Como configurar uma VPN com OpenVPN de forma segura e completa

Se você está procurando uma maneira confiável de proteger suas conexões ou acessar sua rede de qualquer lugar, OpenVPN é um dos protocolos mais seguros e versáteis que você pode implementar em casa ou na sua empresa. Este guia vai te ajudar do zero: o que é, o que você precisa, como configurá-lo em Linux, Windows e roteadores, e como conectar clientes em diferentes sistemas.

Além do simples ligar e desligar, Você aprenderá como configurar a criptografia moderna, evitar falhas típicas, testar vazamentos de DNS/IPv6 e otimizar o desempenho.. Inclui modos TUN e TAP, tls-crypt vs tls-auth, uso do Access Server, implantações em Omada e ASUS e Truques chave para CG-NAT, rotas e firewalls.

O que é uma VPN e por que OpenVPN?

Uma VPN cria um túnel criptografado entre seu dispositivo e um servidor, para que Seu IP real fica oculto e seus dados trafegam protegidosIsso permite trabalho remoto seguro, acesso a recursos internos e contornar bloqueios geográficos de forma responsável.

O OpenVPN, por outro lado, é um software livre e um protocolo amplamente auditado que funciona em Windows, macOS, GNU/Linux, iOS y Android, bem como em muitos roteadoresEle é baseado em SSL/TLS, suporta certificados digitais e autenticação adicional por meio de nome de usuário e senha.

Vantagens e desvantagens de usar uma VPN

Entre os benefícios mais claros você encontrará privacidade e segurança: O tráfego é criptografado, o rastreamento é minimizado e você pode navegar com mais tranquilidade.Ele também permite acesso remoto seguro a redes internas, o que é essencial em ambientes profissionais.

Além disso, muitas pessoas aproveitam a VPN para acessar conteúdo disponível em outros países ou em redes que aplicam bloqueios, sempre respeitando as leis e termos de serviço de cada plataforma.

Do lado menos amigável, A velocidade pode ser afetada pela criptografia e rejeição de pacotes., especialmente em serviços gratuitos ou se o algoritmo for mal escolhido em hardware sem aceleração. A fonte do Aplicativos para evitar software malicioso.

Desempenho do OpenVPN: velocidade, latência e estabilidade

Com a configuração adequada, O OpenVPN oferece velocidades consistentes, boa latência e alta estabilidade.Em geral, o uso do UDP reduz a sobrecarga em comparação ao TCP e é mais rápido na maioria dos cenários.

Em computadores sem AES-NI (aceleração de hardware), ChaCha20-Poly1305 geralmente tem melhor desempenho que AES-GCMSe sua CPU acelerar o AES, tente ambos para decidir; às vezes, o AES-GCM vence em termos de taxa de transferência.

Qual é o propósito de configurar o OpenVPN em casa ou no trabalho?

Configurar seu próprio servidor permite que você navegue com segurança mesmo em Wi-Fi público, Acesse a internet como se estivesse em casa e acesse serviços internos como arquivos, impressoras, câmeras IP ou servidores NAS.

Claro, você precisará que sua conexão tenha um IP público ou uma solução para Evite CG-NAT (Carrier-Grade NAT), pois sem portas abertas você não receberá conexões de entrada.. Conexões com boas velocidades de upload (por exemplo, 30 Mbps ou mais) melhoram muito a experiência.

Modos TUN e TAP: qual escolher?

O OpenVPN pode funcionar na camada 3 (TUN) ou na camada 2 (TAP). TUN cria um túnel IP ponto a ponto e é o modo mais comum para rotear sub-redes separadas com menos sobrecarga.

O modo TAP funciona como uma ponte Ethernet e encapsula quadros L2, útil se você precisar que os pontos de extremidade estejam na mesma sub-rede, mas adiciona mais tráfego e potenciais conflitos quando as sub-redes se sobrepõem.

Criptografia recomendada e versões TLS

Para certificados, é muito comum hoje usar EC (curvas elípticas) com secp521r1 e SHA-512 como hash, desde que clientes e servidores sejam compatíveis e atualizados.

No canal de controle (TLS), minimizar para TLS 1.2 e habilitar TLS 1.3 se disponível com suítes como TLS_AES_256_GCM_SHA384 ou TLS_CHACHA20_POLY1305_SHA256. PFS sobre ECDHE deve estar presente.

Para o canal de dados, AES-256-GCM ou CHACHA20-POLY1305 são opções robustasAmbos são AEAD, portanto não exigem autenticação separada. Evita cifras legadas como BF-CBC.

Fortalece a primeira fase de negociação com tls-cripta (ou tls-crypt-v2, quando aplicável) para mitigar DoS e ocultar metadados de pacotes iniciais. tls-auth fornece suporte legado, mas tls-crypt fornece criptografia de canal HMAC.

Preparações essenciais

Antes de começar: Verifique seu IP público, abra a porta no roteador e certifique-se de que você não está atrás do CG-NATSe você não tiver um endereço IP fixo, considere o DDNS para associar um domínio ao seu endereço IP dinâmico.

Em servidores Linux, prepare o Easy-RSA 3 para PKI e mantenha o OpenVPN e as bibliotecas de criptografia atualizadas. No Windows, a GUI do OpenVPN instala Drivers TAP e fornece exemplos de configuração.

