Está indeciso entre WireGuard e OpenVPN para o seu VPN auto-hospedado. Já leu em todo o lado que "WireGuard é mais rápido" sem muita explicação do porquê, ou de quando o OpenVPN ainda é a escolha certa. Este guia compara honestamente ambos os protocolos, nos aspetos que realmente importam para um VPN auto-hospedado num VPS: throughput, latência, custo de CPU, modelo de segurança e compatibilidade — e dá um veredicto por caso de uso.
Versão curta: WireGuard geralmente vence em desempenho bruto e simplicidade, mas OpenVPN mantém uma vantagem legítima, por vezes decisiva, em duas situações específicas.
O WireGuard é mais rápido que o OpenVPN num VPS?
Geralmente, sim. WireGuard corre no kernel do Linux, usa um único conjunto de cifras modernas e adiciona muito pouco overhead por pacote, por isso, numa ligação rápida de VPS, normalmente oferece um throughput próximo da velocidade da linha bruta enquanto usa uma fração da CPU. OpenVPN corre como um daemon em userland: cada pacote atravessa a fronteira kernel/userland para encriptação, o que custa CPU e throughput — especialmente em hardware de baixa potência. OpenVPN também se reconecta mais lentamente em mudanças de rede, enquanto o design sem estado do WireGuard retoma quase instantaneamente.
WireGuard vs OpenVPN num VPS de 1 Gbps — comparação qualitativa:
| Aspeto | WireGuard | OpenVPN 2.6 |
|---|---|---|
| Throughput bruto | Geralmente mais alto (próximo da velocidade da linha) | Geralmente mais baixo (TLS + overhead de userland) |
| Overhead de latência | Mais baixo | Mais alto (ainda mais sobre TCP) |
| Custo de CPU | Baixo (espaço do kernel) | Mais alto (userland, trocas de contexto por pacote) |
| Tamanho do código | ~4,000 linhas de C | ~70,000 linhas de C (+ OpenSSL) |
| Espaço do kernel | Sim (Linux 5.6+, março de 2020) | Não (daemon em userland) |
| Contorno de firewall (TCP/443) | Não (apenas UDP) | Sim |
| Histórico de auditoria | Cure53 2018 — sem vulnerabilidades críticas | OSTIF 2017/2018 — sem RCE crítico |
Veredicto: Escolha WireGuard para desempenho e simplicidade em qualquer VPS moderno. Escolha OpenVPN quando precisar de contornar firewalls TCP/443 (redes corporativas/hotéis) ou precisar de suportar dispositivos legados (routers DD-WRT, OpenWRT <21, sistemas operativos de cliente muito antigos).
Esta comparação baseia-se nas características publicadas e bem documentadas de ambos os protocolos, em vez de um único teste privado. Nossa metodologia →
Por que o WireGuard é geralmente mais rápido
A diferença de desempenho não é marketing — resulta diretamente de como cada protocolo é construído.
WireGuard corre no espaço do kernel. É distribuído como um módulo do kernel (wireguard.ko), integrado no kernel principal do Linux na versão 5.6 (março de 2020). Os pacotes são encriptados e encaminhados sem sair do kernel, evitando as dispendiosas trocas de contexto user/kernel que dominam o custo do OpenVPN em ligações ocupadas.
WireGuard é pequeno e fixo. Cerca de 4,000 linhas de C, com um único conjunto de cifras modernas (Curve25519, ChaCha20-Poly1305, BLAKE2s). Não há nada para ajustar e nenhum overhead de negociação — obtém-se o mesmo caminho rápido sempre.
OpenVPN corre em userland sobre TLS. É um daemon que usa OpenSSL; cada pacote faz uma viagem de ida e volta kernel → userland → kernel para encriptação. Isso é flexível (pode fazer quase tudo), mas custa CPU e throughput, e o efeito é muito maior em hardware de baixa potência sem aceleração AES.
O overhead do protocolo em si é pequeno para ambos. Um cabeçalho VPN mais o enquadramento UDP/IP consome alguns por cento de qualquer ligação, independentemente do protocolo — essa parte é apenas aritmética, não ineficiência.
