fbpx

VLAN no MikroTik para entregar Internet à OLT

VLAN no MikroTik para entregar Internet à OLT

Por

Quando a sua OLT depende de uma VLAN específica para acessar a Internet, siga uma abordagem ordenada:

  • Crie a VLAN no MikroTik: em Interfaces/VLAN, adicione a VLAN com o ID fornecido (por exemplo, 110) na interface física ou bridge correta. Confirme se é tronco (tagged) ou acesso (untagged) conforme o desenho da rede.
  • Endereçamento e Gateway: associe um IP à interface VLAN, ou configure um cliente DHCP nessa VLAN, conforme a topologia. Ajuste as rotas padrão se necessário.
  • Firewall: libere o tráfego exigido para a gestão e serviços da OLT na cadeia de input; proteja o restante.
  • Na plataforma da OLT: cadastre a VLAN recém-criada, informando o ID exato e uma descrição clara para facilitar a operação e troubleshooting futuro.
  • Switching: valide PVID nas portas de acesso e tagging nas portas de tronco. Portas erradas com tagging incorreto são a causa mais comum de falhas.

Após salvar, a VLAN deve aparecer na lista de disponíveis e a OLT passará a ter conectividade conforme a política de rede definida.

Port Forwarding para servidor web interno (HTTP/HTTPS)

Para publicar um servidor web local nas portas 80 e 443:

  • Crie regras de dstnat para TCP 80 e 443, direcionando para o IP interno do servidor. A interface de entrada deve ser a WAN.
  • Ordenação de NAT: posicione as regras de dstnat antes da regra de masquerade geral para evitar conflitos.
  • Firewall: adicione regras de input/forward permitindo apenas o necessário. Prefira filtrar por porta e, se possível, por origem.
  • Hairpin NAT: se clientes internos acessarem o site pelo IP público, habilite hairpin para evitar loops e falhas de acesso local.
  • Consistência de IP: fixe o IP do servidor (reserva DHCP ou IP estático). Mudanças de IP quebram o redirecionamento.
  • Camada de aplicação: se usar um proxy reverso, valide certificados e headers X-Forwarded-Proto para HTTPS adequado.

Checklist de troubleshooting

  • WireGuard: porta UDP liberada, handshakes ocorrendo, Allowed Address corretos, rotas presentes e MTU ajustada.
  • VLAN: ID correto, tagging no tronco, PVID no acesso, IP na interface VLAN e rotas válidas.
  • NAT/Firewall: contadores de pacotes das regras incrementando, ordem de NAT correta, testes com ferramentas de diagnóstico do MikroTik.
  • ISP: confirme se a porta UDP do WireGuard não está bloqueada e se há IP público ou reencaminhamento adequado no modem.
  • DNS e NTP: resoluções funcionando e horário sincronizado para evitar falhas sutis em VPN e TLS.

Erros comuns (e como evitar)

  • Allowed Address excessivo no S2S (por exemplo, 0.0.0.0/0 sem necessidade) causando roteamento indevido.
  • Esquecer rotas para as redes remotas do túnel, resultando em tráfego sem retorno.
  • VLAN ID errado ou tagging incorreto em portas de switch, derrubando a conectividade da OLT.
  • Falta de Hairpin NAT para acessos internos ao IP público do próprio serviço.
  • Regras de Firewall permissivas na WAN. Sempre restrinja ao mínimo necessário.

Conclusão

Com esse passo a passo, você tem um roteiro sólido para implementar VPN WireGuard (S2S e acesso remoto), habilitar VLANs para sua OLT e publicar seu servidor web com segurança. Ao unir boas práticas de roteamento, firewall e organização de endereçamento, sua rede MikroTik ganha desempenho, previsibilidade e proteção. Pronto para colocar em prática e elevar o nível da sua infraestrutura?

Deixe uma resposta