Os diferentes tipos de VPN

Uma VPN pessoal conecta você a um servidor VPN remoto, que pode estar localizado em qualquer lugar do mundo.

Esse servidor VPN age como um intermediário entre seu dispositivo e os serviços online que deseja acessar.

A VPN pessoal, por vezes chamada de VPN de “consumidor” ou “comercial”, criptografa sua conexão, oculta sua identidade online e permite camuflar sua localização geográfica.

Uma VPN pessoal difere de uma VPN de acesso remoto, já que não oferece acesso a uma rede privada.

Em vez disso, uma VPN pessoal permite o acesso à internet pública, mas por meio de uma conexão criptografada.

Nosso site se foca principalmente nas VPNs pessoais nas nossas avaliações, recomendações e guias.

O tipo mais comum de VPNs pessoais são serviços por assinatura oferecidos por provedores como ExpressVPN, NordVPN e Private Internet Access, ou serviços gratuitos como Windscribe e Proton VPN.

Contudo, assim como com as VPNs de acesso remoto, é possível configurar sua própria VPN pessoal, apesar de ser mais incomum.

Há diversos motivos para se usar uma VPN pessoal. Alguns dos mais populares são:

• Desbloquear conteúdo geograficamente restrito: uma VPN pessoal permite que assista a filmes e séries de regiões diferentes. Por exemplo, você pode se conectar a um servidor VPN nos Estados Unidos e acessar a Netflix EUA, que é um dos maiores catálogos da Netflix.
• Evasão de censura: uma VPN pessoal ajuda você a superar restrições em países com uma censura online rígida. Ao se conectar a um servidor VPN em outro país, é possível acessar conteúdo bloqueado, assim como proteger sua atividade de navegação da vigilância governamental.
• Aprimorar a privacidade e desempenho online: VPNs pessoais impedem que seu provedor de internet, governos, hackers e qualquer outra pessoa monitorem sua atividade. Isso não apenas protege sua privacidade, como também impede provedores de internet de limitarem suas velocidades de conexão durante atividades de alto consumo de largura de banda, como assistir a streaming ou jogar.

VPNs pessoais de provedores gratuitos e pagos funcionam da mesma maneira e simplesmente exigem a instalação do software cliente no seu dispositivo.

A rede de servidor VPN é administrada pelo provedor e geralmente contempla diversas localizações do mundo todo, sejam elas físicas, virtuais, ou de ambos os tipos.

Há diversas variações de VPNs auto-hospedadas e, assim como com as VPNs de acesso remoto, requerem que rode seu próprio servidor.

A não ser que alugue um servidor privado pessoal (VPS) em outro país, esse tipo de VPN pessoal não contará com o recurso de camuflagem de geolocalização que a ferramenta geralmente oferece.

Por outro lado, vários métodos de configuração de um servidor VPN próprio permitem que disponha de uma VPN de acesso remoto e pessoal.

Veja como uma VPN pessoal de um provedor funciona:

1. Instale o software do provedor da VPN no seu dispositivo.

   Há aplicativos de VPNs pessoais para todos os tipos de dispositivos, incluindo smartphones, dispositivos de streaming e consoles de jogos.

   Também é possível instalar o software de VPN no roteador para proteger todos os dispositivos conectados a ele.

Esse processo geralmente requer algum tipo de acesso único ou o uso de um código de ativação.

2. Conecte-se a um servidor na rede do provedor de VPN.

   VPNs pessoais são muito simples. Basta tocar em conectar e a autenticação ocorre automaticamente entre o cliente e servidor.

   O túnel é criado da mesma forma que ocorre na VPN de acesso remoto.

   Geralmente, as VPNs pessoais têm grandes redes de servidores. Se você quer apenas proteger sua privacidade, conecte-se a um servidor local para conseguir as velocidades mais altas.

   Para desbloquear conteúdo de streaming, escolha um servidor no país em que esse conteúdo esteja acessível.

3. Navegue na internet normalmente.

   Durante a conexão com a VPN, todo o seu tráfego na internet passará pelo servidor do provedor de serviços.

