Guia completo MikroTik: WireGuard, VLAN e Port Forwarding

Mikrotik

Guia completo MikroTik: WireGuard S2S, Road Warrior, VLAN para OLT e Port Forwarding de Webserver

Se você administra redes com MikroTik, provavelmente já se deparou com três necessidades recorrentes: criar túneis VPN rápidos e seguros, organizar VLANs para entregar Internet a equipamentos como OLT, e publicar serviços internos (como um site) para a Internet com regras de NAT e Firewall. Neste guia didático, reunimos o essencial de cada um desses cenários, com passos práticos, boas práticas e dicas de diagnóstico para você configurar com segurança e eficiência.

Você vai entender por que o WireGuard virou queridinho entre os protocolos de VPN, como criar e associar VLANs no roteador e na plataforma da OLT, e como expor um servidor web interno pelas portas 80 e 443 sem abrir brechas desnecessárias no seu Firewall.

WireGuard no MikroTik: por que e como usar

O WireGuard é um protocolo VPN moderno, minimalista e de alto desempenho. Ele usa criptografia de ponta e é muito mais simples de operar do que alternativas tradicionais como IPsec e OpenVPN. No MikroTik, o WireGuard permite:

  • Simplicidade: poucos parâmetros, chaves de fácil gerenciamento e configuração direta.
  • Velocidade: tunelamento eficiente, ideal para S2S e acesso remoto.
  • Estabilidade: ótimo para atravessar NAT, especialmente com keepalive configurado.

Site-to-Site (S2S) com WireGuard

Para interligar duas redes (por exemplo, Site A e Site B):

  • Crie a interface WireGuard no MikroTik de cada site, definindo um nome e a porta UDP (por padrão, 13231 ou outra de sua preferência).
  • Gere chaves privadas e públicas ao aplicar a interface.
  • Atribua um IP à interface WG em cada lado (por exemplo, 10.10.10.1/30 no Site A e 10.10.10.2/30 no Site B).
  • Configure o peer em cada roteador, informando a chave pública do outro lado, o endpoint (IP/porta do peer) e os Allowed Address que representam os sub-redes remotos que você quer alcançar (por exemplo, 192.168.10.0/24 ⇄ 192.168.20.0/24).
  • Se um peer estiver atrás de NAT, defina Persistent Keepalive (por exemplo, 25s) para manter o túnel ativo.
  • Firewall: libere a porta UDP de escuta na cadeia de input e permita o encaminhamento entre as sub-redes na cadeia de forward.
  • Rotas: adicione rotas para as redes remotas, caso não sejam criadas automaticamente. Sempre valide a tabela de roteamento.

Dica de ouro: mantenha os Allowed Address enxutos. Especifique apenas as redes que precisam trafegar pelo túnel para evitar conflitos de roteamento.

Road Warrior (acesso remoto) com WireGuard

Para um usuário remoto (Site C) acessar sua rede central (Site A):

  • No Site C: crie a interface WG com um IP de túnel dedicado e cadastre o peer apontando para o Site A (endpoint público, chave do A, Allowed Address incluindo a LAN do Site A e, se desejar, 0.0.0.0/0 para sair à Internet via A).
  • Roteamento: se quiser que todo o tráfego do Road Warrior saia pela rede central, defina rota padrão via interface WG; caso contrário, anuncie apenas as redes internas necessárias.
  • No Site A: inclua a rede do Road Warrior nos Allowed Address do peer, e garanta rotas de retorno e permissões no Firewall.
  • DNS: aponte o cliente para um DNS alcançável pelo túnel para evitar vazamento de DNS.

Boas práticas: sincronize o relógio dos dispositivos (NTP), ajuste MTU quando necessário (1420 é um valor comum para WireGuard) e monitore handshakes para validar a disponibilidade.

VLAN no MikroTik para entregar Internet à OLT

Quando a sua OLT depende de uma VLAN específica para acessar a Internet, siga uma abordagem ordenada:

  • Crie a VLAN no MikroTik: em Interfaces/VLAN, adicione a VLAN com o ID fornecido (por exemplo, 110) na interface física ou bridge correta. Confirme se é tronco (tagged) ou acesso (untagged) conforme o desenho da rede.
  • Endereçamento e Gateway: associe um IP à interface VLAN, ou configure um cliente DHCP nessa VLAN, conforme a topologia. Ajuste as rotas padrão se necessário.
  • Firewall: libere o tráfego exigido para a gestão e serviços da OLT na cadeia de input; proteja o restante.
  • Na plataforma da OLT: cadastre a VLAN recém-criada, informando o ID exato e uma descrição clara para facilitar a operação e troubleshooting futuro.
  • Switching: valide PVID nas portas de acesso e tagging nas portas de tronco. Portas erradas com tagging incorreto são a causa mais comum de falhas.

