Como este tema funciona na sua empresa
VPN simples: acesso remoto via cliente VPN (OpenVPN, built-in do roteador). Sem site-to-site. Implementação: VPN no roteador/firewall, certificados auto-assinados, autenticação usuário/senha. Abordagem: simples, baixo custo (software gratuito), suficiente para home office esporádico.
VPN robusta: site-to-site para conectar filiais, client VPN para home office. Tecnologia: IPSec para site-to-site (confiável), SSL/TLS para client (flexível). Autenticação centralizada (Active Directory). Abordagem: VPN no firewall, integração com LDAP, teste de failover, backup link.
VPN enterprise: múltiplas VPNs (site-to-site mesh, client). Zero Trust Overlay (ZTNA substitui VPN tradicional). Plataforma de acesso remoto centralizada. Abordagem: não é mais "conecta e esquece", é "verifica contínuo" (identity, device posture, comportamento).
VPN (Virtual Private Network) é túnel criptografado que permite acesso seguro a rede privada via internet pública. Tipos: client-to-site (indivíduo remoto acessa rede), site-to-site (rede inteira conecta a outra rede), mobile VPN (nômade com múltiplas conexões). Protocolo: IPSec (robusto, complexo), SSL/TLS (moderno, flexível), WireGuard (novo, simples)[1].
Tipos de VPN: escolher certo reduz problema
Cliente precisa usar tipo certo de VPN para seu caso de uso:
- Client-to-site: usuário remoto (home office, viagem) instala cliente VPN, conecta a rede interna como se estivesse presencialmente. Uso: home office, consultor, viagem.
- Site-to-site: cada filial tem gateway VPN. Tráfego entre sites passa automaticamente por VPN. Usuário não percebe. Uso: conectar filiais, integração de dados center.
- Mobile VPN: para nomádico com múltiplas redes (WiFi café, rede móvel). Mantém conexão viva mesmo mudando de rede. Menos comum.
Erro comum: usar client-to-site quando precisa de site-to-site. Resultado: cada usuário precisa conectar VPN (tedioso, suporte maior), em vez de site inteiro estar automaticamente conectado.
Protocolos VPN: tradeoff entre segurança, performance e complexidade
Escolher protocolo correto importa. Cada um tem vantagem/desvantagem:
- IPSec: antigo, muito testado, robusto. Complexidade alta (muitos parâmetros). Performance: 500Mbps-2Gbps. Bom para site-to-site crítico.
- SSL/TLS: moderno, flexível (passa por firewall), melhor performance. Ideal para client-to-site. Performance: 100-500Mbps dependendo de encriptação.
- WireGuard: novo (2015+), muito simples (código < 4000 linhas), rápido. Performance: 1-2Gbps. Ainda ganhando adoção, mas promissor.
Recomendação: PME OpenVPN (grátis, SSL-based), Média IPSec ou SSL/TLS (vendor firewalls Cisco, Fortinet), Grande considera WireGuard para nova arquitetura.
Site-to-site VPN: conectar filiais de forma automática
Site-to-site permite que duas redes se conectem como se fossem uma. Usuário em filial A acessa servidor em filial B transparentemente, sem saber que está usando VPN.
Como funciona:
- Cada filial tem gateway VPN (roteador com VPN configurada)
- Gateway A criptografa tráfego destinado para filial B
- Tráfego passa pela internet pública (seguro por criptografia)
- Gateway B descriptografa e entrega à rede local
Benefício: transparente para usuário e aplicação. Custo: payback rápido se WAN dedicada (MPLS) é caro — VPN pode reduzir 30-50% de custo WAN.
Client VPN para home office. Software grátis (OpenVPN) ou built-in do firewall. Certificados auto-assinados (R$ 0). Autenticação local (usuário/senha). Implementação: 1-2 semanas.
Site-to-site + client VPN. IPSec para site-to-site (confiável), SSL/TLS para client (flexível). Certificados válidos (comprado, ~R$ 500/ano). Autenticação centralizada (LDAP/Active Directory). Implementação: 3-8 semanas.
Múltiplas VPNs com mesh (redundância). ZTNA overlay (verifica identidade + device contínuamente). Certificados com validação forte (EV certificates). Autenticação MFA (multi-factor). Implementação: 3-6 meses com integração.