Latência e jitter
WireGuard geralmente adiciona menos latência de ida e volta do que OpenVPN, e OpenVPN sobre TCP é o pior caso: executar TCP dentro de um túnel TCP ("TCP-over-TCP") causa retransmissões em cascata assim que a ligação subjacente perde um pacote, o que aumenta a latência e o jitter. Numa ligação com fio limpa é tolerável; em Wi-Fi com perdas ou móvel degrada-se bastante.
Para uso diário — navegação, streaming 4K, videochamadas — o overhead do WireGuard é impercetível, e OpenVPN sobre UDP também se mantém suave. O caso a evitar para uso sensível à latência (jogos competitivos, VoIP exigente) é OpenVPN sobre TCP, a menos que precise especificamente dele para contornar um firewall.
Consumo de CPU
Como WireGuard corre no kernel, usa notavelmente menos CPU por megabit do que OpenVPN, que gasta ciclos a transportar cada pacote entre userland e kernel. Num VPS multi-core isso raramente importa para um túnel pessoal. Importa muito em hardware ARM de baixa potência (por exemplo, um Raspberry Pi sem AES-NI), onde OpenVPN pode saturar um núcleo bem antes de a ligação estar cheia, enquanto WireGuard se mantém confortável — deixando margem de CPU para o que mais o dispositivo executar (um gestor de senhas, uma pequena nuvem, análises).
Em hardware com aceleração AES (a maioria dos CPUs modernos x86, Apple Silicon), o AES-256-GCM do OpenVPN é acelerado por hardware e a diferença de CPU diminui; em hardware sem ela, ChaCha20 é a melhor escolha de cifra para OpenVPN. O ChaCha20-Poly1305 do WireGuard é rápido em ambos.
Estabilidade e roaming móvel
WireGuard é sem estado por design: não há "conexão" a estabelecer, apenas peers conhecidos. Quando um cliente se move de Wi-Fi para dados móveis e vice-versa, o túnel retoma quase instantaneamente sem uma renegociação. OpenVPN tem de refazer um handshake TLS em cada mudança de rede, o que leva alguns segundos. Para um telefone que muda de rede o dia todo, o comportamento de roaming do WireGuard é uma vantagem real e tangível.
Um corredor de datacenter: um VPN auto-hospedado corre num único VPS numa instalação como esta — a escolha do protocolo afeta principalmente a eficiência com que esse único servidor move o seu tráfego.
Análise de segurança
O debate sobre segurança é frequentemente enviesado por "OpenVPN existe há 20 anos, por isso é mais maduro." Vamos aos factos:
WireGuard:
- Primitivas criptográficas modernas e fixas: Curve25519 (troca de chaves), ChaCha20-Poly1305 (AEAD), BLAKE2s (hash), SipHash24 (tabela de hash).
- ~4,000 linhas de C no módulo do kernel — uma superfície de ataque pequena e revisável.
- Auditoria formal pela Cure53 publicada em 2018 — nenhuma vulnerabilidade crítica encontrada. Uma revisão separada da Trail of Bits (2020) analisou a implementação para macOS.
- No kernel principal do Linux desde 5.6 (março de 2020), revisado pela comunidade netdev.
- Nenhuma configuração criptográfica possível por design: não pode escolher acidentalmente uma opção fraca.
OpenVPN:
- Primitivas configuráveis: o padrão moderno é AES-256-GCM, mas uma configuração descuidada copiada de um tutorial antigo ainda pode selecionar algo fraco.
- ~70,000 linhas de C mais OpenSSL como uma grande dependência — uma superfície muito maior para analisar.
- Auditorias OSTIF em 2017 e 2018 — alguns bugs encontrados e corrigidos, sem RCE crítico.
- Historicamente exposto a problemas do OpenSSL (por exemplo, Heartbleed em 2014 afetou implementações que usavam OpenSSL).