   Sua conexão será criptografada, seu endereço IP ficará oculto e você poderá acessar conteúdo com restrições geográficas em outros países.

Testamos centenas de VPNs gratuitas e pagas desde 2016. Atualmente, nossas VPNs de maior nota são a ExpressVPN, a NordVPN, e a Private Internet Access.

Uma VPN de acesso remoto, por vezes conhecida como VPN de cliente ou cliente a servidor, permite que você use a internet para se conectar a uma rede privada, como a rede do escritório da sua empresa.

Num extremo, empresas Big Tech como Dortninet, Palo Alto e Cisco oferecem soluções de software sofisticadas e caras direcionadas a empresas maiores.

No outro, também é perfeitamente possível configurar o seu próprio servidor VPN de graça caso tenha o hardware adequado em mãos.

Identificamos que o TailScale é a maneira mais simples de criar uma VPN de acesso remoto.

De fato, gostamos tanto do TailScale que um dos nossos avaliadores agora usa um Raspberry Pi na casa da mãe dele, para poder solucionar problemas na rede dela remotamente. O que costumavam ser chamadas de suporte técnico difíceis agora é rápido e simples.

Após instalada no seu dispositivo, uma VPN de acesso remoto cria um túnel criptografado entre você e a rede privada que quer acessar.

Uma VPN de acesso remoto tem diferentes usos, por exemplo:

1. Viajando a trabalho: pode usar uma VPN de acesso remoto para se conectar à rede da empresa pela rede Wi-Fi no saguão do hotel. Ela pode acessar os mesmos arquivos e softwares disponíveis no escritório. A VPN também protege os dados de bisbilhoteiros na rede Wi-Fi pública.
2. Trabalhando remotamente: pode ser usada para acessar de maneira segura sistemas sigilosos da empresa que foram restritos por endereço IP. Seu computador funciona como se estivesse conectado à rede da empresa no escritório e os dados ficam protegidos ao passar pela internet pública.
3. Acesso a arquivos pessoais: uma VPN de acesso remoto permite que acesse arquivos em qualquer dispositivo conectado à sua rede doméstica, como fotos salvas no seu PC desktop ou arquivos de música e filmes em um servidor de mídia doméstico, não importa onde esteja.
4. Acesso seguro a dispositivos da rede: assim como arquivos, esse tipo de VPN permite que controle e monitore, com segurança, dispositivos IoT na sua rede, como câmeras de segurança ou sistemas de casa inteligente que podem ficar vulneráveis a ataques enquanto está fora de casa.

Para usar uma VPN de acesso remoto no seu dispositivo terá de, no geral, instalar um software cliente ou configurar o sistema operacional do dispositivo para que se conecte à VPN. Também é necessário haver um servidor VPN na rede de destino da conexão.

Você pode ter quantos dispositivos clientes quiser e permitir o acesso remoto de quantos usuários precisar.

Entre eles, o software cliente e o servidor VPN administram a conexão VPN.

Há diversas versões de VPNs de acesso remoto, mas, em essência, você escolhe entre pagar por um serviço ou administrá-la você mesmo.

Caso escolha a segunda opção, é uma questão de como vai configurar o servidor VPN que servirá como gateway para a rede privada que quer acessar. Opções populares incluem:

1. Um PC sempre ligado, um servidor ou dispositivo no estilo Raspberry Pi, como WireGuard e OpenVPN
2. Um roteador que passou pelo processo de Flash com o WireGuard ou OpenVPN instalado
3. TailScale em um PC, celular ou Raspberry Pi

O mercado de VPNs de acesso remoto está cada vez mais complexo, em especial para empresas.

VPNs tradicionais continuam disponíveis, mas os fornecedores agora fazem uma propaganda pesada de alternativas mais caras como Zero Trust Network Access (ZTNA), Software Defined Perimeter (SDP) e Secure Access Service Edge (SASE).

