Módulo do kernel vs espaço de utilizador: por que isso é importante

Quando um pacote passa pelo espaço de utilizador, faz a viagem kernel → espaço de utilizador → kernel: 2 trocas de contexto de CPU, cópias de memória, envolvimento do escalonador. A 1 Gbps, isso é pelo menos 80.000 pacotes/segundo, então 160.000 trocas de contexto.

Com WireGuard como um módulo do kernel, o pacote nunca sai do kernel. Sem troca de contexto, sem cópia. O rendimento depende da CPU disponível, mas o limite efetivo é tipicamente 3-5× o do OpenVPN em espaço de utilizador com CPU igual.

Porque o WireGuard funciona no kernel e o OpenVPN encripta no espaço de utilizador, o WireGuard atinge um teto de rendimento do lado do servidor muito mais alto antes que a CPU sature — tipicamente várias vezes o do OpenVPN com CPU igual. ChaCha20 tende a superar AES-256-GCM em hardware sem AES-NI, já que o AES depende desse conjunto de instruções.

Numa ligação de saída modesta (por exemplo, 200 Mbit/s anunciados pela Contabo), nenhum dos protocolos satura a CPU, então ambos podem preencher a ligação — a diferença prática aí é o perfil de latência: WireGuard adiciona quase nenhuma latência por pacote, OpenVPN adiciona mais devido à viagem de ida e volta no espaço de utilizador.

Rendimento WireGuard vs OpenVPN (típico)

Numa ligação rápida (100+ Mbps), o padrão esperado é consistente e segue diretamente da arquitetura:

  • WireGuard UDP permanece mais próximo da taxa de linha bruta (menor perda), com a menor latência adicionada e o menor número de retransmissões.
  • OpenVPN UDP perde notavelmente mais rendimento do que WireGuard porque cada pacote atravessa a fronteira kernel/espaço de utilizador; ChaCha20 é geralmente um pouco mais rápido que AES-256-GCM em CPUs sem AES-NI.
  • OpenVPN TCP é o mais lento dos três — a fusão TCP-sobre-TCP sob perda adiciona retransmissões e latência — e deve ser reservado para redes que bloqueiam UDP completamente.

Estas são tendências, não números de um laboratório privado — os seus números exatos dependem do seu VPS, CPU e ligação. Para obter os seus, execute o procedimento reproduzível no guia de benchmark WireGuard vs OpenVPN com iperf3 no seu próprio servidor.

Impacto na bateria móvel

Cabos de rede de fibra ótica brilhantes
Cabos de rede de fibra ótica brilhantes

Em telemóveis, o protocolo mais leve tende a usar um pouco menos de bateria para a mesma carga de trabalho. A vantagem do WireGuard vem da criptografia mais simples (ChaCha20-Poly1305 sem negociação vs AES-GCM com uma negociação TLS) e sem keepalive TLS — apenas um keepalive UDP opcional a cada 25 s. OpenVPN, especialmente em modo TCP, mantém mais estado e faz mais trabalho por pacote, então sob um túnel sempre ativo sustentado geralmente consome um pouco mais de energia. A diferença é modesta e só realmente aparece em sessões longas.

Histórico de auditorias e CVEs

OpenVPN

  • Primeira auditoria independente completa: 2017 (OSTIF + QuarksLab + Cryptography Engineering). 2 vulnerabilidades principais encontradas, incluindo uma RCE.
  • CVEs desde então: ~28 entradas CVE (2018-2025), incluindo 3 RCEs.
  • Superfície de ataque: OpenVPN + OpenSSL (base de código combinada ~500.000 linhas C/C++).
  • Reputação: sólida após 22 anos em produção, mas o peso histórico é evidente.

WireGuard

  • Auditoria Cure53 (2018) na implementação Linux. 0 vulnerabilidades críticas.
  • Auditoria formal das primitivas criptográficas (artigo IEEE S&P 2018) — prova matemática do protocolo Noise IKpsk2.
  • CVEs desde então: 0 críticas no lado do kernel, alguns bugs wireguard-go (espaço de utilizador) corrigidos em menos de 7 dias.
  • Superfície de ataque: ~5.000 linhas de C no kernel.

Para um atacante, o WireGuard é ~14× mais difícil de fuzz profundamente do que o OpenVPN simplesmente porque há menos código para fuzz.

