Configure uma VPN diretamente no roteador usando o OpenVPN. É uma das maneiras mais poderosas e flexíveis de proteger toda a sua rede doméstica ou empresarial sem a necessidade de instalar aplicativos em todos os dispositivos. Quando configurado corretamente, qualquer dispositivo conectado à sua rede Wi-Fi ou via cabo acessará a internet por meio de um túnel criptografado, como se estivesse fisicamente em uma rede diferente.
Este guia reúne, reorganiza e expande informações técnicas de fabricantes como TP-Link, ASUS, Omada e da documentação oficial do OpenVPN, para que você tenha tudo o que precisa em um único artigo: o que é. OpenVPNO que você ganha e perde ao usá-lo, como configurá-lo em roteadores e servidores, como conectar-se a partir de um PC e de um dispositivo móvel e como resolver os erros mais comuns.
O que é OpenVPN e por que usá-lo no seu roteador?
OpenVPN é um software VPN de código aberto Ele cria um "túnel" criptografado entre um cliente (seu laptop, celular, etc.) e um servidor (seu roteador, um servidor Linux, um NAS, etc.). Funciona com SSL/TLS, permitindo o uso de certificados digitais, chaves, nomes de usuário e senhas, além de uma ampla variedade de algoritmos de criptografia modernos.
Uma de suas grandes vantagens sobre outros protocolos como o IPsec é que ele é mais fácil de configurarAlém disso, está disponível em praticamente qualquer sistema operacional (Windows, macOS, GNU/Linux, Android, iOS, roteadores, firewalls, NAS…).
Ao instalar e ativar o OpenVPN no roteador, O próprio roteador funciona como um servidor VPN. Sua rede local se torna o "lado seguro", e dispositivos remotos (clientes VPN) se conectam de fora de sua casa ou escritório pela internet, sempre criptografados. O roteador atua como um gateway entre a VPN e sua LAN.
O resultado é que você pode Navegue com segurança em redes Wi-Fi públicas.Acesse seus recursos internos (NAS, impressoras, câmeras IP, servidores SMB/FTP…) como se estivesse em casa e também oculte seu IP real ou ignore bloqueios geográficos, dependendo de como você configurar o sistema.
Vantagens e desvantagens de usar uma VPN e o OpenVPN
Configurar uma VPN no roteador com OpenVPN tem muitas vantagens práticasMas também existem algumas desvantagens que você deve conhecer antes de começar, para poder escolher o equipamento, o provedor de internet e o método de instalação adequados. Aqui está a lista:
- Possibilidade de alterar ou ocultar seu endereço IP.
- Criptografe o tráfego para evitar espionagem (especialmente útil em redes Wi-Fi abertas).
- Acesso a conteúdo restrito por país.
- Navegue com um grau de anonimato muito maior.
Na seção de privacidade, A VPN impede que qualquer pessoa veja facilmente. Os sites que você visita e os locais de onde você se conecta não são rastreados, embora seu provedor de serviços de internet sempre tenha alguma visibilidade. Mesmo assim, isso torna extremamente difícil rastreá-lo por meio de sniffers, pontos de acesso não seguros ou redes compartilhadas.
Em troca, A criptografia e o roteamento através do servidor VPN consomem recursos. Eles também tendem a reduzir a velocidade e a largura de banda disponível, especialmente se o seu roteador for fraco ou se você estiver usando serviços gratuitos. Além disso, um bom antivírus continua sendo essencial, e você deve ter cuidado ao baixar softwares, pois uma VPN não protege contra malware.
A suas pontos fortes São elas: segurança, estabilidade, ampla gama de personalização (camada 2 ou 3, túneis TUN ou TAP, IP dinâmico sem problemas, compatibilidade com NAT…) e ótimo controle sobre as regras do firewall e scripts de inicialização, mas requer um bom entendimento de sua configuração, especialmente se você pretende personalizar algoritmos e certificados.
Pré-requisitos e considerações importantes (CG-NAT, IP público e DNS dinâmico)
Antes mesmo de ativar o OpenVPN no roteador, você precisa verificar algumas coisas. pontos chave:
- Se o seu roteador for compatível com um servidor OpenVPN.
- Certifique-se de que sua conexão com a internet tenha um endereço IP público.
- Se você precisar usar DNS dinâmico.
Muitos roteadores de gama média e alta da TP-Link, ASUS ou Omada já possuem um servidor OpenVPN integrado, mas nem todos os modelos o incluem, nem está disponível em todas as versões de firmware. É recomendável... Verifique as especificações do seu modelo. E, se necessário, atualize o firmware para a versão mais recente oferecida pelo fabricante.