Veja abaixo alguns dos tipos de serviços de VPN de acesso remoto:

• VPN cliente a site
• VPN em nuvem
• VPN com portal SSL
• VPN com túnel SSL
• O recurso Rede Mesh da NordVPN

Exemplos de VPNs de acesso remoto para empresas incluem:

• Access Server by OpenVPN, gratuito para até duas conexões simultâneas de VPN.
• Cisco AnyConnect, que se integra às soluções de segurança corporativa da Cisco.
• Perimeter 81 Remote Access VPN.
• Checkpoint Remote Access VPN, que conta com um cliente IPSec e um portal SSL.
• NordLayer da mesma empresa que opera a muito bem classificada NordVPN, VPN pessoal.

Outras VPNs populares de acesso remoto incluem Fortinet Forticlient, Palo Alto Global Protect, Pulse Secure, Sonicwall SSL VPN, Juniper Secure Connect.

Um exemplo de uma VPN de acesso remoto auto-hospedada é a que criamos para permitir que nossa própria equipe trabalhe de forma híbrida.

Temos um servidor VPN WireGuard em um Linux no nosso escritório. O WireGuard foi a escolha lógica para nós, por ser integrado ao Linux e ser mais simples e rápido que o OpenVPN.

O software do cliente VPN instalado nos laptops dos membros da equipe também é gratuito e de código aberto: temos o TunSafe para usuários Windows e o cliente oficial do WireGuard para nossos usuários Mac.

Isso nos permite fornecer acesso aos nossos sistemas back-end e compartilhar outros recursos com a equipe enquanto trabalhamos remotamente, sem comprometer nossa segurança.

Nossa configuração é gratuita, altamente segura e sob o controle total de nossos sysadmins, sem nenhum dos riscos advindos de depender de um terceiro.

Uma VPN móvel, também conhecida como “VPN sempre ativa”, é uma opção melhor do que uma VPN de acesso remoto para usuários que, durante a sessão, não vão conseguir manter uma conexão estável e na mesma rede.

Com uma VPN móvel, a conexão da VPN será mantida até mesmo se o usuário alternar entre uma rede Wi-Fi e uma rede móvel, perder a conectividade ou desligar o dispositivo por algum tempo.

No geral, VPNs móveis são disponibilizadas pelas mesmas empresas de Big Tech que fornecem VPNs padrão de acesso remoto.

Você deve usar uma VPN móvel caso esteja sempre em movimento e seja essencial manter uma conexão ininterrupta a uma rede privada remota.

Esse tipo de VPN também oferece a conveniência de uma conexão que se adapta a trocas de rede. Por exemplo:

• Socorristas como bombeiros e policiais podem usar uma VPN móvel para manterem um acesso a recursos essenciais como bancos de dados de registro de veículos, sistemas de monitoramento de localização e aplicativos de despacho de emergência enquanto trafegam por sua área de serviço.
• Profissionais remotos em áreas com pouca conectividade, podem usar uma VPN móvel para manter uma conexão segura com a empresa durante o dia. Esse tipo de VPN evita o inconveniente de uma reautenticação constante ou o desafio de colocar endereços IP alternantes em uma lista de permissão.

Do ponto de vista de um usuário, se conectar a uma VPN móvel e usá-la é tipicamente muito similar a usar uma VPN de acesso remoto.

As principais diferenças são técnicas, usando protocolos especializados para manter sua conexão VPN ao passar por redes diferentes, seja na troca de torres de celular, ou indo do Wi-Fi a dados móveis.

VPNs móveis geralmente usam protocolos UDP, como o IKEv2, pela mesma razão que os fazem serem a opção padrão em aplicativos para celular das VPNs pessoais.

Esses protocolos VPN são mais resilientes a mudanças na rede do que alternativas TCP, já que podem restabelecer rapidamente as conexões sem um Handshake VPN completo.

Para uma visão geral de do funcionamento desses tipos de VPN, veja nossa explicação de como uma VPN de acesso remoto funciona.

