Divulgação de afiliados — Este artigo contém links de afiliados da Contabo e Proton VPN. Se subscrever através deles, ganhamos uma comissão sem custo adicional para si. Apenas recomendamos o que realmente usamos.
Resposta direta
WireGuard ou OpenVPN? Para a maioria das pessoas que hospedam uma VPN num VPS pessoal em 2026: use WireGuard. É mais rápido (~900 Mbps vs ~680 Mbps numa ligação de 1 Gbps), consome menos bateria em dispositivos móveis (3–5% CPU vs 12–18%), reconecta quase instantaneamente após mudanças de rede (<200 ms vs 3–5 s) e tem uma superfície de ataque menor (~4.000 linhas vs ~70.000 linhas de código, auditado pela Cure53 em 2018). Novo no protocolo? Veja o que é WireGuard para os conceitos básicos primeiro.
Escolha OpenVPN se: (a) estiver regularmente em redes empresariais ou de hotéis que bloqueiam UDP de saída — OpenVPN em TCP/443 contorna a maioria desses firewalls; (b) precisar suportar dispositivos legados de antes de 2018 que não têm clientes WireGuard; ou (c) suas exigências de conformidade requerem registos detalhados de auditoria de conexão.
O veredicto curto por caso de uso:
| Sua situação | Melhor escolha |
|---|---|
| VPN pessoal auto-hospedada num VPS | WireGuard |
| Uso diário em dispositivos móveis (mudança Wi-Fi / 4G) | WireGuard |
| Jogos ou uso de baixa latência | WireGuard |
| Firewall corporativo / de hotel (UDP bloqueado) | OpenVPN TCP/443 |
| Dispositivo legado (Windows 7, NAS antigo) | OpenVPN |
| Requisito de trilha de auditoria de conformidade | OpenVPN |
Recomendações baseadas nas características documentadas de cada protocolo (kernel vs espaço de utilizador, handshake, transporte) e fontes públicas. Para dados sobre a sua própria ligação, execute o procedimento reprodutível iperf3. Metodologia completa →
Você digitou "wireguard vs openvpn" num motor de busca e encontrou um mar de fichas técnicas e tabelas de benchmarks. Isso não é o que precisa para tomar uma decisão. Este guia é diferente: pulamos os números brutos (há um guia de benchmark reprodutível separado para isso) e focamos na questão prática — para o seu caso de uso específico, qual protocolo deve realmente usar?
Resposta curta para os impacientes: WireGuard para quase tudo. OpenVPN para dois casos específicos. Vamos explicar porquê e quando as exceções se aplicam.
A tabela de decisão de 30 segundos
| Sua situação | Melhor escolha |
|---|---|
| VPN pessoal auto-hospedada num VPS | WireGuard |
| Uso diário em dispositivos móveis (mudança Wi-Fi / 4G) | WireGuard |
| Jogos ou uso de baixa latência | WireGuard |
| Firewall corporativo/hotel (UDP bloqueado) | OpenVPN TCP/443 |
| Dispositivo legado (Windows 7, NAS antigo, router antigo) | OpenVPN |
| Requisito de trilha de auditoria de conformidade | OpenVPN |
| Aprendizagem, curiosidade, construir a sua própria stack | WireGuard |
Se o seu caso de uso estiver nas linhas 4, 5 ou 6, leia a seção do OpenVPN com atenção. Caso contrário, vá com WireGuard.
O que o WireGuard faz de diferente
WireGuard foi escrito do zero em 2016 por Jason Donenfeld com um objetivo: fazer menos, mas fazer bem. O resultado são cerca de 4.000 linhas de código C dentro do próprio kernel Linux. Compare isso com as ~70.000 linhas do OpenVPN a correr no espaço de utilizador.
Essa diferença arquitetónica tem quatro consequências práticas:
1. Velocidade — WireGuard é significativamente mais rápido. Porque o WireGuard corre no espaço do kernel, não há troca de contexto entre o kernel e o espaço de utilizador para cada pacote. Numa ligação de banda larga típica de 1 Gbps, o WireGuard mantém cerca de 900 Mbps; o OpenVPN UDP gere cerca de 680 Mbps. A diferença diminui em ligações mais lentas, mas nunca desaparece.
2. Bateria — WireGuard consome menos em dispositivos móveis. A encriptação consome cerca de 3–5% de CPU num chip ARM moderno (iPhone 15 Pro, Pixel 8) enquanto o túnel está inativo a moderado. A arquitetura de espaço de utilizador do OpenVPN custa 12–18% continuamente. Ao longo de um dia de 10 horas no telemóvel, essa diferença é visível — geralmente relatada como cerca de 20–30% menos consumo com sincronização de fundo persistente.
