Como Configurar VPN no MikroTik: Um Guia Abrangente

Introdução

As Redes Virtuais Privadas (VPNs) tornaram-se ferramentas essenciais para empresas e indivíduos que buscam proteger suas conexões de internet, acessar redes remotas e proteger dados confidenciais. Os roteadores MikroTik, conhecidos por seu conjunto robusto de recursos e custo-benefício, oferecem várias opções de implementação de VPN que atendem a diferentes necessidades de segurança e casos de uso.

Neste guia abrangente, vamos guiá-lo pelo processo de configuração de várias soluções VPN em seu roteador MikroTik. Seja você um administrador de rede procurando estabelecer conexões seguras site-a-site, ou um indivíduo que deseja acessar sua rede doméstica remotamente, este artigo fornecerá o conhecimento e as instruções passo a passo para implementar com sucesso serviços VPN em seu dispositivo MikroTik. A TildaVPS oferece servidores MikroTik otimizados que são perfeitos para implementar as soluções VPN que discutiremos neste guia, garantindo conexões confiáveis e seguras para suas necessidades de rede.

Seção 1: Compreendendo os Tipos de VPN no MikroTik

Opções de VPN Disponíveis no MikroTik

O MikroTik RouterOS suporta vários protocolos VPN, cada um com suas próprias forças e casos de uso ideais. Antes de mergulhar na configuração, é importante entender qual protocolo melhor se adapta às suas necessidades.

OpenVPN é um protocolo VPN de código aberto que oferece um bom equilíbrio entre segurança e desempenho. Ele usa SSL/TLS para troca de chaves e pode operar tanto via UDP quanto TCP. O OpenVPN é altamente configurável e pode contornar a maioria dos firewalls, tornando-o uma escolha versátil para muitos cenários.

IPsec (Internet Protocol Security) fornece comunicação IP segura autenticando e criptografando cada pacote IP. É amplamente suportado em todas as plataformas e é considerado altamente seguro, tornando-o ideal para conexões VPN site-a-site entre escritórios remotos.

L2TP/IPsec combina o Protocolo de Tunelamento da Camada 2 (Layer 2 Tunneling Protocol) com criptografia IPsec. Este protocolo é nativamente suportado pela maioria dos sistemas operacionais, incluindo Windows, macOS, iOS e Android, tornando-o conveniente para VPNs de acesso remoto.

PPTP (Point-to-Point Tunneling Protocol) é um dos protocolos VPN mais antigos. Embora seja fácil de configurar e ofereça conexões rápidas, sua segurança foi comprometida, tornando-o adequado apenas para aplicações não sensíveis onde a conveniência supera as preocupações de segurança.

SSTP (Secure Socket Tunneling Protocol) usa SSL sobre a porta TCP 443, permitindo que ele passe pela maioria dos firewalls e servidores proxy. Ele fornece um bom nível de segurança, mas é suportado principalmente em plataformas Windows.

WireGuard é um protocolo mais recente conhecido por sua simplicidade, alto desempenho e criptografia moderna. O MikroTik adicionou suporte para WireGuard no RouterOS v7, tornando-o uma excelente opção para aqueles que executam o firmware mais recente.

Benefícios de Usar VPN no MikroTik

Segurança Aprimorada: VPNs criptografam seus dados, protegendo-os de escutas e ataques man-in-the-middle, especialmente ao usar redes Wi-Fi públicas.

Acesso Remoto: Acesse com segurança os recursos da sua rede doméstica ou do escritório de qualquer lugar do mundo.

Conectividade Site-a-Site: Conecte várias localizações de escritório com segurança pela internet, criando uma rede unificada.

Contornar Restrições Geográficas: Acesse conteúdo restrito por região conectando-se a servidores VPN em diferentes localizações geográficas.

Segmentação de Rede: Crie segmentos de rede seguros e isolados para diferentes departamentos ou propósitos dentro da sua organização.

