Voltar para o blogSegurança e Privacidade

Como Configurar VPN WireGuard Site-to-Site Entre Dois Roteadores Mikrotik v7

8 min de leitura
Como Configurar VPN WireGuard Site-to-Site Entre Dois Roteadores Mikrotik v7
Publicidade

Configuração de VPN WireGuard entre dois roteadores Mikrotik v7 é direta e eficaz para interconectar redes.

Publicidade
Como Configurar VPN WireGuard Site-to-Site Entre Dois Roteadores Mikrotik v7

Pré-requisitos para a Configuração

Ambos os roteadores devem estar com Mikrotik RouterOS v7 ou superior. É necessário acesso administrativo a ambos os dispositivos.

Topologia da Rede

A configuração envolve dois roteadores, Roteador A e Roteador B, conectados através de VPN WireGuard. A comunicação entre as sub-redes será estabelecida via IPv4.

Configuração do Roteador A

O primeiro passo é configurar a interface WireGuard no Roteador A. Utilize os seguintes comandos:

  1. /interface wireguard add name=wg0 listen-port=13231
  2. /interface wireguard set wg0 private-key="PRIVATE_KEY_A" mtu=1420
  3. /ip address add address=10.0.0.1/24 interface=wg0
  4. /ip firewall add chain=input protocol=udp dst-port=13231 action=accept

Configuração do Roteador B

Repetir o procedimento do Roteador A, mas com as modificações adequadas:

  1. /interface wireguard add name=wg0 listen-port=13232
  2. /interface wireguard set wg0 private-key="PRIVATE_KEY_B" mtu=1420
  3. /ip address add address=10.0.0.2/24 interface=wg0
  4. /ip firewall add chain=input protocol=udp dst-port=13232 action=accept

Estabelecendo Conexão entre os Roteadores

Após as configurações iniciais, adicione os peers de cada roteador:

  1. /interface wireguard peers add interface=wg0 public-key="PUBLIC_KEY_B" allowed-address=10.0.0.2
  2. /interface wireguard peers add interface=wg0 public-key="PUBLIC_KEY_A" allowed-address=10.0.0.1

Configurações de Roteamento

As rotas devem ser configuradas para permitir a comunicação entre as sub-redes. Utilize os comandos:

  1. /ip route add dst-address=10.0.0.0/24 gateway=wg0
  2. /ip route add dst-address=10.0.1.0/24 gateway=wg0
Parâmetro Roteador A Roteador B
IP Interno 10.0.0.1 10.0.0.2
Porta WireGuard 13231 13232
Chave Privada PRIVATE_KEY_A PRIVATE_KEY_B
Chave Pública PUBLIC_KEY_A PUBLIC_KEY_B

Dica DomineTec: Utilize scripts para automatizar a configuração em múltiplos roteadores, garantindo consistência.

Configuração de Rede Avançada
Segurança e Infraestrutura

Verificação da Conexão VPN WireGuard

Após a configuração dos roteadores, é fundamental verificar se a conexão VPN está funcionando corretamente.

Publicidade

Use o comando /interface/wireguard/print em ambos os roteadores para confirmar se as interfaces estão ativas.

Além disso, é recomendável realizar um teste de ping entre os endereços IP de cada rede para garantir a comunicação.

Verifique também os logs de sistema com /log print para identificar possíveis erros ou falhas na conexão.

Segurança da Conexão VPN

A segurança da VPN WireGuard é essencial para proteger os dados transmitidos entre os roteadores.

Utilize chaves criptográficas fortes, garantindo que o comprimento mínimo seja de 256 bits para a segurança das comunicações.

Considere habilitar o uso de firewall para restringir o acesso às interfaces WireGuard apenas aos endereços IP autorizados.

Reavalie regularmente as configurações de segurança e atualize as chaves conforme necessário para mitigar riscos potenciais.

Monitoramento da Performance da VPN

O monitoramento da performance da VPN é crucial para garantir que a conexão esteja funcionando de forma otimizada.

Utilize o comando /interface/wireguard/monitor para verificar estatísticas de tráfego e latência da interface WireGuard.

Ferramentas de monitoramento de rede, como o The Dude ou SNMP, podem ser integradas para fornecer uma visão mais abrangente da performance.