Instalação e configuração em GNU/Linux (Debian/Ubuntu) com Easy-RSA 3

Instale o pacote com APT: sudo apt update && sudo apt install openvpn. Em seguida, baixe o Easy-RSA 3, descompacte-o e configure o arquivo vars com os parâmetros EC, curva e hash desejados.

Exemplos úteis: set_var EASYRSA_ALGO ec; set_var EASYRSA_CURVE secp521r1; set_var EASYRSA_DIGEST 'sha512'. Use o modo cn_only se preferir simplificar os DNs para o Nome Comum.

Inicialize a PKI com ./easyrsa init-pki, crie sua Autoridade Certificadora com ./easyrsa build-ca (com senha para a chave privada da CA, altamente recomendado) e gera solicitações e chaves para o servidor e cada cliente com ./easyrsa gen-req nome.

Assine o certificado do servidor com ./easyrsa sign-req servidor nome_do_servidor e os de clientes com ./easyrsa sign-req cliente nome_do_cliente. Em seguida, crie a chave HMAC com openvpn –genkey –secret ta.key para tls-crypt.

Organize pastas para não se perder: servidor (ca.crt, server.crt, server.key, ta.key) e um por cliente com seu crt, key, ca e ta.key.

Exemplo de configuração do servidor OpenVPN (Linux)

Defina a porta e o protocolo (UDP recomendado), Escolha dev tun, defina cifras e conjuntos de cifras tls, curva ECDH e versão mínima do TLS. Ele também define a sub-rede virtual, o DNS que você enviará e as permissões do usuário no daemon.

Um esqueleto de servidor (adaptá-lo ao seu ambiente): Use rotas locais, DNS e criptografia suportados pelos seus clientes. Lembre-se de que com a criptografia AEAD você não precisa de autenticação separada.

port 1194
proto udp
dev tun

ca ca.crt
cert servidor.crt
key servidor.key
dh none

# HMAC y ocultación del canal inicial
tls-crypt ta.key

# Cifrado y TLS (comprobar compatibilidad)
cipher AES-256-GCM
tls-ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
tls-version-min 1.2
ecdh-curve secp521r1
reneg-sec 0

# Topología y red virtual
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Rutas y DNS para clientes
push 'route 192.168.1.0 255.255.255.0'
push 'redirect-gateway def1'
push 'dhcp-option DNS 208.67.222.222'
push 'dhcp-option DNS 208.67.220.220'

client-to-client
keepalive 10 120
max-clients 100

user nobody
group nogroup
persist-key
persist-tun

status openvpn-status.log
verb 3
explicit-exit-notify 1

Comece com sudo openvpn server.conf e aguarde a mensagem "Sequência de Inicialização Concluída". Caso contrário, verifique os caminhos dos arquivos e a compatibilidade da cifra.

Configuração do cliente (Linux/Windows/macOS)

Crie um perfil por cliente com as mesmas configurações de criptografia e TLS do servidor. As principais diferenças são a diretiva 'cliente', o 'remoto' com IP ou domínio e seus arquivos de identidade.

client
dev tun
proto udp
remote ejemplo.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert cliente1.crt
key cliente1.key

remote-cert-tls server
cipher AES-256-GCM
# Para TLS 1.3 si aplica
tls-ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256

# HMAC/ocultación
tls-crypt ta.key

verb 3

No Windows, coloque o .ovpn e os certificados na pasta OpenVPN GUI (por padrão em 'C:\\Usuários\\SeuUsuário\\OpenVPN\\config') e conectar a partir do ícone da área de notificaçãoNo macOS, use o OpenVPN Connect ou um cliente compatível.

Rotas e NAT na sua rede

Para tornar os computadores na LAN remota acessíveis a partir da VPN, Uma rota estática pode ser necessária no seu roteador apontando para a sub-rede 10.8.0.0/24 com o servidor OpenVPN como gateway.

Se você deseja rotear todo o tráfego do cliente através da VPN, use 'push redirect-gateway def1' e ofereça DNS Confiável. Evite vazamentos de DNS ajustando resolvedores de clientes e firewalls.

Usando o OpenVPN Access Server no Linux

O OpenVPN Access Server simplifica a administração por meio de um console web: Você instala o pacote, acessa https://IP:943/admin, aceita os termos e ativa o serviço.Você pode criar usuários, baixar perfis e clientes para cada sistema.

Existem limites na versão gratuita (por exemplo, duas conexões simultâneas) e opções avançadas, como perfis de logon automático ou desativação da compactação caso isso cause problemas.

Clientes em Windows, macOS, Linux, Android e iOS

No Windows e no macOS, você pode usar o OpenVPN Connect ou a GUI da comunidade; Importe o perfil .ovpn e autentique. No Linux, instale o pacote openvpn, coloque o perfil em '/etc/openvpn' e inicie o serviço.

No Android e iOS, o aplicativo OpenVPN Connect permite Importe o perfil pela URL do servidor ou enviando o .ovpn. Certifique-se de inserir a porta correta, o nome de usuário e, se aplicável, a senha ou 2FA.

Configuração em roteadores e controladores: ASUS e Omada

Muitos roteadores ASUS incluem um servidor OpenVPN integrado: Habilite-o no site do roteador, escolha a porta, crie usuários e exporte o .ovpn. Funciona melhor com IP WAN público e firmware atualizado.

Em ambientes Omada, você pode configurar uma política de VPN de cliente para site: Define OpenVPN como servidor, porta, túnel completo ou dividido, DNS e usuários. Exporte o perfil .ovpn para clientes.