Protocolos de VPN comparados
Protocolos de VPN não são intercambiáveis. Cada um otimiza pra algo diferente. A maioria das reviews de VPN consumidor reduz isso a "WireGuard mais rápido, OpenVPN mais compatível" e para por aí, deixando de fora os protocolos que realmente importam quando você cruza uma fronteira de censura.
Aqui está a versão honesta, escrita pra quem está escolhendo o que de fato vai rodar.
Comparação rápida
| Protocolo | Velocidade | Segurança | Resistência a censura | Setup |
|---|---|---|---|---|
| WireGuard | Excelente | Forte, formalmente analisado | Fraca (assinatura reconhecível) | Fácil |
| OpenVPN | Moderado | Forte, muito maduro | Fraca por padrão; melhor com obfs | Fácil |
| VLESS Reality (XRay) | Boa | Forte | Excelente (TLS handshake real) | Difícil se self-hosted |
| IPSec/IKEv2 | Muito boa | Forte (NSA-grade) | Fraca (assinatura conhecida) | Fácil no mobile |
| Shadowsocks | Boa | Adequada | Moderada (padrões reconhecíveis agora) | Difícil se self-hosted |
Se você está numa rede livre, WireGuard é a resposta default. Se você está atrás de DPI em país que mira VPNs, VLESS Reality é o único protocolo dessa lista que é seriamente difícil de detectar.
WireGuard
O default pra qualquer deploy novo de VPN desde 2024+. Cerca de 4.000 linhas de código central, formalmente analisado, criptografia ChaCha20-Poly1305, troca de chaves Curve25519, hashing BLAKE2s. Stateless cryptokey routing significa que não tem tabela de sessão pra manter. O handshake são duas idas e vindas e o data path é apertado.
Na prática isso significa baixa latência, baixo CPU em cliente e servidor, roaming rápido entre redes, e custo de throughput de uns 5% numa conexão doméstica típica.
A pegadinha: o protocolo não tenta se esconder. Pacotes WireGuard têm formato distintivo — UDP, estrutura de header fixa, message types 1-4. Um sistema DPI que quer reconhecer WireGuard pode fazer isso barato. Irã e Rússia bloqueiam endpoints WireGuard regularmente por assinatura.
Use WireGuard quando sua rede não é ativamente hostil a VPNs.
OpenVPN
O fallback de compatibilidade. Existe desde 2001. Roda sobre UDP ou TCP. Envolve um canal de controle dirigido por OpenSSL/mbedTLS e um canal de dados separado. TLS 1.3 + ECDSA + AES-256-GCM é a config moderna; deploys mais antigos ainda rodam TLS 1.2 + RSA.
OpenVPN é mais lento que WireGuard. O canal de controle é mais pesado, o data path envolve mais trabalho em userspace, e o fallback TCP adiciona head-of-line blocking quando pacotes são perdidos. Também é um protocolo reconhecível — TCP/443 OpenVPN é detectável por qualquer um rodando DPI, apesar de parecer HTTPS num primeiro olhar.
O que OpenVPN te dá é alcance. Roda sobre TCP/443. Funciona em redes de hotel que bloqueiam UDP. Roda em routers, NAS, distros Linux antigas, qualquer coisa com pacote openvpn. Quando tudo o resto falha, OpenVPN sobre TCP geralmente conecta.
A grande vitória em deploys modernos de OpenVPN são short-lived certificates. Emitir certificados de cliente de 24 horas a partir de um Vault PKI elimina o problema de revogação de certificado que assolava as PKIs OpenVPN de longa duração.
VLESS Reality
Construído especificamente pra derrotar DPI em países censurados. Roda em XRay (um fork do v2ray-core).
O truque: VLESS Reality estabelece uma conexão TLS 1.3 real com um site público real e bem conhecido (um "handshake host" como microsoft.com ou cloudflare.com). O TLS handshake é genuíno; o certificado é o real servido por aquele site público. Dentro da sessão estabelecida, seus dados de VPN fluem.