O requisito mais crítico é ter um endereço IP público na WAN do roteadorSe o seu provedor de internet usa CG-NAT e fornece um endereço IP privado compartilhado (comum em conexões 4G/5G ou com certos provedores), você não poderá encaminhar portas da internet para o seu roteador, portanto, a VPN não será acessível externamente. Nesse caso, você precisará solicitar um endereço IP estático ou público ao seu provedor de internet.
Para poder localizar seu roteador pelo nome e não pelo endereço IP numérico, é muito prático. Ative um serviço de DNS dinâmico no próprio roteador. (NO-IP, DynDNS, serviço do próprio fabricante, etc.). Dessa forma, você pode se conectar a mydomain.no-ip.org em vez de memorizar seu endereço IP público, que pode mudar.
Além disso, É recomendável sincronizar corretamente a hora do sistema do roteador com a da Internet.Isso ocorre porque os certificados digitais e as funções TLS dependem de datas e horários corretos. Uma discrepância pode causar erros incomuns na validação do certificado.
Como o OpenVPN funciona em nível técnico e quais modos ele oferece (TUN/TAP, UDP/TCP)
O OpenVPN pode operar no modo TUN ou TAPe utilizando UDP ou TCP como protocolo de transporte. Cada escolha afeta o desempenho, a compatibilidade e o tipo de rede criada entre o cliente e o servidor.
- O modo TUN emula uma interface ponto a ponto. Funciona exclusivamente com tráfego IP. É ideal para criar uma nova sub-rede virtual (por exemplo, 10.8.0.0/24) onde os clientes VPN estão localizados, separada da LAN física. É o modo mais comum para acesso remoto e geralmente oferece melhor desempenho.
- O modo TAP simula uma interface Ethernet de camada 2.Isso envolve o encapsulamento direto de quadros Ethernet. Isso permite que dispositivos remotos estejam na mesma sub-rede que a LAN, o que é útil quando se deseja que os clientes VPN apareçam como "conectados" ao switch local, embora possa causar problemas se os intervalos de rede se sobrepuserem e, em geral, seja menos eficiente.
Em relação ao protocolo, Recomenda-se o uso de UDP em vez de TCP. Para o túnel VPN, o TCP é preferível porque evita retransmissões internas desnecessárias e resiste melhor à perda de pacotes e a ataques de negação de serviço. O TCP também é possível, mas introduz mais sobrecarga e duplica os controles de sessão.
Na prática, a maioria das configurações recomendadas Eles usam TUN sobre UDP, com uma sub-rede virtual dedicada para a VPN e rotas específicas para acessar a LAN ou para forçar todo o tráfego da Internet através do túnel.
Criptografia, certificados e segurança avançada no OpenVPN
Um dos pontos fortes do OpenVPN é a possibilidade de escolher com considerável precisão os algoritmos de criptografia simétrica, assimétrica e de hash, bem como a versão do TLS e várias medidas adicionais contra ataques de negação de serviço.
Para a infraestrutura de chave pública (PKI)É comum usar certificados baseados em curvas elípticas (EC) em vez do RSA clássico. Por exemplo, o Easy-RSA 3 pode ser configurado para gerar o certificado da CA, o certificado do servidor e os certificados do cliente usando a curva secp521r1 e assiná-los com SHA512, resultando em chaves altamente seguras e relativamente leves.
No canal de controle (negociação TLS)O OpenVPN suporta pelo menos TLS 1.2 e, em versões recentes, TLS 1.3. Recomenda-se o uso de conjuntos de protocolos robustos com Perfect Forward Secrecy (PFS), como TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 ou os mais recentes TLS_AES_256_GCM_SHA384 e TLS_CHACHA20_POLY1305_SHA256 para TLS 1.3. Sempre verifique com o comando `openvpn --show-tls` quais protocolos sua instalação suporta.
Para canal de dados (tráfego VPN real)Os algoritmos de criptografia recomendados são AES-256-GCM ou AES-128-GCM, que integram autenticação (AEAD) e eliminam a necessidade de um hash separado. Se o seu processador não suporta aceleração AES-NI, o algoritmo CHACHA20-POLY1305 geralmente oferece melhor desempenho e também é compatível com o OpenVPN a partir da versão 2.5.
Outra camada extra importante é o uso de uma chave HMAC adicional Com o tls-crypt (ou tls-auth em versões mais antigas), que protege a fase inicial da conexão contra ataques de inundação de porta UDP, ataques SYN e varreduras, a própria chave pré-compartilhada também é ocultada. Todos os clientes devem compartilhar a mesma chave se você usar a primeira versão, enquanto com o tls-crypt-v2 cada cliente pode ter uma chave diferente.
