WireGuard é o protocolo VPN mais rápido e simples para usar num telemóvel — uma vez configurado, a ligação é feita com um único toque, e consome menos bateria comparado com protocolos mais antigos. Este guia percorre WireGuard no Android de ponta a ponta em 2026: instalação da app, importação da configuração do servidor, ativação de um kill switch, tunelização dividida por app, e resolução de problemas de handshake e MTU. Funciona com qualquer servidor WireGuard — PiVPN, NetBird, ou uma configuração manual.
O que precisa antes de começar
- Um telemóvel ou tablet Android com Android 10 ou superior (versões mais antigas funcionam, mas as opções de sempre ligado/kill-switch são mais limpas nas versões recentes).
- Um servidor WireGuard em funcionamento com um endpoint público acessível — um Raspberry Pi em casa com uma porta UDP encaminhada, ou um pequeno VPS. A app Android é apenas o cliente.
- A configuração do cliente para este dispositivo — um código QR no ecrã ou um ficheiro
.conf. Dê a cada dispositivo o seu próprio par de chaves; reutilizar uma configuração entre telemóveis quebra o handshake porque dois peers partilham então uma chave pública.
Passo 1 — Instalar a app
Instale a app oficial WireGuard da Play Store ou F-Droid (versão open-source). Evite clones "WireGuard" de terceiros.
Play Store ou F-Droid?
Ambas fornecem o mesmo cliente oficial. A versão da Play Store atualiza automaticamente e é adequada para a maioria das pessoas. A versão da F-Droid é compilada a partir do código-fonte pela F-Droid, não tem dependências do Google, e é ideal para um telemóvel sem Google — a desvantagem é que as atualizações chegam um pouco mais devagar. Ambas são confiáveis; apenas evite apps semelhantes de editores desconhecidos, já que um cliente VPN lida com todo o seu tráfego.
Passo 2 — Importar a configuração do seu servidor
Na app, toque em + e escolha uma das opções:
- Scanear a partir de código QR — mais rápido e menos propenso a erros. O seu servidor gera a configuração do cliente como um QR (
pivpn -qr, app do NetBird, ouqrencodenuma configuração manual). - Importar de ficheiro — copie o
.confpara o telemóvel e selecione-o. - Criar do zero — cole as chaves e o endpoint
[Peer]manualmente.
WireGuard é a metade cliente; precisa de um endpoint de servidor. Se não tiver um, um VPS Contabo a €4.99/mês executa confortavelmente um servidor WireGuard pessoal.
Passo 3 — Conectar e verificar
Ative o túnel. Verifique se o último handshake atualiza (não "nunca") e se o seu IP público muda. Para mais informações sobre o protocolo, veja WireGuard vs OpenVPN.
Passo 4 — Ativar um kill switch (sempre ligado)
O Android tem isso incorporado: Definições > Rede e internet > VPN > (ícone de engrenagem ao lado do WireGuard) → ative VPN sempre ligado e Bloquear conexões sem VPN. Agora o telemóvel nunca vaza tráfego fora do túnel se o WireGuard cair — o equivalente Android de um kill switch.
Passo 5 — Tunelização dividida por app
Edite o túnel → Aplicações → Excluir apps (tudo passa pelo túnel exceto aquelas — útil para uma app de banco) ou Incluir apenas apps escolhidas. Integrado no cliente, sem software extra.
Roteamento a nível de rede: IPs Permitidos
A tunelização dividida por app (Passo 5) decide quais apps usam o túnel. AllowedIPs na configuração [Peer] decide quais destinos o fazem — e os dois combinam:
0.0.0.0/0, ::/0roteia todo o IPv4 e IPv6 através do seu servidor — o padrão de túnel completo que deseja para privacidade em Wi-Fi público.- Um intervalo restrito como
10.0.0.0/24envia apenas a sua sub-rede doméstica/escritório através do túnel, deixando o resto do seu tráfego na conexão normal — perfeito para acessar um NAS doméstico ou Pi-hole sem desacelerar tudo.
Se executar um túnel completo mas ainda quiser imprimir ou transmitir em casa, a rota mais limpa é manter esses dispositivos na LAN e usar a exclusão por app para a app de transmissão, já que o cliente Android não tem a opção "excluir IPs privados" do iOS.
Resolução de problemas
- Sem handshake (fica "nunca"): IP/porta de Endpoint errados, porta UDP do servidor não aberta no firewall, ou uma chave pública não correspondente. Verifique se o servidor está a ouvir e acessível.
- Conecta mas sem internet: reduza o MTU (por exemplo,
1280) na configuração da interface — resolve muitos problemas de MTU em redes móveis. - Desconecta ao desligar o ecrã: desative a otimização de bateria para a app WireGuard (Definições → Apps → WireGuard → Bateria → Sem restrições).
- Vazamentos de DNS: defina o DNS do túnel para o seu servidor ou um resolvedor confiável, depois teste com o nosso guia de vazamento de DNS.
- "Sempre ligado" desativado: o Android só permite sempre ligado depois de um túnel ser importado corretamente e conectar pelo menos uma vez — conecte manualmente primeiro, depois defina.
- Reconecta lentamente após mudar Wi-Fi↔móvel: adicione
PersistentKeepalive = 25ao[Peer]para que o túnel mantenha o caminho ativo através de mudanças de rede e atrás de NAT.
Para modelos reutilizáveis de cliente/servidor, veja Modelos de configuração WireGuard.
Conclusão
WireGuard no Android é uma configuração de cinco minutos: instale a app oficial, importe a configuração do seu servidor por QR, ative, e habilite sempre ligado + bloquear sem VPN para um kill switch. Adicione tunelização dividida por app conforme necessário, e mantenha o truque do MTU na manga para redes móveis instáveis. Só precisa de um servidor WireGuard para apontar — um VPS Contabo ou um Raspberry Pi em casa fazem o trabalho.
Guia editorial baseado no comportamento documentado do cliente oficial WireGuard para Android e nas funcionalidades de VPN sempre ligada do Android. A segurança depende da configuração do seu servidor e da higiene das chaves. Links comerciais possuem o atributo rel="sponsored nofollow"; uma comissão de afiliado pode ser aplicada sem custo adicional para si.
★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos
Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→
