Saltar para o conteúdo principal
50% de desconto todos os planos, tempo limitado. A partir de $2.48/mo
16 min left
Segurança e redes

As melhores soluções de VPN auto-hospedadas, seus prós e contras, casos de uso e detalhes de nicho

J Por Jonas 16 min de leitura
Best self-hosted VPN solutions guide: WireGuard, Tailscale, Hiddify compared by use case

"VPN auto-hospedada" significa três coisas diferentes para três públicos diferentes, e a maioria das listas falha porque trata todos como se fossem um só. Um usuário que se preocupa com privacidade e quer substituir um serviço de VPN comercial pelo seu próprio nó de saída não está resolvendo o mesmo problema que uma equipe de engenharia de quatro pessoas conectando um home lab à AWS. As ferramentas se sobrepõem, mas a ferramenta certa para um trabalho raramente é a certa para outro.

Este guia é estruturado em torno dessa divisão. Três casos de uso, três recomendações principais e as compensações honestas que vêm com cada uma. Sem tutoriais de configuração aqui. Quando a ferramenta certa para o seu trabalho for identificada, seguem links para os guias completos de configuração.

A versão curta

  • Para privacidade pessoal como seu próprio nó de saída, implante o WireGuard em um VPS pequeno em uma jurisdição fora dos Five Eyes. O WireGuard Easy adiciona uma interface web caso você queira. OpenVPN apenas quando sua rede bloqueia UDP.
  • Para uma malha de equipe conectando laptops, home labs e VPCs na nuvem, o Tailscale é a resposta pragmática para a maioria das equipes. Use o Headscale ou o Netmaker apenas se controlar o plano de controle fizer parte do seu modelo de ameaças.
  • Para usuários em ambientes de internet restritivos, o Hiddify Manager é a melhor resposta atual. O WireGuard e o OpenVPN não sobrevivem à inspeção profunda de pacotes por conta própria.
  • Um VPS com 1 vCPU e 512 MB suporta um servidor WireGuard pessoal com folga. O gargalo é a largura de banda, não o processamento.

Quando Auto-Hospedar uma VPN Realmente Faz Sentido

Comparison of self-hosted VPN versus commercial VPN: one exit IP you control versus thousands of shared IPs

Uma VPN comercial oferece milhares de IPs de saída compartilhados e zero manutenção. Uma VPN auto-hospedada oferece exatamente um IP, um local e total responsabilidade pelo servidor. Estes são produtos diferentes, apesar de muitas vezes serem comercializados como se fossem o mesmo.

A auto-hospedagem é a escolha certa quando uma das seguintes condições é verdadeira:

  • Você quer minimizar o número de partes que podem ver seu tráfego não criptografado. Com uma VPN comercial, o provedor pode. Com uma VPN auto-hospedada, só você pode.
  • Você precisa de uma jurisdição específica. Frankfurt para exposição ao GDPR. Sydney para testar serviços australianos com geo-restrição. Suíça para uma lei de proteção de dados mais forte (quando há disponibilidade). Os provedores comerciais obscurecem isso; a auto-hospedagem o torna explícito.
  • Você está conectando a infraestrutura de uma equipe, não apenas roteando navegação pessoal.
  • Você está em um ambiente de censura onde as próprias VPNs comerciais são bloqueadas.

A auto-hospedagem é a escolha errada quando você quer máxima diversidade de IPs para streaming, quando você não quer manter um servidor Linux, ou quando seu modelo de ameaças é puramente "impedir que meu provedor venda meus dados de navegação". Para o terceiro caso, DNS criptografado mais o seu navegador atual fazem a maior parte do trabalho.

Há uma limitação que vale a pena mencionar logo de início, pois ela aparece em muitas discussões honestas sobre VPNs auto-hospedadas. O WireGuard, por design, retém o último endereço IP visto de cada peer no estado do kernel. Um provedor de VPN comercial pode afirmar "sem registros", mas você não tem como verificar isso. Quem hospeda por conta própria pode verificar, e a verificação vai mostrar que o kernel de fato sabe o IP de onde seu telefone se conectou esta manhã. A mitigação não é ignorar isso; é rotacionar chaves, apagar o estado do kernel em uma programação e aceitar a compensação.

