O que é o OpenVPN e como funciona?

Como o OpenVPN funciona?

O protocolo OpenVPN é responsável pela comunicação entre o cliente e o servidor. Basicamente, ele ajuda a estabelecer um túnel “seguro” entre o cliente VPN e o servidor VPN.

Quando o OpenVPN lida com a criptografia e a autenticação, ele usa amplamente a biblioteca do OpenSSL. O OpenVPN também pode usar tanto o UDP (User Datagram Protocol) quanto o TCP (Protocolo de Controle de Transmissão) para transmitir dados.

O TCP e o UDP são importantes protocolos de transporte de camada, usados para transmitir dados online. O TCP é mais estável, já que oferece recursos de correção de erros (quando um pacote de rede é enviado, o TCP aguarda confirmação antes de enviar novamente ou enviar um novo pacote). O UDP não realiza a correção de erros, o que o torna um pouco menos estável, mas muito mais rápido.

O OpenVPN funciona melhor com o UDP (de acordo com o OpenVPN.net), e é por isso que o Servidor de Acesso do OpenVPN primeiro tenta estabelecer conexões UDP. Se essas conexões falharem, só então o servidor tenta estabelecer conexões TCP. A maioria dos provedores de VPN também oferecem o OpenVPN sobre o UDP como padrão.

Por causa do modo como é programado (é um protocolo de segurança customizado), o protocolo OpenVPN pode contornar facilmente o HTTP e o NAT.

Diferente da maioria dos protocolos de VPN, o OpenVPN é de código aberto. Isso significa que o código não é de propriedade de apenas uma entidade, e outras partes sempre podem inspecioná-lo e melhorá-lo continuamente.

OpenVPN explicado em profundidade – Detalhes técnicos gerais

• Geralmente, o OpenVPN usa criptografia OpenSSL de 256 bits. Para fortalecer ainda mais a segurança da conexão, o OpenVPN pode usar as cifras AES, Camellia, 3DES, CAST-128 ou Blowfish.
• Apesar do OpenVPN não ter nenhum suporte para L2TP, IPSec e PPTP, ele usa seu próprio protocolo customizado com base no TLS e SSL.
• O OpenVPN dá suporte à melhoria dos processos de login e autenticação com o uso de plugins e scripts terceirizados.
• Na verdade, os clientes podem se conectar a servidores além do servidor OpenVPN, já que ele dá suporte a uma configuração de subrede privada.
• Para proteger os usuários de vulnerabilidades como transbordamento de dados nas implementações TLS/SSL, ataques DoS, escaneamento de porta e inundação de porta, o OpenVPN depende da verificação de assinatura tls-auth para HMAC. O OpenVPN também é programado para suspender privilégios, se necessário, e rodar em uma prisão chroot dedicada ao CRL.
• O OpenVPN roda no espaço do usuário, ao invés de no nucleo.

O protocolo passou até por duas auditorias de segurança em 2017 – uma auditoria só encontrou problemas muito pequenos que não ameaçavam os dados dos usuários, e a outra só encontrou dois bugs (que foram resolvidos muito rapidamente).

Além disso, a plataforma OpenVPN.net também tem uma grande lista aprofundada do que os usuários podem fazer para proteger ainda mais suas conexões após configurar o OpenVPN em seus aparelhos. E já que é um protocolo de código aberto, é muito mais confiável, já que você mesmo pode conferir o código (se tiver experiência nisso) para garantir que está tudo em ordem.

Como usar o OpenVPN

O OpenVPN não é exatamente o protocolo mais fácil de usar que existe, e configurar uma conexão pode ser um pouco desafiador. 

Nesta seção, vamos cobrir o processo de configuração para o Windows, já que foi o mais pedido. Os processos de configuração do Android e do iOS seguem passos similares. Instalar e usar o OpenVPN no Linux é bem complexo, mas existe uma forma mais usada de fazer isso (informações extras podem ser encontradas aqui)

Antes de prosseguirmos, devemos mencionar que, para configurar uma conexão OpenVPN, você vai precisar de uma VPN. Você pode configurar seu próprio servidor OpenVPN, mas é extremamente difícil, e a maioria dos tutoriais disponíveis online só falam sobre as plataformas Linux. 

