Um agregado familiar com dois telemóveis, dois portáteis, uma smart TV, uma consola e uma coluna inteligente são sete dispositivos que podem todos precisar de cobertura VPN. Instalar e manter um cliente VPN em cada um é trabalhoso. Alguns deles, sobretudo consolas e muitos dispositivos IoT, não conseguem sequer correr um cliente VPN normal. Outros, como as smart TVs, podem suportar apps de VPN apenas em determinadas plataformas.
Um router VPN resolve isto ao executar a VPN no próprio router, para que todos os dispositivos atrás dele herdem o túnel sem instalar nada. O termo abrange vários cenários diferentes: um router que se liga a um fornecedor de VPN em nome da LAN, um router que funciona como servidor VPN permitindo que faça um túnel a partir de outro lugar, ou um gateway auto-alojado num VPS que controla de ponta a ponta.
A versão curta
- Um router VPN executa o software de VPN no router, para que cada dispositivo ligado, incluindo os que não conseguem correr um cliente VPN próprio, use o túnel automaticamente.
- Tem dois modos que resolvem problemas diferentes: o modo cliente faz o túnel do tráfego de saída para um fornecedor de VPN ou para o seu próprio servidor; o modo servidor permite que dispositivos remotos façam um túnel para a sua LAN.
- O WireGuard é o protocolo certo para VPN ao nível do router em quase todos os casos. O código-base é pequeno, o custo por pacote é baixo e os CPUs dos routers domésticos lidam melhor com ele do que com o OpenVPN.
- Tem quatro formas de obter um: usar um router que já suporte VPN, gravar firmware personalizado num router que possua, comprar um router VPN pré-configurado ou dispensar o hardware por completo e correr o WireGuard num VPS. A última opção é a mais forte se quiser escolha de servidor, controlo jurisdicional ou se já faz auto-alojamento.
Como um Router VPN Funciona na Prática
Quando um dispositivo se liga a um router VPN em modo cliente, o dispositivo não sabe que está numa VPN. Recebe uma concessão DHCP normal do router, abre uma ligação TCP a um destino e envia pacotes. O router faz a encriptação. O dispositivo vê uma LAN normal. Há dois modos que vale a pena perceber, e a maioria dos "routers VPN" domésticos só faz bem o primeiro.
Modo Cliente VPN (Saída)
No modo cliente, o router guarda as credenciais da VPN e faz o túnel de todo o tráfego de saída em nome dos dispositivos atrás dele. O fluxo de dados é: dispositivo → router → túnel encriptado → servidor VPN → internet pública.
Todos os dispositivos na LAN usam o mesmo túnel automaticamente. O router pega em cada pacote, encripta-o e encaminha-o para o endpoint VPN configurado. A internet pública vê o IP de saída do servidor VPN, não o IP atribuído pelo ISP da casa. É esta a configuração que as pessoas costumam querer dizer quando falam de "router VPN."
A encriptação acontece no CPU do router. Este é o detalhe mecânico importante. Routers domésticos mais antigos e mais baratos podem usar chips ARM ou MIPS de baixo clock com aceleração criptográfica limitada, enquanto os routers mais recentes com suporte a VPN são muito mais rápidos. De qualquer forma, o router continua responsável por encriptar cada byte que entra e sai de cada dispositivo na rede, por isso o hardware do router torna-se o teto de desempenho.
O protocolo importa aqui pela mesma razão. O custo por pacote do WireGuard é mais baixo do que o do OpenVPN, e é por isso que o suporte a WireGuard nos routers domésticos é a funcionalidade que vale a pena procurar. Veja o guia de configuração do WireGuard num VPS.
Modo Servidor VPN (Entrada)
No modo servidor, o próprio router executa um servidor VPN. Dispositivos remotos na internet aberta ligam-se de entrada ao IP público do router e chegam à LAN como se estivessem sentados na sala de estar. O fluxo de dados é: dispositivo remoto → IP público → servidor VPN do router → recursos da LAN.
Isto resolve um problema diferente. É acesso remoto, não privacidade de saída. Um portátil num café consegue chegar a um servidor de ficheiros em casa. Um telemóvel no estrangeiro consegue chegar à rede de casa. O router é o servidor VPN; o telemóvel é o cliente VPN.
