Key Takeaways
- WireGuard é a escolha recomendada: 5-10 ms de latência, configuração em 30 min, 4.000 linhas de código (auditável).
- OpenVPN é a alternativa: 15 ms de latência, 2 horas de configuração, baseado em certificados.
- Split tunneling garante que apenas o tráfego do LLM passe pela VPN — o restante usa a internet local do usuário.
- LGPD/ANPD: a VPN mantém os dados pessoais no hardware da organização durante o trânsito. Documente o fluxo de dados para conformidade.
- Alternativa sem servidor: Cloudflare Tunnel não expõe IP público, mas cria dependência de fornecedor.
Perguntas frequentes
Posso acessar meu servidor LLM local remotamente sem VPN?
Sim, mas não é recomendado para uso empresarial. Você pode usar o Cloudflare Tunnel (sem exposição de IP público) ou um proxy reverso com autenticação. Para dados sensíveis, VPN + firewall é a arquitetura de menor risco.
WireGuard ou OpenVPN para acesso ao LLM local?
WireGuard para novos setups: menor latência (5-10 ms vs 15 ms), mais simples de configurar e auditar (4.000 vs 400.000+ linhas de código). OpenVPN se sua organização já tem infraestrutura OpenVPN existente.
Usar VPN afeta a velocidade de inferência do LLM?
A VPN afeta apenas a latência de rede (5-15 ms adicionais), não a velocidade de inferência do modelo. O throughput de tokens/seg é determinado pela GPU/CPU local, não pela rede. Para respostas longas, a diferença é imperceptível.
Como configurar split tunneling para o servidor LLM?
No WireGuard: adicione `AllowedIPs = 192.168.1.0/24` (substitua pelo IP do servidor LLM) em vez de `0.0.0.0/0`. Isso garante que apenas o tráfego para o servidor LLM passe pela VPN — o restante usa a conexão local do usuário.
A VPN para LLM local é compatível com LGPD?
A VPN em si não é um requisito da LGPD, mas garante que dados pessoais sejam transmitidos de forma segura entre o usuário remoto e o servidor. A LGPD e a ANPD exigem medidas técnicas adequadas para proteger dados em trânsito — a VPN com criptografia ponta-a-ponta atende a esse requisito.