Dito isso, estas são as principais coisas que você precisa saber sobre usar o protocolo OpenVPN:

1. Primeiro, obtenha os arquivos de configuração

Para se conectar aos servidores de seu provedor, o OpenVPN vai precisar de certos arquivos de configuração que definem como é realizada uma conexão. Desde que você escolha um bom provedor de VPN, deve poder encontrar todos os arquivos de configuração de que precisa em suas páginas de downloads 

Geralmente, os arquivos de configuração vêm zipados, e você precisa extrair os arquivos para uma pasta. Os arquivos mais importantes serão os OVPN.

2. Instale o cliente OpenVPN

Depois que tiver os arquivos de configuração, precisa instalar o cliente OpenVPN em seu aparelho. Você pode encontrar facilmente os instaladores de que precisa na página downloads do site OpenVPN.net. É só abrir o assistente de instalação, aceitar as opções padrão, escolher uma pasta de instalação diferente, se quiser, e continuar com o processo.

Quando concluído, o seu visualizador de texto padrão pode abrir um novo arquivo para exibir um guia contendo detalhes técnicos. Você pode ler se quiser, mas também é seguro fechar esse arquivo nesse ponto.

3. Agora, importe os dados da VPN

Para iniciar o OpenVPN, você precisa abrir o aplicativo OpenVPN GUI. Ele vai adicionar o serviço à Bandeja do seu Sistema (a pequena barra de tarefas no canto inferior direito). Em seguida, copie todos os arquivos OVPN que você baixou para a subpasta “Config” dentro da pasta de instalação do OpenVPN.

Se você clicar no ícone OpenVPN em sua Bandeja do Sistema, poderá ver os nomes de todos os arquivos que acabou de copiar. Se for mais fácil para você, pode renomear os arquivos. 

4. Estabelecendo a conexão

Para se conectar a um servidor, é só clicar nos arquivos OVPN no aplicativo do OpenVPN. Quando iniciado, digite suas credenciais de login. Se tudo der certo, você verá uma tela de registro com alguns comandos de status, que vai desaparecer quando a conexão for estabelecida.

Você deve ver uma notificação informando que a conexão foi bem-sucedida. Se olhar também para o ícone do OpenVPN, deve ser uma tela verde. Se posicionar o mouse sobre ela, verá uma dica lhe dizendo o nome do servidor e seu novo endereço IP.

Nesse ponto, você pode testar a conexão para garantir que tudo está em ordem

Para se desconectar, é só clicar no ícone do OpenVPN, escolher o servidor ao qual está conectado, e clicar em “Desconectar”.

5. Ajustando as configurações (Básicas e Avançadas)

O aplicativo do OpenVPN não tem muitas configurações, mas você ainda pode ajustar algumas delas.

Por exemplo, você pode ir para “Configurações” e garantir que o OpenVPN inicia automaticamente quando você inicializa o seu sistema operacional. Você também pode se livrar da tela de registro que aparece quando se conecta a um servidor conferindo a opção “Conexão silenciosa”. E tenha cuidado com a opção “Nunca”, pois ela desabilita as notificações para o desktop.

Se você quiser ajustar ainda mais as suas conexões, pode abrir os próprios arquivos OVPN (recomendamos fazer isso com o WordPad) para ver quais comandos são atribuídos a eles. Se souber como, pode editar os comandos existentes e adicionar novos. Alguns comandos que podem interessar os mais experientes no assunto incluem: 

• O comando “proto” – Este comando é usado para alternar entre o UDP e o TCP. É só adicionar o nome do protocolo depois do comando, por exemplo: “proto udp.”
• O comando “remoto” – Essa é a linha que diz ao OpenVPN o nome do servidor que você quer usar. Geralmente, também inclui a porta após o nome do servidor VPN. Se você conhece portas alternativas que seu provedor usa, pode alternar entre elas aqui.
• O comando “tun-mtu” – Essa é a sigla para valor da Unidade de Transmissão Máxima. É geralmente definido em torno de 1.500, mas você pode tentar mudar isso para melhorar o desempenho.

Além disso, você pode conferir a subpasta “doc” em sua pasta de instalação do OpenVPN para documentação mais avançada que pode mostrar a você como fazer outras coisas (como configurar scripts para quando sua VPN se desconectar, ou bloquear vazamentos DNS). Você também pode conferir o Manual de Referência disponível no site OpenVPN.net para mais informações.

Vantagens e desvantagens do OpenVPN

Precisa de uma VPN confiável que ofereça o protocolo OpenVPN?

A CactusVPN é justamente o que você precisa. Oferecemos os protocolos UDP e TCP OpenVPN, e tudo já vem configurado para você. Tudo o que você precisa fazer é instalar nosso cliente, se conectar a um de nossos mais de 35 servidores de alta velocidade, e desfrutar de sua experiência online.

