Tailscale vs WireGuard vs OpenVPN: Qual a Melhor VPN para PME em 2026?
Tailscale · WireGuard · OpenVPN · VPN Mesh · Teletrabalho · PME | ✎ Duarte Spínola | 19 de junho de 2026
Escolher a VPN certa para uma PME portuguesa em 2026 é uma decisão com impacto directo no dia-a-dia: teletrabalho, ligação entre escritórios, acesso ao ERP e conformidade com a NIS2. As três opções mais comuns — Tailscale, WireGuard e OpenVPN Access Server — têm arquitecturas, custos e complexidades muito diferentes. Este artigo compara-as de forma objectiva para que possas tomar a decisão certa para o teu contexto.
O Tailscale simplifica radicalmente a gestão de rede ao criar uma mesh automática sobre WireGuard, sem necessidade de servidor central. O WireGuard nativo oferece máximo controlo e desempenho para ligações site-to-site. O OpenVPN Access Server é a escolha clássica quando a integração com Active Directory, RADIUS e auditoria detalhada são requisitos obrigatórios. Nenhuma das três é universalmente melhor — a escolha depende do cenário.
Este guia cobre os cenários típicos de PME portuguesas (10-50 funcionários), os comandos de instalação e verificação para cada tecnologia, a comparação de custos actualizada a Junho de 2026, e um guia de decisão por caso de uso.
📄 Neste artigo
- Cenários típicos de PME portuguesas
- Comparação técnica: Tailscale vs WireGuard vs OpenVPN
- Tailscale: instalação e configuração
- WireGuard: site-to-site entre dois escritórios
- OpenVPN Access Server: acesso remoto com AD
- Custos reais para PME com 25 utilizadores
- Verificação e troubleshooting
- Guia de decisão: qual escolher?
- Checklist pré-produção
1. Cenários Típicos de PME Portuguesas
Antes de escolher a tecnologia, identifica o teu cenário. Os mais comuns em PME portuguesas são:
| Cenário | Descrição | Recomendação |
|---|---|---|
| Teletrabalho | 10-20 funcionários acedem a partilhas SMB e ERP a partir de casa | Tailscale ou OpenVPN AS |
| Multi-site | Porto + Lisboa + Braga partilham o mesmo AD e servidor de ficheiros | WireGuard ou Tailscale |
| Telemóvel corporativo | Comerciais acedem ao CRM via Android/iOS fora do escritório | Tailscale |
| Migração de VPN legada | OpenVPN antigo com certificados expirados ou FortiGate SSL-VPN a substituir | Tailscale (rapidez) ou WireGuard (controlo) |
| Cloud híbrida | Servidor on-premise a comunicar com instância AWS/Azure sem VPN do cloud provider | Tailscale ou WireGuard |
2. Comparação Técnica: Tailscale vs WireGuard vs OpenVPN
| Critério | Tailscale | WireGuard | OpenVPN AS |
|---|---|---|---|
| Protocolo base | WireGuard + coordenação SaaS | WireGuard nativo (kernel) | TLS sobre UDP/TCP |
| Arquitectura | Mesh automática (P2P) | Mesh manual ou hub-spoke | Hub-spoke (servidor central) |
| NAT traversal | Automático (DERP relay) | Manual (PersistentKeepalive) | Nativo (UDP/TCP) |
| Tempo de setup | 5-15 min | 30-90 min | 2-4 horas |
| Gestão de chaves | Automática (SaaS) | Manual (wg genkey) | Certificados X.509 (PKI) |
| ACLs / Zero Trust | Centralizadas em JSON (tailnet) | Por IP (iptables/nftables) | Por certificado/utilizador/grupo |
| Integração AD/LDAP | Via SSO (Google, Azure AD, Okta) | Não nativa | LDAP/RADIUS/AD nativo |
| Throughput típico | ~800-900 Mbps (depende de CPU) | ~900-1000 Mbps (depende de CPU) | ~300-500 Mbps (depende de CPU) |
| Dependência de SaaS | Sim (plano de controlo Tailscale) | Não (100% self-hosted) | Não (self-hosted) |
| Clientes suportados | Windows, macOS, Linux, iOS, Android, tvOS | Linux nativo; wg-quick; app oficial iOS/Android | OpenVPN Connect (Windows, macOS, iOS, Android) |
ℹ Nota sobre throughput
Os valores de throughput são indicativos e dependem fortemente do CPU do servidor, MTU, número de ligações simultâneas e hardware de rede. Em servidores com CPU moderno (ex: AMD EPYC ou Intel Xeon com AES-NI), o WireGuard pode aproximar-se da velocidade de linha em links de 1 Gbps. Testa sempre no teu ambiente antes de dimensionar.