Pro DPI observando o cabo, sua conexão parece idêntica a alguém carregando microsoft.com de um navegador. O censor não consegue distinguir seu tráfego de qualquer outra sessão HTTPS pro mesmo host. Bloquear isso significaria bloquear o handshake host, o que o censor provavelmente não vai fazer.
Custo: latência extra do TLS handshake, mais CPU no cliente por causa da criptografia, e custo de throughput um pouco maior que WireGuard. Vale a pena quando WireGuard está bloqueado.
Como o Fexyn usa VLESS Reality · Por que VLESS Reality bate WireGuard em países censurados.
IPSec / IKEv2
O protocolo que o sistema operacional do seu celular já fala. macOS, iOS e Windows todos vêm com clientes IKEv2 nativos. AES-256, 3DES (deprecated), HMAC-SHA2. Criptografia forte, bem auditada.
A velocidade é boa. Reconexão em mudança de rede é excelente — a extensão MOBIKE do IKEv2 é uma das histórias de handover mobile-VPN mais limpas de qualquer protocolo. É por isso que provedores mobile adoram pra VPN corporativo.
Resistência a censura é fraca. IKEv2 usa UDP/500 e UDP/4500 com padrões de handshake extremamente reconhecíveis. Qualquer lugar que filtra VPNs por assinatura filtra IKEv2 imediatamente.
A maioria das VPNs consumidor entrega IKEv2 porque o SO já suporta, não porque é o protocolo certo. É conveniência, não escolha de segurança.
Shadowsocks
Um proxy criptografado baseado em SOCKS5, originalmente construído na China pra derrotar a GFW. Single-port, criptografado com cifras stream ou AEAD. Leve o suficiente pra rodar num VPS de $5.
Por alguns anos (de 2017 a 2020 mais ou menos) foi a ferramenta default de DPI-evasion. Aí a GFW aprendeu suas digitais — os padrões de timing, a falta de diversidade no padding, a distribuição de entropia do ciphertext. Em 2023, Shadowsocks padrão estava sendo detectado e estrangulado nas regiões que importam.
Variantes como ShadowTLS e shadow-tls-v3 corrigem isso envolvendo o tráfego num TLS handshake real — o que é estruturalmente similar ao que VLESS Reality faz, exceto que VLESS Reality começa de um design novo em vez de retrofitar.
Use Shadowsocks se já conhece. Pra deploys novos em 2026, VLESS Reality é a escolha melhor.
Mais sobre a comparação: VLESS vs Shadowsocks.
E o Trojan?
Trojan foi um protocolo esperto — envolver uma conexão SOCKS em TLS que parece servidor HTTPS, com fallback pra uma página web real se a senha estiver errada. Design inteligente, bem implementado.
O Fexyn não entrega Trojan. A razão é simples: VLESS Reality cobre o mesmo caso de uso (DPI evasion via TLS real) e é mais ativamente mantido. Rodar os dois significaria dois protocolos competindo pelo mesmo papel sem vantagem clara em ter os dois.
Como o Fexyn escolhe pra você
O Fexyn entrega três protocolos e rotaciona entre eles automaticamente:
- Fexyn Bolt é WireGuard. O default em redes limpas.
- Fexyn Stealth é VLESS Reality / XRay. Pra redes restritivas.
- Fexyn Secure é OpenVPN. O fallback de compatibilidade pras redes mais travadas.
O motor de rotação tenta protocolos numa ordem que depende do que sua rede historicamente permitiu. Você não gerencia isso a não ser que queira. Fixe um protocolo nas configs do app se tiver uma razão específica.
Não entregamos IKEv2 porque o SO já faz e fazer de novo seria só um cliente pior. Não entregamos Shadowsocks porque VLESS Reality cobre isso.
Leitura relacionada
- WireGuard no Fexyn
- OpenVPN no Fexyn
- VLESS Reality no Fexyn
- VLESS vs WireGuard
- VLESS vs Shadowsocks
- Deep packet inspection, explicado
Experimente o Fexyn grátis por 7 dias — todos os três protocolos inclusos, com rotação automática.