Em termos de segurança, nossas conexões OpenVPN são muito versáteis. Você pode aproveitar cifras potentes, como a AES e a Camellia, e SHA-256, SHA-384, SHA-512, e RMD-160 para a criptografia de autenticação.

Além disso, não oferecemos apenas o protocolo OpenVPN. Além dele, você pode usar outros cinco protocolos de VPN também: WireGuard, SoftEther, IKEv2/IPSec, L2TP/IPSec, SSTP, PPTP.

Grande compatibilidade com várias plataformas + Facilidade de usar

Assim como o protocolo OpenVPN, nosso serviço também funciona em vários sistemas operacionais e aparelhos. Aqui está uma lista de plataformas nas quais você pode instalar nossos aplicativos: Windows, Android, Android TV, macOS, iOS, Fire TV.

Oferta especial! Obtenha o CactusVPN por $ 3.5 / mês!

E assim que você se tornar um cliente CactusVPN, ainda teremos sua garantia de devolução do dinheiro por 30 dias.

Economize 64% agora

OpenVPN versus SSTP

O SSTP e o OpenVPN são bem parecidos, já que os dois usam SSL 3.0 e os dois protocolos de VPN podem usar a porta 443. Eles também oferecem um nível parecido de segurança, já que os dois protocolos podem usar a criptografia de 256 bits e a cifra altamente segura AES.

Mas o OpenVPN é de código aberto, o que significa que é muito mais confiável que o SSTP, que só é de propriedade da Microsoft – uma empresa conhecida por colaborar com a NSA e o FBI

Além disso, quando se trata de firewalls, o OpenVPN parece se sair um pouco melhor que o SSTP. Como? Bem, há um fato menos conhecido sobre o SSTP – de acordo com a própria Microsoft, o protocolo não dá suporte a proxies web autenticados. O que isso significa é que, teoricamente, o administrador da rede poderia detectar cabeçalhos SSTP e deixar a conexão se um proxy que não exige autenticação é usado.

Em termos de velocidade, tem sido afirmado que o SSTP é mais rápido que o OpenVPN, mas não há muitas evidências conclusivas. É verdade que o OpenVPN pode utilizar muitos recursos, mas isso é geralmente quando ele usa a porta TCP (a mesma usada pelo SSTP). Mas o OpenVPN também pode usar a porta UDP, que oferece velocidades muito melhores. 

Quanto à compatibilidade entre plataformas, o OpenVPN se sobressai, já que funciona em muito mais plataformas que o SSTP, só disponível para o Windows, Linux, Android e roteadores. Ainda assim, vale mencionar que o SSTP é nativamente construído nas plataformas Windows, então, é mais fácil de configurar que o OpenVPN.

Em geral, tanto o OpenVPN quanto o SSTP são boas escolhas, mas o OpenVPN é simplesmente mais eficiente. Caso você queira saber mais sobre o SSTP, confira este artigo.

OpenVPN versus WireGuard^®

OpenVPN usa a biblioteca OpenSSL para implementar todos os tipos de algoritmos criptográficos (o mais popular é o AES-256). O WireGuard usa algoritmos modernos e fixos (você não pode alterá-los) para supostamente evitar configurações incorretas que resultam em vulnerabilidades de segurança. No geral, ambos oferecem excelente segurança.

O WireGuard é sem dúvida mais rápido que o OpenVPN. Sua base de código é muito mais leve (cerca de 4.000 linhas em comparação com 70.000 – 600.000 linhas ) e usa CPU núcleos com mais eficiência. Em nossos testes, o WireGuard foi mais rápido mesmo quando usamos OpenVPN sobre UDP.

Quer saber mais sobre o Wireguard? Confira este artigo.

OpenVPN versus SoftEther

Podemos dizer que tanto o OpenVPN quanto o SoftEther são protocolos muito seguros. São de código aberto, usam cifras de nível militar, como a AES, criptografia de 256 bits, e também SSL 3.0. A principal diferença entre elas é a idade – o SoftEther é muito mais recente que a OpenVPN. Por causa disso, algumas pessoas acham o OpenVPN muito mais confiável.

Em termos de velocidade, o SoftEther se sai melhor que o OpenVPN. Na verdade, de acordo com a pesquisa da Universidade de Tsukuba (a equipe que desenvolve a VPN SoftEther, então, não é uma fonte 100% imparcial), o protocolo SoftEther é supostamente 13 vezes mais rápido que o protocolo OpenVPN.