Considere o uso de alertas para notificar administradores em caso de quedas ou degradação do serviço da VPN.

Atualizações e Manutenção do Roteador

Manter o firmware do roteador Mikrotik atualizado é essencial para garantir a segurança e estabilidade da VPN.

Publicidade

Verifique regularmente a seção de atualizações no site da Mikrotik e aplique patches de segurança conforme necessário.

Realize manutenções periódicas no roteador, como reinicializações programadas, para garantir o funcionamento adequado do sistema.

Documente alterações e configurações para facilitar a administração e o suporte futuro da rede.

Resolução de Problemas Comuns

Problemas de conectividade são comuns em configurações de VPN e requerem uma abordagem sistemática para a resolução.

Verifique primeiramente se as chaves públicas e privadas estão corretamente configuradas em ambos os roteadores.

Utilize ferramentas como traceroute e ping para diagnosticar problemas de rede entre os dois pontos.

Revise as configurações de firewall e NAT para garantir que não estejam bloqueando o tráfego VPN.

Escalabilidade da Solução VPN

A configuração de uma VPN WireGuard pode ser escalável, permitindo a adição de novos sites conforme necessário.

Documente as configurações de cada novo roteador para facilitar a replicação da configuração em futuras adições.

Considere o uso de sub-redes diferentes para cada site, facilitando a gestão e evitando conflitos de IP.

Planeje a largura de banda e os recursos do roteador de acordo com o número de conexões simultâneas esperadas.

Integração com Outros Serviços de Rede

A integração da VPN WireGuard com outros serviços de rede pode expandir a funcionalidade e segurança da infraestrutura.

Considere a utilização de serviços de DNS dinâmico para facilitar o acesso remoto às redes conectadas via VPN.

Publicidade

Integre a VPN com soluções de autenticação, como RADIUS ou LDAP, para um controle de acesso mais robusto.

A utilização de VLANs pode ajudar na segmentação do tráfego e na melhoria da segurança das comunicações entre os sites.

Configuração de Firewall para VPN WireGuard

A configuração do firewall é essencial para garantir que o tráfego VPN seja permitido entre os roteadores. Crie regras específicas que permitam o tráfego nas portas utilizadas pelo WireGuard.

Primeiramente, acesse o menu de firewall e crie uma regra de aceitação para a porta UDP utilizada pela VPN. É importante limitar o acesso apenas aos endereços IP dos roteadores envolvidos na VPN.

Após aplicar as regras, realize testes de conectividade para garantir que o tráfego VPN está fluindo corretamente.

Configuração de DNS para Conexão VPN

A configuração de DNS é uma parte frequentemente negligenciada na implementação de uma VPN. Para uma operação eficiente, é recomendável que os roteadores utilizem servidores DNS confiáveis.

Em uma configuração de VPN WireGuard, é possível especificar servidores DNS na configuração do cliente WireGuard. Isso garante que as requisições de DNS sejam corretamente resolvidas.

Para configurar o DNS no Mikrotik, acesse a seção de IP e depois DNS. Adicione os endereços IP dos servidores DNS desejados e teste a resolução de nomes utilizando ferramentas como ping ou nslookup.

Implementação de Failover na Conexão VPN

Publicidade

A implementação de uma solução de failover pode aumentar a resiliência da conexão VPN entre os roteadores. Configure múltiplas conexões VPN utilizando diferentes interfaces ou links de internet.

No Mikrotik, utilize o recurso de “Netwatch” para monitorar as conexões e criar scripts que alterem as rotas conforme a disponibilidade das interfaces.

Realize testes de failover para garantir que a solução está funcionando como esperado e que não há perda de pacotes durante a transição entre as conexões.

Otimização de Desempenho da VPN WireGuard

A otimização do desempenho da VPN é crucial para garantir uma experiência de usuário satisfatória. O WireGuard já proporciona um bom desempenho, mas algumas configurações adicionais podem melhorar ainda mais sua performance.

Ajuste a MTU (Maximum Transmission Unit) para evitar a fragmentação de pacotes. Outra estratégia é monitorar o uso de largura de banda e ajustar as prioridades de tráfego utilizando regras de QoS (Quality of Service).