Escolhendo o Protocolo VPN Certo

O melhor protocolo VPN para sua configuração MikroTik depende dos seus requisitos específicos:

• Para compatibilidade máxima entre dispositivos: L2TP/IPsec
• Para maior segurança em ambientes corporativos: IPsec
• Para flexibilidade e bom equilíbrio segurança-desempenho: OpenVPN
• Para necessidades modernas e de alto desempenho: WireGuard (RouterOS v7+)
• Para configuração simples com clientes Windows: SSTP

Mini-FAQ

Qual protocolo VPN oferece o melhor desempenho no MikroTik?

O WireGuard geralmente oferece o melhor desempenho devido ao seu design leve e criptografia eficiente, seguido pelo OpenVPN com UDP. No entanto, o desempenho pode variar com base no seu hardware específico e nas condições da rede.

Posso executar vários protocolos VPN simultaneamente no meu roteador MikroTik?

Sim, o MikroTik RouterOS permite que você execute vários protocolos VPN simultaneamente. Isso é útil para suportar diferentes dispositivos cliente ou fornecer opções de fallback se um protocolo for bloqueado.

Seção 2: Pré-requisitos para Configurar VPN no MikroTik

Requisitos de Hardware e Software

Antes de configurar uma VPN no seu roteador MikroTik, certifique-se de ter os seguintes pré-requisitos em vigor:

Requisitos de Hardware:

• Um roteador MikroTik com poder de processamento suficiente para criptografia/descriptografia VPN. Para uso intenso de VPN, considere modelos com processadores multi-core como as séries RB4011 ou CCR.
• RAM adequada (pelo menos 256MB recomendados para múltiplas conexões VPN)
• Conexão de internet estável com largura de banda suficiente para suas necessidades de VPN

Requisitos de Software:

• Versão do RouterOS compatível com o protocolo VPN escolhido (v6.45+ recomendado, v7+ para WireGuard)
• Atualizado para a versão estável mais recente para garantir que os patches de segurança sejam aplicados
• Nível de licença válido que suporte o protocolo VPN escolhido (a maioria dos recursos VPN exige pelo menos o Nível 4)

Requisitos de Rede:

• Endereço IP público (preferencialmente estático) ou serviço DDNS configurado corretamente
• Encaminhamento de portas apropriado se o seu MikroTik estiver atrás de outro roteador
• Regras de firewall configuradas corretamente para permitir o tráfego VPN

Configuração Inicial do Roteador

Antes de implementar uma VPN, certifique-se de que seu roteador MikroTik tenha uma configuração básica e segura:

1. Atualize o RouterOS para a versão estável mais recente
2. Altere a senha de administrador padrão
3. Configure o endereçamento IP adequado para todas as interfaces
4. Configure regras básicas de firewall para proteger sua rede
5. Configure as configurações de DNS
6. Certifique-se de que o NTP (Network Time Protocol) esteja configurado corretamente, pois a hora precisa é crucial para a autenticação VPN

Planejando Sua Implementação de VPN

Reserve um tempo para planejar sua implantação de VPN, considerando:

Topologia da VPN:

• VPN de acesso remoto (clientes conectando-se à sua rede)
• VPN site-a-site (conectando múltiplas redes)
• Hub-and-spoke (site central conectando-se a múltiplos escritórios remotos)
• Mesh (todos os sites conectando-se uns aos outros)

Esquema de Endereçamento IP:

• Determine a sub-rede IP para clientes VPN
• Garanta que não haja conflitos de IP entre redes locais e remotas
• Planeje o roteamento adequado entre as redes

Método de Autenticação:

• Nome de usuário/senha
• Autenticação baseada em certificado
• Chaves pré-compartilhadas
• Autenticação de dois fatores

Considerações de Segurança:

• Requisitos de força de criptografia
• Necessidades de segregação de tráfego
• Políticas de controle de acesso

Acessando Seu Roteador MikroTik

Para configurar seu roteador MikroTik, você precisará acessá-lo usando um destes métodos:

1. WebFig (Interface de configuração baseada na web):

   • Conecte-se ao endereço IP do seu roteador via um navegador web
   • Faça login com suas credenciais
   • Navegue pelo menu para configurar as configurações de VPN