3. Tailscale: Instalação e Configuração
O Tailscale é a opção mais rápida de implementar. Cria uma rede mesh privada (tailnet) onde cada dispositivo obtém um IP estável no intervalo 100.64.x.x, independentemente da rede física onde está.
3.1 Instalar o agente Tailscale (Linux)
curl -fsSL https://tailscale.com/install.sh | sh sudo tailscale up # Output esperado: # To authenticate, visit: # https://login.tailscale.com/a/abc123def456 # Success.
Após autenticação no browser, o dispositivo aparece no painel em login.tailscale.com/admin/machines.
3.2 Verificar o estado da tailnet
tailscale status # Output esperado: # 100.64.1.1 office-server [email protected] linux - # 100.64.1.2 laptop-duarte [email protected] macOS - # 100.64.1.3 celular-joao [email protected] android -
3.3 Expor a rede local (subnet router)
Para que os dispositivos da tailnet acedam à rede interna do escritório (ex: 192.168.1.0/24), configura um subnet router no servidor do escritório:
sudo tailscale up --advertise-routes=192.168.1.0/24 --accept-routes # Output esperado: # Success. # Depois aprovar a rota no painel: https://login.tailscale.com/admin/machines
3.4 Configurar ACLs (Zero Trust)
As ACLs do Tailscale são definidas em JSON no painel de administração. Exemplo para restringir o acesso ao CRM apenas a dispositivos com a tag tag:crm:
{
"acls": [
{
"action": "accept",
"src": ["tag:crm"],
"dst": ["100.64.1.1:8080"]
}
],
"tagOwners": {
"tag:crm": ["[email protected]"]
}
}
⚠ Atenção: plano de controlo SaaS
O Tailscale depende do plano de controlo SaaS da Tailscale Inc. para coordenação de chaves e ACLs. O tráfego de dados é sempre directo entre os nós (P2P), mas se o serviço SaaS estiver indisponível, novos dispositivos não conseguem autenticar. Para ambientes com requisitos de soberania de dados, considera o Headscale (implementação open-source self-hosted do plano de controlo).
4. WireGuard: Site-to-Site entre Dois Escritórios
O WireGuard é um protocolo VPN moderno integrado no kernel Linux desde a versão 5.6. É a opção ideal quando precisas de máximo controlo, sem dependência de serviços externos, e com throughput elevado para ligações site-to-site permanentes.
4.1 Instalar o WireGuard (Ubuntu 22.04/24.04)
sudo apt update && sudo apt install wireguard wireguard-tools # Output esperado: # Setting up wireguard-tools (1.0.20210914-1) ...
4.2 Gerar par de chaves em cada site
# No servidor do Porto: wg genkey | tee private-porto | wg pubkey > public-porto # Output (private-porto): sGdl...base64... # Output (public-porto): nBxk...base64... # No servidor de Lisboa: wg genkey | tee private-lisboa | wg pubkey > public-lisboa
4.3 Configurar /etc/wireguard/wg0.conf no Porto
[Interface]
PrivateKey = <chave-privada-porto>
Address = 10.0.0.1/24
ListenPort = 51820
[Peer]
# Escritório Lisboa
PublicKey = <chave-publica-lisboa>
AllowedIPs = 10.0.0.2/32, 192.168.2.0/24
Endpoint = lisboa.empresa.pt:51820
PersistentKeepalive = 25
4.4 Configurar /etc/wireguard/wg0.conf em Lisboa
[Interface]
PrivateKey = <chave-privada-lisboa>
Address = 10.0.0.2/24
ListenPort = 51820
[Peer]
# Escritório Porto
PublicKey = <chave-publica-porto>
AllowedIPs = 10.0.0.1/32, 192.168.1.0/24
Endpoint = porto.empresa.pt:51820
PersistentKeepalive = 25
4.5 Activar e persistir o túnel
sudo wg-quick up wg0 sudo systemctl enable wg-quick@wg0 # Output esperado: # [#] ip link add wg0 type wireguard # [#] ip address add 10.0.0.1/24 dev wg0 # [#] ip link set wg0 up # Created symlink /etc/systemd/system/multi-user.target.wants/[email protected]
⚠ WireGuard em CGNAT (MEO/NOS/Vodafone)
Se o teu ISP usa CGNAT (comum em ligações residenciais e algumas empresariais), o WireGuard pode não conseguir estabelecer ligação directa porque não tens IP público real. Nesse caso, usa um VPS como relay (ex: Hetzner, OVH) ou considera o Tailscale, que tem DERP relay automático para contornar este problema.