Considere implementar compressão de dados para reduzir a quantidade de dados transmitidos e melhorar a eficiência da conexão VPN.

Documentação e Registro de Configurações

A documentação adequada da configuração da VPN WireGuard é fundamental para manter um histórico das alterações e facilitar futuras manutenções. Crie registros detalhados com todas as configurações realizadas nos roteadores.

Mantenha um log de alterações que inclua datas e descrições das modificações realizadas. Considere utilizar ferramentas de versionamento de configuração para facilitar a recuperação de versões anteriores.

Publicidade

Implementação de QoS na Rede VPN

A implementação de Quality of Service (QoS) é fundamental para garantir que o tráfego de dados crítico tenha prioridade na comunicação entre as redes conectadas pela VPN WireGuard.

Para configurar QoS em roteadores Mikrotik, acesse o menu "Queues" e crie regras específicas baseadas em endereços IP, protocolos e portas.

Monitorar o desempenho da rede após a implementação de QoS é essencial para avaliar se as configurações atendem às necessidades de qualidade de serviço.

Utilização de NAT na Conexão VPN

A utilização de Network Address Translation (NAT) pode ser uma necessidade em alguns cenários de configuração de VPN WireGuard. O NAT permite que múltiplos dispositivos em uma rede interna compartilhem um único endereço IP público.

No Mikrotik, o NAT pode ser configurado através do menu "IP" e "Firewall". É importante implementar regras adicionais de firewall para proteger os dispositivos internos.

Testes de Performance da VPN WireGuard

A execução de testes de performance é uma etapa crucial após a configuração da VPN WireGuard. Os testes podem incluir medições de latência, largura de banda e jitter.

Utilize ferramentas como iPerf para medir a performance de uma VPN e realizar testes de latência utilizando comandos de ping.

Realizar testes de performance regularmente é uma prática recomendada para garantir que a rede permaneça otimizada.

Configuração de Failover e Redundância na VPN WireGuard

Publicidade

A implementação de uma configuração de failover para a VPN WireGuard pode aumentar significativamente a confiabilidade da conexão. Crie múltiplos túneis VPN, onde, se um túnel falhar, o tráfego será redirecionado para o túnel alternativo.

Utilize scripts de monitoramento que verifiquem a saúde da conexão da VPN. A documentação das configurações de failover é fundamental para um gerenciamento eficiente da rede.

Implementação de Balanceamento de Carga na VPN WireGuard

A implementação de balanceamento de carga em uma configuração de VPN WireGuard pode otimizar o uso da largura de banda disponível. Distribua o tráfego de rede de forma equitativa entre múltiplos túneis.

Utilize rotas com equal-cost multi-path (ECMP) para garantir que o tráfego seja distribuído entre os túneis de maneira eficaz. Monitorar a carga e a latência de cada túnel é essencial para garantir que o balanceamento de carga esteja funcionando como esperado.

Gerenciamento de Logs e Auditoria de Conexões VPN

O gerenciamento de logs é uma prática essencial para garantir a segurança e a integridade das conexões VPN WireGuard entre roteadores Mikrotik. A captura de logs detalhados permite a análise de eventos, identificação de tentativas de acesso não autorizado e a compreensão do comportamento da rede. Para habilitar o log de eventos relacionados ao WireGuard, utilize o comando: /log add topics=wireguard.

Após configurar o logging, é importante definir uma estratégia para a retenção e análise desses logs. Uma abordagem comum é armazenar os logs em um servidor de syslog. Para isso, adicione a seguinte configuração: /system logging action add name=syslog remote=192.168.1.100, onde o IP deve ser o do servidor de syslog. Isso assegura que todos os eventos relevantes sejam enviados para um local centralizado para análise futura.

Publicidade

A auditoria regular dos logs pode ser realizada utilizando scripts que filtram entradas específicas, como tentativas de autenticação falhadas. Um exemplo simples em Mikrotik seria o uso do comando: /log print where message~"failed". Isso permite que administradores identifiquem rapidamente problemas e respondam a potenciais ameaças antes que se tornem críticas.