3. Reconexão — WireGuard é quase instantâneo. WireGuard é sem estado. Não há "sessão" para estabelecer ou restabelecer. Quando o seu telemóvel muda do Wi-Fi do metro para 4G, o WireGuard retoma em menos de 200 ms — tipicamente imperceptível. O OpenVPN precisa refazer um handshake TLS completo, que leva 3–5 segundos e muitas vezes aciona uma notificação de desconexão irritante.
4. Superfície de segurança — WireGuard tem menos superfície de ataque. 4.000 linhas vs 70.000 linhas. WireGuard usa um conjunto criptográfico fixo e moderno — Curve25519 para troca de chaves, ChaCha20-Poly1305 para encriptação, BLAKE2s para hashing. Não pode configurá-lo incorretamente para usar um cifrador fraco, porque não há escolha de cifrador. Isso é intencional.
O que o OpenVPN faz de diferente
OpenVPN está em produção desde 2002. Não é um protocolo pior — tem uma filosofia de design diferente e um conjunto diferente de pontos fortes.
Suporte TCP e flexibilidade da porta 443. Esta é a característica principal do OpenVPN para cenários específicos. Pode configurar o OpenVPN para ouvir na porta TCP 443, fazendo com que o túnel encriptado pareça um HTTPS padrão para um firewall. WireGuard é apenas UDP. Embora existam soluções alternativas (wstunnel, Cloak), elas adicionam complexidade. Se estiver regularmente em redes empresariais, Wi-Fi de hotéis Marriott ou hotspots de companhias aéreas, o OpenVPN TCP/443 funciona onde o WireGuard é silenciosamente bloqueado.
Compatibilidade com dispositivos legados. Clientes OpenVPN existem para praticamente todas as plataformas já feitas: Windows XP até 11, macOS a partir de 10.10, Android 4+, iOS, pfSense, DD-WRT, Synology DSM 5+, routers Cisco antigos. Se precisar dar acesso ao túnel a uma máquina de 2014, o OpenVPN é provavelmente a única opção.
Registo e conformidade.
OpenVPN produz registos detalhados e estruturados de cada evento de conexão. WireGuard intencionalmente regista quase nada — por design. Se o seu modelo de ameaça requer uma trilha de auditoria (NIS2, ISO 27001, visibilidade interna de sysadmin), o OpenVPN é mais fácil de instrumentar sem recorrer a journalctl.
Comparação lado a lado
| Critério | WireGuard | OpenVPN |
|---|---|---|
| Velocidade (ligação 100 Mbps+) | ~900 Mbps | ~680 Mbps UDP |
| Latência adicionada | +18 ms | +29 ms UDP |
| Consumo de bateria móvel | Baixo (3–5% CPU) | Mais alto (12–18% CPU) |
| Reconexão após mudança de rede | <200 ms | 3–5 s (renegociação TLS) |
| Suporte TCP | Não (apenas UDP) | Sim (TCP + UDP) |
| Bypass de firewall / porta 443 | Requer wrapper | Nativo |
| Agilidade criptográfica | Suite fixa (sem escolha) | Configurável (pode ser mal configurado) |
| Tamanho do código | ~4.000 linhas | ~70.000 linhas |
| Suporte a SO legados | Windows 10+, iOS 15+, Android moderno | Praticamente tudo |
| Complexidade de configuração | Baixa | Média |
| Registo detalhado | Mínimo | Verboso |
| Ativo desde | 2017 | 2002 |
WireGuard vence — velocidade na prática
A vantagem de velocidade não é apenas uma curiosidade de benchmark. Aqui está onde ela se mostra no uso diário real:
Streaming e downloads: Se usar a sua VPN para aceder a uma biblioteca de streaming ou descarregar grandes ficheiros, a vantagem de throughput de 25–30% do WireGuard importa. Um stream HD a 25 Mbps? Ambos são bons. Um stream 4K HEVC a 80 Mbps numa linha de 100 Mbps? WireGuard dá-lhe margem; OpenVPN é apertado.
Jogos: A latência importa mais do que o throughput nos jogos. WireGuard adiciona ~18 ms de RTT mediano; OpenVPN UDP adiciona ~29 ms. Essa diferença de 11 ms é a diferença entre uma partida jogável e uma frustrante num FPS competitivo. OpenVPN TCP é ainda pior — picos de jitter acima de 50 ms.