Caso de Uso 1: Nó de Saída para Privacidade Pessoal

Veredito Rápido: WireGuard em um VPS pequeno em uma jurisdição fora dos Five Eyes. WireGuard Easy se você quiser uma interface web sem a linha de comando. OpenVPN apenas quando o UDP estiver bloqueado na rede de onde você está se conectando.

WireGuard: A Escolha Padrão

WireGuard exit node diagram: a VPS in a non-Five-Eyes jurisdiction routing encrypted traffic

O WireGuard é a resposta certa para o caso de uso de nó de saída focado em privacidade.

O protocolo usa o framework Noise para a troca de chaves e completa um handshake em uma única ida e volta. O OpenVPN usa TLS, que exige várias idas e voltas e expõe mais metadados no processo. A sobrecarga de latência do WireGuard é tipicamente de 1 a 3 milissegundos além da sua conexão subjacente. O OpenVPN adiciona 20 a 30 por cento de sobrecarga de latência em condições comparáveis.

Números de throughput de um benchmark revisado por pares de 2025 na da MDPI Computers revista: cerca de 210 Mbps via WireGuard contra 110 Mbps via OpenVPN sob as mesmas condições de VM com túnel TCP. Em hardware bare-metal com o módulo do kernel ativado, o WireGuard puro atinge cerca de 8 Gbps em hardware de classe gigabit; o limite ali é a placa de rede, não o protocolo.

A base de código tem aproximadamente 4,000 linhas. A do OpenVPN é muitas vezes maior. Uma base de código pequena não é segurança em si, mas torna as auditorias práticas. O WireGuard foi auditado; foi incorporado ao kernel Linux principal na versão 5.6 e é o padrão na maioria das distribuições.

A configuração é um arquivo de texto de 12 linhas. Não há motivo para que seja mais complicada do que isso. O tutorial completo de configuração está documentado em nosso blog, que cobre a instalação de pacotes, a geração de chaves, a configuração de peers e as regras de firewall.

Um VPS barato e simples suporta um servidor WireGuard pessoal com largura de banda de sobra. O gargalo será sua conexão de internet residencial, não o servidor. Para a maioria dos leitores, um VPS barato é mais do que suficiente para rodar sua configuração do WireGuard.

Dica Profissional: o WireGuard registra o último endereço IP visto de cada peer no estado do kernel. Para uma privacidade genuína sem registros, aceite isso e rotacione as chaves, ou apague o estado do kernel em uma programação. Não finja que a limitação não existe. A nota técnica de privacidade do WireGuard da Proton VPN reconhece isso em sua própria implementação.

WireGuard Com uma Interface Web

Se gerenciar peers pela linha de comando não for atraente, vale conhecer dois wrappers.

O WireGuard Easy é um contêiner Docker que expõe um painel de administração web. Ele gera configurações de peers, imprime QR codes para clientes móveis e armazena tudo em um único volume de configuração. A instalação é rápida. É apropriado para uso pessoal e pequenas residências.

O WGDashboard é uma alternativa mais pesada. Mais peers suportados, mais recursos administrativos, mais tempo de configuração. Vale a pena se você estiver gerenciando mais de 20 peers; caso contrário, o WireGuard Easy é suficiente.

Quando o OpenVPN Ainda Tem Seu Lugar

O OpenVPN não é obsoleto. Ele sobrevive em dois cenários específicos.

O primeiro são as redes restritivas que bloqueiam UDP. O WireGuard roda apenas sobre UDP, por design. Redes corporativas, WiFi de hotel e algumas operadoras móveis bloqueiam todo o tráfego UDP, exceto DNS. O OpenVPN pode rodar sobre TCP na port 443, o que o ajuda a atravessar muitos firewalls restritivos. Se você se conecta regularmente de redes que dificultam o uso de UDP, o OpenVPN é a alternativa de reserva.

O segundo é o amplo suporte a clientes legados. Existem clientes OpenVPN para todos os sistemas operacionais que funcionaram nos últimos quinze anos, incluindo plataformas que o WireGuard não atende. Se o seu público inclui telefones mais antigos ou appliances, a compatibilidade do OpenVPN é mais ampla.

