Capítulo 22 – Tecnologias de VPN
Introdução
Em ambientes corporativos com múltiplas filiais, parceiros ou datacenters externos, a conectividade segura entre redes distintas é um dos pilares da infraestrutura moderna.
Para isso, as VPNs site‑to‑site (Virtual Private Network) permitem criar túneis criptografados entre firewalls ou roteadores, garantindo confidencialidade, integridade e disponibilidade na comunicação entre locais remotos.
No OPNsense, três tecnologias principais podem ser utilizadas para estabelecer essas conexões:
- IPsec
- WireGuard
- OpenVPN
Cada uma delas possui vantagens e limitações específicas em termos de desempenho, compatibilidade, simplicidade e segurança.
Neste capítulo, faremos uma análise comparativa detalhada entre essas tecnologias, abordando seus pontos fortes, fraquezas e cenários ideais de uso.
Critérios de Avaliação
Antes de escolher a VPN mais adequada, é importante considerar o contexto técnico e operacional do ambiente.
Os principais critérios para análise são:
- Compatibilidade entre firewalls e fabricantes
- Desempenho (throughput e latência)
- Estabilidade e resiliência da conexão
- Facilidade de configuração e manutenção
- Suporte a aceleração de hardware (AES‑NI)
- Tipo de tráfego predominante (backup, sincronização, acesso remoto ou serviços contínuos)
A seguir, veremos como cada tecnologia se comporta diante desses critérios.
VPN IPsec
O IPsec (Internet Protocol Security) é o padrão mais consolidado para VPNs site‑to‑site e amplamente suportado em firewalls de diferentes fabricantes.
Baseia‑se em um conjunto de protocolos que implementam autenticação, integridade e criptografia em nível de camada 3 (rede).
Vantagens
- Compatibilidade total entre fabricantes (FortiGate, Cisco ASA, Mikrotik, Sophos, etc.)
- Suporte a NAT‑T (NAT Traversal) e múltiplas sub‑redes por túnel
- Autenticação por chave pré‑compartilhada (PSK) ou certificados
- Integração nativa no OPNsense e fácil monitoramento
- Aceleração de criptografia via AES‑NI (quando disponível no hardware)
Desvantagens
- Configuração mais detalhada, exigindo ajustes finos de fase 1 e fase 2
- Depende de portas e protocolos específicos (UDP/500 e UDP/4500)
- Menor simplicidade em ambientes de laboratório ou redes heterogêneas
Onde usar o IPsec
O IPsec é ideal para cenários corporativos e ambientes híbridos, onde a compatibilidade entre fabricantes e a estabilidade de longo prazo são prioridades.
VPN WireGuard
O WireGuard é uma tecnologia moderna e minimalista, desenvolvida com foco em simplicidade, desempenho e segurança.
Opera na camada 3 e utiliza algoritmos de criptografia de última geração, como ChaCha20 e Curve25519.
Vantagens
- Código enxuto e arquitetura moderna
- Configuração simples e intuitiva
- Altíssimo desempenho, com baixa latência e alta taxa de transferência
- Excelente escalabilidade em túneis simultâneos
- Ótima eficiência energética (ideal para appliances e equipamentos embarcados)
Desvantagens
- Compatibilidade ainda limitada com appliances de firewall tradicionais (FortiGate, SonicWall, etc.)
- Ausência de aceleração via AES‑NI (usa algoritmos baseados em software)
- Gerenciamento centralizado mais complexo em topologias grandes
Onde usar o WireGuard
Apesar do excelente desempenho, o WireGuard ainda não é o padrão de interoperabilidade entre fabricantes.
É ideal em ambientes open‑source, laboratórios, ou quando ambos os lados utilizam OPNsense/pfSense.
VPN OpenVPN
O OpenVPN é amplamente reconhecido por sua flexibilidade e suporte multiplataforma.
Embora mais usado em VPNs SSL de acesso remoto, também pode ser implementado em cenários site‑to‑site.