5. OpenVPN Access Server: Acesso Remoto com AD
O OpenVPN Access Server (AS) é a solução mais madura para PME que precisam de integração nativa com Active Directory, RADIUS, auditoria detalhada e conformidade (ISO 27001, NIS2). Inclui painel web de administração e portal de auto-serviço para utilizadores.
5.1 Instalar o OpenVPN Access Server (Ubuntu 24.04)
sudo apt update && sudo apt install ca-certificates wget wget https://openvpn.net/downloads/openvpn-as-latest-ubuntu24.deb sudo dpkg -i openvpn-as-latest-ubuntu24.deb # Output esperado: # Installation Complete! # Admin UI: https://<ip>:943/admin # Client UI: https://<ip>:943/
5.2 Definir palavra-passe do administrador
sudo passwd openvpn # New password: # Retype new password: # passwd: password updated successfully
5.3 Integrar com Active Directory (LDAP)
No painel de administração (https://<ip>:943/admin), navega para Authentication → LDAP e configura:
| Campo | Valor exemplo |
|---|---|
| LDAP Server | ldap://dc01.empresa.local |
| Base DN | DC=empresa,DC=local |
| Bind DN | CN=svc-vpn,OU=ServiceAccounts,DC=empresa,DC=local |
| Username Attribute | sAMAccountName |
| Grupo de acesso | CN=VPN-Users,OU=Groups,DC=empresa,DC=local |
ℹ Conta de serviço LDAP
Cria uma conta de serviço dedicada no AD (ex: svc-vpn) com permissões de leitura apenas. Nunca uses uma conta de administrador de domínio como Bind DN. Configura a palavra-passe para não expirar e monitoriza o estado da conta.
6. Custos Reais para PME com 25 Utilizadores
Preços verificados em Junho de 2026 nas páginas oficiais: tailscale.com/pricing e openvpn.net/access-server/pricing.
| Componente | Tailscale Standard | WireGuard | OpenVPN AS |
|---|---|---|---|
| Licença software | $8/utilizador/mês (seat-based) | Gratuito (GPLv2) | $150/mês (25 ligações simultâneas) |
| Servidor VPN | Não necessário | 1 VPS (~5-10 €/mês) | 1 VPS ou on-prem (~10-15 €/mês) |
| Custo mensal (25 users) | ~$200/mês (~185 €) | ~5-10 €/mês (só VPS) | ~165 €/mês |
| Custo anual estimado | ~2.200 €/ano | ~60-120 €/ano | ~1.980 €/ano |
| Horas sysadmin/ano (estimativa) | ~5-10 h | ~20-40 h | ~30-50 h |
ℹ Nota sobre preços Tailscale (Abril 2026)
Em Abril de 2026, o Tailscale migrou para um modelo seat-based (por lugar) em vez de active-user. O plano Standard custa $8/utilizador/mês. O plano Personal é gratuito até 6 utilizadores. O plano Premium custa $18/utilizador/mês e inclui SSH avançado, flow logs e device posture. Confirma sempre os preços actuais em tailscale.com/pricing.
