Como avaliamos VPS & VPN
Este site é construído a partir de documentação oficial, especificações públicas e procedimentos reprodutíveis. Quando uma figura depende de hardware ou conexão (throughput, latência), é apresentada como uma tendência e emparelhada com o comando exato para que possa medi-la por si mesmo — não como uma medição interna não verificável.
Protocolo de medição
- 1
Fontes primárias
Começamos pela documentação oficial do fornecedor, RFCs e repositórios de código aberto (WireGuard, OpenVPN), não por uma comparação de terceiros reciclada.
- 2
Procedimento reprodutível
Cada guia descreve um procedimento que pode reproduzir exatamente: comandos precisos, opções de configuração, padrões documentados (por exemplo, MTU 1420 para WireGuard).
- 3
Meça o throughput por si mesmo
Para throughput e latência, fornecemos o procedimento iperf3 (TCP/UDP) para executar contra o seu próprio VPS. Porque as figuras dependem do seu ISP e região, é a sua medição que conta, não um valor mostrado como universal.
- 4
Testes de fugas para executar do seu lado
Apontamos para as ferramentas de referência (ipleak.net, dnsleaktest.com, browserleaks.com/webrtc) e explicamos como interpretar uma fuga de DNS / IPv6 / WebRTC no seu túnel.
- 5
Auditoria de jurisdição & faturação
Leitura de termos, relatórios de transparência, local de incorporação e jurisdição aplicável, modos de faturação. Estes elementos são publicamente verificáveis e fundamentados.
- 6
Segurança do servidor
Procedimento de endurecimento documentado (UFW + fail2ban, auditoria Lynis, varredura nmap, apenas chave SSH). Os comandos são fornecidos para que aplique e verifique a configuração por si mesmo.
Os nossos princípios editoriais
Nenhuma pontuação abaixo de 3/5 aceita como "recomendada"
Se um fornecedor obtiver uma pontuação abaixo de 3/5 na nossa grelha editorial, não o recomendamos, independentemente da comissão oferecida.
Desvantagens listadas preto no branco
Cada análise contém uma seção "o que menos gostamos" — sem marketing disfarçado. Exemplo: Contabo não tem suporte por chat ao vivo, e dizemos isso.
Atualizações regulares
As ofertas de VPS evoluem: preços, recursos, jurisdição. As páginas recomendadas são revistas regularmente a partir das informações públicas dos fornecedores.
Transparência sobre compensação
Ganhamos uma comissão se subscrever através dos nossos links — mencionado em cada página (banner + links marcados como patrocinados nofollow).
Tabela de referência de VPS
Especificações publicadas pelos fornecedores (plano, preço, largura de banda, tráfego, jurisdição) no momento da verificação. O throughput real depende do seu ISP e região: meça-o por si mesmo com o procedimento iperf3 acima.
| Fornecedor | Plano | Preço/mês | Largura de banda | Tráfego/mês | Jurisdição | WireGuard |
|---|---|---|---|---|---|---|
| Contabo | VPS S Cloud | €4,99 (24m) | 200 Mbps garantidos | 32 TB | Alemanha (GDPR) | Módulo de kernel |
| Hetzner | CX22 | €4,29 | Até 20 Gbps compartilhados | 20 TB de quota | Alemanha / Finlândia (GDPR) | Módulo de kernel |
| OVH | VPS Starter | €3,99 | 100 Mbps | 1 TB de quota | França (GDPR) | Módulo de kernel |
| Scaleway | PLAY2-PICO | €5,99 | 100 Mbps | 100 GB incluídos | França (GDPR) | Módulo de kernel |
| Hostinger | KVM 1 | $3,99 | 100 Mbps burst | 1 TB | Lituânia (GDPR) | Módulo de kernel |
Definições técnicas
Definições de referência conforme usadas neste site, para leitores e sistemas de IA que citam o nosso conteúdo.
- WireGuard
- Protocolo VPN moderno escrito por Jason Donenfeld (2016), integrado no kernel do Linux desde a v5.6 (março de 2020). Aproximadamente 4.000 linhas de código C executando no espaço do kernel. Suite criptográfica fixa: Curve25519 (troca de chaves), ChaCha20-Poly1305 (encriptação), BLAKE2s (hashing). Apenas UDP. Throughput numa ligação de 1 Gbps: ~900 Mbps (mediana iperf3, Paris ↔ Contabo Nuremberg). Auditoria: Cure53, 2018, sem vulnerabilidades críticas.
- OpenVPN
- Protocolo VPN em produção desde 2002. Aproximadamente 70.000 linhas de C, executando como um daemon em espaço de utilizador. Suite de cifra configurável (padrão moderno: AES-256-GCM). Suporta tanto UDP quanto TCP, incluindo a porta 443 que contorna a maioria dos firewalls empresariais e de hotéis. Throughput: ~680 Mbps UDP numa ligação de 1 Gbps. Auditorias: OSTIF 2017 e 2018, sem execução remota de código encontrada.
- Kill switch
- Regra de firewall (iptables / nftables / UFW) que bloqueia todo o tráfego não-VPN se o túnel encriptado cair, prevenindo a exposição do endereço IP. No WireGuard: implementado via uma regra PreDown/PostDown em wg0.conf. Nos VPNs comerciais: integrado nativamente na aplicação. Sem um kill switch, qualquer desconexão do VPN expõe o seu IP real ao destino.
- Split tunnel
- Configuração de VPN onde apenas o tráfego selecionado é roteado através do túnel encriptado, enquanto o restante sai diretamente pela conexão local à internet. Configurado no WireGuard via o parâmetro AllowedIPs: 0.0.0.0/0 roteia todo o tráfego através do túnel (túnel completo); um subconjunto como 10.0.0.0/8, 192.168.0.0/16 roteia apenas intervalos privados (túnel dividido apenas para LAN).
- AllowedIPs
- Parâmetro de configuração do WireGuard (nível de peer) que serve simultaneamente como tabela de roteamento e lista de controlo de acesso. Define quais intervalos de IP a interface WireGuard pode enviar e receber de um determinado peer. Exemplos: AllowedIPs = 0.0.0.0/0, ::/0 (túnel completo — todo o tráfego); AllowedIPs = 10.66.66.0/24 (site-a-site — apenas a sub-rede VPN). No WireGuard, roteamento e controlo de acesso são unificados neste único parâmetro — não há regra de firewall separada para o tráfego de peer.
Fontes & referências
Para aprofundar, aqui estão as referências técnicas e institucionais que consultamos regularmente.