Além disso, a implementação de alertas automáticos para eventos críticos, como desconexões inesperadas ou acessos não autorizados, pode aumentar ainda mais a segurança. Utilize o comando /tool netwatch add host=192.168.1.1 interval=1s up-script="/log info \"Conexão ativa\";" down-script="/log warning \"Conexão perdida\";" para monitorar a saúde da conexão entre os roteadores em tempo real.

Implementação de Políticas de Acesso Baseadas em Usuário

A criação de políticas de acesso baseadas em usuário é uma prática recomendada para garantir que apenas usuários autorizados possam acessar a VPN WireGuard. Isso pode ser implementado através da criação de perfis de usuário no Mikrotik, onde cada perfil pode ter permissões específicas. O comando /user add name=usuario1 group=full cria um novo usuário com permissões completas.

As configurações de firewall também devem ser ajustadas para filtrar o tráfego de acordo com as políticas de acesso. Isso pode ser feito adicionando regras específicas que permitam ou neguem o acesso a determinados serviços. Um exemplo de regra seria: /ip firewall filter add chain=input action=accept protocol=udp dst-port=51820 src-address-list=usuarios-autorizados, onde 51820 é a porta padrão do WireGuard.

Publicidade

A utilização de autenticação de dois fatores (2FA) pode ser integrada para aumentar a segurança dos acessos. O Mikrotik permite a configuração de 2FA através de scripts que podem enviar códigos de confirmação via SMS ou e-mail. Isso requer um planejamento adicional, mas proporciona uma camada extra de segurança, garantindo que mesmo a posse de credenciais não seja suficiente para acessar a VPN.

Finalmente, a documentação de todas as políticas de acesso e as alterações realizadas deve ser feita para garantir a conformidade e facilitar futuras auditorias. O uso de uma ferramenta de gerenciamento de configuração pode ser benéfico para manter um histórico de mudanças e facilitar a recuperação em casos de erro ou violação de segurança.

Implementação de Logs e Auditoria em Conexões VPN

A implementação de um sistema de logs e auditoria em conexões VPN é fundamental para garantir a segurança e a integridade da comunicação entre os roteadores. Os logs permitem monitorar atividades suspeitas e identificar rapidamente possíveis falhas de segurança. Com os roteadores Mikrotik, é possível configurar o registro de eventos relacionados à VPN usando o comando de logging adequado.

Para ativar o logging para o WireGuard, acesse o terminal do Mikrotik e utilize o seguinte comando:

/system logging add topics=wireguard,info action=memory

Esse comando irá armazenar os logs na memória do roteador. Para persistir os logs, considere redirecioná-los para um servidor Syslog externo, configurando o roteador para enviar as informações de log para um IP específico, utilizando o seguinte comando:

Publicidade
/system logging action=syslog add name=Syslog target=remote remote-address= remote-port=514

Após a configuração, os logs podem ser acessados a qualquer momento, permitindo uma análise detalhada das conexões. É importante estabelecer uma rotina de auditoria periódica para revisar esses registros, o que ajuda a identificar padrões de acesso e possíveis tentativas de invasão.

Boas Práticas de Infraestrutura Física para VPN

A infraestrutura física desempenha um papel crucial na eficiência e na segurança das conexões VPN. A escolha adequada do hardware, incluindo switches, roteadores e cabos, é fundamental para evitar gargalos de desempenho. Utilizar cabos de rede de alta qualidade e switches gerenciáveis pode melhorar a estabilidade da conexão entre os dispositivos.

Além da escolha do hardware, a localização dos roteadores deve ser considerada. É recomendado que os roteadores estejam em locais fisicamente seguros, longe de interferências eletromagnéticas e em ambientes controlados de temperatura. O uso de fontes de alimentação ininterrupta (Nobreak) é outra boa prática, garantindo que os roteadores permaneçam operacionais mesmo em quedas de energia.

Outro ponto importante é a organização do cabeamento. Um cabeamento estruturado facilita a manutenção e a identificação de problemas, além de contribuir para um ambiente mais profissional. Etiquetar cabos e portas dos switches ajuda na visualização da topologia da rede e na resolução ágil de problemas.