Criação de PKI com Easy-RSA e organização de certificados
Se você configurar um Servidor OpenVPN "puro" em GNU/Linux ou similarA prática comum é criar seus próprios certificados com o Easy-RSA 3, ajustando o arquivo de variáveis para definir se você usará RSA ou EC, o hash, a curva, a expiração da CA e dos certificados, etc.
Após copiar o arquivo vars.example para vars e editá-lo, você pode escolher o modo cn_only para simplificar os DNs, ativar o EASYRSA_ALGO ec, selecionar a curva secp521r1, configurar a expiração (por exemplo, 10 anos para a CA e 1080 dias para os certificados) e definir EASYRSA_DIGEST para sha512.
Com esse arquivo pronto, você inicializa a PKI com ./easyrsa init-pkiVocê cria a CA com ./easyrsa build-ca (com ou sem senha na chave privada) e, a partir daí, gera uma solicitação de certificado para o servidor e quantas forem necessárias para os clientes, assinando-as em seguida como servidor ou cliente, respectivamente.
Neste momento, é altamente recomendável. organizar arquivos em pastas transparentes:
- Um arquivo para o servidor (ca.crt, server.crt, server.key, ta.key e, opcionalmente, dh.pem se você não estiver usando ECDHE).
- Um para cada cliente (ca.crt, clientX.crt, clientX.key e ta.key).
Dessa forma, você evita confundir chaves e certificados.
Além de certificados, o OpenVPN permite o uso de autenticação adicional por meio de nome de usuário/senha, seja contra o próprio sistema, seja contra um servidor RADIUS ou outro banco de dados, reforçando a segurança contra roubo de certificados.
Configure clientes OpenVPN em PCs, dispositivos móveis e roteadores.
O próximo passo é configurar clientes remotosque podem ser computadores Windows ou Linux, celulares Android/iOS, outros roteadores ou até mesmo equipamentos que se conectam a partir de um controlador como o Omada.
Num cliente de desktop clássicoO arquivo client.ovpn inclui diretivas como client, dev tun, proto udp, a linha remota com o IP público ou domínio do roteador e a porta escolhida, resolv-retry infinite, nobind e o caminho para ca.crt, o certificado e a chave do próprio cliente, além de tls-crypt ta.key.
Para maior segurança, O cliente valida o servidor. Com o servidor `remote-cert-tls`, use a mesma cifra e autenticação do servidor e, idealmente, replique os mesmos conjuntos de certificados TLS suportados. É fundamental que as cifras e as curvas correspondam; caso contrário, o handshake TLS falhará.
No Android, você pode usar o aplicativo oficial do OpenVPN. ou aplicativos de terceiros mais avançados que oferecem suporte aos recursos mais recentes. Normalmente, basta copiar a pasta que contém os arquivos ca.crt, cliente.crt, cliente.key, ta.key e o arquivo .ovpn para a memória do seu telefone e, em seguida, importar esse perfil diretamente do aplicativo.
No Windows, o cliente OpenVPN Community Geralmente, o sistema espera que você copie o arquivo .ovpn e os certificados para C:\Program Files\OpenVPN\config (ou o caminho especificado durante a instalação). Em seguida, clique com o botão direito do mouse no ícone do OpenVPN na bandeja do sistema, selecione o perfil e conecte-se.
Configurar OpenVPN em roteadores TP-Link
Vários roteadores TP-Link de nova geração vêm com um servidor OpenVPN integrado. em sua interface web avançada, que simplifica consideravelmente as coisas, pois gera automaticamente os certificados e o arquivo .ovpn para os clientes.
Num cenário simples com um único roteador na redeO processo geralmente é o seguinte: acesse a interface web, vá para Avançado > Servidor VPN > OpenVPN, marque a opção Ativar servidor VPN e, se for a primeira vez, clique em Gerar para criar o certificado interno.
Em seguida, a escolha é feita. tipo de serviço (UDP ou TCP), a porta de serviço é definida entre 1024 e 65535, a sub-rede e a máscara da VPN são configuradas e o tipo de acesso do cliente é escolhido: Somente rede doméstica (somente LAN 192.168.xx) ou Internet e rede doméstica (todo o tráfego da Internet passa pela VPN).
depois Salve a configuração e gere/atualize os certificados.Clique em Exportar para baixar o arquivo de configuração do OpenVPN que os clientes usarão. Em seguida, basta instalar o cliente OpenVPN no seu PC ou dispositivo móvel, copiar o arquivo exportado para a pasta de configuração e conectar-se.
Quando há dois ou mais roteadores na topologia doméstica (por exemplo, um roteador de um provedor de internet e um roteador TP-Link atrás dele), além de configurar o OpenVPN no segundo roteador, você terá que criar um encaminhamento de porta (servidor virtual) no primeiro, apontando a porta externa para o endereço IP da LAN do segundo roteador e para a mesma porta interna que o OpenVPN utiliza.