7. Verificação e Troubleshooting
7.1 Verificar conectividade básica
# Verificar portas VPN activas ss -tlnp | grep -E '1194|51820|41641' # Testar conectividade UDP ao peer remoto nc -zv <ip-remoto> 51820 -w 3 # Output esperado: Connection to <ip-remoto> 51820 port [udp/*] succeeded! # Testar resolução DNS interna via túnel dig @<dns-interno> servidor-interno.empresa.local +short # Output esperado: 192.168.1.50
7.2 Verificar estado do Tailscale
tailscale ping <nome-do-nó-remoto> # Output esperado (ligação directa): # pong from laptop-duarte (100.64.1.2) via direct 192.168.1.5:41641 in 3ms # Output (via relay DERP): # pong from laptop-duarte (100.64.1.2) via DERP(ams) in 28ms
7.3 Verificar estado do WireGuard
sudo wg show # Output esperado: # interface: wg0 # public key: nBxk... # listening port: 51820 # peer: xRt7... # endpoint: 84.20.10.5:51820 # latest handshake: 4 seconds ago # transfer: 1.23 GiB received, 456 MiB sent # Ver logs do serviço sudo journalctl -u wg-quick@wg0 --no-pager | tail -20
⚠ Handshake WireGuard com mais de 3 minutos
Se o campo latest handshake mostrar mais de 3 minutos, o túnel está provavelmente caído. Verifica se o endpoint remoto está acessível, se as chaves públicas estão correctas nos dois lados, e se o firewall permite UDP/51820. Reinicia com sudo wg-quick down wg0 && sudo wg-quick up wg0.
7.4 Medir throughput real com iperf3
iperf3 -s # no servidor remoto iperf3 -c <ip-vpn-remoto> -t 10 # no cliente local # Output esperado (WireGuard, servidor moderno): # [ 5] 0.00-10.00 sec 920 Mbits/sec 0.082 ms # Output esperado (OpenVPN AS): # [ 5] 0.00-10.00 sec 380 Mbits/sec 0.150 ms
8. Guia de Decisão: Qual Escolher?
| Escolhe o Tailscale se… | Escolhe o WireGuard se… | Escolhe o OpenVPN AS se… |
|---|---|---|
| Equipa de sysadmin pequena (1-2 pessoas) | Precisas de controlo total sobre chaves e configuração | Tens Active Directory e precisas de autenticação integrada |
| Precisas de setup em menos de 1 hora | Ligação site-to-site permanente entre dois pontos fixos | Auditoria e relatórios de acesso detalhados (NIS2, ISO 27001) |
| Tens dispositivos móveis (iOS/Android) a ligar | Sem dependência de SaaS externo (soberania de dados) | Equipa já familiarizada com OpenVPN |
| Tens utilizadores atrás de NAT/CGNAT | Throughput máximo é crítico (ex: backup entre sites) | Precisas de portal de auto-serviço para utilizadores |
| Queres Zero Trust com ACLs centralizadas sem complexidade | Orçamento muito limitado (só custo de VPS) | Clientes Windows/macOS sem conhecimentos técnicos |
✓ Alternativa sem VPN: Cloudflare Tunnel
Para expor aplicações web internas sem abrir portas no firewall e sem instalar cliente VPN nos utilizadores, considera o Cloudflare Tunnel. Ideal para acesso a painéis de administração, Nextcloud, Gitea ou qualquer web app interna.
9. Checklist Pré-Produção
| # | Acção |
|---|---|
|
1
|
Confirmar que os IPs internos dos dois sites não se sobrepõem (ex: não usar 192.168.1.0/24 nos dois lados). |
|
2
|
Testar a VPN com um utilizador piloto antes de rollout a todos os funcionários. |
|
3
|
Documentar o caminho de rollback e testá-lo (parar a VPN e confirmar que serviços locais continuam acessíveis). |
|
4
|
Configurar DNS split-horizon para que nomes internos resolvam apenas via túnel VPN. |
|
5
|
Agendar rotação de chaves/certificados no calendário (a cada 12-24 meses consoante a tecnologia). |
|
6
|
Configurar alertas de monitorização (Uptime Kuma ou Zabbix) para verificar o handshake WireGuard a cada 60 segundos. |
|
7
|
Activar MFA em todos os utilizadores VPN (obrigatório para conformidade NIS2 em PME com mais de 10 funcionários). |
🔗 Artigos relacionados no kbase.pt
- Cloudflare Tunnel: Expor Serviços Internos sem Abrir Portas — alternativa sem cliente VPN
- VPN de Acesso Remoto SSL e IPSec para PME — guia base sobre VPN SSL e IPSec
- DNS: Guia Completo para Sysadmins — configurar split-horizon DNS
- Diagnóstico de Rede em Linux — ferramentas para troubleshooting de conectividade