Veredicto honesto: ambos são sólidos em 2026. WireGuard tem uma vantagem arquitetural (superfície de ataque pequena, primitivas modernas, sem armadilhas). OpenVPN tem uma vantagem de maturidade (duas décadas em produção, amplamente auditado, enorme base de implementação). Para um auto-hospedado, WireGuard é a escolha fácil — a relação simplicidade-segurança é excelente.
Throughput por plataforma cliente
Nas plataformas de desktop com suporte nativo para WireGuard (Linux, macOS, Windows), o throughput sustentado é amplamente semelhante, com kernels mais recentes e o driver nativo moderno para Windows tendo fechado a maior parte da diferença histórica. Onde verá uma diferença real é em telemóveis: sob uma transferência sustentada e em alta velocidade, os dispositivos móveis limitam-se por razões térmicas e de bateria e não igualam um desktop. Esse é o comportamento móvel esperado e é irrelevante para uso normal (navegação, streaming) — só aparece se pressionar um telemóvel com iperf3 ou um backup pesado.
Se quiser medir a sua própria configuração em vez de confiar nos números de alguém, os comandos de teste reproduzíveis estão no final deste artigo.
Quando o OpenVPN continua relevante em 2026
O marketing do WireGuard é tão dominante que esquecemos que o OpenVPN ainda tem casos de uso sólidos. Aqui estão as situações em que ainda é a ferramenta certa.
Caso 1: contorno de firewall corporativo/hotel
Muitos firewalls empresariais (Fortinet, Palo Alto, Check Point) bloqueiam UDP de saída não-DNS. Pode encontrar isso no Wi-Fi de um cliente, em alguns hotéis ou em alguns hotspots de transporte a bordo. Como WireGuard é apenas UDP, o túnel falha silenciosamente (o handshake nunca se completa). Pode envolver WireGuard com wstunnel ou Cloak para transportá-lo sobre TCP/443, mas isso é uma camada extra para manter.
OpenVPN suporta nativamente TCP na porta 443, com um handshake TLS que se assemelha ao tráfego HTTPS comum, por isso passa por muitos setups DPI mais simples. Como um "VPN de backup para quando estou num Wi-Fi corporativo hostil", manter um perfil OpenVPN TCP/443 pronto é pragmático.
Configuração mínima no mesmo VPS Contabo, juntamente com uma instalação existente de WireGuard:
sudo apt install -y openvpn easy-rsa
sudo make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass
sudo ./easyrsa build-server-full vpnsmith nopass
# Configurar /etc/openvpn/server/server.conf com:
# proto tcp
# port 443
# dev tun
# cipher AES-256-GCM
Abra TCP/443 no UFW, depois systemctl enable --now openvpn-server@server. O cliente escolhe qual perfil usar (WireGuard por padrão, OpenVPN TCP/443 como fallback).
Caso 2: compatibilidade com SOs legados
Se precisar de conceder acesso ao túnel a uma máquina Windows 7/8.1, um Synology DSM antigo ou uma caixa Android TV envelhecida, o cliente oficial WireGuard pode não existir ou pode estar desatualizado lá. OpenVPN tem um cliente para quase tudo há muitos anos — incluindo routers DD-WRT antigos que nunca suportarão WireGuard. Para um parente preso num SO antigo, girar uma segunda instância OpenVPN dedicada a essa conta no mesmo VPS é uma solução limpa.
Caso 3 (bónus): registo de auditoria detalhado
OpenVPN regista cada conexão, desconexão e renegociação TLS de forma limpa. WireGuard mantém o registo mínimo por design (vê principalmente interface up/down via journalctl -u wg-quick@wg0). Se o seu modelo de ameaça ou regime de conformidade (por exemplo, DORA, NIS2, ISO 27001) exigir um trilho de auditoria formal, OpenVPN é mais fácil de satisfazer de imediato.
Veredicto honesto: para um VPN pessoal em 2026, WireGuard primeiro. Mas manter um perfil OpenVPN TCP/443 como configuração secundária no mesmo VPS é pragmatismo sensato — custa alguns minutos para configurar e salva-o quando o UDP é bloqueado.