Após salvar, a VLAN deve aparecer na lista de disponíveis e a OLT passará a ter conectividade conforme a política de rede definida.

Port Forwarding para servidor web interno (HTTP/HTTPS)

Para publicar um servidor web local nas portas 80 e 443:

  • Crie regras de dstnat para TCP 80 e 443, direcionando para o IP interno do servidor. A interface de entrada deve ser a WAN.
  • Ordenação de NAT: posicione as regras de dstnat antes da regra de masquerade geral para evitar conflitos.
  • Firewall: adicione regras de input/forward permitindo apenas o necessário. Prefira filtrar por porta e, se possível, por origem.
  • Hairpin NAT: se clientes internos acessarem o site pelo IP público, habilite hairpin para evitar loops e falhas de acesso local.
  • Consistência de IP: fixe o IP do servidor (reserva DHCP ou IP estático). Mudanças de IP quebram o redirecionamento.
  • Camada de aplicação: se usar um proxy reverso, valide certificados e headers X-Forwarded-Proto para HTTPS adequado.

Checklist de troubleshooting

  • WireGuard: porta UDP liberada, handshakes ocorrendo, Allowed Address corretos, rotas presentes e MTU ajustada.
  • VLAN: ID correto, tagging no tronco, PVID no acesso, IP na interface VLAN e rotas válidas.
  • NAT/Firewall: contadores de pacotes das regras incrementando, ordem de NAT correta, testes com ferramentas de diagnóstico do MikroTik.
  • ISP: confirme se a porta UDP do WireGuard não está bloqueada e se há IP público ou reencaminhamento adequado no modem.
  • DNS e NTP: resoluções funcionando e horário sincronizado para evitar falhas sutis em VPN e TLS.

Erros comuns (e como evitar)

  • Allowed Address excessivo no S2S (por exemplo, 0.0.0.0/0 sem necessidade) causando roteamento indevido.
  • Esquecer rotas para as redes remotas do túnel, resultando em tráfego sem retorno.
  • VLAN ID errado ou tagging incorreto em portas de switch, derrubando a conectividade da OLT.
  • Falta de Hairpin NAT para acessos internos ao IP público do próprio serviço.
  • Regras de Firewall permissivas na WAN. Sempre restrinja ao mínimo necessário.

Conclusão

Com esse passo a passo, você tem um roteiro sólido para implementar VPN WireGuard (S2S e acesso remoto), habilitar VLANs para sua OLT e publicar seu servidor web com segurança. Ao unir boas práticas de roteamento, firewall e organização de endereçamento, sua rede MikroTik ganha desempenho, previsibilidade e proteção. Pronto para colocar em prática e elevar o nível da sua infraestrutura?

Qual dessas três frentes (WireGuard, VLAN para OLT ou Port Forwarding) tem sido o maior desafio no seu ambiente, e que cenário específico você gostaria que eu detalhasse em um próximo artigo?

Aprofunde ainda mais seu conhecimento em MikroTik com nosso eBook. Descubra informações valiosas, aprenda técnicas avançadas e domine o MikroTik RouterOS como um verdadeiro profissional de TI.

Nosso eBook aborda desde os conceitos básicos, como configuração inicial e gerenciamento de rede, até tópicos avançados, como configuração de VPN, segurança e monitoramento.

Adquira agora nosso eBook e dê o próximo passo em sua jornada de aprendizado. Aproveite esta oportunidade para investir em seu crescimento profissional e alcançar novos patamares de sucesso.

Deixe um comentário

© 2025

política de privacidade termos de uso
[back-redirect link="https://thiagocpovoa.hotmart.host/pagina-de-vendas-b3018e2c-f5fa-42a0-8f9a-8458b5645969"]
Ao navegar neste site, você aceita os cookies que usamos para melhorar a sua experiência. Leia a nossa Política de Privacidade.