Os dois protocolos funcionam em um bom número de plataformas, mas o SoftEther parece ser um pouco mais fácil de configurar que o OpenVPN. Mas tenha em mente que, mesmo que você utilize uma VPN que ofereça conexão SoftEther, ainda precisará baixar programas adicionais para utilizá-la. Com o OpenVPN, isso é opcional.

Como o OpenVPN, o SoftEther também pode rodar em seu próprio servidor, mas na verdade o servidor SoftEther pode rodar o protocolo OpenVPN, juntamente com outros protocolos, como o IPSec, L2TP/IPSec, SSTP e o SoftEther. O servidor OpenVPN só pode rodar seu próprio protocolo customizado.

No fim das contas, o SoftEther é uma boa alternativa ao OpenVPN. Se – por qualquer razão – você não puder usar o OpenVPN, deveria tentar o SoftEther. Se quiser saber mais sobre isso, clique neste link.

OpenVPN versus PPTP

Para iniciantes, o PPTP é muito mais fraco que o OpenVPN em termos de segurança. Enquanto o OpenVPN pode lidar com chaves de criptografia de 256 bits e cifras como AES, o PPTP só pode usar chaves de 128 bits através da cifra MPPE. Infelizmente, a criptografia MPPE é muito fácil de explorar – estes são alguns de seus problemas:

• O MPPE é vulnerável a ataques bit-flipping.
• O MPPE não pode criptografar pacotes NCP (Protocolo de Controle de Rede) PPP (Protocolo Ponto a Ponto). 
• A cifra geralmente não confere se o servidor é autêntico.
• O MPPE é vulnerável ao ataque Reset-Request (uma forma de Ataque  Man-in-the-Middle (ou Homem-no-Meio))

Além disso, o PPTP pode usar o MS-CHAP-v1 (que não é seguro) ou o MS-CHAP-v2 (que não é seguro de jeito nenhum) para autenticação. O OpenVPN é muito mais seguro, já que pode usar uma criptografia melhor para autenticação, como SHA-256, SHA-384 ou SHA-512.

Além disso, o PPTP é bem fácil de bloquear com um firewall. O OpenVPN não pode ser bloqueado pelo administrador da rede, já que usa a porta HTTPS. Ah, e não vamos esquecer que a NSA aparentemente pode decifrar o tráfego PPTP.

O PPTP só supera o OpenVPN quando se trata de velocidades online e pelo fato de ser nativamente disponível em várias plataformas. Por causa de sua criptografia deficiente, o PPTP é muito rápido. E apesar do OpenVPN ser altamente compatível com várias plataformas, não é integrado nativamente em tantas plataformas quanto o PPTP. Mas vale a pena mencionar que o PPTP pode não ser mais nativamente disponível em sistemas operacionais e aparelhos futuros. Por exemplo, não está disponível para aparelhos macOS e iOS desde o macOS Sierra e o iOS 10.

Se você quiser ler mais sobre o protocolo PPTP, já escrevemos este artigo aprofundado sobre isso.

OpenVPN versus L2TP/IPSec

Como o PPTP, o L2TP/IPSec é nativamente disponível em várias plataformas. Portanto, configurá-lo é muito mais fácil que configurar o OpenVPN. Mas se você usa uma VPN, não vai notar nenhuma diferença. Por outro lado, o L2TP/IPSec usa menos portas que o OpenVPN, e não usa a porta 443. Então, é mais fácil que o protocolo seja bloqueado por um firewall NAT.

O L2TP/IPSec não é de propriedade total da Microsoft (já que também foi desenvolvido pela Cisco), mas ainda não é tão reconhecido como o OpenVPN, que é de código aberto. Também é importante notar que Edward Snowden afirmou anteriormente que o L2TP foi enfraquecido de propósito pela NSA.

Ah, e por falar em segurança, você precisa saber que o L2TP sozinho oferece zero de criptografia. É por isso que é sempre emparelhado com o IPSec. Além disso, ainda que o OpenVPN no TCP possa, às vezes, consumir recursos demais, o L2TP/IPSec também utiliza muitos recursos, (dependendo da potência do seu aparelho), porque ele encapsula os dados duas vezes.

Se quiser saber mais sobre o L2TP/IPSec, clique neste link.

OpenVPN versus IPSec

O IPSec é frequentemente emparelhado com o L2TP e o IKEv2, mas você pode encontrar provedores de VPN que ofereçam acesso a esse protocolo sozinho. 