2. WinBox (Aplicativo GUI para Windows):

   • Baixe o WinBox no site da MikroTik
   • Conecte-se ao seu roteador via IP ou endereço MAC
   • Use a interface gráfica para configurar as definições

3. SSH/Telnet (Interface de linha de comando):

   • Conecte-se usando um cliente SSH como o PuTTY
   • Insira comandos diretamente na CLI do RouterOS
   • Útil para scripts e configurações avançadas

4. The Dude (Aplicativo de gerenciamento de rede):

   • Para gerenciar múltiplos dispositivos MikroTik
   • Fornece uma visão de toda a rede de sua infraestrutura

Mini-FAQ

Preciso de um endereço IP estático para configurar um servidor VPN no MikroTik?

Embora um IP estático seja ideal, você pode usar serviços de DNS dinâmico como no-ip.com ou dyn.com se tiver um IP dinâmico. O MikroTik suporta atualizações automáticas de DDNS através de scripts ou do cliente DDNS integrado.

Que nível de licença preciso para a funcionalidade VPN no MikroTik?

A maioria dos recursos VPN exige pelo menos a licença de Nível 4. No entanto, PPTP e L2TP básicos estão disponíveis a partir do Nível 3. Para recursos avançados e melhor desempenho, o Nível 5 ou Nível 6 é recomendado, especialmente para implantações corporativas.

Seção 3: Configurando o Servidor VPN L2TP/IPsec

L2TP/IPsec é um dos protocolos VPN mais amplamente suportados, tornando-o uma excelente escolha para ambientes com diversos dispositivos cliente. Vamos percorrer o processo de configuração de um servidor VPN L2TP/IPsec em seu roteador MikroTik.

Passo 1: Configurar Definições de IPsec

Primeiro, precisamos configurar a parte IPsec da VPN, que fornece criptografia para o túnel L2TP:

1. Abra o WinBox e conecte-se ao seu roteador MikroTik
2. Navegue até IP → IPsec → Profiles
3. Clique no botão + para adicionar um novo perfil
4. Configure as seguintes definições:
   • Name: L2TP-IPsec
   • Hash Algorithms: sha256
   • Encryption Algorithms: aes-256-cbc
   • DH Group: modp2048
   • Proposal Check: obey
   • Lifetime: 1d 00:00:00
5. Clique em OK para salvar o perfil

Em seguida, crie a proposta IPsec:

1. Vá para IP → IPsec → Proposals
2. Clique no botão + para adicionar uma nova proposta
3. Configure o seguinte:
   • Auth Algorithms: sha256
   • Encr Algorithms: aes-256-cbc
   • PFS Group: modp2048
4. Clique em OK para salvar

Agora, configure o peer IPsec:

1. Vá para IP → IPsec → Peers
2. Clique no botão + para adicionar um novo peer
3. Configure o seguinte:
   • Name: L2TP-Peer
   • Address: 0.0.0.0/0 (para aceitar conexões de qualquer IP)
   • Profile: L2TP-IPsec (o perfil que criamos anteriormente)
   • Exchange Mode: main
   • Send Initial Contact: yes
   • Nat Traversal: yes
   • Pre-shared Key: SuaChaveSecretaForte (use uma chave forte e única)
4. Clique em OK para salvar

Passo 2: Configurar o Servidor L2TP

Agora, vamos configurar o servidor L2TP:

1. Navegue até PPP no menu à esquerda
2. Vá para a aba Profiles
3. Clique no botão + para adicionar um novo perfil
4. Configure o seguinte:
   • Name: L2TP-Profile
   • Local Address: Especifique o IP do roteador para usar para a VPN (ex: 10.0.0.1)
   • Remote Address: Especifique o pool de IP para clientes (ex: 10.0.0.2-10.0.0.254)
   • DNS Server: Seus servidores DNS preferidos
   • Use Encryption: yes
5. Clique em OK para salvar o perfil

Em seguida, configure o servidor L2TP:

