Um VPS em data center tier-III pode hospedar VPN para acesso da equipe ou site-to-site. WireGuard é mais simples e rápido; OpenVPN é bem suportado. Endureça o servidor e use autenticação por chave; considere IP dedicado.
WireGuard vs OpenVPN
- WireGuard: Moderno, config mínima, rápido. Bom padrão para novos deploys. Incluído em muitos kernels. Menos opções mas mais fácil de manter.
- OpenVPN: Maduro, muitas opções (TCP/UDP, tun/tap). Suporte amplo de clientes. Config mais pesada; bom quando precisa de recursos específicos ou compatibilidade.
Hospedando a VPN
- VPS: Suficiente para uma equipe pequena ou alguns links site-to-site. DC tier-III dá energia e rede confiável. Escolha região próxima aos usuários ou ao outro site.
- IP dedicado: Ajuda se precisar colocar o endpoint da VPN em whitelist em firewalls ou se o provedor restringe tráfego de saída de IPs compartilhados.
- Portas: WireGuard costuma usar UDP (ex.: 51820); OpenVPN muitas vezes UDP 1194 ou TCP 443. Abra firewall e (se precisar) security group do provedor.
Segurança
- Auth por chave: Ambos usam chaves criptográficas; sem auth por senha por padrão. Mantenha chaves privadas seguras; rotacione se comprometidas.
- Endurecer servidor: Instalação mínima; firewall (só VPN e SSH); desabilite login root; atualizações. Servidor VPN é alvo valioso.
- Split tunnel vs full: Decida se só certo tráfego passa pela VPN (split) ou todo (full). Split é comum para acesso só a recursos internos.
Resumo
Rode WireGuard ou OpenVPN em um VPS em DC confiável. Use auth por chave e endureça o servidor. Escolha região e IP dedicado conforme necessário.