O modo servidor exige um endereço IP público encaminhável. Se o seu ISP o colocou atrás de CGNAT, e muitos ISPs residenciais fizeram-no, não há IP público ao qual se ligar de entrada, e este modo não funciona sem truques adicionais. O reencaminhamento de portas costuma também ser necessário, o que limita isto a quem é dono do router e consegue configurar a sua firewall.
Os dois modos não são mutuamente exclusivos. Um router capaz consegue correr ambos ao mesmo tempo. Mas os casos de uso são completamente diferentes. O modo cliente é para "quero a casa toda atrás de uma saída VPN." O modo servidor é para "quero chegar à minha casa a partir de outro lugar."
Os Quatro Caminhos Para uma VPN ao Nível do Router
Não há uma única coisa chamada "arranjar um router VPN." Há quatro caminhos, e organizam-se segundo dois eixos: quanto controlo de hardware e firmware quer e se quer um fornecedor comercial ou o seu próprio servidor na outra ponta do túnel. O caminho certo depende de qual desses eixos importa mais.
Caminho 1: Usar o Seu Router Atual (Se Suportar VPN)
Vários fabricantes de routers domésticos já incluem suporte nativo a cliente VPN, incluindo WireGuard, no seu firmware de origem. A ASUS suporta WireGuard nativamente no firmware recente. As séries Flint e Beryl da GL.iNET suportam WireGuard de imediato, documentado no tutorial oficial.
Este é o caminho mais barato e de menor risco. Se o seu router já estiver nesta lista, não grava nada e não inutiliza nada. Insere uma configuração de WireGuard no painel de administração e o túnel sobe. A limitação é a óbvia: o router tem de suportar o protocolo que quer, e as opções de protocolo dependem do que o fabricante incluiu. Modelos mais antigos não vão receber o WireGuard adicionado retroativamente.
Caminho 2: Gravar Firmware Personalizado (OpenWrt, DD-WRT, FreshTomato)
Se o seu router não estiver na lista de suportados, pode substituir o firmware por uma das alternativas open-source. O OpenWrt é o mais ativamente mantido dos três e tem o suporte de hardware mais amplo. O DD-WRT também é ativo, com uma filosofia de design diferente e um conjunto maior de dispositivos suportados. O FreshTomato dá continuidade ao projeto Tomato original, mas está restrito a chipsets Broadcom e serve uma comunidade muito menor.
O firmware personalizado dá-lhe escolha de protocolo: OpenVPN, WireGuard, IPsec, todos configuráveis. Dá-lhe também tudo o resto que esses projetos oferecem: melhor QoS, regras de firewall granulares, gestão de pacotes. O custo é o risco e o tempo.
Dica Profissional
Gravar firmware personalizado pode inutilizar permanentemente um router se escolher a imagem errada, perder energia a meio da gravação ou usar uma build com um bug para a sua revisão específica de hardware. Escolha um modelo que o projeto de firmware suporte explicitamente, leia a página específica do dispositivo e aceite que anulou a garantia. Se o router que inutilizar for o seu único router, conte estar offline pelo tempo que demorar a arranjar um substituto.
Caminho 3: Comprar um Router VPN Pré-Configurado
O caminho mais simples. Fabricantes como a GL.iNET vendem routers com WireGuard integrado de imediato. Alguns fornecedores comerciais de VPN também vendem routers de marca pré-configurados para o seu serviço, o que significa que liga-o à corrente, insere as credenciais da sua conta e está feito.
Os compromissos são o preço e o lock-in. Os routers pré-configurados custam mais por unidade do que construir o seu próprio. Se a unidade vier com a marca de um fornecedor de VPN específico, fica preso aos protocolos, países de saída e política de registos desse fornecedor. Se o fornecedor mudar os seus termos ou fechar, o router não migra facilmente para um novo serviço.
O quarto caminho é ligeiramente diferente porque não exige comprar nem gravar hardware de router. Continua a dar-lhe cobertura VPN ao nível do router se o seu router apontar a montante para o VPS, mas o endpoint VPN em si vive num servidor em vez de dentro do router.