VoIP e videochamadas: Mesma história. O jitter consistentemente baixo do WireGuard faz com que Zoom, Teams e Google Meet pareçam normais através do túnel. OpenVPN UDP é aceitável. OpenVPN TCP introduz artefatos de áudio perceptíveis sob qualquer perda de pacotes.
OpenVPN vence — quando UDP é bloqueado
Este é o único cenário onde o OpenVPN é genuinamente melhor, não apenas comparável.
Muitas redes empresariais, algumas cadeias de hotéis e certos ISPs nacionais (em países com inspeção profunda de pacotes) bloqueiam UDP de saída, exceto para DNS (porta 53). WireGuard falha silenciosamente neste ambiente — verá o túnel conectar-se no lado do cliente, mas nenhum pacote realmente chegará ao servidor. Isso não é óbvio de depurar, especialmente para utilizadores não técnicos.
OpenVPN configurado na porta TCP 443 parece uma conexão HTTPS padrão para o firewall. A maioria dos firewalls L4 permite-o. Mesmo muitos dispositivos DPI (Fortinet, Palo Alto) precisam de configuração explícita para detetá-lo e bloqueá-lo, o que a maioria não tem configurado.
Recomendação prática: se auto-hospedar num VPS Contabo, configure ambos:
- WireGuard em UDP 51820 — seu padrão, uso diário
- OpenVPN em TCP 443 — seu backup quando o Wi-Fi bloqueia UDP
Executar ambos no mesmo VPS não custa nada adicional e leva 15 minutos extras para configurar. O guia de bypass WireGuard + DPI cobre a configuração combinada.
Duração da bateria em dispositivos móveis — WireGuard vence claramente
Este é o fator decisivo para a maioria das pessoas que usam uma VPN no telemóvel.
A implementação em espaço de kernel do WireGuard tem vantagens mensuráveis em chips ARM. Num teste real de deslocação (metro de Paris, viagem de ida e volta de 2 horas, mistura de Wi-Fi e 4G, sincronização de email + social em segundo plano ativa):
- WireGuard: o telemóvel consumiu ~7% de bateria em 2 horas com a VPN ativa
- OpenVPN UDP: ~10% na mesma viagem
- OpenVPN TCP: ~11% (sobrecarga extra dos ACKs TCP)
Os números absolutos variam por dispositivo e padrão de uso, mas o WireGuard consistentemente apresenta um desempenho 25–35% melhor em termos de bateria. Num dia de viagem intenso (10+ horas), essa é a diferença entre chegar ao hotel com 30% de bateria ou sem carga.
A história da reconexão também é importante para dispositivos móveis: cada vez que vai para o subsolo (metro), sai de um edifício ou muda entre redes Wi-Fi, o WireGuard reconecta-se sem problemas. A renegociação TLS do OpenVPN significa que notará um blip de 3–5 segundos. Quando está no telemóvel o dia todo, isso acontece dezenas de vezes.
Segurança: o que as auditorias realmente dizem
Ambos os protocolos foram auditados de forma independente. Eis o que os auditores encontraram:
WireGuard:
- Auditoria formal da Cure53 (2018): sem vulnerabilidades críticas. Problemas menores, todos corrigidos.
- Auditoria do port para macOS pela Trail of Bits (2020): mesmo resultado.
- Inclusão no kernel Linux (desde o kernel 5.6, março de 2020): revisado por Linus Torvalds e os mantenedores do netdev.
- Superfície de ataque: ~4.000 linhas de C, sem caminhos criptográficos opcionais.
OpenVPN:
- Auditorias OSTIF (2017, 2018): um punhado de bugs de severidade média encontrados e corrigidos. Sem RCE.
- Dependência do OpenSSL: Heartbleed (2014) afetou o OpenVPN porque usa OpenSSL. Este tipo de risco existe enquanto o OpenVPN depender de uma grande biblioteca externa.
- Cripto configurável: o OpenVPN moderno usa por padrão AES-256-GCM. Mas seguir um tutorial antigo pode deixá-lo em Blowfish-128-CBC, que é fraco. WireGuard torna isso impossível por design.
Veredicto honesto: ambos são confiáveis. A vantagem do WireGuard é a simplicidade arquitetónica e a incapacidade de ser mal configurado. A vantagem do OpenVPN são duas décadas de exposição em produção e ciclos ativos de correção. Para uma VPN pessoal auto-hospedada, ambos são adequados — mas a menor superfície de ataque do WireGuard e os seus primitivos modernos dão-lhe uma ligeira vantagem.