Agora, passemos a tratar dos aspectos únicos de VPNs móveis:

• Processo de troca de redes
  1. O seu dispositivo troca de rede (indo do Wi-Fi a dados celulares, por exemplo), trocando de endereço IP.
  2. O seu cliente VPN detecta a mudança na rede.
  3. O cliente envia uma solicitação de reconexão usando o ID único atribuído à sessão.
  4. O gateway da VPN valida a sessão e, sem problemas, retoma a conexão.
  5. Mesmo se desligar o dispositivo para economizar a bateria, a conexão VPN ainda estará ativa ao ligá-lo novamente.
• Técnicas de otimização
  1. Durabilidade da conexão: tolerando pequenas interrupções na rede
  2. Reconexões rápidas: minimizando a sobrecarga do Handshake
  3. Compressão de dados: reduzindo as transferências de dados para redes mais lentas
  4. Qualidade do serviço: mecanismos QoS garantem que aplicativos essenciais permaneçam utilizáveis mesmo em redes sob condições desafiadoras.
• Desafios e soluções comuns em redes móveis
  1. Impacto na bateria: o monitoramento contínuo da conexão pode sugar a bateria, o que exige intervalos de sondagem otimizados e algoritmos de reconexão eficientes.
  2. Consumo de dados: pacotes Keepalive consumem dados, o que exige uma redução e compressão.
  3. Desempenho: as reconexões constantes aumentam a sobrecarga de criptografia e latência, o que é mitigado pela aceleração do hardware e protocolos otimizados.
• Recursos adicionais comuns em VPNs móveis
  1. Tunelamento dividido de VPN para um repasse de tráfego seletivo.
  2. Regras de conexão automática com base em redes.
  3. Integração com Mobile Device Management (MDM).
  4. Desenvolvimento de análise e ferramentas de solução de problemas.

Alguns exemplos de VPNs móveis são:

• Bittium SafeMove Mobile VPN
• Cisco Mobile VPN
• Ivanti Connect Secure VPN
• Microsoft Always On
• A Digi Mobile VPN é especificamente para socorristas.
• A Absolute Secure Access, anteriormente conhecida como Netmotion Mobility VPN.
• Radio IP software: permite o uso de VPNs móveis em todas as tecnologias de rede sem fio

Uma VPN site a site é usada para conectar redes inteiras em diferentes localizações, por exemplo, ao conectar redes corporativas de uma empresa em diversos escritórios.

Diferentemente de VPNs de acesso remoto que conectam usuários individuais a uma rede, as site a site unem duas ou mais redes locais (LANs) pela internet.

Esse tipo de VPN permite que escritórios compartilhem recursos e se comuniquem sem problemas como se fizessem parte da mesma rede, mantendo a segurança da comunicação por meio de criptografia.

Também pode contemplar parceiros corporativos de confiança, permitindo que empresas externas acessem parte da sua rede com segurança.

Uma VPN site a site é ideal para quando precisa se conectar a diversas redes com segurança, por exemplo:

• VPN de intranet: esse tipo de VPN site a site conecta diferentes filiais da mesma empresa em uma rede de longa distância (WAN). Todos os funcionários podem acessar recursos compartilhados entre as filiais com facilidade.
• VPN de extranet: permite que empresas para compartilhar recursos específicos com parceiros externos ao se conectar com suas respectivas redes. É útil para fornecedores, terceirizados e empreitadas colaborativas.

Há três maneiras principais de implementar uma VPN site a site:

1. Túnel IPsec
2. VPN multiponto dinâmica (DMVPN)
3. VPN de camada 3 (L3VPN)

Túnel IPsec

Um túnel IPsec pode ser usado para criar passagens criptografadas entre redes, implementadas por roteadores nos locais conectados. Esse método também é conhecido como VPN roteador a roteador e apresenta duas formas:

1. Um túnel IPsec baseado em rota que age como um fio virtual entre redes, permitindo que todo o tráfego passe pelas entre as redes.
2. Um túnel IPsec baseado em política implementa regras específicas para controlar o fluxo do tráfego entre redes IP.

Prós	Contras
Compatibilidade ampla com a maioria dos firewalls e roteadores	Natureza ponto a ponto limita escalabilidade
Segurança robusta por meio de criptografia	Pode ser complexo de administrar em redes amplas
Introdução relativamente simples em implementações de pequena escala	Depende da conexão de internet, o que pode afetar o desempenho

VPN multiponto dinâmica (DMVPN)

A DMVPN oferece uma solução aos problemas de escalabilidade dos tradicionais túneis IPSec.