1. Vá para a aba Interface
2. Clique em L2TP Server
3. Configure o seguinte:
   • Enabled: yes
   • Max MTU: 1450
   • Max MRU: 1450
   • Keep Alive Timeout: 30
   • Default Profile: L2TP-Profile (o perfil que criamos)
   • Authentication: mschap2, mschap1, chap (nesta ordem para melhor compatibilidade)
   • Use IPsec: yes
   • IPsec Secret: SuaChaveSecretaForte (a mesma da configuração do peer IPsec)
4. Clique em OK para salvar

Passo 3: Criar Usuários VPN

Agora, crie contas de usuário para acesso VPN:

1. Vá para PPP no menu à esquerda
2. Clique na aba Secrets
3. Clique no botão + para adicionar um novo segredo
4. Configure o seguinte:
   • Name: nome_de_usuario (o nome de usuário de login para o usuário VPN)
   • Password: senha (uma senha forte para o usuário)
   • Service: l2tp
   • Profile: L2TP-Profile
5. Clique em OK para salvar
6. Repita para usuários adicionais conforme necessário

Passo 4: Configurar Regras de Firewall

Para permitir o tráfego VPN através do seu firewall:

1. Navegue até IP → Firewall → Filter Rules

2. Adicione regras para permitir o tráfego L2TP e IPsec:

   Para IPsec:

   • Adicione uma regra para permitir a porta UDP 500 (IKE)
   • Adicione uma regra para permitir a porta UDP 4500 (IPsec NAT-T)
   • Adicione uma regra para permitir o protocolo IP 50 (ESP)
   • Adicione uma regra para permitir o protocolo IP 51 (AH)

   Para L2TP:

   • Adicione uma regra para permitir a porta UDP 1701 (L2TP)

3. Adicione regras para permitir que o tráfego da sub-rede VPN acesse os recursos da sua rede conforme necessário

Passo 5: Testar a Conexão VPN

Após concluir a configuração, teste a conexão VPN a partir de um dispositivo cliente:

1. No Windows:

   • Vá para Configurações → Rede e Internet → VPN
   • Clique em "Adicionar uma conexão VPN"
   • Provedor de VPN: Windows (integrado)
   • Nome da conexão: MikroTik L2TP
   • Nome ou endereço do servidor: O IP público do seu MikroTik ou DDNS
   • Tipo de VPN: L2TP/IPsec com chave pré-compartilhada
   • Chave pré-compartilhada: SuaChaveSecretaForte (a que você configurou)
   • Nome de usuário e senha: As credenciais que você criou nos segredos PPP

2. No Android/iOS:

   • Vá para Configurações → VPN
   • Adicione uma nova conexão VPN
   • Selecione L2TP/IPsec
   • Insira o IP público do seu MikroTik ou DDNS
   • Insira a chave pré-compartilhada, nome de usuário e senha

Mini-FAQ

Por que minha conexão VPN L2TP/IPsec está falhando ao estabelecer?

Problemas comuns incluem chave pré-compartilhada incorreta, firewall bloqueando portas VPN, problemas de NAT ou configurações de criptografia incompatíveis. Verifique os logs do seu roteador em System → Logs para mensagens de erro específicas para solucionar o problema.

Quantos usuários VPN L2TP/IPsec simultâneos meu roteador MikroTik pode suportar?

Isso depende das capacidades de hardware do seu roteador. Modelos de nível de entrada podem lidar com 5-10 usuários simultâneos, enquanto modelos de alto desempenho como a série CCR podem suportar dezenas ou até centenas de conexões. O uso da CPU é o principal fator limitante devido à sobrecarga de criptografia.

Seção 4: Configurando o Servidor OpenVPN

OpenVPN é uma solução VPN altamente configurável e segura que funciona bem em diferentes plataformas. Configurá-lo no MikroTik requer a criação de certificados e a configuração adequada do servidor. Vamos percorrer o processo passo a passo.