O OpenVPN Access Server adiciona uma interface de administração web sobre o protocolo e é gratuito para duas conexões simultâneas. Acima de duas conexões, o licenciamento é por usuário. O Pritunl é uma terceira opção que adiciona um painel de administração comparável tanto para OpenVPN quanto para WireGuard sem licenciamento por usuário. Para uso pessoal, o nível gratuito do OpenVPN AS é suficiente. Para equipes pequenas que rejeitaram o Tailscale, o Pritunl é a escolha mais limpa. O tutorial completo de instalação do OpenVPN puro está coberto em nosso artigo sobre instalação do OpenVPN em VPS.

Escolhendo uma Localização

A jurisdição importa mais do que o throughput nessa escala. Se parte do seu motivo para auto-hospedar é reduzir a exposição a acordos de compartilhamento de inteligência, o agrupamento relevante é a aliança Five Eyes (EUA, Reino Unido, Canadá, Austrália, Nova Zelândia) e seus parceiros estendidos. Frankfurt e Amsterdã são escolhas comuns fora dos Five Eyes na Europa. Dubai é interessante se o seu tráfego está na região do Oriente Médio. A Suíça e Singapura têm estruturas de proteção de dados mais fortes, mas frequentemente estão indisponíveis em provedores menores.

Se o WireGuard atende às suas necessidades, nosso VPS WireGuard com um clique elimina o processo de configuração e instala em minutos.

Caso de Uso 2: Rede em Malha para Equipes

Veredito Rápido: Tailscale para a maioria das equipes. Headscale ou Netmaker se você precisar controlar o plano de controle. Malha de WireGuard puro apenas se você tiver menos de 10 nós e paciência.

Três engenheiros remotos, um home lab, um servidor de staging na AWS e uma VM de banco de dados em um rack colocado. As cinco máquinas precisam se comunicar entre si sem expor portas públicas. Nenhuma delas tem um IP público estável. Duas delas ficam atrás de Carrier-Grade NAT.

Este é um problema que a malha do WireGuard não foi projetada para resolver de forma elegante em escala.

Por Que a Malha de WireGuard Puro Sofre em Escala

Chart showing quadratic growth in WireGuard peer config pairs as node count increases from 5 to 20

Uma malha exige que cada peer conheça todos os outros peers. O formato de configuração do WireGuard reflete isso diretamente: cada peer tem uma seção [Peer] para cada nó com o qual se comunica. Cinco nós significam que cada arquivo de configuração tem quatro blocos [Peer], e o número total de configurações a manter pela malha é N vezes (N menos 1) dividido por 2.

Com cinco nós, isso dá 10 pares de conexão. Com 10 nós, 45. Com 20, 190. O crescimento é quadrático. Adicionar um único nó a uma malha de 20 nós exige atualizar 20 arquivos de configuração e reiniciar 20 daemons. Remover uma chave exige o mesmo.

Ferramentas como o wg-meshconf e o Netmaker existem para automatizar isso.

Tailscale: Recomendação Honesta para a Maioria das Equipes

O Tailscale é genuinamente bom o suficiente para a maioria das equipes. O plano de controle é hospedado pelo Tailscale, o plano de dados é peer-to-peer direto e o nível gratuito cobre 100 devices. A configuração leva menos de cinco minutos. A travessia de NAT funciona na maioria dos ambientes de rede sem configuração. As ACLs são gerenciadas de forma centralizada.

A ressalva honesta: o plano de controle é uma dependência de terceiros. O Tailscale distribui as chaves do WireGuard que conectam seus dispositivos. Se o servidor de coordenação do Tailscale for comprometido, um invasor poderia, em princípio, se inserir na malha. O Tailscale publica documentação detalhada de modelo de ameaças reconhecendo isso e usa tailnet locks e atestação de nós para se proteger contra esse risco. Para a maioria das equipes, essa dependência é aceitável. Para equipes cujo modelo de ameaças inclui invasores de Estados-nação ou requisitos regulatórios rigorosos sobre metadados de coordenação, não é.

