O WireGuard funciona na China sem ofuscação?

Não. O GFW identifica o handshake do WireGuard distintamente e descarta o tráfego em segundos. Ofuscação TLS/WS é obrigatória para a China continental e Irão.

V2Ray vs Cloak, qual devo escolher?

V2Ray + WS + TLS (Trojan-Go) para a China = passa quase em todo o lado, mantido ativamente. Cloak é mais simples de configurar, OK para Irão/Turquia mas detetado mais rápido na China.

É legal usar estas ferramentas?

Na UE/EUA/França: sim. Na China/Irão/Rússia: ilegal localmente, com penalidades variáveis. Este guia é educativo — você é o único responsável pelo uso.

Roteamento VPN personalizado na Contabo: Contornar DPI Irão / China 2026

Divulgação de afiliados — Este artigo contém links de afiliados (Contabo, NordVPN). Se encomendar um VPS ou uma subscrição através dos nossos links, ganhamos uma comissão sem custo adicional para si. Isso não influencia o conteúdo: documentamos o que realmente usamos em produção, incluindo quando um produto afiliado não se adequa ao seu caso.

Seguiu o nosso guia de auto-hospedagem do WireGuard na Contabo, funciona perfeitamente em Paris ou Berlim, e depois voa para Xangai ou Teerão por duas semanas. Surpresa: o túnel conecta por 3 segundos, depois silêncio. Sem timeout limpo, apenas pacotes descartados. Bem-vindo à Inspeção Profunda de Pacotes (DPI), onde firewalls nacionais identificam o WireGuard até ao byte.

Este guia explica por que o WireGuard simples é esmagado pelo GFW (Grande Firewall da China) ou SmartFilter (Irão), e apresenta 3 configurações testadas num VPS da Contabo para passar despercebido: V2Ray + WebSocket + TLS, Cloak como frontend, e Shadowsocks 2022. Nenhuma é mágica — cada uma tem um custo em latência, throughput e complexidade — mas uma das três quase sempre funciona dependendo do país.

Como funciona a Inspeção Profunda de Pacotes

Um firewall clássico filtra com base no IP de origem/destino e porta. O DPI vai mais longe: inspeciona o conteúdo dos pacotes, identifica o protocolo independentemente da porta e aplica regras. Os três censores notórios em 2026:

GFW (China continental) — O mais sofisticado. Combina correspondência de assinatura (padrões de handshake), análise de entropia (um pacote encriptado tem uma entropia específica), sondagem ativa (o firewall abre uma conexão de saída para o seu servidor para testar o seu comportamento) e aprendizagem de máquina no tempo entre pacotes. Trabalho de referência: Hoang et al., "How Great is the Great Firewall?" (USENIX Security 2021) e os dados ao vivo no GFW Report.
SmartFilter (Irão, TCI) — Menos sofisticado que o GFW, mas agressivo. Bloqueia assinaturas conhecidas (OpenVPN, WireGuard, IKEv2) e limita fluxos TLS suspeitos para IPs não autorizados. Durante agitações (Set 2022, Nov 2024), muda para modo "internet quase fechada" com uma lista branca de IPs domésticos apenas.
TSPU (Rússia, Roskomnadzor) — Implantado desde 2021, em crescimento. Bloqueia progressivamente Tor, OpenVPN, WireGuard. Mais permissivo em fluxos TLS para Cloudflare, mas isso muda todos os meses.

O handshake inicial do WireGuard é facilmente identificável: 148 bytes, estrutura fixa (tipo de mensagem 1), sem preenchimento. Um DPI moderno deteta-o em <50 ms. É por isso que o WireGuard simples funciona em todo o lado… exceto onde realmente precisa.

O objetivo das três configurações abaixo: tornar o tráfego VPN indistinguível do tráfego HTTPS legítimo para um domínio com aparência residencial. Se o firewall não conseguir distinguir o seu fluxo de uma sessão CDN da Cloudflare, não pode bloquear sem causar danos colaterais.

Configuração 1 — V2Ray + WebSocket + TLS (Trojan-Go) na Contabo

Esta é a nossa escolha padrão para a China. O tráfego parece um visitante a navegar num site WordPress via HTTPS. O GFW pode detetar WebSocket com análise temporal de longo prazo, mas a combinação TLS 1.3 + SNI real + proxy reverso (Caddy) torna muito difícil filtrar sem danos colaterais.

Pré-requisitos:

Um VPS Contabo S (€4,99/mês) — Datacenter Singapura ou Tóquio para latência aceitável na China (~50-80 ms vs 250 ms da Europa). Se ainda não tem um VPS, verifique a oferta Contabo VPS S de 24 meses.
Um domínio real que controla (ex.: cdn.seudominio.com) apontando para o IP do VPS. Sem domínio = sem TLS = sem bypass.
Proxy DNS Cloudflare (nuvem laranja), opcional mas recomendado para mascarar o IP de origem.