Essa tecnologia da Cisco é especialmente boa para organizações grandes com diversas filiais, que precisariam de milhares de conexões IPSec roteador a roteador individuais.

A arquitetura da rede implementada é Hub-and-Spoke em que:

• Filiais (Spokes) se conectam a uma localização central (Hub).
• Endereço IP dinâmicos são permitidos.
• Conexões diretas Spoke-to-Spoke são possíveis com configurações adicionais.

Prós	Contras
Altamente escalável para redes amplas	Apenas um fornecedor (Cisco)
Permite endereçamento dinâmico	Pode ser necessário ter um conhecimento especializado para ser implementado e administrado
Reduz a complexidade da configuração em topologias Hub-and-Spoke	Ainda depende das limitações de desempenho da internet

VPN de camada 3 (L3VPN) baseada em MPLS

Tanto o IPsec quanto a DMVPN ficam no topo da internet, o que significa que não podem oferecer desempenho contínuo ou garantido.

Já as L3VPNs operam na camada de rede do modelo OSI e usam o o MPLS para fornecer uma qualidade de serviço garantida para o transporte de diversas mídias.

No geral, essas VPNs são oferecidas por provedores como soluções de WAN administradas.

Prós	Contras
Desempenho e qualidade de serviço garantidos	Custos significativamente maiores em comparação a VPNs de internet
Recursos de priorização de tráfego	Flexibilidade limitada com mudanças de termos de serviço
Infraestrutura administrada por provedor	Depende da cobertura do serviço do provedor
Uso de qualquer protocolo e meio de transporte

Alguns exemplos dos diferentes tipos de VPNs site a site são:

• OpenVPN Access Server – Permite uma conexão site a site segura com o protocolo OpenVPN.
• Cisco VPN Solutions – Um pacote completo de tecnologias VPN, incluindo opções DMVPN e IPsec para redes corporativas.
• AWS Site-to-Site VPN – Permite uma conexão segura e escalável entre data centers em empresas e o Amazon Virtual Private Cloud (VPC).
• Fortinet SD-WAN – Fornece uma conexão site a site segura com com otimização de tráfego e recursos de segurança avançado.

O WireGuard é um protocolo moderno que prioriza a simplicidade e desempenho. Usa de criptografia de ponta, implementada com cerca de apenas 4.000 linhas de código, sendo fácil de auditar e ficando menos suscetível a vulnerabilidades.

O protocolo está integrado no kernel do Linux, o que contribui para sua velocidade excepcional e eficácia.

O WireGuard é ideal para quando realmente precisa de uma conexão de alta velocidade, como para assistir a streaming ou jogar. Também é especialmente eficaz no celular, podendo passar entre redes com facilidade.

Suas principais vantagens incluem tempos de conexão mais rápidos, uma melhor vida de bateria em celulares e melhor desempenho geral.

No entanto, a simplicidade do WireGuard significa que é menos configurável que outros protocolos, o que pode desagradar alguns. Preocupações sobre logs de IPs não tem nenhum embasamento na nossa opinião, já que o WireGuard pode ser configurado para que não registre esses dados.

É o protocolo VPN que geralmente recomendamos usar quando possível.

O OpenVPN é um protocolo VPN de código aberto que se tornou o padrão do setor de VPNs pessoais.

Por muitos anos foi nossa opção recomendada para usuários VPN individuais, até que passamos a preferir o WireGuard.

O OpenVPN oferece uma conexão altamente segura e versátil, usando o catálogo OpenSSL e protocolos TLS para criptografia e autenticação.

É extremamente flexível e difícil de bloquear já que pode ser configurado para ser executado em qualquer porta e pode usar protocolos UDP ou TCP.

O OpenVPN é uma opção excelente caso segurança e privacidade sejam mais importantes para você do que velocidade bruta. É especialmente eficaz no contorno de firewalls e pode ser usado em quase todas as plataformas.