Quando deve manter o OpenVPN em vez do WireGuard?

Mantenha o OpenVPN quando precisar de TCP na porta 443 para contornar firewalls corporativos ou de hotéis que bloqueiam UDP de saída, quando precisar de suportar dispositivos legados (Windows antes da versão 10, Android antes de 5.0), ou quando requisitos formais de trilha de auditoria (ISO 27001, NIS2) tornam o registo por conexão do OpenVPN mais fácil de cumprir. Para todos os outros casos, o WireGuard é a melhor escolha.

Três casos onde o OpenVPN permanece defensável:

  1. TCP obrigatório: alguns firewalls corporativos bloqueiam UDP de saída. OpenVPN faz TCP nativamente. WireGuard precisa de um wrapper (wstunnel, udp2raw) que complica a configuração.
  2. Porta padrão 443: OpenVPN em 443/TCP parece HTTPS para DPI básico. Útil em hotéis ou redes empresariais restritas.
  3. Compatibilidade legada: Windows < 10, Android < 5, iOS < 12, routers domésticos de baixo custo — WireGuard nem sempre fornece um cliente oficial. OpenVPN está em todo lugar desde 2002.

Para os casos 1 e 2, ainda pode tunelar WireGuard via udp2raw em falso TCP/443 — veja Templates WireGuard 2026, template 7.

Quando mudar para WireGuard

Tudo o resto. Notavelmente:

  • VPN auto-hospedado em VPS pessoal (Contabo, Hetzner, OVH) — ganho de desempenho + configuração simples
  • VPN móvel (iOS, Android) — ganho de bateria + reconexão rápida
  • Site-to-site com ligações de alta largura de banda (>100 Mbps) — ganho claro de rendimento
  • Hub-and-spoke entre vários sites — ganho de configuração (5 linhas vs 30 linhas por peer)
  • Roadwarrior multi-país — handshake instantâneo na mudança de rede

Se está a começar do zero hoje num VPS Contabo novo, a escolha padrão deve ser WireGuard. OpenVPN é um recurso para casos exóticos.

Migração OpenVPN → WireGuard sem tempo de inatividade

Já está a executar OpenVPN em produção? Migração limpa em 4 passos:

  1. Implemente WireGuard em paralelo no mesmo VPS, porta 51820, sub-rede 10.66.66.0/24 (distinta da sub-rede do OpenVPN).
  2. Adapte as regras do iptables: MASQUERADE ambas as sub-redes, sem FORWARD entre elas.
  3. Migre os clientes um a um, testando a conectividade de cada um antes de remover o seu certificado OpenVPN.
  4. Desative o OpenVPN: systemctl stop openvpn-server@server e depois disable. Mantenha a configuração por 30 dias só por precaução, depois apt remove openvpn.

Sem tempo de inatividade, nenhum cliente fica sem VPN. Para uma frota de algumas dezenas de peers, uma migração faseada como esta pode ser feita tipicamente em algumas semanas sem interrupção de serviço.

Veredicto

WireGuard é a escolha padrão em 2026 para a grande maioria dos casos auto-hospedados. Mais rápido em ligações rápidas (menos rendimento perdido para overhead), mais simples (~5k linhas vs ~70k), mais leve na bateria móvel e auditado de ponta a ponta. OpenVPN permanece relevante para TCP apenas, porta 443 estrita ou compatibilidade legada.

Se deseja a configuração completa do WireGuard no VPS Contabo, o guia passo a passo leva-o desde a inscrição na Contabo até ao primeiro ping. O fornecedor que recomendamos é /go/contabo-vps-2y — VPS S Cloud €4,99/mês durante 24 meses.

E para templates de configuração prontos para colar: Templates WireGuard 2026.

Não tem certeza de qual fornecedor escolher para o seu servidor WireGuard? O comparador interativo de VPS filtra Contabo, Hetzner e OVH por latência da sua região, RAM e preço de 24 meses — os critérios exatos que importam para um nó de saída VPN. Depois de escolher um fornecedor, pule a geração manual de chaves: o nosso gerador de configuração WireGuard produz um wg0.conf verificado e pronto para copiar e colar em menos de um minuto.

★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos

Spin up the VPS from this guide → ContaboPublic IPv4 · full root · EU & US locations
Artigos relacionados

Leia a seguir