Vantagens
- Compatível com Windows, Linux, macOS e dispositivos móveis
- Suporte tanto a TCP quanto UDP
- Autenticação robusta baseada em TLS e certificados digitais
- Fácil integração com controladores de acesso e autenticação centralizada (RADIUS, LDAP)
Desvantagens
- Desempenho inferior ao IPsec e WireGuard (maior overhead de criptografia)
- Consome mais CPU, principalmente em links de alta velocidade
Onde usar o OpenVPN
O OpenVPN é uma excelente opção para VPNs híbridas, que combinam acesso remoto de usuários e conexões site‑to‑site, mantendo boa compatibilidade e segurança.
Comparativo Técnico
| Tecnologia | Pontos Fortes | Pontos Fracos |
|---|---|---|
| IPsec | Compatibilidade, maturidade e suporte a AES‑NI | Configuração mais complexa |
| WireGuard | Performance, simplicidade e eficiência | Compatibilidade limitada |
| OpenVPN | Flexibilidade e segurança (TLS) | Desempenho inferior |
Considerações sobre Aceleração de Hardware (AES‑NI)
O desempenho das VPNs pode variar significativamente conforme o suporte do hardware à aceleração criptográfica.
O AES‑NI (Advanced Encryption Standard – New Instructions) é um recurso de CPU que acelera operações de criptografia simétrica usadas em protocolos como IPsec e OpenVPN.
Benefícios do AES‑NI
- Reduz a carga de CPU
- Aumenta o throughput em túneis criptografados
- Melhora o desempenho de conexões acima de 500 Mbps
- Reduz o consumo de energia em appliances dedicados
Nota
O WireGuard não utiliza AES‑NI, pois sua criptografia é baseada em ChaCha20 — otimizada para software, e não por hardware.
Escolhendo a VPN Ideal por Caso de Uso
A melhor escolha depende da topologia, da compatibilidade entre equipamentos e do tipo de tráfego predominante.
1. Tráfego de Backup e Sincronização de Dados
WireGuard é a melhor escolha neste cenário:
- Alta taxa de transferência
- Baixa latência
- Configuração simples e rápida
Alternativa
Em ambientes corporativos heterogêneos, o IPsec com AES‑NI também é excelente para sincronização de dados e replicações.
2. Tráfego Rotineiro entre Matriz e Filial
IPsec é a opção mais estável e madura para uso contínuo:
- Compatibilidade com múltiplos fabricantes
- Reconexão automática e alta resiliência
- Ideal para Active Directory, file servers e replicações de GPO
3. Ambientes Multiplataforma e Acesso Remoto
OpenVPN é a escolha mais versátil:
- Suporte amplo a sistemas operacionais
- Ideal para conexões de usuários remotos e túneis híbridos
- Pode coexistir com outras VPNs no mesmo firewall
Resumo Estratégico
| Cenário | VPN Recomendada | Justificativa |
|---|---|---|
| Alto desempenho e simplicidade | WireGuard | Baixa latência e throughput superior |
| Máxima compatibilidade entre fabricantes | IPsec | Suporte universal e maturidade |
| Ambientes híbridos (usuários + site‑to‑site) | OpenVPN | Flexível e multiplataforma |
Conclusão
A escolha da VPN ideal depende do equilíbrio entre desempenho, compatibilidade e facilidade de manutenção.
- WireGuard destaca‑se pela velocidade e simplicidade.
- IPsec permanece como o padrão corporativo e interoperável.
- OpenVPN oferece flexibilidade e compatibilidade com múltiplos sistemas.
Em ambientes com matriz e filiais utilizando equipamentos distintos, o IPsec continua sendo a opção mais confiável.
Já em laboratórios, redes homogêneas ou projetos com foco em desempenho, o WireGuard é a melhor alternativa.
O OpenVPN, por sua vez, é ideal como complemento para acesso remoto e ambientes mistos.
No próximo capítulo, veremos na prática como configurar túneis site‑to‑site utilizando IPsec e WireGuard no OPNsense, explorando suas diferenças e boas práticas de segurança.