Veredicto por caso de uso
| Caso de uso | Recomendação |
|---|---|
| VPN auto-hospedado pessoal (1-10 dispositivos) | WireGuard — sem debate |
| Mudança móvel Wi-Fi/4G | WireGuard — roaming quase instantâneo |
| Contornar firewall corporativo (TCP/443 necessário) | OpenVPN TCP na porta 443 |
| Site-to-site entre dois datacenters | WireGuard — overhead mínimo |
| Jogos competitivos / VoIP exigente | WireGuard — menor latência e jitter |
| Raspberry Pi / hardware ARM de baixa potência | WireGuard — muito menos CPU |
| Compatibilidade com SOs legados (Windows 7, Android antigo) | OpenVPN — suporte mais amplo para clientes |
| Ofuscação anti-DPI (Irão, China, Rússia) | Nenhum cru → wstunnel ou Cloak como wrapper |
Se está a começar do zero para hospedar o seu próprio VPN num VPS Contabo, siga o nosso guia passo a passo do WireGuard — e copie e cole os scripts.
Se está a lutar contra DPI corporativo ou estatal, veja o guia de roteamento personalizado com contorno de DPI que combina WireGuard com uma camada de ofuscação.
Se ainda está hesitante sobre o fornecedor de VPS (Contabo vs Hetzner vs OVH), comparamos os três em condições reais.
Meça você mesmo com iperf3
Em vez de confiar em qualquer número publicado, meça o seu próprio VPS e ligação. Instale iperf3 no servidor, execute-o como servidor, depois teste a partir do seu cliente com e sem o túnel ativo:
# Lado do servidor (seu VPS)
sudo apt install -y iperf3
sudo iperf3 -s -D
# Lado do cliente (Mac/Linux)
# Base (sem VPN)
iperf3 -c IP_VPS -t 30 -O 5 --json > baseline.json
# WireGuard (túnel ativo)
iperf3 -c 10.66.66.1 -t 30 -O 5 --json > wireguard.json
# OpenVPN UDP (túnel ativo)
iperf3 -c 10.8.0.1 -t 30 -O 5 --json > openvpn-udp.json
Execute várias iterações num for loop e calcule a mediana com jq:
jq -s 'map(.end.sum_received.bits_per_second) | sort | .[length/2]' wireguard.json
Se os seus números parecerem errados, verifique o MTU (ping -M do -s 1372 IP), a qualidade da sua ligação (um mtr para o VPS deve mostrar <1% de perda), e que o VPS não está a sofrer roubo de CPU (mpstat -P ALL 1).
Encomende um VPS para o seu túnel
Um pequeno VPS é suficiente para um túnel pessoal WireGuard: Contabo VPS S Cloud, plano de 24 meses (~€5.49/mês equivalente). Executa confortavelmente um túnel pessoal juntamente com alguns serviços auto-hospedados leves.
Uma vez que o seu VPS esteja pronto, pule o passo de escrita manual de chaves: o nosso gerador de configuração WireGuard gera um wg0.conf com os parâmetros criptográficos corretos em segundos. Para uma decisão mais ampla de protocolo e fornecedor, veja o melhor hub de VPN auto-hospedado para 2026 — cobre WireGuard, Tailscale, Headscale, Nebula e OpenVPN.
Fontes
- Cure53 — Verificação formal do WireGuard (2018)
- Whitepaper do WireGuard (Jason A. Donenfeld)
- Documentação oficial do OpenVPN 2.6
- Documentação do usuário iperf3
- Benchmarks do WireGuard no kernel 6.x pela Phoronix
- Auditoria do WireGuard para macOS pela Trail of Bits (2020)
Este artigo é uma comparação técnica qualitativa baseada nas características públicas e documentadas do WireGuard e OpenVPN. Não relata uma execução de benchmark privada. Para números específicos do seu hardware e conexão, execute o procedimento iperf3 acima no seu próprio VPS.
Divulgação de afiliados: o link da Contabo acima é um link rastreado que nos paga uma comissão se subscrever. Não altera o seu preço.
★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos
Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→