O plano de dados do Tailscale contorna os servidores da empresa quando possível. Quando o peer-to-peer direto falha, o tráfego recorre aos servidores de retransmissão DERP do Tailscale, que são limitados a cerca de 5 Mbps. Se dois dos seus nós sempre acabam no DERP por causa de uma patologia de NAT, o limite de retransmissão se torna o gargalo.

Dica Profissional: se o seu provedor de internet residencial usa Carrier-Grade NAT, você não pode aceitar conexões de entrada em casa. O Tailscale e o Headscale lidam com isso automaticamente por meio de hole-punching e fallback para DERP. O WireGuard puro exige um VPS publicamente acessível como retransmissor, com o nó doméstico atuando como um cliente que inicia conexões de saída.

Headscale: Quando Você Precisa Controlar o Plano de Controle

Architecture diagram comparing Tailscale hosted control plane, self-hosted Headscale, and Netmaker coordination layers

O Headscale é uma reimplementação de código aberto do servidor de coordenação do Tailscale. O cliente oficial do Tailscale se conecta ao Headscale em vez dos servidores hospedados do Tailscale, e a experiência para o usuário é semelhante. Mas há uma compensação crucial: você opera o plano de controle por conta própria, o que significa que o tempo de atividade, as atualizações e os patches de segurança são problema seu.

O Headscale carece de parte do refinamento do Tailscale. A configuração de ACL é por YAML e CLI, não por uma interface web. Casos extremos do MagicDNS ocasionalmente surgem, que o cliente oficial trata silenciosamente na versão hospedada. O projeto é bem mantido, roda em produção em organizações que precisam dele e é apropriado para equipes cujo modelo de ameaças ou postura de conformidade exige coordenação auto-hospedada.

A manutenção do Headscale é um trabalho contínuo. Se você preferir delegar isso, um Linux VPS com um SLA de tempo de atividade de 99.95% e suporte 24/7 lida com a carga de trabalho do controlador sem o ônus do plantão. O controlador em si é leve porque só lida com a coordenação; o tráfego real da malha é peer-to-peer.

Netmaker

O Netmaker é uma camada de coordenação alternativa que roda sobre o WireGuard em vez de reimplementar o Tailscale. A diferença arquitetural é significativa: quando o peer-to-peer direto falha, o Netmaker pode rotear por nós de retransmissão auto-hospedados sem o limite de 5 Mbps que o DERP do Tailscale impõe. Para malhas de equipe que precisam de throughput consistente diante de falhas de NAT, isso importa.

A experiência de desenvolvimento do Netmaker é mais rústica do que a do Tailscale. A edição comunitária roda em um único VPS e suporta os casos de uso que a maioria das equipes pequenas têm. A edição comercial do Netmaker adiciona recursos empresariais, mas não faz parte desta discussão.

Nosso VPS Netmaker com um clique vem com instalação rápida em infraestrutura veloz.

Caso de Uso 3: Contornando a Censura

Veredito Rápido: Hiddify Manager para ambientes de censura ativa. Outline para regiões mais simples. O WireGuard e o OpenVPN não sobrevivem à inspeção profunda de pacotes. Não os implante como ferramentas anticensura.

O tráfego do WireGuard é identificável pela sua estrutura de pacotes UDP, então pode ser bloqueado. O problema não é que a criptografia do WireGuard seja fraca. A criptografia é boa. O problema é que os pacotes criptografados parecem uma VPN, e a censura moderna inspeciona o formato dos pacotes, o tempo e as impressões digitais do protocolo, não apenas o conteúdo da carga útil.

Uma VPN auto-hospedada como sua única ferramenta anticensura vai falhar em qualquer ambiente com inspeção profunda de pacotes ativa. A abordagem certa é uma categoria diferente de ferramenta: tráfego que imita a navegação web comum bem o suficiente para que o censor não consiga distingui-lo do tráfego HTTPS real para um site real.

Esta categoria envelhece mais rápido do que o resto deste guia. Os censores se adaptam. Protocolos são bloqueados. Novos métodos de ofuscação, como o REALITY e o Hysteria2, surgiram nos últimos dois anos, e os próximos dois trarão mais. A lógica de seleção, que é adequar o nível de ofuscação ao ambiente de censura, é duradoura. A ferramenta específica que funciona no seu país hoje pode não funcionar daqui a seis meses. O repositório no GitHub e o rastreador de problemas do Hiddify é o lugar para verificar o status atual antes de implantar.