Caminho 4: Usar um VPS Como Gateway VPN
Corra o WireGuard ou o OpenVPN num VPS Linux e depois aponte o seu router ou dispositivos individuais para esse servidor. Isto não é uma compra de router de hardware. É uma estratégia de endpoint diferente, por isso os compromissos merecem a sua própria secção abaixo.
| Caminho | Complexidade de Configuração | Teto de Desempenho | Troca de Servidor | Risco de Hardware | Custo Contínuo | Adequação |
|---|---|---|---|---|---|---|
| Router atual | Baixo | Limitado pelo CPU do router | Pelo painel de administração | Nenhum | Nenhum além do ISP | Já possui um router suportado |
| Gravar firmware personalizado | Alto | Limitado pelo CPU do router | Pelo painel de administração | Risco de inutilização | Nenhum além do ISP | Quer flexibilidade de protocolo e aceita o risco |
| Router pré-configurado | O mais baixo | Limitado pelo CPU do router | Depende do fabricante | Nenhum | Custo do hardware; subscrição do fornecedor se incluída | Quer plug-and-play e aceita o sobrecusto |
| VPS como gateway | Médio-alto | Limitado pelo CPU do VPS (mais alto) | Inicie um novo VPS noutra região | Nenhum | Aluguer mensal do VPS | Quer escolha jurisdicional, melhor desempenho ou já faz auto-alojamento |
Quando um Router VPN Faz Sentido e Quando Não Faz
A questão não é se uma VPN no router é melhor do que uma VPN no dispositivo em abstrato. É se a sua situação específica exige mesmo cobertura de toda a rede, porque no momento em que coloca uma VPN no router, cada dispositivo atrás dele paga o mesmo imposto de encriptação.
Casos de Uso em Que uma VPN no Router Compensa o Custo de Configuração
Os agregados com muitos dispositivos são o caso mais claro. Assim que está a gerir mais de quatro ou cinco dispositivos, instalar e atualizar clientes VPN em cada um é uma chatice. A configuração ao nível do router faz-se uma única vez.
Os dispositivos com suporte de VPN limitado ou complicado são o segundo caso. As consolas de jogos, a maioria dos dispositivos IoT e os hubs de casa inteligente mais antigos costumam não ter nenhuma app de VPN normal disponível. Algumas smart TVs conseguem correr apps de VPN, sobretudo as de Android TV / Google TV e os modelos de Apple TV mais recentes, mas a VPN ao nível do router continua a ajudar quando a plataforma da TV não suporta o seu fornecedor ou quando quer uma política de rede consistente.
As viagens são o terceiro caso. Um router de viagem compacto com suporte a WireGuard significa que um túnel cobre todos os dispositivos num quarto de hotel (telemóvel, portátil, tablet) através do Wi-Fi do router, independentemente do que a rede do hotel fizer. A mesma lógica aplica-se a um gateway em VPS acedido através do router de viagem.
Os pequenos escritórios e os espaços partilhados são o quarto caso. Uma política de rede consistente aplicada no gateway é mais fácil de gerir do que uma frota de configurações ao nível do dispositivo que se vão desencontrando ao longo do tempo.
Casos em Que a VPN no Router É a Escolha Errada
Se troca frequentemente de país de saída da VPN para conteúdo bloqueado por região, testes de jurisdição ou qualquer outra razão, uma VPN ao nível do router é a ferramenta errada. Alternar saídas num telemóvel é um toque. Fazê-lo num router exige entrar no painel de administração.
Se precisa de split-tunneling ao nível da aplicação, algumas apps pela VPN e outras diretas, uma app de VPN ao nível do dispositivo trata disso de forma limpa. O router não consegue distinguir facilmente qual a aplicação que gerou qual pacote.
Se alguns dispositivos na sua rede precisam da VPN e outros não podem mesmo usá-la, a VPN no router põe toda a gente atrás do mesmo IP de saída. As apps bancárias sinalizam tráfego de VPN. Os serviços de streaming bloqueados por região deixam de funcionar. Uma política geral no router significa uma solução alternativa geral para cada exceção.
Se tem um ou dois dispositivos, uma camada ao nível do router está a resolver um problema que não tem.
A How-To Geek fez o argumento da latência em 2023: uma VPN ao nível da rede impõe a latência da VPN a todos os dispositivos ligados, incluindo os que fazem trabalho sensível à latência como jogos, videochamadas e reuniões em tempo real, que não beneficiam da proteção da VPN durante essas atividades. Esse argumento é correto e merece ser ponderado. A solução não é abandonar a VPN no router. É reconhecer que pode querer alguns dispositivos fora do túnel.