Implementação VPN: configuração básica
Passos para implementar VPN simples (client-to-site com SSL/TLS):
- Gerar certificado: automat-assinado (teste) ou CA-assinado (produção). Tempo: 5 minutos para auto-assinado.
- Configurar servidor VPN: porta (1194 OpenVPN, 443 SSL), protocolo (UDP mais rápido, TCP mais confiável), encriptação (AES-256).
- Configurar cliente VPN: instalar software (OpenVPN, WireGuard, ou nativo SO), apontar para servidor, autenticação.
- Testar: conectar desde casa, verificar que consegue acessar rede interna (ping para IP interno, teste de velocidade).
- Documentar: como conectar, troubleshoot comum, contato de suporte.
Tempo: 2-4 semanas para setup + testes. Importante não apressar e colocar em produção sem validar.
VPN não substitui firewall
Erro comum: pensar que VPN = segurança completa. VPN é transporte seguro — você ainda precisa de:
- Firewall: controlar que tráfego entra (bloqueio de portas desnecessárias)
- Segmentação: VPN conecta você à rede, mas aplicação de princípio de menor privilégio (só acessa o que precisa)
- Autenticação + Autorização: VPN verifica "você é quem diz", mas autorização verifica "você pode fazer isso?"
Recomendação: VPN + firewall + zero trust (verifica contínuo) = segurança real. Só VPN é insuficiente.
Sinais de que sua VPN precisa melhorar
Se você se reconhece em três ou mais cenários, é hora de rever arquitetura.
- Usuários reclamam que VPN é lenta (performance degradada)
- Frequente desconexão de VPN (falta de redundância)
- Certificado VPN expirou sem avisar (falta de monitoramento)
- Acesso a arquivo corporativo é negado mesmo com VPN ativa (falta de autorização pós-autenticação)
- Help desk recebe muitos tickets de VPN (documentação insuficiente, complexidade)
Caminhos para implementar VPN
Implementação pode ser interna ou com especialista.
Viável para VPN simples (client-to-site).
- Perfil necessário: técnico de rede com experiência em firewall/VPN
- Tempo estimado: 2-4 semanas para implementação completa
- Faz sentido quando: VPN é simples, site-to-site não é crítico
- Risco principal: configuração de segurança inadequada (certificado fraco, encriptação insuficiente)
Indicado para site-to-site, redundância ou ZTNA.
- Tipo de fornecedor: Consultoria de rede, fornecedor de firewall/segurança (Cisco, Fortinet, Palo Alto)
- Vantagem: design seguro, implementação profissional, suporte contínuo
- Faz sentido quando: múltiplas filiais, redundância crítica, ou transformação para zero trust
- Resultado típico: VPN em produção em 4-8 semanas, performance otimizada, SLA 99.5%+
Precisa implementar ou otimizar VPN?
Se acesso remoto seguro é prioridade, o oHub conecta você a consultores de rede e segurança. Em menos de 3 minutos, descreva seu caso e receba propostas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que é VPN e como funciona?
VPN é túnel criptografado entre cliente e servidor. Tráfego passa pela internet pública, mas criptografado, então seguro. Funciona em camada 3 (IP), transparente para aplicação.
Qual é a diferença entre VPN site-to-site e client-to-site?
Site-to-site: duas redes conectam permanentemente (filiais). Client-to-site: indivíduo remoto conecta quando precisa. Site-to-site é transparente (automático), client-to-site exige cliente software.
VPN adiciona latência ou impacto em performance?
Criptografia adiciona 5-15% overhead de CPU. Impacto em throughput: 10-30% de redução (ex: 1000 Mbps sem VPN vira 700 Mbps com VPN). Latência adiciona 1-5ms (negligenciável).
Como configurar VPN em firewall Cisco ou Fortinet?
Ambos têm VPN nativa (IPSec site-to-site, SSL client). Configuração típica: 1-2 horas de setup + teste. Documentação de vendor é boa. Recomenda-se curso ou suporte especializado para première vez.
Qual é o custo de implementar VPN em empresa pequena?
Opção gratuita: OpenVPN (software livre). Opção commercial: firewall com VPN nativa (Fortinet FortiGate 60F, ~R$ 5k) + implementação (R$ 3-5k). ROI rápido vs. MPLS dedicado (que custa R$ 3-10k/mês).