Por que OpenVPN e quando escolher
O OpenVPN e o veterano das VPNs auto-hospedadas: com mais de vinte anos, auditado ate a exaustao e suportado por todos os apps de VPN e roteadores do planeta. Nao e a opcao mais rapida - o WireGuard o supera em velocidade e bateria - mas tem um truque que falta ao WireGuard: pode rodar sobre TCP na porta 443, a mesma porta do HTTPS normal. Isso o deixa passar por firewalls restritivos de hoteis, escritorios e aeroportos que bloqueiam tudo, exceto o trafego web.
Onde o OpenVPN nao e a ferramenta certa e na censura pesada baseada em DPI. Sistemas como o TSPU da Russia conseguem identificar e bloquear o OpenVPN puro do mesmo jeito que bloqueiam o WireGuard puro. Se o seu objetivo e contornar esse tipo de bloqueio, use nosso guia de VLESS + Reality. Escolha o OpenVPN quando quiser uma VPN pessoal solida como rocha, universalmente compativel e com a liberdade de se esconder na porta 443.
- Um VPS baseado em KVM barato rodando Ubuntu 22.04 ou 24.04 (o instalador suporta Ubuntu 18.04 e mais recentes).
- Acesso SSH como root - seu provedor envia isso por e-mail depois do pagamento.
- Cerca de 10 minutos. Um script bem mantido faz as partes dificeis (certificados, firewall, roteamento) por voce.
root. Prefere o protocolo moderno mais rapido? Veja o nosso guia WireGuard.Passo 1: Conectar e atualizar o servidor
Entre via SSH (substitua pelo IP do seu servidor) e instale as atualizacoes mais recentes:
ssh root@YOUR_SERVER_IP
apt update && apt upgrade -y
Passo 2: Baixar o instalador
Vamos usar o conhecido script open-source angristan/openvpn-install. Ele instala o OpenVPN, gera todos os certificados, configura o firewall e o roteamento e gerencia os arquivos de cliente - as partes que tornam uma instalacao manual do OpenVPN dolorosa. Baixe-o e torne-o executavel:
curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh
Passo 3: Executar e responder as perguntas
Inicie o instalador:
./openvpn-install.sh
Ele faz uma lista curta de perguntas. Para a maioria das pessoas os padroes estao corretos - veja o que escolher:
- IP publico: ele detecta o IP do seu servidor automaticamente. Aceite-o, a menos que o servidor esteja atras de NAT.
- Protocolo:
UDPe o padrao e e mais rapido - mantenha-o para o uso diario. EscolhaTCPsomente se voce precisar especificamente se esconder na porta 443 (veja a dica abaixo). - Porta: mantenha o padrao
1194para UDP. Se voce escolheu TCP para atravessar um firewall rigido, defina a porta como443. - DNS: escolha um resolvedor publico como Cloudflare ou Quad9 para que suas consultas nao vazem para o seu provedor local.
- Cifra e certificado: apenas aceite os padroes - o script usa configuracoes modernas e seguras (AES-128-GCM, ECDSA).
- Nome do cliente: digite um nome curto para o seu primeiro dispositivo, por exemplo
phone. - Protecao por senha: o script pergunta se o cliente deve ser sem senha ou protegido por senha. Adicionar uma senha faz com que um arquivo
.ovpnroubado seja inutil sem ela - vale a pena para um telefone ou notebook que pode ser perdido.
O script roda por um minuto e termina criando um arquivo de configuracao de cliente terminado em .ovpn na pasta /root.
TCP e a porta 443 nessas perguntas - decida agora, porque para mudar o protocolo ou a porta depois voce tem que remover o OpenVPN e reinstalar. Na 443 a sua VPN usa a mesma porta do HTTPS, entao ela passa por firewalls de hoteis, cafes e aeroportos que filtram apenas pelo numero da porta. Mas ela nao e invisivel: um DPI inteligente ainda consegue perceber que e uma VPN, entao isto nao e um contorno de censura (para isso use VLESS + Reality, com link acima). E o TCP e visivelmente mais lento - envolver o seu trafego TCP dentro de um tunel TCP pode colapsar sob perda de pacotes (o efeito "TCP meltdown") - entao use somente quando uma rede bloquear UDP.Passo 4: Levar o arquivo .ovpn para o seu dispositivo
Tudo o que um cliente precisa esta dentro daquele unico arquivo .ovpn - chaves, certificados e configuracoes. Copie-o do servidor para o seu computador com scp (execute isto no seu computador, substituindo o nome e o IP):
scp root@YOUR_SERVER_IP:/root/phone.ovpn .
