WireGuard é a forma mais rápida e enxuta de rodar sua própria VPN. Ele roda no kernel do Linux, usa criptografia moderna, e um túnel funcional é apenas um arquivo de configuração curto em cada lado. Hospedar você mesmo em um VPS significa que você controla o ponto de saída de ponta a ponta: não há servidor comercial compartilhado registrando seu tráfego, e a única parte que vê seu IP real é o provedor que você escolheu.
Este guia percorre um servidor completo em cerca de dez minutos, com comandos reais que você pode copiar. Assumimos uma máquina Debian ou Ubuntu LTS recém-instalada com acesso root. Se você ainda não implantou um, um VPS no-KYC pago em cripto combina naturalmente com uma VPN própria, e nosso nível básico é mais do que suficiente. Ao final você terá um túnel que sobe a cada reinicialização e uma configuração de cliente que pode ser escaneada como QR code no celular.
Por que hospedar o WireGuard em vez de comprar uma VPN
Uma VPN comercial oferece conveniência e um grande conjunto de IPs de saída, mas você está confiando em um terceiro para não registrar e para cumprir o que a política de privacidade diz. Um endpoint WireGuard próprio inverte isso: você possui a máquina, você escreve a configuração e decide se algo é registrado. Não há endereço de saída compartilhado com milhares de desconhecidos, o que também significa que o histórico de abusos deles não recai sobre você.
A troca é honesta: o provedor do VPS ainda pode ver que um IP existe e roteia tráfego, portanto hospedar você mesmo muda a confiança de uma marca de VPN para o seu provedor. É exatamente por isso que vale a pena rodá-lo em um VPS offshore no-KYC em uma jurisdição voltada para privacidade, pago sem revelar sua identidade. É também por isso que dizemos privado, não anônimo: um túnel próprio melhora sua postura, mas o anonimato real ainda depende de sua higiene de pagamento e rede. Para o caso mais amplo, veja nossa visão geral sobre VPS para VPN.
Qual nível escolher para uma VPN pessoal
WireGuard é notavelmente leve em recursos. Um único núcleo de CPU e 1 GB de RAM saturarão a maioria das conexões domésticas, e o trabalho de criptografia acontece no kernel em vez de em um daemon pesado de espaço de usuário. Para uma pessoa ou alguns dispositivos, o nível Pup (1 vCPU, 1 GB RAM, 25 GB NVMe) é mais do suficiente, e como todo nível inclui tráfego ilimitado, uma VPN não consome um limite tarifado.
Suba apenas se você estiver adicionando carga. Alguns membros da família no mesmo túnel ficam bem em Pup ou Cub; se quiser co-hospedar outros serviços, rodar alguns contêineres ou servir várias transmissões simultâneas pesadas, vá para Scout ou Runner pelos núcleos e RAM extras. A localização importa tanto quanto o tamanho para uma VPN: escolha por latência e jurisdição, que abordamos mais adiante. Você pode pagar em Monero ou qualquer moeda suportada, e o servidor é implantado em cerca de sessenta segundos sem taxa de configuração.
Passo 1 — Instalar o WireGuard
WireGuard já vem no kernel do Linux moderno, então a instalação é apenas as ferramentas de espaço de usuário. No Debian ou Ubuntu LTS, atualize o índice de pacotes e instale o pacote como root:
apt update && apt install -y wireguard
Isso instala wg e wg-quick, os dois comandos que você usará para gerenciar o túnel. No AlmaLinux, Rocky ou Fedora o equivalente é dnf install -y wireguard-tools. Verifique a instalação com wg --version antes de continuar.
Passo 2 — Gerar as chaves do servidor e do cliente
WireGuard autentica pares com pares de chaves Curve25519, não senhas. Bloqueie o diretório primeiro, depois gere um par de chaves para o servidor e um para cada dispositivo cliente. Execute como root:
umask 077; cd /etc/wireguard
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee client_private.key | wg pubkey > client_public.key
Você agora tem quatro arquivos. As duas chaves públicas são trocadas entre os pares; as duas chaves privadas nunca saem da máquina à qual pertencem. Exiba-as com cat server_private.key e assim por diante ao preencher a configuração no próximo passo. Gere um novo par de chaves de cliente por dispositivo em vez de reutilizar um no celular e no notebook.
Passo 3 — Escrever /etc/wireguard/wg0.conf
Crie a configuração da interface do servidor em /etc/wireguard/wg0.conf. Isso define a sub-rede do túnel (10.0.0.0/24 aqui), a porta de escuta e uma regra NAT para que o tráfego do cliente seja mascarado pela interface pública do servidor. Substitua SERVER_PRIVATE_KEY e CLIENT_PUBLIC_KEY pelos valores do passo 2, e confirme o nome da sua NIC pública com ip route get 1.1.1.1 (geralmente eth0 ou ens3):
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = CLIENT_PUBLIC_KEY
AllowedIPs = 10.0.0.2/32O servidor é 10.0.0.1; o primeiro cliente será 10.0.0.2. Cada dispositivo adicional recebe seu próprio bloco [Peer] e o próximo endereço no intervalo.
Passo 4 — Ativar o encaminhamento de IP e abrir o firewall
Para o servidor rotear o tráfego do cliente para a internet, o kernel deve encaminhar pacotes. Ative permanentemente e aplique agora:
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf && sysctl -p
Depois abra a porta do WireGuard. WireGuard escuta na UDP 51820 por padrão. Se você usar UFW:
ufw allow 51820/udp && ufw allow OpenSSH
Sempre permita sua porta SSH ao mesmo tempo para não se bloquear ao ativar o firewall. Todo VPS VPSCrypto vem com um IPv4 dedicado e limpo e um IPv6 /64, portanto esta única regra UDP é toda a exposição de entrada que sua VPN precisa.