As desvantagens do OpenVPN são que tende a ser mais lento que protocolos mais recentes como o WireGuard, requer um software terceiro para ser implementado e pode ser difícil de ser configurado manualmente.

O IKEv2 (Internet Key Exchange version 2), quando usado junto ao IPSec, vira um protocolo altamente seguro e rápido.

Desenvolvido pela Microsoft e a Cisco, o IKEv2 lida com a negociação de atributos SA (Security Association), enquanto o IPSec fornece a criptografia para os dados do tráfego em si.

O protocolo é conhecido por sua habilidade de restabelecimento rápido da conexão VPN quando um usuário troca de redes ou temporariamente perde sua conexão. Por isso, é ideal para VPNs móveis e aplicativos para celular de VPNs pessoais.

As principais vantagens do IKEv2 são sua estabilidade excelente, altas velocidades e suporte nativo em diversas plataformas.

A principal desvantagem do protocolo é que é de código fechado e por isso não pode ser auditado como o WireGuard ou o OpenVPN em busca de falhas e backdoors.

Outras desvantagens em potencial incluem o fato de o IKEv2 não ser compatível com tantas plataformas quanto o OpenVPN e que, em teoria, ao menos, é mais fácil de ser bloqueado por usar portas VPN fixas.

O SoftEther (Software Ethernet) é um software VPN de múltiplos protocolos, projetado como uma alternativa ao OpenVPN.

O SoftEther pode passar um túnel pela maioria dos firewalls com o HTTPS, sendo altamente versátil em ambientes de rede restritivos. Começou como um projeto acadêmico na Universidade de Tsukuba no Japão, mas se tornou uma solução poderosa e flexível de VPN.

O SoftEther pode ser uma boa opção caso necessite superar firewalls rígidos ou restrições de rede enquanto mantém um bom desempenho.

Os pontos fortes do SoftEther incluem sua capacidade de oferecer suporte para diversos protocolos, maior velocidade que o OpenVPN e uma criptografia sólida.

No entanto, não é tão amplamente oferecido por provedores VPN comerciais quanto outros protocolos, pode ser difícil de configurar e exigir mais conhecimento técnico para uma implementação eficaz.

O L2TP (Layer 2 Tunneling Protocol) é geralmente usado com o IPSec para a criptografia por não a oferecer em si.

Juntos, eles fornecem uma conexão VPN muito segura que encapsula dados duas vezes. O L2TP/IPSec é um sucessor do PPTP e é significativamente mais seguro, mantendo uma compatibilidade ampla.

O L2TP/IPSec é ótimo em situações em que a segurança é essencial e o suporte nativo também é importante, já que vem integrado em vários sistemas operacionais.

As principais vantagens do IKEv2/IPSec incluem seu suporte amplo, boa segurança quando adequadamente configurado e configuração fácil na maioria das plataformas.

As desvantagens incluem velocidades menores devido a um encapsulamento duplo, dificuldade para passar por firewalls por usar portas fixas e possíveis vulnerabilidades caso o Network Address Translation (NAT) seja implementado incorretamente.

O SSTP (Secure Socket Tunneling Protocol) é o protocolo VPN proprietário da Microsoft com criptografia SSL/TLS.

É similar ao OpenVPN, por poder usar a porta TCP 443, dificultando o seu bloqueio e permitindo superar a maioria dos firewalls.

Por mais que o SSTP possa ser útil em locais em que outros protocolos VPN sejam bloqueados ou restritos, não recomendamos usá-lo, exceto em último caso, por ser de código fechado.

Também não tem bom suporte fora do Windows, sendo mais lento que outros protocolos.

O PPTP (Point-to-Point Tunneling Protocol) é um dos protocolos VPN mais antigos ainda em uso.

Desenvolvido pela Microsoft para redes discadas, já foi o protocolo padrão para VPNs de acesso corporativo, mas agora foi em grande parte descontinuado.

Nunca recomendamos o uso desse protocolo VPN ultrapassado por ser antigo e conter vulnerabilidades de segurança conhecidas.