Muitos fornecedores comerciais de VPN ainda limitam as ligações simultâneas por conta, enquanto outros oferecem agora contagens de dispositivos mais altas ou ilimitadas. Uma VPN no router pode ainda assim ser útil porque o fornecedor costuma ver o router como uma única ligação VPN, mesmo que vários dispositivos estejam atrás dele.
Escolha de Protocolo: WireGuard, OpenVPN e os Restantes
A escolha de protocolo importa mais num router do que num portátil, porque é o CPU do router que faz a encriptação e o CPU do router é lento. Um portátil moderno com AES-NI lida igualmente bem com o OpenVPN ou o WireGuard a gigabit. Um router doméstico não.
O WireGuard é a resposta certa para quase todos os cenários. O código-base é dramaticamente mais pequeno do que o do OpenVPN, o que o torna mais fácil de auditar e rever. A criptografia é moderna: ChaCha20 para a encriptação, Poly1305 para a autenticação, Curve25519 para a troca de chaves. O handshake completa-se numa única ida e volta; o handshake TLS do OpenVPN leva várias. O custo de processamento por pacote é baixo o suficiente para que os CPUs dos routers domésticos lidem com ele, ao passo que teriam dificuldades com o OpenVPN. O WireGuard é agora suportado nativamente pela ASUS, pela GL.iNET e pela maioria dos projetos de firmware personalizado.
O OpenVPN ainda tem o seu lugar. É maduro, amplamente suportado e tem uma integração mais ampla com sistemas de autenticação empresariais. Se já tiver uma implementação de OpenVPN com certificados já emitidos, ou se tiver um requisito de compatibilidade específico que o WireGuard ainda não cumpre, o OpenVPN continua a ser uma escolha razoável. Corre bem em routers capazes.
O L2TP/IPsec ainda aparece em muitas páginas de administração de routers, sobretudo por compatibilidade com sistemas antigos. Pode funcionar, mas não é o protocolo a escolher para uma nova VPN ao nível do router quando o WireGuard está disponível. O PPTP deve ser tratado como morto. Tem problemas de segurança conhecidos, e a Microsoft já avançou para descontinuar o PPTP e o L2TP em futuras versões do Windows Server.
Dica Profissional
Se o CPU do seu router tiver mais de cinco anos e não tiver aceleração de hardware para WireGuard, corra o WireGuard à mesma. Mesmo sem aceleração, costuma bater o OpenVPN acelerado no mesmo hardware. As exceções são raras e envolvem chips Broadcom específicos com offload dedicado de OpenVPN. Se não conseguir confirmar que o seu router se enquadra num desses casos extremos, opte por predefinição pelo WireGuard.
Uma nota sobre as alegações de desempenho que circulam online. A própria página de desempenho do WireGuard descreve os seus benchmarks publicados como "antigos, gastos e não muito bem conduzidos." Estes são os próprios autores do projeto. Os rácios de débito específicos que encontra citados em blogs de terceiros costumam não ter uma fonte fidedigna. A alegação qualitativa de que o WireGuard costuma superar o OpenVPN, sobretudo em hardware de menor potência, está bem sustentada. Os multiplicadores específicos não estão.
Deve Construir um Router VPN ou Usar um Gateway em VPS?
Para um leitor técnico, a comparação mais limpa é a colocação do endpoint: a VPN termina em hardware na sua casa ou em software a correr num servidor que aluga?
Um router VPN de hardware tem algumas vantagens específicas. A fronteira de encriptação está fisicamente isolada num dispositivo que possui. Não há custo de aluguer contínuo além do seu ISP. O modelo mental é simples: uma caixa, uma configuração, um cabo para a parede. Para um cenário de viagem, um router de hardware num formato de bolso (as unidades GL.iNET da classe Beryl, por exemplo) é um objeto genuinamente útil.
Um VPS como gateway tem vantagens diferentes. Um VPS decente costuma dar-lhe mais capacidade de computação previsível e mais margem do que um router doméstico barato, sobretudo quando precisa de várias saídas, mais largura de banda de upload ou mais túneis concorrentes. Você escolhe a jurisdição. A saída da VPN fica onde o VPS estiver, e pode movê-la. Você controla o daemon de VPN e os seus registos ao nível da aplicação, embora o fornecedor de alojamento continue a controlar a infraestrutura subjacente. Se quiser uma segunda saída noutra região, inicia outro VPS em 10 minutos em vez de comprar outro router.