Por fim, a implementação de redundância na infraestrutura física, como o uso de múltiplos links de internet, pode aumentar a resiliência da VPN. Configurar o failover entre as conexões de internet garante que a comunicação não seja interrompida em caso de falha em um dos links, aumentando a confiabilidade da rede.

Publicidade

Perguntas Frequentes

Qual a principal vantagem do WireGuard?

WireGuard é leve e oferece desempenho superior em comparação com outras VPNs.

WireGuard é seguro?

Sim, utiliza criptografia moderna e é projetado para ser mais eficiente que suas contrapartes.

É possível usar WireGuard em Mikrotik v6?

Não, a implementação do WireGuard foi introduzida no Mikrotik RouterOS v7.

Como posso verificar o status da VPN?

Utilize o comando /interface wireguard print para verificar a interface e a conexão.

Quais dispositivos suportam WireGuard?

WireGuard é suportado em diversas plataformas, incluindo Linux, Windows, macOS e routers compatíveis.

Gostou? Compartilhe!

𝕏 TwitterFacebookLinkedInWhatsApp
Publicidade

Escrito por

DomineTec

Equipe DomineTec — trazendo as melhores dicas sobre tecnologia, segurança digital, empregos e finanças.

Receba as melhores dicas no seu e-mail

Tecnologia, segurança digital, finanças e empregos — tudo que importa, direto na sua caixa de entrada. 100% gratuito, sem spam.

Respeitamos sua privacidade. Cancele a qualquer momento.

Posts Relacionados

📝Segurança e Privacidade

Como Configurar Proxy Web Cache com Squid no PfSense

Este guia completo apresenta os passos necessários para configurar um proxy web cache utilizando o Squid no PfSense, incluindo métricas e perguntas frequentes.

DomineTec
5 min
📝Segurança e Privacidade

Como Configurar e Limpar DNS Cache no Roteador Mikrotik

Este artigo fornece um guia completo para configurar e limpar o cache DNS em roteadores Mikrotik.

DomineTec
5 min
📝Segurança e Privacidade

Como Configurar Tempo de Concessão DHCP (Lease Time) na UniFi

Este artigo explica como ajustar o tempo de concessão DHCP em dispositivos UniFi, garantindo uma gestão eficiente de endereços IP.

DomineTec
5 min

Mais em Segurança e Privacidade

Ver todos
Como Descobrir se Seus Dados Foram Vazados na Internet (Guia Completo 2026)
Segurança e Privacidade

Como Descobrir se Seus Dados Foram Vazados na Internet (Guia Completo 2026)

Saber como descobrir se seus dados foram vazados na internet se tornou uma necessidade urgente em 2026. Vazamentos de CPF, e-mail, senhas, números de telefone e até dados bancários estão cada vez mais comuns, expondo milhões de pessoas a fraudes financeiras, clonagem de contas e golpes digitais. Neste guia completo, você vai aprender como identificar sinais de vazamento, consultar seus dados em ferramentas confiáveis e agir rapidamente para proteger sua segurança digital.

DomineTec
5 min
10 boas práticas de segurança digital que todos deveriam adotar
Segurança e Privacidade

10 boas práticas de segurança digital que todos deveriam adotar

Com a crescente exposição de dados na internet, proteger sua segurança digital é mais urgente do que nunca. Neste post, você vai descobrir 10 boas práticas essenciais para proteger senhas, e-mails, contas bancárias, arquivos pessoais e toda a sua navegação online. O conteúdo é prático, direto e incl

DomineTec
5 min
Como Encontrar um Celular Perdido ou Roubado: Guia Definitivo
Segurança e Privacidade

Como Encontrar um Celular Perdido ou Roubado: Guia Definitivo

Perdeu o celular ou foi roubado? Aprenda como encontrar um celular perdido rapidamente usando ferramentas nativas do Android e iPhone, e o que fazer em caso de roubo.

DomineTec
5 min
Como saber se meus dados foram vazados
Segurança e Privacidade

Como saber se meus dados foram vazados

Milhares de brasileiros já foram vítimas de vazamentos de dados. Aprenda a identificar se você também foi afetado, como agir em caso de exposição e como evitar novos riscos.

DomineTec
5 min
Publicidade