Para levar ate um telefone, use o que estiver a mao: envie o arquivo .ovpn para voce mesmo nas "Mensagens Salvas" de um mensageiro, coloque-o no seu drive na nuvem e apague depois, ou baixe-o do servidor com um app grafico de SFTP como o Cyberduck ou o FileZilla. Trate o arquivo como uma senha - qualquer um que o tenha pode se conectar como voce, entao apague as copias soltas assim que o seu dispositivo estiver configurado.
Passo 5: Instalar um app cliente e conectar
O app oficial OpenVPN Connect funciona em todas as plataformas; no desktop voce tambem pode usar alternativas mais leves. Escolha o seu, importe o arquivo .ovpn e conecte.
Android: instale o OpenVPN Connect na Google Play. Abra-o, escolha Import Profile -> File, selecione o seu arquivo .ovpn e entao toque no interruptor para conectar.
iPhone e iPad: instale o OpenVPN Connect na App Store. Compartilhe o arquivo .ovpn com o app (ou use Import -> File), depois ative-o e permita o perfil de VPN.
Windows: instale o OpenVPN Connect, clique em Import Profile -> Upload File, selecione o seu .ovpn e entao pressione conectar.
macOS: instale o OpenVPN Connect ou o gratuito Tunnelblick. Importe o arquivo .ovpn e conecte.
Linux desktop: instale o CLI com apt install openvpn e conecte com openvpn --config phone.ovpn, ou importe o arquivo no NetworkManager para um botao de conectar com um clique.
Passo 6: Adicionar ou remover dispositivos depois
De a cada dispositivo o seu proprio perfil para que voce possa revogar um sem perturbar os outros. Para adicionar um notebook ou revogar um telefone perdido, basta executar o instalador de novo - ele detecta o servidor existente e oferece um menu:
./openvpn-install.sh
Escolha Add a new user para criar outro .ovpn, ou Revoke existing user para cortar um dispositivo de vez.
Passo 7: Verificar se funciona
Com o cliente conectado, confirme duas coisas na nossa propria pagina de Ferramentas de rede. Primeiro, a internet deve agora mostrar o IP do seu servidor - exibido no topo da pagina. Segundo, abra a aba DNS Leak Test: os resolvedores listados devem ser o DNS que voce escolheu no Passo 3, nunca o seu provedor domestico. Se ambos estiverem certos, seu tunel OpenVPN esta ativo.
Erros comuns
- Firewall do provedor de nuvem. Grandes hosts - AWS, Oracle Cloud, Azure, Google Cloud - tem os proprios Security Groups no painel web, separados do firewall do Ubuntu, e a sua porta muitas vezes fica fechada la por padrao. Abra a porta escolhida (
1194/udpou443/tcp) tambem no painel do provedor, nao apenas noufw. - Expectativas erradas de protocolo. O UDP e mais rapido, mas algumas redes restritivas o bloqueiam - se um Wi-Fi publico se recusa a conectar, e ai que a versao TCP-443 mostra o seu valor.
- Compartilhar um perfil. Carregar o mesmo
.ovpnem dois dispositivos ao mesmo tempo causa quedas. Gere um perfil separado por dispositivo. - OpenVPN para censura. O OpenVPN puro, mesmo na 443, e detectavel por DPI avancado. Em redes fortemente censuradas, use VLESS + Reality.
Os limites honestos
Um servidor OpenVPN auto-hospedado e privado em relacao a sua rede local e ao seu provedor, mas os limites usuais da auto-hospedagem ainda se aplicam: o seu provedor de VPS pode ver os enderecos IP que se conectam ao servidor e, em uma maquina virtual, pode tirar um snapshot da RAM. Para reduzir o que o seu proprio servidor guarda em disco, prossiga com o nosso guia sobre como fazer o seu VPS nao guardar logs. E como sempre, uma VPN muda de onde o seu trafego parece vir - ela nao coloca voce acima da lei do lugar onde voce mora.
/etc/openvpn/ em algum lugar seguro, mantenha o sistema atualizado com apt upgrade e revogue qualquer perfil que voce nao use mais. Se algum dia quiser remover tudo, execute o instalador de novo e escolha Remove OpenVPN.