WireGuard VPN corporativo em 30 minutos

Na GMhost configuramos WireGuard corporativo para clientes quase todas as semanas. A configuração do servidor são dez linhas, adicionar um novo utilizador é um script bash de 30 linhas e um código QR no smartphone em dez segundos.

Este guia é o procedimento completo, desde uma instalação limpa do Ubuntu até às primeiras ligações. Cerca de 30 minutos, e tens a tua própria VPN com controlo total dos logs, a aguentar 1 Gbps num VPS típico.

Porquê WireGuard, e não OpenVPN

OpenVPN são mais de 100 000 linhas de código, uma stack TLS complexa em user-space e um limite de ~250 Mbps num VPS típico. WireGuard tem cerca de 4 000 linhas, corre no kernel Linux 5.6+ e no mesmo VPS extrai 850-950 Mbps sem otimizações especiais.

A criptografia é moderna (Curve25519, ChaCha20-Poly1305) — sem legacy como o 3DES. A configuração do servidor são dez linhas. Suporte nativo em iOS, Android, Windows, macOS, OpenWrt e MikroTik.

O único ponto fraco notável — não há 2FA nativo. Se precisares de SSO/MFA, mete o Firezone por cima (mais sobre isso no fim).

VPS ou dedicated — como escolher

Cada ligação WireGuard consome CPU. Num VPS de dois núcleos, 200 peers em simultâneo introduzem jitter notório. Nos nossos Xeon Gold com AES-NI, o WG aguenta 10 Gbps sem esforço — por isso, com equipas de 50+ faz sentido ir logo para dedicated.

Passo 1. Preparar o sistema (5 min)

Ubuntu 24.04 LTS ou Debian 12 acabados de instalar. A trabalhar como root ou via sudo.

Passo 2. Configuração do servidor (10 min)

Geramos um par de chaves:

Criamos /etc/wireguard/wg0.conf:

Substituir eth0 pelo teu (ip route | grep default mostra). Arrancamos:

Se wg show mostra a interface — o servidor está vivo.

Passo 3. Adicionar membros da equipa (10 min para 5 pessoas)

Um script que gera o cliente, adiciona o peer no servidor e imprime um código QR para o smartphone.

/usr/local/bin/wg-add-client:

Executar:

O terminal imprime um código QR — a Maria lê-o na app móvel WireGuard em 10 segundos. Para um portátil, envias o ficheiro .conf por canal seguro — importa-se com um clique. Depois de adicionar, guarda o estado: wg-quick save wg0.

Split tunneling — quando nem todo o tráfego vai pela VPN

Por defeito AllowedIPs = 0.0.0.0/0 envia todo o tráfego do cliente pela VPN. Muitas vezes queres o contrário: recursos corporativos pelo túnel, Zoom e Spotify directamente. Na configuração do cliente substitui por uma lista das sub-redes que precisas:

A primeira são os próprios clientes VPN, depois os servidores de escritório, depois uma segunda filial. Tudo fora desses intervalos vai pelo caminho normal.

Monitorização

Rápido e sem stack adicional:

Mostra a chave pública e há quantos segundos foi o último handshake. No cron, dispara um alerta no Telegram se o handshake for mais antigo do que 10 minutos. Para algo mais sério — prometheus-wireguard-exporter + Grafana dashboard 12177.

O que vem a seguir

1. Backup das configurações. /etc/wireguard/ tem cerca de 30 KB. Manda diariamente para o nosso Backup Storage. Sem backup e com servidor perdido vais ter de reemitir chaves a toda a equipa.
2. Rotação das preshared keys. Uma vez de 6 em 6 meses. O script wg-add-client só precisa de pequenos ajustes para rotação em massa.
3. 2FA / SSO. Se a segurança é crítica — Firezone (frontend para WireGuard com OIDC, SAML, Google Workspace, Microsoft Entra). Fica por cima do mesmo servidor, e as configurações dos clientes são distribuídas por um portal web.
4. Escalar. Migrar de VPS para dedicated é scp -r /etc/wireguard new-server:/etc/, trocar o Endpoint nas configs dos clientes e reiniciar. Cerca de quinze minutos.

Queres uma configuração específica?

Escolhemos o VPS ou dedicated para o teu cenário — número de utilizadores, se precisas de uplink redundante, se vai haver rotas intra-escritório. Escreve-nos para [email protected] ou no bot @gmhost_support_bot — sugerimos o plano e ajudamos com a migração.