Passo 1: Criar Certificados

OpenVPN usa certificados para autenticação. Precisaremos criar uma Autoridade Certificadora (CA), um certificado de servidor e certificados de cliente:

1. Navegue até System → Certificates

2. Primeiro, crie uma Autoridade Certificadora (CA):

   • Clique no botão Add
   • Defina Name: CA
   • Defina Common Name: MikroTik-CA
   • Defina Key Size: 2048
   • Defina Days Valid: 3650 (10 anos)
   • Marque Key Usage: crl sign, key cert sign
   • Clique em Apply, depois em Sign
   • Na nova caixa de diálogo, selecione CA como o Certificado e clique em Sign

3. Crie um certificado de servidor:

   • Clique no botão Add
   • Defina Name: Server
   • Defina Common Name: MikroTik-Server
   • Defina Key Size: 2048
   • Defina Days Valid: 3650
   • Marque Key Usage: digital signature, key encipherment, tls server
   • Clique em Apply, depois em Sign
   • Na nova caixa de diálogo, selecione CA como a Autoridade Certificadora e clique em Sign

4. Crie um certificado de cliente:

   • Clique no botão Add
   • Defina Name: Client1
   • Defina Common Name: Client1
   • Defina Key Size: 2048
   • Defina Days Valid: 3650
   • Marque Key Usage: tls client
   • Clique em Apply, depois em Sign
   • Na nova caixa de diálogo, selecione CA como a Autoridade Certificadora e clique em Sign
   • Repita este passo para clientes adicionais conforme necessário

Passo 2: Configurar o Servidor OpenVPN

Agora, vamos configurar o servidor OpenVPN:

1. Navegue até PPP no menu à esquerda
2. Vá para a aba Profiles
3. Clique no botão + para adicionar um novo perfil
4. Configure o seguinte:
   • Name: OVPN-Profile
   • Local Address: Especifique o IP do roteador para usar para a VPN (ex: 10.1.0.1)
   • Remote Address: Especifique o pool de IP para clientes (ex: 10.1.0.2-10.1.0.254)
   • DNS Server: Seus servidores DNS preferidos
   • Use Encryption: yes
5. Clique em OK para salvar o perfil

Em seguida, configure o servidor OpenVPN:

1. Vá para PPP no menu à esquerda
2. Clique na aba Interface
3. Clique no botão OVPN Server
4. Configure o seguinte:
   • Enabled: yes
   • Port: 1194
   • Mode: ip
   • Protocol: tcp
   • Netmask: 24
   • Max MTU: 1500
   • Default Profile: OVPN-Profile
   • Certificate: Server (o certificado de servidor que criamos)
   • Auth: sha1
   • Cipher: aes256
   • Require Client Certificate: yes
5. Clique em OK para salvar

Passo 3: Configurar Regras de Firewall

Para permitir o tráfego OpenVPN através do seu firewall:

1. Navegue até IP → Firewall → Filter Rules

2. Adicione uma regra para permitir o tráfego OpenVPN:

   • Clique no botão +
   • Defina Chain: input
   • Defina Protocol: tcp
   • Defina Dst. Port: 1194
   • Defina Action: accept
   • Adicione um comentário como "Permitir OpenVPN"
   • Clique em OK para salvar

3. Adicione regras para permitir que o tráfego da sub-rede VPN acesse os recursos da sua rede conforme necessário

Passo 4: Exportar Certificados de Cliente e Criar Configuração de Cliente

Para conectar clientes ao seu servidor OpenVPN, você precisa exportar os certificados e criar um arquivo de configuração de cliente:

1. Exporte o certificado CA:

   • Vá para System → Certificates
   • Selecione o certificado CA
   • Clique em Export
   • Escolha Export Type: PEM
   • Clique em Export e salve o arquivo como ca.crt

2. Exporte o certificado e a chave do cliente:

   • Selecione o certificado Client1
   • Clique em Export
   • Escolha Export Type: PEM
   • Clique em Export e salve o arquivo como client1.crt
   • Clique em Export novamente
   • Escolha Export Type: key
   • Insira a Export Passphrase se quiser proteger a chave com senha
   • Clique em Export e salve o arquivo como client1.key

