Guia completo do WireGuard: instalação, chaves e configuração avançada

Se você estiver procurando por um VPN que é rápido, seguro e fácil de implementar, WireGuard É o melhor que você pode usar hoje. Com design minimalista e criptografia moderna, é ideal para usuários domésticos, profissionais e ambientes corporativos, tanto em computadores quanto em dispositivos móveis e roteadores.

Neste guia prático você encontrará tudo, desde o básico até o configuração avançada: Instalação em Linux (Ubuntu/Debian/CentOS), chaves, arquivos de servidor e cliente, encaminhamento de IP, NAT/Firewall, aplicativos em Windows/macOS/Android/iOS, Dupla de tunelamento, desempenho, solução de problemas e compatibilidade com plataformas como OPNsense, pfSense, QNAP, Mikrotik ou Teltonika.

O que é o WireGuard e por que escolhê-lo?

WireGuard é um protocolo VPN de código aberto e software projetado para criar Túneis criptografados L3 sobre UDP. Destaca-se em relação ao OpenVPN ou IPsec pela sua simplicidade, desempenho e menor latência, contando com algoritmos modernos como Curva25519, ChaCha20-Poly1305, BLAKE2, SipHash24 e HKDF.

Sua base de código é muito pequena (cerca de milhares de linhas), o que facilita auditorias, reduz a superfície de ataque e melhora a manutenção. Também está integrado ao kernel Linux, permitindo altas taxas de transferência e resposta ágil mesmo em hardware modesto.

 

É multiplataforma: existem aplicativos oficiais para Windows, macOS, Linux, Android e iOSe suporte para sistemas orientados a roteadores/firewall, como o OPNsense. Também está disponível para ambientes como FreeBSD, OpenBSD e plataformas NAS e de virtualização.

Como funciona por dentro

 

O WireGuard estabelece um túnel criptografado entre pares (pares) identificados por chaves. Cada dispositivo gera um par de chaves (privada/pública) e compartilha apenas suas chave pública com a outra extremidade; a partir daí, todo o tráfego é criptografado e autenticado.

Diretriz IPs permitidos Define tanto o roteamento de saída (qual tráfego deve passar pelo túnel) quanto a lista de fontes válidas que o ponto remoto aceitará após descriptografar um pacote com sucesso. Essa abordagem é conhecida como Roteamento de criptomoeda e simplifica muito a política de trânsito.

O WireGuard é excelente com o de roaming- Se o IP do seu cliente mudar (por exemplo, você mudar de Wi-Fi para 4G/5G), a sessão será restabelecida de forma transparente e muito rápida. Também suporta interruptor de segurança para bloquear o tráfego de saída do túnel se a VPN cair.

Instalação no Linux: Ubuntu/Debian/CentOS

No Ubuntu, o WireGuard está disponível nos repositórios oficiais. Atualize os pacotes e instale o software para obter o módulo e as ferramentas. wg e wg-rápido.

apt update && apt upgrade -y
apt install wireguard -y
modprobe wireguard

No Debian estável, você pode contar com repositórios de ramificação instáveis ​​se precisar, seguindo o método recomendado e com cuidado na produção:

sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" > /etc/apt/preferences.d/limit-unstable'
sudo apt update
sudo apt install wireguard

No CentOS 8.3 o fluxo é semelhante: você ativa os repositórios EPEL/ElRepo se necessário e então instala o pacote WireGuard e módulos correspondentes.

Geração de chaves

Cada par deve ter o seu próprio par de chaves privada/pública. Aplique umask para restringir permissões e gerar chaves para o servidor e os clientes.

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Repita em cada dispositivo. Nunca compartilhe o chave privada e salve ambos com segurança. Se preferir, crie arquivos com nomes diferentes, por exemplo servidor de chaves privadas y chave do servidor público.

Configuração do servidor

Crie o arquivo principal em /etc/wireguard/wg0.conf. Atribua uma sub-rede VPN (não usada em sua LAN real), a porta UDP e adicione um bloco [Par] por cliente autorizado.

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <clave_privada_servidor>

# Cliente 1
[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 10.0.0.2/32

Você também pode usar outra sub-rede, por exemplo 192.168.2.0/24e crescer com vários pares. Para implantações rápidas, é comum usar wg-rápido com arquivos wgN.conf.

Configuração do cliente

No cliente crie um arquivo, por exemplo wg0-client.conf, com sua chave privada, endereço de túnel, DNS opcional e o par do servidor com seu ponto de extremidade e porta públicos.