Instalação (Ubuntu 24.04 LTS, como root):

# 1. Proxy reverso Caddy + certificado Let's Encrypt automático
apt update && apt install -y debian-keyring debian-archive-keyring apt-transport-https
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | tee /etc/apt/sources.list.d/caddy-stable.list
apt update && apt install -y caddy

# 2. V2Ray
bash <(curl -L https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh)

Configuração /usr/local/etc/v2ray/config.json:

{
  "inbounds": [{
    "port": 10000,
    "listen": "127.0.0.1",
    "protocol": "vmess",
    "settings": {
      "clients": [{ "id": "UUID-GERADO-COM-uuidgen", "alterId": 0 }]
    },
    "streamSettings": {
      "network": "ws",
      "wsSettings": { "path": "/cdn-static/v3/assets" }
    }
  }],
  "outbounds": [{ "protocol": "freedom" }]
}

Configuração Caddy /etc/caddy/Caddyfile:

cdn.seudominio.com {
  root * /var/www/html
  file_server
  handle /cdn-static/v3/assets {
    reverse_proxy 127.0.0.1:10000
  }
}

Coloque uma página HTML estática real em /var/www/html/index.html (um blog de culinária, um portfólio falso — não importa, tem de parecer legítimo quando o GFW sonda o seu domínio). Ative:

systemctl enable --now caddy v2ray

No cliente (V2RayN no Windows, V2Box no iOS, v2rayNG no Android), configure um servidor VMess WS+TLS apontando para cdn.seudominio.com:443, caminho /cdn-static/v3/assets, mesmo UUID. Teste: abra o cliente na China, o tráfego deve fluir sem quedas.

Sobrecarga esperada da China via um VPS em Singapura: envolver WireGuard em V2Ray/TLS adiciona latência e reduz aproximadamente pela metade o throughput em comparação com WireGuard simples — bom para navegação, medíocre para streaming em HD. Meça a sua própria rota para números exatos.

Configuração 2 — Cloak (frontend para WireGuard / OpenVPN)

Cloak é um wrapper TLS mais simples que o V2Ray, que fica à frente de um túnel existente (WireGuard, OpenVPN, Shadowsocks). Para quem já tem uma configuração de WireGuard a funcionar e só quer adicionar uma camada de ofuscação: este é o caminho mais rápido.

Prós:

Configuração em 15 minutos, sem manuseio complexo de domínio/TLS (certificado ACME automático embutido).
Funciona bem no Irão e Turquia onde o DPI é menos agressivo que o GFW.
Baixo consumo de CPU: ~5% de um vCPU para 100 Mbps de tráfego.

Contras:

O GFW pode detetar Cloak com análise comportamental (padrões de tempo específicos). Já vimos conexões durarem 3-7 dias e depois serem bloqueadas na China continental.
Menos mantido ativamente que o V2Ray (último commit importante em 2023). Não está morto, mas evolui lentamente.

Instalação do servidor:

wget https://github.com/cbeuw/Cloak/releases/download/v2.7.0/ck-server-linux-amd64-v2.7.0
chmod +x ck-server-linux-amd64-v2.7.0 && mv $_ /usr/local/bin/ck-server
ck-server -k  # gerar par de chaves

Crie /etc/cloak/ckserver.json:

{
  "ProxyBook": {
    "wireguard": ["udp", "127.0.0.1:51820"]
  },
  "BindAddr": [":443"],
  "BypassUID": ["UID-GERADO"],
  "RedirAddr": "www.bing.com",
  "PrivateKey": "SUA-CHAVE-PRIVADA"
}

RedirAddr é crítico: se o firewall sondar o seu servidor sem um handshake Cloak válido, é redirecionado para www.bing.com (camuflagem). Escolha um domínio popular, não bloqueado no país de destino (evite Google na China).

Inicie:

systemctl enable --now ck-server

No cliente, a aplicação ck-client (binário disponível para Linux/macOS/Win/Android) usa a mesma configuração mais a PublicKey correspondente. O túnel WireGuard é então estabelecido em cima de Cloak — a partir da aplicação WireGuard, o seu endpoint aponta para 127.0.0.1:porta-local-cloak em vez do IP do VPS.

Configuração 3 — Shadowsocks 2022 (chacha20-ietf-poly1305)

Shadowsocks é o antecessor das ferramentas anti-censura (criado por "clowwindy" na China em 2012). A versão 2022 (especificação oficial) corrige várias fraquezas criptográficas da v1 e ainda é recomendada por utilizadores chineses pela sua simplicidade/eficiência.

Caso de uso ideal:

Irão, Turquia, EAU — passa quase sempre.
China continental como backup quando o V2Ray tem um dia ruim.
Quer uma configuração leve (binário de 5 MB, configuração de 10 linhas).

Limites honestos:

Sem um plugin TLS (v2ray-plugin), Shadowsocks 2022 permanece detetável pelo GFW via análise estatística de entropia. Recomendamos com v2ray-plugin ativado.
Se quer uma configuração "configurar e esquecer" que sobreviva a atualizações do GFW: escolha V2Ray.

