O que é tunneling de VPN

Tunneling é a técnica de carregar um protocolo de rede dentro de outro. Um túnel VPN pega os pacotes IP que seu dispositivo normalmente mandaria pra internet aberta, envolve em um segundo protocolo e encaminha pra um servidor VPN que desembrulha do outro lado. Nada dos pacotes internos chega à rede local — só o wrapper externo chega.

A palavra "túnel" é metáfora. Não há cano físico nem caminho dedicado. Os pacotes viajam pelos mesmos roteadores, switches e cabos submarinos que tudo mais. O que muda é o que esses roteadores podem ver: só o wrapper externo.

Como encapsulamento realmente funciona

Todo pacote IP tem um header (pra onde está indo, de onde veio, que protocolo carrega) e um payload (os dados). Tunneling trata o pacote original inteiro — header e payload — como bytes opacos, depois constrói um pacote completamente novo em torno dele.

Um túnel WireGuard funciona assim: seu dispositivo quer enviar um pacote TCP pra 1.1.1.1. WireGuard criptografa esse pacote inteiro com ChaCha20-Poly1305, prepende seu próprio header, envolve o resultado num datagrama UDP e envia esse datagrama pro IP público do servidor VPN na porta 51820. Pra rede local, o único pacote visível é "UDP do seu dispositivo pro servidor VPN". O pacote TCP dentro é ilegível.

O servidor VPN reverte o processo: recebe UDP, tira o header WireGuard, descriptografa e encaminha o pacote interno pro destino real.

O que protocolos diferentes tunelam

Cada protocolo VPN é definido em grande parte pelo que tunela dentro do quê.

• WireGuard tunela pacotes IP dentro de UDP. O header tem tamanho fixo e mínimo. Definido em Donenfeld 2017.
• OpenVPN tunela pacotes IP dentro de TLS, que por sua vez roda sobre TCP ou UDP. O handshake TLS estabelece chaves de sessão; pacotes de dados são criptografados com AES-GCM ou ChaCha20. Veja a RFC pra TLS subjacente.
• IPsec tunela pacotes IP dentro de um header Encapsulating Security Payload (ESP), definido em RFC 4303. ESP roda diretamente sobre IP (protocolo 50) ou, pra travessia NAT, sobre UDP porta 4500.
• VLESS Reality tunela pacotes IP dentro de um frame VLESS customizado, dentro de TLS 1.3, dentro de TCP. O handshake TLS encaminha um certificado real de terceiros pra que a conexão seja estatisticamente indistinguível de HTTPS comum. Veja Reality.

O fio comum é que os pacotes internos nunca aparecem na rede pública na forma original.

Tunneling vs criptografia

Os dois são frequentemente confundidos. Tunneling é encapsulamento, o passo de envolver. Criptografia é tornar o conteúdo envolvido ilegível. Um túnel pode existir sem criptografia (GRE, IP-in-IP), e criptografia pode existir sem tunneling (TLS sobre uma única conexão TCP). VPNs fazem os dois: encapsulam, depois criptografam o payload encapsulado.

Consequência prática: qualquer um observando a rede vê só o wrapper externo. Eles sabem que você está falando com um servidor VPN específico e aproximadamente quantos dados estão se movendo. Não sabem quais sites você está visitando, quais apps estão abertos ou quais IPs os pacotes internos miram.

Por que a forma do túnel importa

Adversários em nível de rede não conseguem ler conteúdo do túnel, mas conseguem ver que o túnel existe. A assinatura UDP do WireGuard é reconhecível; algumas redes bloqueiam. OpenVPN sobre TCP-443 parece HTTPS num olhar rápido mas tem indícios sob deep packet inspection. Reality vai além garantindo que o wrapper externo seja indistinguível de uma conexão TLS genuína pra um site popular.

A escolha do protocolo de túnel determina o que um observador pode detectar, o que pode bloquear e quanto overhead cada pacote carrega. O header enxuto do WireGuard custa cerca de 32 bytes por pacote. OpenVPN sobre TCP custa mais e adiciona head-of-line blocking. Escolher o túnel certo é a decisão de design central de qualquer cliente VPN.