[Interface]
PrivateKey = <clave_privada_cliente>
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = <clave_publica_servidor>
Endpoint = <ip_publica_servidor>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Se você colocar IPs permitidos = 0.0.0.0/0 Todo o tráfego passará pela VPN; se você quiser alcançar apenas redes de servidores específicas, limite-o às sub-redes necessárias e você reduzirá latência e consumo.

Encaminhamento de IP e NAT no servidor

Habilite o encaminhamento para que os clientes possam acessar a Internet através do servidor. Aplique as alterações em tempo real com sysctl.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p

Configure o NAT com iptables para a sub-rede VPN, definindo a interface WAN (por exemplo, eth0):

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Faça com que seja persistente com os pacotes apropriados e regras de salvamento a serem aplicadas na reinicialização do sistema.

apt install -y iptables-persistent netfilter-persistent
netfilter-persistent save

Inicialização e verificação

Abra a interface e habilite o serviço para iniciar com o sistema. Esta etapa cria a interface virtual e adiciona rotas necessário.

systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
wg

Com wg Você verá os pares, chaves, transferências e horários do último handshake. Se a sua política de firewall for restritiva, permita a entrada pela interface. wg0 e a porta UDP do serviço:

iptables -I INPUT 1 -i wg0 -j ACCEPT

Aplicativos oficiais: Windows, macOS, Android e iOS

Na área de trabalho você pode importar um arquivo .conf. Em dispositivos móveis, o aplicativo permite que você crie a interface a partir de um QR code contendo a configuração; é muito conveniente para clientes não técnicos.

Se o seu objetivo é expor serviços auto-hospedados, como Plex/Radarr/Sonarr Por meio de sua VPN, basta atribuir IPs na sub-rede WireGuard e ajustar os AllowedIPs para que o cliente possa acessar essa rede; você não precisa abrir portas adicionais para o exterior se todo o acesso for por meio da túnel.

Vantagens e desvantagens

O WireGuard é muito rápido e simples, mas é importante considerar suas limitações e especificidades dependendo do caso de uso. Aqui está uma visão geral equilibrada dos mais relevante.

Vantagens	Desvantagens
Configuração clara e curta, ideal para automação	Não incorpora ofuscação de tráfego nativo
Alto desempenho e baixa latência mesmo em móvel	Em alguns ambientes legados, há menos opções avançadas
Criptografia moderna e código pequeno que facilita auditoria	Privacidade: a associação de IP/chave pública pode ser sensível dependendo das políticas
Roaming contínuo e kill switch disponíveis nos clientes	A compatibilidade de terceiros nem sempre é homogênea

 

Túnel dividido: direcionando apenas o que é necessário

O tunelamento dividido permite que você envie apenas o tráfego necessário pela VPN. Com IPs permitidos Você decide se deseja fazer o redirecionamento completo ou seletivo para uma ou mais sub-redes.

# Redirección completa de Internet
[Peer]
AllowedIPs = 0.0.0.0/0

# Solo acceder a recursos de la LAN 192.168.1.0/24 por la VPN
[Peer]
AllowedIPs = 192.168.1.0/24

Existem variantes como o tunelamento reverso dividido, filtrado por URL ou por aplicação (através de extensões/clientes específicos), embora a base nativa no WireGuard seja o controle por IP e prefixos.

Compatibilidade e ecossistema

O WireGuard nasceu para o kernel Linux, mas hoje é multi plataformaO OPNsense o integra nativamente; o pfSense foi temporariamente descontinuado para auditorias e, posteriormente, foi oferecido como um pacote opcional, dependendo da versão.

Em NAS como QNAP, você pode montá-lo via QVPN ou máquinas virtuais, aproveitando as NICs de 10 GbE para altas velocidadesAs placas de roteador MikroTik incorporaram suporte ao WireGuard desde o RouterOS 7.x; em suas primeiras iterações, ele estava em beta e não era recomendado para produção, mas permite túneis P2P entre dispositivos e até mesmo clientes finais.

Fabricantes como a Teltonika têm um pacote para adicionar o WireGuard aos seus roteadores; se você precisar de equipamentos, pode comprá-los em loja.davantel.com e siga as instruções do fabricante para instalação pacotes extra.

Desempenho e latência

Graças ao seu design minimalista e à escolha de algoritmos eficientes, o WireGuard atinge velocidades muito altas e latências baixas, geralmente superior ao L2TP/IPsec e OpenVPN. Em testes locais com hardware potente, a taxa real costuma ser o dobro das alternativas, tornando-a ideal para streaming, jogos ou VoIP.