Hiddify Manager: A Melhor Resposta Atual

Hiddify Manager admin panel showing protocol rotation options: REALITY, Hysteria2, Shadowsocks-2022, V2Ray, and WireGuard fallback

O Hiddify Manager é uma metaferramenta. Ele não é em si um único protocolo de VPN; é uma camada de administração que implanta, gerencia e rotaciona mais de 20 protocolos anticensura subjacentes em um único VPS. A versão Hiddify v12, lançada em fevereiro de 2026, suporta:

  • Reality (XTLS sobre VLESS)
  • Hysteria2
  • Shadowsocks-2022 com as variantes TLS
  • V2Ray e Xray com transportes WS, gRPC e H2
  • WireGuard como reserva

O painel de administração web cuida do gerenciamento de usuários, dos limites de tráfego e do roteamento de protocolos por usuário.

O recurso de rotação de protocolos é a parte que importa na prática: quando um protocolo começa a falhar em um determinado país, o administrador troca os usuários para outro sem reimplantar o servidor. Esta é a diferença operacional entre o Hiddify e uma pilha de protocolo único.

Duas observações sobre protocolos que vale entender antes da implantação. O Reality é o estado da arte atual para evasão de impressão digital TLS. Ele imita uma conexão HTTPS real para um site público real (que o operador escolhe, tipicamente um site de alto tráfego como o cloudflare.com), e um censor inspecionando o handshake vê o que parece ser uma conexão comum com aquele site. O Hysteria2 é um protocolo baseado em UDP com ofuscação integrada que tem bom desempenho em redes com perdas; é mais rápido do que as alternativas baseadas em TCP quando a rede é instável, o que descreve a maioria das conexões de consumidores em ambientes restritos.

O marketplace da Cloudzy também oferece uma imagem Hiddify com um clique na mesma infraestrutura de VPS Linux, implantável em minutos.

A seleção de localização para este caso de uso difere dos casos de uso de privacidade. Evite os EUA e os principais pontos de saída da UE ao atender usuários em regiões com forte detecção. Boas opções incluem Dubai, Frankfurt, Amsterdã e Singapura, que oferecem ampla cobertura geográfica.

V2Ray, Xray, Shadowsocks: A Camada Subjacente

V2Ray e seu fork Xray são a família de protocolos que o Hiddify encapsula. Se o Hiddify é abstração demais e você quer implantar um único protocolo com configuração manual, o V2Ray ou o Xray diretamente é o caminho. A compensação é operacional: você gerencia sozinho o daemon, o certificado TLS, a configuração de ofuscação e os modos de falha. A maioria dos leitores será mais bem atendida pelo Hiddify.

Shadowsocks é mais antigo. O protocolo original ainda funciona em muitos ambientes, mas é cada vez mais detectado pelo DPI moderno. O Shadowsocks-2022 adicionou melhorias de cifra de fluxo que fecham algumas classes de detecção, mas não resolve sozinho os ataques de impressão digital de protocolo. É razoável como uma opção dentro de uma implantação do Hiddify, menos razoável como ferramenta autônoma em 2026.

Outline: Regiões Mais Simples

O Outline é o wrapper da Jigsaw em torno do Shadowsocks com uma interface de administração amigável. Ele passou para a Outline Foundation em 2026 como um projeto independente. O Outline é uma escolha razoável para usuários em ambientes onde a censura é menos agressiva, onde a ofuscação simples da classe Shadowsocks ainda funciona, e onde quem implanta não é técnico e quer uma experiência empacotada. O Hiddify abrange mais terreno na maioria dos ambientes.