Então, como ele se sai em comparação com o protocolo OpenVPN? Bem, ambos oferecem um nível parecido de razoável segurança. Mas você precisa ser mais cauteloso com o IPSec quando o configurar, já que um pequeno erro pode arruinar a proteção que ele oferece. Além disso, já que o IPSec ocupa espaço kernel (o espaço no aparelho reservado para o sistema operacional), sua segurança pode ser limitada pela forma como é configurada pelo fabricante. Isso também torna o IPSec menos adaptado à mobilidade que o OpenVPN, que utiliza o espaço do usuário (memória do sistema reservada para os aplicativos). 

Geralmente, o IPSec vem nativamente disponível em várias plataformas, enquanto o OpenVPN precisa ser configurado nelas manualmente. Naturalmente, isso não é um problema se você usa uma VPN. Outra coisa que vale a pena notar é que o tráfego IPSec pode, às vezes, ser bloqueado por alguns firewalls, enquanto pacotes OpenVPN UDP ou TCP não apresentam tais problemas.

Quanto a velocidades e estabilidade, ambos são muito bons, se você tem banda larga suficiente e um aparelho relativamente potente. Ainda assim, tenha em mente que o IPSec pode levar mais tempo para negociar o túnel do que o OpenVPN.

Quer saber mais sobre o IPSec? Confira este artigo.

OpenVPN versus IKEv2/IPSec

Tanto o OpenVPN quanto o IKEv2 são protocolos seguros, mas vale notar que o OpenVPN usa TLS/SSL para proteger dados no nível de Transporte, enquanto o IKEv2 protege dados no nível do IP. Geralmente, essa não é uma diferença muito grande, mas é bom saber, de todo modo. E apesar do IKEv2 ter sido desenvolvido pela Cisco juntamente com a Microsoft, esse não é um problema muito grande, já que existem implementações de código aberto do IKEv2.

O OpenVPN oferece mais suporte quando se trata de compatibilidade entre várias plataformas, mas o IKEv2 geralmente é um dos preferidos de usuários móveis, porque vem nativamente integrado em aparelhos BlackBerry. Além disso, o IKEv2 tende a oferecer mais estabilidade que o OpenVPN, porque pode resistir a mudanças de rede. O que isso significa? Que se, por exemplo, você tivesse que passar de uma conexão Wi-Fi para seu plano de dados quando estiver fora de casa ou do escritório, o IKEv2 poderia fazer isso sem deixar a conexão cair.

Além disso, saiba que o IKEv2 tende a ser mais rápido que o OpenVPN, mas também é mais fácil de bloquear que o protocolo OpenVPN. Por quê? Porque o IKEv2 usa UDP porta 500, e administradores de rede têm mais facilidade em mirar essa porta que a porta 443, geralmente usada pelo OpenVPN.

Em geral, diríamos que o IKEv2 é uma escolha melhor que o OpenVPN se você usa muito o celular – especialmente quando viaja para o exterior. De outro modo, você deveria simplesmente continuar a usar o OpenVPN.

Se quiser ler mais sobre o IKEv2, confira este link.

Então, por que usar o OpenVPN e quando fazer isso?

A principal razão para usar o protocolo OpenVPN é porque é muito seguro, estável e funciona em várias plataformas. A maioria dos especialistas em segurança recomendam sempre usar o OpenVPN para qualquer coisa que você faz online – sobretudo por ser uma opção tão transparente (por ser de código aberto).

Quanto a quando usar o OpenVPN, é um protocolo VPN adequado para quando você quiser proteger suas conexões online – seja quando estiver jogando online, baixando torrents, ou prestes a se tornar um whistleblower. O OpenVPN também é uma boa escolha quando você precisa contornar um firewall – esteja você desbloqueando conteúdo restrito geograficamente ou apenas desbloqueando sites no trabalho ou faculdade.

Conclusão – O que é o OpenVPN?

O OpenVPN é tanto um protocolo de VPN de código aberto quanto um programa VPN que permite às pessoas rodar conexões VPN seguras. A maioria das VPNs oferece esse protocolo porque é muito seguro (ele utiliza a biblioteca OpenSSL e a criptografia 256 bits) e funciona em várias plataformas. O OpenVPN é considerado a melhor escolha entre os protocolos de VPN, sendo comparável apenas ao SoftEther.

Em geral, você deveria escolher uma VPN que dê acesso a conexões OpenVPN, mas que também dê acesso a outros protocolos de VPN.

“WireGuard” é uma marca registrada de Jason A. Donenfeld.