Implementação corporativa e teletrabalho

Na empresa, o WireGuard é adequado para criar túneis entre escritórios, acesso remoto de funcionários e conexões seguras entre CPD e nuvem (por exemplo, para backups). Sua sintaxe concisa facilita o controle de versão e a automação.

Integra-se com diretórios como LDAP/AD usando soluções intermediárias e pode coexistir com plataformas IDS/IPS ou NAC. Uma opção popular é PacketFence (código aberto), que permite verificar o status do equipamento antes de conceder acesso e controle BYOD.

Windows/macOS: Notas e dicas

O aplicativo oficial do Windows geralmente funciona sem problemas, mas em algumas versões do Windows 10 houve problemas ao usar IPs permitidos = 0.0.0.0/0 devido a conflitos de rota. Como alternativa temporária, alguns usuários optam por clientes baseados no WireGuard, como o TunSafe, ou limitam os AllowedIPs a sub-redes específicas.

Guia de início rápido do Debian com chaves de exemplo

Gerar chaves para servidor e cliente em /etc/wireguard/ e crie a interface wg0. Certifique-se de que os IPs da VPN não correspondam a nenhum outro IP na sua rede local ou nos seus clientes.

cd /etc/wireguard/
wg genkey | tee claveprivadaservidor | wg pubkey > clavepublicaservidor
wg genkey | tee claveprivadacliente1 | wg pubkey > clavepublicacliente1

Servidor wg0.conf com sub-rede 192.168.2.0/24 e porta 51820. Habilite PostUp/PostDown se quiser automatizar NAT com iptables ao ativar/desativar a interface.

[Interface]
Address = 192.168.2.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
#PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <clave_publica_cliente1>
AllowedIPs = 0.0.0.0/0

Cliente com endereço 192.168.2.2, apontando para o endpoint público do servidor e com mantenha vivo opcional se houver NAT intermediário.

[Interface]
PrivateKey = <clave_privada_cliente1>
Address = 192.168.2.2/32

[Peer]
PublicKey = <clave_publica_servidor>
AllowedIPs = 0.0.0.0/0
Endpoint = <ip_publica_servidor>:51820
#PersistentKeepalive = 25

Abra a interface e observe como o MTU, as marcações de rota e marca fw e regras de política de roteamento. Revise a saída e o status do wg-quick com show wg.

Mikrotik: túnel entre RouterOS 7.x

O MikroTik oferece suporte ao WireGuard desde o RouterOS 7.x. Crie uma interface WireGuard em cada roteador, aplique-a e ela será gerada automaticamente. chaves. Atribua IPs ao Ether2 como WAN e ao wireguard1 como interface de túnel.

Configure os pares cruzando a chave pública do servidor no lado do cliente e vice-versa, defina Endereço Permitido/IPs Permitidos (por exemplo 0.0.0.0/0 (se você quiser permitir qualquer origem/destino através do túnel) e definir o ponto de extremidade remoto com sua porta. Um ping para o IP do túnel remoto confirmará a aperto de mão.

Se você conectar celulares ou computadores ao túnel Mikrotik, ajuste as redes permitidas para não abrir mais do que o necessário; o WireGuard decide o fluxo de pacotes com base em suas Roteamento de criptomoeda, por isso é importante combinar origens e destinos.

Criptografia usada

A WireGuard emprega um conjunto moderno de: Ruído como uma estrutura, Curve25519 para ECDH, ChaCha20 para criptografia simétrica autenticada com Poly1305, BLAKE2 para hash, SipHash24 para tabelas de hash e HKDF para derivação de chavesSe um algoritmo for descontinuado, o protocolo poderá ser versionado para migrar sem problemas.

Prós e contras no celular

Usá-lo em smartphones permite que você navegue com segurança Wi-Fi público, oculte o tráfego do seu provedor de internet e conecte-se à sua rede doméstica para acessar NAS, automação residencial ou jogos. No iOS/Android, a troca de rede não derruba o túnel, o que melhora a experiência.

Como desvantagens, você arrasta alguma perda de velocidade e maior latência em comparação à saída direta e depende do servidor estar sempre disponível. No entanto, comparado ao IPsec/OpenVPN a penalidade geralmente é menor.

O WireGuard combina simplicidade, velocidade e segurança real com uma curva de aprendizado suave: instale, gere chaves, defina IPs permitidos e pronto. Adicione encaminhamento de IP, NAT bem implementado, aplicativos oficiais com códigos QR e compatibilidade com ecossistemas como OPNsense, Mikrotik ou Teltonika. uma VPN moderna para quase qualquer cenário, desde proteger redes públicas até conectar sedes e acessar seus serviços domésticos sem dores de cabeça.