Configuração de VPN no roteador

Configuração de VPN no roteador em vez de em dispositivos individuais significa que todo dispositivo na sua rede de casa ganha cobertura VPN automaticamente. Smart TVs, dispositivos IoT, consoles de jogo, dispositivos de filhos, dispositivos de visitantes. A configuração é mais envolvida que instalar um app; a cobertura é abrangente.

Este guia cobre os caminhos práticos e trade-offs.

Por que VPN no nível do roteador

Os casos onde faz sentido:

Dispositivos sem suporte a cliente VPN. Smart TVs (a maioria), dispositivos de streaming antigos, consoles de jogo (nenhum dos consoles suporta apps de VPN nativamente), hubs de smart home, IoT em geral. VPN no nível do roteador cobre todos esses.

Privacidade pra casa toda como política. Todos seus dispositivos de casa ganham criptografia VPN sem configuração por dispositivo ou disciplina por dispositivo. Configure uma vez; sempre funciona.

Uso familiar. Dispositivos que membros da família usam sem entendimento de app de VPN ainda ganham cobertura.

Privacidade pra visitantes. Visitantes no seu Wi-Fi de casa herdam o túnel VPN.

Os casos onde não faz sentido:

Seleção de região de saída por dispositivo. VPN no roteador tem uma saída de cada vez pra todos os dispositivos. Se você quer Netflix US no Fire TV mas iPlayer UK no laptop, apps de VPN por dispositivo são necessários.

Dispositivos críticos em performance. CPU do roteador limita a vazão. Roteador básico fazendo VPN pode produzir 30-100 Mbps; conexões domésticas de classe gigabit veem perda significativa de vazão.

Algumas configurações de smart home. Dispositivos que precisam de descoberta na mesma LAN (Chromecast, receivers AirPlay, alguns IoT) podem quebrar com roteamento VPN.

Dispositivos móveis que saem de casa. VPN por dispositivo vai com eles; VPN no roteador não. Precisa de cliente VPN por dispositivo pra uso fora-da-rede.

Pra usuários querendo casa-toda + por-dispositivo, a resposta é "VPN no roteador pra casa toda + override por dispositivo quando necessário" em vez de escolher uma abordagem.

Opções de roteador

O cenário de roteadores em 2026:

Firmware ASUS Merlin. Roteadores ASUS (série RT-AX) flasheados com firmware Merlin suportam WireGuard nativamente. Configuração via UI web; performance razoável em roteadores tier médio. A comunidade Merlin é ativa; documentação é boa.

Firmware ASUS estoque. Alguns roteadores ASUS recentes suportam OpenVPN e WireGuard em firmware estoque. Menos flexível que Merlin mas mais simples de configurar. Verifique suporte de protocolo do seu modelo específico.

Roteadores GL.iNet. Projetados especificamente pra uso de VPN. Pré-flasheados com OpenWrt + GUI da GL.iNet. Múltiplos túneis WireGuard suportados; alterne países de saída via UI. Modelos de $40 (Mango) a $300+ (enterprise). Boa escolha pra usuários que querem configuração de baixo esforço.

OpenWrt. Firmware de roteador open source; suporta muitos roteadores. Flexibilidade máxima; curva de aprendizado mais íngreme. WireGuard via opkg. Documentação extensa mas assume familiaridade com Linux.

DD-WRT. Firmware customizado mais antigo; suporta muitos roteadores. Suporte WireGuard existe mas menos maduro que do OpenWrt.

pfSense / OPNsense. Plataformas de roteador baseadas em PC. Stack de rede completo; CPU substancial disponível; vazão VPN multi-gigabit possível. Exige hardware dedicado.

Firmware estoque de roteador (TP-Link, Netgear, etc.), geralmente limitado. Alguns modelos específicos suportam OpenVPN; poucos suportam WireGuard. Firmware estoque é o pior caminho pra VPN; considere firmware customizado em modelos suportados.

Pra maioria dos usuários, o caminho de menor resistência: ASUS Merlin ou caixa GL.iNet. Ambos funcionam, ambos são documentados, ambos performam razoavelmente.

WireGuard vs OpenVPN em roteadores

WireGuard: sobrecarga menor; vazão melhor no mesmo CPU de roteador. Roteadores modernos (consumidor high-end pós-2020) suportam WireGuard bem. Roteadores antigos podem não ter suporte WireGuard; OpenVPN é o fallback.