Instalação:

apt install -y shadowsocks-libev v2ray-plugin

Configuração /etc/shadowsocks-libev/config.json:

{
  "server": "0.0.0.0",
  "server_port": 8443,
  "password": "SENHA-FORTE-32-CARACTERES",
  "method": "chacha20-ietf-poly1305",
  "plugin": "v2ray-plugin",
  "plugin_opts": "server;tls;host=cdn.seudominio.com;path=/api/v2"
}

systemctl enable --now shadowsocks-libev

No cliente: Outline (Google Jigsaw) ou Shadowrocket (iOS) suportam nativamente SS 2022 + v2ray-plugin. Importe o URI ss://... gerado e estará conectado.

Qual configuração para qual país

Tabela baseada em testes reais (Q4 2025 / Q1 2026) de contas locais e VPS de salto. As classificações mudam rapidamente — sempre verifique com GFW Report antes de viajar.

País	V2Ray WS+TLS	Cloak	Shadowsocks 2022	Notas
China Continental	Excelente	Médio	Médio	V2Ray = padrão. SS apenas com v2ray-plugin.
Irão	Excelente	Excelente	Bom	Todos passam fora dos períodos de blackout.
Rússia	Bom	Médio	Médio	Bloqueio TSPU progressivo, varie portas.
Turquia	Excelente	Excelente	Excelente	DPI não agressivo, exceto em torno de eleições.
EAU	Excelente	Excelente	Bom	VoIP bloqueado, túnel passa.
Arábia Saudita	Bom	Bom	Bom	Menos sofisticado, mas muitos bloqueios tópicos.

Para viagens de negócios à China, sempre planeamos um backup: V2Ray primário + Shadowsocks 2022 secundário em dois VPS diferentes (idealmente em datacenters diferentes). Se um falhar, o outro mantém.

Sobrecarga de desempenho

Cada camada de ofuscação adiciona latência e custo de CPU e reduz o throughput em comparação com WireGuard simples. A tabela abaixo mostra o trade-off relativo — execute iperf3 do seu próprio cliente para números exatos:

Método	Latência adicionada	Throughput vs WG simples	CPU do servidor
WireGuard simples (base)	mais baixa	mais alta	mais baixa
V2Ray WS + TLS	mais alta	significativamente mais baixa	mais alta
Cloak + WireGuard	moderada	mais baixa	mais alta
Shadowsocks 2022 + v2ray-plugin	moderada	mais baixa	mais alta

Conclusão pragmática: espere perder cerca de 40 a 55% do throughput máximo em comparação com WireGuard simples. Isso é normal — cada camada TLS + WS adiciona sobrecarga, e a dupla encapsulação (Cloak) duplica os cabeçalhos. Para navegação e videochamadas em 720p, todos são adequados. Para 4K, precisará de um VPS mais robusto (VPS M ou Cloud VPS 10).

Quando um VPN comercial ofuscado é mais simples

Honestidade editorial: se vai para a China por duas semanas e não quer depurar o Caddy à meia-noite num hotel, um VPN comercial com servidores ofuscados é mais eficiente em termos de tempo. Nossa referência nessa categoria: NordVPN com seus servidores ofuscados.

Os prós:

Aplicações móveis nativas, interruptor de segurança automático, suporte por chat 24/7.
Ofuscação ativada em 2 cliques (configurações avançadas → servidores ofuscados).
Funciona em 80% dos casos na China. Quando quebra, eles atualizam seus servidores em poucos dias.

Os contras:

Partilha IP com outros utilizadores (ruim para Stripe/Cloudflare fora da China).
Preço dobra na renovação (veja nossa análise de custo de 5 anos).
No Irão durante um blackout, até NordVPN cai — apenas uma configuração auto-hospedada com rotação de IP se mantém.

A combinação NordVPN para viagens ocasionais + auto-hospedagem Contabo para o dia a dia é o melhor compromisso para a maioria dos nómadas digitais que se deslocam pela Ásia ou Médio Oriente.

Leitura adicional

Fontes académicas e técnicas:

Hoang, Niaki, Dalek, Cable, Gill, Polychronakis, "How Great is the Great Firewall? Measuring China's DNS Censorship", USENIX Security 2021
Especificação Shadowsocks 2022 (SIP022)
Documentação oficial V2Fly
GFW Report — dados de bloqueio ao vivo
Repositório GitHub do Cloak

Artigo publicado em 2026-06-02, baseado em testes do mundo real no Q1 2026. As técnicas anti-DPI evoluem constantemente: o que funciona hoje pode falhar em 6 meses. Se notar uma mudança no comportamento do GFW ou SmartFilter, envie-nos uma mensagem para contact@vpnsmith.com — atualizaremos.

Nota legal: auto-hospedar uma VPN é legal na UE, EUA e Canadá. Na China, Irão, Rússia, EAU, usar túneis não autorizados é ilegal localmente (penalidades variáveis, de multas a prisão). A VPNSmith publica este conteúdo para fins educativos; você é o único responsável pelo seu uso.

★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→