Configurar OpenVPN em roteadores ASUS
Os Roteadores ASUS com firmware ASUSWRT Eles também incluem um servidor OpenVPN com uma interface gráfica bastante amigável, embora as telas mudem ligeiramente entre as versões de firmware anteriores e posteriores à 3.0.0.4.388.xxxx.
O processo começa Acessando a interface gráfica do usuário (GUI) do roteador. A partir de http://www.asusrouter.com ou do seu endereço IP da rede local (LAN), faça login com seu nome de usuário e senha de administrador e acesse VPN > Servidor VPN para ativar o OpenVPN.
Nas configurações gerais a porta do servidor está definida (por exemplo, 2000 ou um valor entre 1024 e 65535), o comprimento de criptografia RSA padrão e, novamente, se os clientes poderão acessar apenas a rede local ou também a Internet através do roteador.
Depois de tudo ter sido aplicado, O arquivo client.ovpn foi exportado. Na seção do servidor OpenVPN, o arquivo já inclui os certificados, chaves e parâmetros necessários. Se você alterar as chaves ou os certificados posteriormente, precisará exportá-lo novamente e distribuí-lo aos clientes.
Na seção Detalhes da VPN > Configurações avançadas Você pode editar manualmente chaves e certificados, ajustar parâmetros como versão TLS ou algoritmos e adaptar a configuração a ambientes mais exigentes sem alterar o firmware.
Configure o OpenVPN no Omada (TP-Link) como servidor e crie usuários.
Em ambientes gerenciados por controladores Omada Você pode definir políticas VPN do tipo servidor OpenVPN para acesso cliente-para-site, o que é ideal quando você deseja centralizar o gerenciamento em um único painel.
A partir do controlador, você acessa Configuração> VPNVocê clica em Adicionar para criar uma nova política e especifica um nome (por exemplo, "teste"), define-a como Ativada, escolhe Finalidade do Cliente para o Site e Tipo de VPN: Servidor VPN - OpenVPN.
Nessa mesma política Você decide se usa um túnel dividido ou completo.Escolha entre Túnel Dividido, para que apenas o tráfego da rede interna passe pela VPN, ou Túnel Completo, para que todo o tráfego da internet também passe pelo servidor. Você também seleciona o protocolo (TCP/UDP), a porta de serviço (padrão 1194), o modo de autenticação (local), o tipo de rede local e o intervalo de endereços IP a serem atribuídos aos clientes.
Depois Você cria usuários de VPN em Configurações > VPN > UsuáriosIsso envolve atribuir um nome de usuário e senha, selecionar o protocolo OpenVPN e conectar o usuário ao servidor VPN recém-criado. Cada usuário terá então suas credenciais básicas.
Por fim, o arquivo .ovpn é exportado da lista de políticas.Copie o arquivo para o cliente (PC, laptop, etc.), instale o software OpenVPN Community, coloque o arquivo na pasta config e conecte-se. Você pode verificar o status no controlador em Insight > Status da VPN.
Atualizações recentes do OpenVPN e alternativas disponíveis
O OpenVPN continua a evoluir a cada versão.Adicionamos melhorias de segurança, desempenho e usabilidade. As mudanças recentes incluem o tls-crypt-v2 (para atribuir chaves específicas do cliente e mitigar ainda mais ataques de negação de serviço), suporte para CHACHA20-POLY1305 e negociação aprimorada de cifras de dados usando cifras de dados.
Ao mesmo tempo, O suporte para cifras obsoletas foi retirado. como o BF-CBC nas configurações padrão, forçando os administradores a usar AES-GCM ou CHACHA20, que são muito mais seguros e rápidos na prática.
Nas empresas, também é comum. combinar OpenVPN com soluções em nuvem como o Azure VPN Gateway ou com firewalls que integram IPsec e outros protocolos para conexões site-a-site, enquanto em ambientes domésticos um roteador compatível com OpenVPN bem configurado geralmente fornece tudo o que é necessário.
Com tudo visto, Configure uma VPN no seu roteador usando o OpenVPN. O que antes era misterioso se transforma em um projeto totalmente gerenciável se você atender aos requisitos básicos (IP público, roteador compatível, um pouco de paciência) e seguir uma estrutura clara: prepare os certificados ou use os gerados pelo roteador, ative e configure o servidor, exporte a configuração para os clientes e teste com calma, corrigindo erros comuns; em troca, você ganha uma rede muito mais segura e flexível, pronta tanto para o trabalho remoto quanto para proteger todos os dispositivos em casa de uma só vez.