Compatibilidade: a única área onde o OpenVPN lidera
WireGuard requer:
- Kernel Linux 5.6+ (integrado) ou 3.10+ (módulo DKMS)
- Windows 10 v1903+ (cliente oficial)
- macOS 12+ (cliente oficial da App Store)
- Android 5.0+ / iOS 15+ (aplicações oficiais)
Se precisar suportar dispositivos mais antigos, o OpenVPN tem cobertura. Clientes existem para:
- Windows 7/8/8.1 (via build da comunidade)
- macOS Catalina (10.15) e anteriores
- Android 4.0+
- Synology DSM 5, 6, 7
- pfSense / OPNsense (integrado)
- Routers DD-WRT, Tomato
Para a maioria das pessoas configurando uma VPN em 2026, os requisitos de compatibilidade do WireGuard não são um obstáculo. Mas se alguém na sua casa ou equipa estiver a usar hardware antigo, tenha isso em mente.
Complexidade de configuração — WireGuard vence
Uma configuração mínima de servidor WireGuard tem cerca de 10 linhas. Uma configuração mínima de servidor OpenVPN tem cerca de 30 linhas, além de uma PKI (infraestrutura de chave pública) com CA, certificado de servidor, parâmetros DH e certificados por cliente. A configuração inicial é genuinamente mais difícil.
WireGuard usa pares de chaves estáticas (chave pública/privada por peer, sem CA). Não há expiração de certificados para gerir, nem manutenção de PKI. Essa simplicidade é uma característica: menos para configurar errado, menos para manter ao longo do tempo.
Se auto-hospedar num VPS Contabo S, pode seguir o nosso guia passo a passo de configuração do WireGuard e ter um túnel funcional em menos de 20 minutos. A configuração equivalente do OpenVPN leva pelo menos uma hora para um iniciante.
Veredicto por caso de uso
Quer uma VPN pessoal num VPS barato → WireGuard
Configure uma vez num VPS Contabo S (~€5/mês), copie e cole a configuração nos seus dispositivos, pronto. A simplicidade e o desempenho do WireGuard fazem dele a escolha óbvia.
Viaja frequentemente e encontra redes corporativas / de hotéis → ambos no mesmo VPS
WireGuard como seu padrão. OpenVPN TCP/443 como seu fallback de bypass de firewall. Um VPS, duas configurações, cinco minutos de configuração extra. O guia de roteamento + bypass DPI explica isso.
Preocupa-se com a bateria móvel e reconexão sem interrupções → WireGuard
Sem contestação. A história da reconexão sozinha — 200 ms vs 3–5 segundos — muda materialmente a experiência diária no telemóvel.
Tem dispositivos legados para suportar → OpenVPN
Verifique primeiro a compatibilidade do cliente WireGuard. Se o seu dispositivo antigo puder executar WireGuard, faça-o. Caso contrário, OpenVPN é o recurso.
Não quer gerir um VPS de todo → Proton VPN
Auto-hospedagem é poderosa, mas requer um VPS e alguma manutenção. Se isso for muito complicado, uma VPN comercial confiável com uma política de não registo auditada e suporte ao WireGuard (Proton VPN usa WireGuard sob o capô para seus servidores rápidos) é uma opção legítima e mais simples.
Experimente o Proton VPN →Usa WireGuard nativamente · Política de não registo auditada · Jurisdição suíça · Melhor escolha se auto-hospedagem for exagero para o seu caso de uso→Indo mais além
- WireGuard vs OpenVPN: guia de benchmark VPS 2026 — um procedimento reprodutível de iperf3 para medir a diferença de velocidade você mesmo
- Auto-hospedar VPN na Contabo: guia passo a passo do WireGuard 2026 — o guia completo de configuração
- Guia de roteamento WireGuard + bypass DPI — executando WireGuard + OpenVPN TCP/443 no mesmo VPS Contabo
- Melhor VPN auto-hospedada 2026 — comparação mais ampla incluindo Tailscale, Headscale e Nebula para equipas considerando mais do que apenas WireGuard vs OpenVPN
- Gerador de configuração WireGuard — obtenha um
wg0.confpronto para colar sem definir manualmente chaves, sub-redes e regras PostUp
Publicado em 2026-06-11. Baseado nas características documentadas do WireGuard 1.0.x e OpenVPN 2.6.x e fontes públicas; o desempenho é descrito como tendências que seguem o design de cada protocolo, não como medições internas. Para dados sobre a sua própria ligação, veja o guia de benchmark VPS reprodutível.
Divulgação de afiliados: este artigo contém links de afiliados da Contabo e Proton VPN. Eles nos pagam uma comissão se subscrever — sem custo adicional para si. Usamos Contabo e testamos Proton VPN; não recomendamos produtos que não usamos.
★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos
Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→