Comparação Lado a Lado

Ferramenta Ideal para Configuração Throughput Travessia de Firewall Requisito Mínimo de VPS Modelo de Confiança
WireGuard Nó de saída pessoal Baixa ~210 Mbps em túnel, ~8 Gbps kernel bare-metal Apenas UDP; bloqueado por algumas redes 12 MB RAM Auto-hospedado; você controla todas as chaves
WireGuard Easy Pessoal, interface web preferida Baixa Igual ao WireGuard Apenas UDP 512 MB RAM Auto-hospedado
OpenVPN AS Redes com UDP bloqueado Média ~110 Mbps em túnel TCP 443 parece HTTPS 1 GB RAM Auto-hospedado; 2 conexões gratuitas
Pritunl Painel OpenVPN/WG para equipes pequenas Média Comparável ao protocolo subjacente UDP ou TCP 2 GB RAM Auto-hospedado; sem taxas por usuário
Tailscale Maioria das equipes Muito baixa P2P direto próximo da taxa de linha; DERP limitado a 5 Mbps Travessia de NAT automática Nenhum necessário (plano de controle hospedado) Plano de controle hospedado
Headscale Equipes que precisam de plano de controle auto-hospedado Média Igual ao Tailscale Travessia de NAT automática 1 GB RAM Totalmente auto-hospedado
Netmaker Malha de equipe, sem limite de DERP Média Throughput de classe WireGuard Travessia de NAT via retransmissores auto-hospedados 1 GB RAM Totalmente auto-hospedado
Hiddify Manager Anticensura, regiões restritivas Média (interface web) Dependente do protocolo Evasão de DPI via REALITY, Hysteria2, etc. 1 GB RAM Auto-hospedado

Escolha o Caso de Uso Primeiro

A decisão está acima da ferramenta.

  • Implante o WireGuard quando o seu caso de uso é privacidade pessoal como seu próprio nó de saída.
  • Use o Tailscale se o seu caso de uso é conectar as máquinas de uma equipe, a menos que controlar o plano de controle faça parte do seu modelo de ameaças, caso em que escolha o Headscale ou o Netmaker.

As ferramentas não são intercambiáveis; o modo de falha de usar uma para outro caso de uso é real.

Qualquer que seja o caminho aplicável, a parte difícil da implantação e da manutenção ainda permanece. O marketplace da Cloudzy tem implantações com um clique para cada ferramenta abordada acima. A parte difícil é adequar a ferramenta ao modelo de ameaças. Essa parte está acima de qualquer botão de implantação.

Perguntas frequentes

Devo Usar WireGuard ou OpenVPN para Minha VPN Auto-Hospedada?

WireGuard para quase todos os casos. É mais rápido, tem menor latência, vem no kernel Linux e é muito mais simples de configurar. Use o OpenVPN apenas quando precisar atravessar firewalls que bloqueiam UDP (configurado na port TCP 443) ou quando precisar de amplo suporte a clientes legados que o WireGuard ainda não atende.

O Tailscale é Realmente Auto-Hospedado?

Não. O plano de dados do Tailscale é peer-to-peer, mas o plano de controle (distribuição de chaves, coordenação de identidade) é hospedado pelo Tailscale. Para muitas equipes, o plano de controle hospedado do Tailscale é aceitável; a questão é se o seu modelo de ameaças o trata como uma dependência que você pode aceitar.

Qual é o Tamanho Mínimo de VPS para Rodar uma VPN Auto-Hospedada?

512 MB of RAM and one virtual CPU is enough for personal WireGuard or OpenVPN. For team mesh controllers like Headscale or Netmaker, 1 GB of RAM is comfortable. For anti-censorship multi-user setups like Hiddify, 1 to 2 GB of RAM handles a small group of users. None of these workloads need a CPU-optimised plan.

Posso Rodar o WireGuard se Meu Provedor Residencial Usa CGNAT?

Não como um servidor ao qual você inicia conexões a partir de fora. O Carrier-Grade NAT impede totalmente as conexões de entrada para o seu IP residencial. Dois caminhos para contornar isso: alugar um VPS pequeno como retransmissor publicamente acessível, com o seu dispositivo doméstico se conectando a ele para fora; ou usar o Tailscale ou o Headscale, que lidam com a travessia de NAT por meio de hole-punching automaticamente. Ambos funcionam; a abordagem do VPS lhe dá um IP estável, a abordagem do Tailscale lhe dá uma malha.

Share

Mais do blogue

Continue a ler.

Pronto para implantar? A partir de $2,48/mês.

Cloud independente, desde 2008. AMD EPYC, NVMe, 40 Gbps. Reembolso em 14 dias.