Um ponto de partida razoável para dimensionar um gateway VPN pessoal é 1 vCPU e 1 GB de RAM, que lida com 5 a 10 ligações de dispositivos concorrentes a correr WireGuard em larguras de banda residenciais. Encriptação concorrente mais pesada ou um upload mais alto justificam um plano otimizado para CPU. O trabalho de encriptação é limitado pelo CPU, não pela memória. Veja melhor VPS para VPN para o dimensionamento do plano.
Escolha hardware se quiser custo mensal zero por cima do seu ISP, se já possuir um router capaz ou se precisar especificamente de um formato de router de viagem. Escolha um VPS se quiser melhor desempenho de encriptação do que um router doméstico consegue oferecer, escolha jurisdicional na saída ou se já faz auto-alojamento de outros serviços e acrescentar mais um daemon não é encargo nenhum. Para ambientes de rede restritivos, o caminho do VPS também pode ser mais fácil de adaptar do que uma configuração de router de origem, porque você controla o software do servidor e não está limitado aos protocolos que o fabricante do router expõe no seu painel de administração.
Se seguir o caminho do VPS, os critérios de compra são simples: escolha uma região próxima, CPU suficiente para a encriptação, um IP dedicado e um fornecedor que lhe dê acesso root sem esconder os detalhes da rede. O VPS Linux da Cloudzy é uma opção para isto, e o marketplace tem implementações Access Server com um clique WireGuard e OpenVPN se quiser saltar a configuração manual do servidor.
Perguntas frequentes
Preciso de um Router Especial Para Usar uma VPN?
Não. Não precisa de um router especial se o seu router atual já suportar o modo cliente VPN. Muitos modelos recentes da ASUS e da GL.iNET suportam WireGuard ou OpenVPN no firmware de origem, mas o suporte depende do modelo e da versão de firmware exatos. Se o seu router não suportar uma VPN nativamente, pode instalar firmware personalizado como o OpenWrt ou correr a VPN num dispositivo separado, como um VPS, um Raspberry Pi ou um pequeno servidor Linux, pelo qual o router encaminha.
Uma VPN no Router Vai Tornar a Minha Internet Mais Lenta?
Sim, um pouco. O CPU do router faz o trabalho de encriptação, e os CPUs dos routers domésticos são mais lentos do que os do seu telemóvel ou portátil. A magnitude da lentidão depende do chip do router, do protocolo (o WireGuard é mais leve do que o OpenVPN) e de o router ter ou não aceleração de hardware. Um router moderno a correr WireGuard costuma perder uma pequena fração do débito da WAN. Um router mais antigo a correr OpenVPN pode perder muito mais.
Qual É a Diferença Entre um Router VPN e uma App de VPN no Meu Dispositivo?
Um router VPN põe o túnel ao nível da rede, para que cada dispositivo ligado (telemóvel, portátil, smart TV, consola, IoT) use a VPN automaticamente sem instalar nada. Uma app de VPN põe o túnel num único dispositivo e protege só esse dispositivo, mas permite um controlo mais fino: encaminhamento por app, troca fácil de servidor e exclusão de apps específicas. O compromisso é a cobertura de toda a rede face à flexibilidade por dispositivo.
Que Protocolo de VPN Devo Usar no Meu Router, WireGuard ou OpenVPN?
WireGuard, em quase todos os casos. O código-base é mais pequeno, a criptografia é moderna e o custo de processamento por pacote é baixo o suficiente para que os CPUs dos routers domésticos lidem bem com ele. O OpenVPN continua a ser uma escolha razoável se já tiver uma implementação de OpenVPN com certificados emitidos, ou se tiver um requisito de compatibilidade específico que o WireGuard ainda não cumpre.
Posso Usar um VPS em Vez de um Router VPN de Hardware?
Sim. Instale o WireGuard ou o OpenVPN num VPS Linux e depois aponte um router OpenWrt ou DD-WRT para ele como um túnel a montante, ou ligue dispositivos individuais diretamente ao VPS. Esta abordagem dá-lhe escolha jurisdicional na saída, controlo sobre o daemon de VPN e os seus registos ao nível da aplicação, e mais margem de computação do que a maioria das configurações de router doméstico. O compromisso é que você opera um servidor, incluindo aplicar-lhe patches e monitorizá-lo.