Passo 5 — Subir o túnel e ativá-lo na inicialização
Inicie a interface com o helper que lê sua configuração, depois ative a unidade systemd para que sobreviva a reinicializações:
wg-quick up wg0
systemctl enable wg-quick@wg0
Confirme que a interface está ativa e escutando com wg show, que exibe a interface, sua chave pública e a porta de escuta. Neste ponto o lado do servidor está concluído; a única coisa restante é apontar um cliente para ele. Se você mudar o wg0.conf depois, aplique limpo com wg-quick down wg0 && wg-quick up wg0.
Passo 6 — Configurar seu dispositivo cliente
No seu notebook ou celular, instale o aplicativo ou pacote oficial WireGuard e crie um túnel com esta configuração. Use a chave privada do cliente do passo 2 e a chave pública do servidor. O Endpoint do cliente é simplesmente o IP público do seu servidor seguido da porta UDP do WireGuard, por exemplo 203.0.113.10:51820:
[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/32
DNS = 1.1.1.1
[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = 203.0.113.10:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25Definir AllowedIPs como 0.0.0.0/0, ::/0 roteia todo o tráfego pelo túnel. No celular, gere um QR code deste arquivo com qrencode -t ansiutf8 < client.conf no servidor e escaneie-o no app. Ative o túnel, depois verifique seu IP visível — deve ser agora o do servidor. A linha PersistentKeepalive mantém a conexão ativa por trás de NAT.
Dicas de hardening
Um túnel funcional é o começo, não o fim. Rotacione as chaves periodicamente gerando um novo par de chaves do cliente e trocando a chave pública no bloco [Peer] do servidor. Mantenha um par de chaves separado por dispositivo para poder revogar um sem perturbar os outros — para revogar, basta deletar o bloco daquele par e reaplicar a configuração.
- Desative os logs que você não precisa. O WireGuard em si é quieto por padrão; revise seus logs SSH e do sistema e reduza a retenção se um footprint mínimo é importante para você.
- Bloqueie o SSH com autenticação apenas por chave e considere movê-lo para fora da porta 22; mantenha essa porta permitida no UFW antes de ativar o firewall.
- Escolha a jurisdição deliberadamente. A localização do servidor é agora a postura de privacidade da sua VPN. Suíça sob a FADP e Islândia com sua tradição de liberdade de imprensa são escolhas fortes; os Países Baixos e a França trocam parte disso por menor latência na UE.
Para operações contínuas e gerenciamento de credenciais, nossa documentação cobre DNS reverso, IPv6 e funcionalidades do painel em detalhes.
VPS vs VPN comercial — quando hospedar faz sentido
Hospedar você mesmo ganha quando você quer um IP dedicado, controle total sobre o registro e um túnel que nenhum provedor comercializa para milhares de usuários. É ideal para acessar seus próprios serviços, obter um endereço estável para listas de permissão ou simplesmente não confiar na alegação de zero-logs de uma empresa de VPN. O custo é que você o mantém, e um único IP de saída próprio não foi projetado para se misturar numa multidão da forma que o pool compartilhado de uma VPN comercial faz.
VPNs comerciais ganham em conveniência, saltos entre países e plausibilidade negável de IP compartilhado. Para a maioria dos usuários conscientes de privacidade que querem um endpoint confiável que realmente possuem, um VPS pequeno rodando WireGuard é a melhor resposta — e pagar por ele por um checkout crypto, sem KYC mantém a configuração consistente de ponta a ponta. Se ainda estiver avaliando a abordagem, nossa visão geral de VPS para VPN compara os dois com mais profundidade.
Perguntas frequentes
Quanto de VPS preciso para uma VPN WireGuard pessoal?
Muito pouco. WireGuard roda no kernel e é leve em CPU e memória, então nosso nível Pup (1 vCPU, 1 GB RAM, 25 GB NVMe) com tráfego ilimitado lida confortavelmente com uma VPN pessoal. Suba para Scout ou Runner apenas se estiver adicionando vários usuários ou co-hospedando outros serviços.
Qual porta o WireGuard usa?
Por padrão ele escuta na UDP 51820. Abra-a no firewall com ufw allow 51820/udp e está pronto. Você pode mudar ListenPort em wg0.conf se preferir uma porta diferente, mas lembre de abrir a regra correspondente e atualizar o Endpoint do cliente.
Uma VPN WireGuard própria é mais privada que uma VPN comercial?
Pode ser, porque só você controla o endpoint e se algo é registrado — não há saída compartilhada e nenhuma alegação de zero-logs de fornecedor para confiar. A troca é que seu provedor de VPS vê o IP, então o ganho de privacidade depende de escolher um provedor no-KYC em uma jurisdição forte e pagar privadamente. É uma melhoria real, não uma garantia de anonimato.
Posso rodar WireGuard e outros serviços no mesmo VPS?
Sim. WireGuard é leve e coexiste bem com outras cargas de trabalho. Para uma VPN pessoal mais um site pequeno ou alguns contêineres, Pup ou Cub está ótimo; para serviços mais pesados rodando ao lado do túnel, suba para o nível Scout ou Runner pelos núcleos e RAM extras.
Qual localização é melhor para um VPS de VPN?
Escolha por latência e jurisdição. Os Países Baixos ou a França oferecem baixa latência na UE a partir de um hub bem conectado; Suíça sob a FADP e a tradição de liberdade de imprensa da Islândia oferecem postura de privacidade mais forte com um pequeno premium. Como você controla o endpoint, a jurisdição do servidor efetivamente se torna a da sua VPN.

