Glossário
O que é OpenVPN
Um protocolo VPN maduro e amplamente suportado, roda em TCP/443, útil quando protocolos mais rápidos estão bloqueados.
OpenVPN é um protocolo VPN de 2001. É o fallback de compatibilidade que roda em quase todo lugar: roteadores, NAS boxes, distros Linux antigas, redes de hotel que bloqueiam UDP. Quando WireGuard e VLESS Reality falham, OpenVPN sobre TCP/443 normalmente conecta.
Como OpenVPN funciona
OpenVPN roda dois canais:
- Canal de controle — cuida de autenticação e troca de chaves, embrulhado em TLS usando OpenSSL ou mbedTLS. O mesmo TLS que seu navegador usa pra HTTPS.
- Canal de dados — carrega seu tráfego VPN real, criptografado com qualquer cipher simétrico negociado no canal de controle.
Um deploy moderno usa TLS 1.3, certificados ECDSA e AES-256-GCM. Deploys mais antigos ainda rodam TLS 1.2 e RSA, que é criptograficamente bom mas mais lento.
OpenVPN pode rodar em UDP (mais rápido) ou TCP (mais compatível). UDP é o default. TCP é o fallback quando UDP é bloqueado, o que acontece em redes de hotel, de hospital e corporativas que filtram agressivamente UDP de saída.
Onde OpenVPN ganha
Alcance. OpenVPN sobre TCP/443 parece uma conexão HTTPS à primeira vista. Roda na mesma porta que tráfego web. Firewalls de hotel e proxies corporativos que bloqueiam VPN por porta não conseguem bloquear OpenVPN-sobre-443 sem também bloquear sites.
Maturidade. OpenVPN foi auditado várias vezes, está em produção há duas décadas e funciona em essencialmente todo SO. A idade do protocolo aqui é uma força — todo edge case estranho já foi encontrado e corrigido.
Onde OpenVPN perde
Velocidade. OpenVPN é significativamente mais lento que WireGuard. O canal de controle é mais pesado, o data path envolve mais trabalho em userspace, e o fallback TCP adiciona head-of-line blocking quando pacotes são perdidos. Numa conexão doméstica rápida, você verá throughput notavelmente mais baixo que WireGuard.
Reconhecibilidade. Apesar de rodar na porta 443, os padrões de tráfego do OpenVPN são detectáveis por DPI. Um censor determinado pode fingerprintar handshakes OpenVPN e bloqueá-los. É por isso que OpenVPN sozinho não basta em lugares como Irã ou Rússia.
O problema de revogação de certificado — certs OpenVPN de longa duração são um risco de segurança difícil de mitigar sem trabalho significativo de infra.
Deploys modernos de OpenVPN
A grande melhoria nos últimos anos são certificados de curta duração. Em vez de emitir um cert de cliente de 12 meses que tem que ser revogado se comprometido, você emite um cert de 24 horas de uma Vault PKI. Se vazar, a janela de vazamento é limitada.
Fexyn faz isso. Fexyn Secure usa OpenVPN com certificados de 24 horas emitidos por Vault PKI. A configuração também força DNS pelo túnel e usa AES-256-GCM com TLS 1.3.
Mais sobre OpenVPN no Fexyn ou compare com as alternativas na comparação de protocolos.
Experimente o Fexyn grátis por 7 dias — Secure é usado automaticamente como fallback quando protocolos mais rápidos estão bloqueados.
Termos relacionados
Experimente o Fexyn grátis por 7 dias
App para Windows disponível agora em Beta. WireGuard, VLESS Reality e OpenVPN — sem logs de histórico de navegação, consultas DNS ou conteúdo de tráfego.
Ver preços