fbpx

MikroTik: WireGuard, VLAN e Port Forwarding

MikroTik: WireGuard, VLAN e Port Forwarding

Se você administra redes com MikroTik, provavelmente já se deparou com três necessidades recorrentes: criar túneis VPN rápidos e seguros, organizar VLANs para entregar Internet a equipamentos como OLT, e publicar serviços internos (como um site) para a Internet com regras de NAT e Firewall. Neste guia didático, reunimos o essencial de cada um desses cenários, com passos práticos, boas práticas e dicas de diagnóstico para você configurar com segurança e eficiência.

Você vai entender por que o WireGuard virou queridinho entre os protocolos de VPN, como criar e associar VLANs no roteador e na plataforma da OLT, e como expor um servidor web interno pelas portas 80 e 443 sem abrir brechas desnecessárias no seu Firewall.

WireGuard no MikroTik: por que e como usar

WireGuard é um protocolo VPN moderno, minimalista e de alto desempenho. Ele usa criptografia de ponta e é muito mais simples de operar do que alternativas tradicionais como IPsec e OpenVPN. No MikroTik, o WireGuard permite:

  • Simplicidade: poucos parâmetros, chaves de fácil gerenciamento e configuração direta.
  • Velocidade: tunelamento eficiente, ideal para S2S e acesso remoto.
  • Estabilidade: ótimo para atravessar NAT, especialmente com keepalive configurado.

Site-to-Site (S2S) com WireGuard

Para interligar duas redes (por exemplo, Site A e Site B):

  • Crie a interface WireGuard no MikroTik de cada site, definindo um nome e a porta UDP (por padrão, 13231 ou outra de sua preferência).
  • Gere chaves privadas e públicas ao aplicar a interface.
  • Atribua um IP à interface WG em cada lado (por exemplo, 10.10.10.1/30 no Site A e 10.10.10.2/30 no Site B).
  • Configure o peer em cada roteador, informando a chave pública do outro lado, o endpoint (IP/porta do peer) e os Allowed Address que representam os sub-redes remotos que você quer alcançar (por exemplo, 192.168.10.0/24 ⇄ 192.168.20.0/24).
  • Se um peer estiver atrás de NAT, defina Persistent Keepalive (por exemplo, 25s) para manter o túnel ativo.
  • Firewall: libere a porta UDP de escuta na cadeia de input e permita o encaminhamento entre as sub-redes na cadeia de forward.
  • Rotas: adicione rotas para as redes remotas, caso não sejam criadas automaticamente. Sempre valide a tabela de roteamento.

Dica de ouro: mantenha os Allowed Address enxutos. Especifique apenas as redes que precisam trafegar pelo túnel para evitar conflitos de roteamento.

Road Warrior (acesso remoto) com WireGuard

Para um usuário remoto (Site C) acessar sua rede central (Site A):

  • No Site C: crie a interface WG com um IP de túnel dedicado e cadastre o peer apontando para o Site A (endpoint público, chave do A, Allowed Address incluindo a LAN do Site A e, se desejar, 0.0.0.0/0 para sair à Internet via A).
  • Roteamento: se quiser que todo o tráfego do Road Warrior saia pela rede central, defina rota padrão via interface WG; caso contrário, anuncie apenas as redes internas necessárias.
  • No Site A: inclua a rede do Road Warrior nos Allowed Address do peer, e garanta rotas de retorno e permissões no Firewall.
  • DNS: aponte o cliente para um DNS alcançável pelo túnel para evitar vazamento de DNS.

Boas práticas: sincronize o relógio dos dispositivos (NTP), ajuste MTU quando necessário (1420 é um valor comum para WireGuard) e monitore handshakes para validar a disponibilidade.

Deixe uma resposta