OpenVPN: sobrecarga de CPU maior; vazão menor no mesmo hardware. Disponível em mais plataformas de roteador porque tá por aí há mais tempo.

Exemplos de vazão num ASUS RT-AX86U típico:

Conexão direta: ~900 Mbps
WireGuard via roteador: ~450-600 Mbps
OpenVPN via roteador: ~150-300 Mbps

Roteadores high-end (RT-AX88U, RT-AX89X) entregam melhor; roteadores básicos (RT-AC68U) têm dificuldade com OpenVPN acima de ~100 Mbps.

Padrão de configuração com Fexyn

Pra ASUS Merlin (WireGuard):

Cadastre-se em fexyn.com/pricing
Gere config WireGuard no painel do Fexyn (fornecemos arquivos de config WireGuard pra roteadores; o formato .conf padrão funciona no Merlin)
UI web ASUS Merlin → VPN → WireGuard Server/Client → Add Client
Cole configuração; salve; ative
Regras de firewall pra rotear rede de casa pela VPN (lidado principalmente pelo policy routing do Merlin)

Pra OpenWrt (WireGuard):

Instale pacotes wireguard-tools e luci-proto-wireguard
Configure interface WireGuard em /etc/config/network com nossas chaves e endpoints fornecidos
Configure firewall em /etc/config/firewall pra marcar interface VPN como zona de saída
Recarregue rede; WireGuard ligado

Pra GL.iNet:

GUI GL.iNet → VPN Client → WireGuard Client
Faça upload de config Fexyn ou cole manualmente
Ative

Arquivos de configuração específicos variam por roteador; fornecemos pelo painel do Fexyn pra usuários que solicitam configs de roteador.

Roteamento seletivo

Pra usuários querendo alguns dispositivos roteados por VPN e outros direto, o roteador pode fazer policy routing por dispositivo:

ASUS Merlin "VPN Director": selecione clientes específicos (por MAC, IP ou nome) pra rotear por VPN; resto vai direto. Útil pra "Fire TV por VPN US, outros dispositivos direto".

OpenWrt: policy routing mais flexível via marca de firewall + ip rule. Curva de aprendizado mais íngreme.

GL.iNet: roteamento seletivo baseado em GUI na maioria dos modelos.

Esse padrão te deixa manter uso sensível à latência (jogos, videochamadas) em conexão direta e rotear uso sensível à privacidade (smart TV, IoT, navegação) por VPN.

O que VPN no roteador não resolve

Vale ser explícito:

Seleção de região de saída por dispositivo ao mesmo tempo. Todos os dispositivos roteados por VPN compartilham a saída. Seleção por dispositivo exige clientes por dispositivo.
Sobrecarga. Todo tráfego de casa agora vai pela VPN do roteador. CPU e banda são limitados pela capacidade do roteador.
Dispositivos móveis fora da rede. Celular sai do Wi-Fi de casa; celular não tá mais coberto. Precisa cliente VPN por dispositivo pra uso fora da rede.
Vazamentos de DNS se mal configurado. Roteador precisa forçar DNS pela VPN; roteadores padrão podem vazar DNS pro provedor. Detalhe de configuração; verifique.

O que o Fexyn suporta pra roteadores

Hoje (maio 2026):

Arquivos de configuração WireGuard pra roteadores (fornecidos pelo painel sob pedido)
Configuração OpenVPN pra roteadores (similar)
Documentação pra ASUS Merlin, OpenWrt, GL.iNet

O que ainda não entregamos:

Um app Fexyn nativo de roteador (em desenvolvimento; ainda não lançado)
Configuração de roteador com um clique pra roteadores com firmware estoque (as configurações que fornecemos exigem importação manual)

Pra usuários com conforto técnico, a configuração manual é direta. Pra usuários querendo configuração totalmente via GUI, roteadores GL.iNet com nossos arquivos de config WireGuard fornecidos são o caminho mais fácil.

Última revisão em 2026-05-09.

Configuração de VPN no roteador

Por que VPN no nível do roteador

Opções de roteador

WireGuard vs OpenVPN em roteadores

Padrão de configuração com Fexyn

Roteamento seletivo

O que VPN no roteador não resolve

O que o Fexyn suporta pra roteadores

Perguntas frequentes

Meu roteador funciona pra VPN?

Vou ter boas velocidades?

Posso rodar VPN no roteador E nos meus dispositivos?

E sobre o kill switch em VPN no roteador?

Posso usar Fexyn no meu roteador hoje?