3. Crie um arquivo de configuração de cliente (client.ovpn) com o seguinte conteúdo:

client
dev tun
proto tcp
remote seu-ip-publico-mikrotik 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
auth SHA1
verb 3
key-direction 1

<ca>
# Cole o conteúdo de ca.crt aqui
</ca>

<cert>
# Cole o conteúdo de client1.crt aqui
</cert>

<key>
# Cole o conteúdo de client1.key aqui
</key>

Passo 5: Conectar Clientes ao OpenVPN

Agora você pode usar o arquivo de configuração do cliente para conectar-se ao seu servidor OpenVPN:

1. No Windows:

   • Instale o cliente OpenVPN (de openvpn.net)
   • Copie o arquivo client.ovpn para C:\Program Files\OpenVPN\config\
   • Clique com o botão direito do mouse no ícone do OpenVPN GUI na bandeja do sistema e selecione "Conectar"

2. No macOS:

   • Instale o Tunnelblick (de tunnelblick.net)
   • Importe o arquivo client.ovpn
   • Conecte-se usando o menu do Tunnelblick

3. No Linux:

   • Instale o cliente OpenVPN (sudo apt install openvpn no Debian/Ubuntu)
   • Execute sudo openvpn --config client.ovpn

4. No Android/iOS:

   • Instale o aplicativo OpenVPN Connect
   • Importe o arquivo client.ovpn
   • Conecte-se usando o aplicativo

Mini-FAQ

Como posso solucionar problemas de conexão OpenVPN?

Verifique os logs tanto no servidor (System → Logs) quanto no lado do cliente. Problemas comuns incluem problemas de certificado, bloqueios de firewall ou problemas de roteamento. Habilite o log detalhado no lado do cliente definindo "verb 5" no arquivo de configuração para logs mais detalhados.

Posso usar UDP em vez de TCP para OpenVPN?

Sim, o UDP é frequentemente preferido para melhor desempenho. Para usar UDP, altere a configuração de protocolo tanto na configuração do servidor quanto no arquivo de configuração do cliente. O UDP é geralmente mais rápido, mas pode ser menos confiável em conexões instáveis.

Seção 5: Configurando VPN WireGuard (RouterOS v7+)

WireGuard é um protocolo VPN moderno conhecido por sua simplicidade, alto desempenho e forte segurança. Ele está disponível no RouterOS versão 7 e posterior. Vamos configurar um servidor VPN WireGuard em seu roteador MikroTik.

Passo 1: Criar Interface WireGuard

Primeiro, vamos criar a interface WireGuard em seu roteador MikroTik:

1. Navegue até WireGuard no menu à esquerda (ou Interface → WireGuard em versões mais antigas do v7)
2. Clique no botão + para adicionar uma nova interface
3. Configure o seguinte:
   • Name: wireguard1
   • Listen Port: 13231 (ou qualquer outra porta de sua escolha)
   • MTU: 1420
4. Clique em OK para criar a interface
5. Após a criação, anote a Public Key que foi gerada - você precisará dela para a configuração do cliente

Passo 2: Configurar Endereço IP para a Interface WireGuard

Atribua um endereço IP à interface WireGuard:

1. Vá para IP → Addresses
2. Clique no botão + para adicionar um novo endereço
3. Configure o seguinte:
   • Address: 10.10.10.1/24 (esta será a sub-rede da VPN)
   • Interface: wireguard1
4. Clique em OK para salvar

Passo 3: Adicionar Peers WireGuard (Clientes)

Para cada cliente que se conectará à sua VPN WireGuard:

1. Primeiro, gere um par de chaves no dispositivo cliente (mostraremos como fazer isso no Passo 5)
2. No seu roteador MikroTik, vá para WireGuard no menu à esquerda
3. Clique na aba Peers
4. Clique no botão + para adicionar um novo peer
5. Configure o seguinte:
   • Interface: wireguard1
   • Public Key: (cole a chave pública do cliente aqui)
   • Allowed Address: 10.10.10.2/32 (o endereço IP que você deseja atribuir a este cliente)
   • Persistent Keepalive: 25 (ajuda com o atravessamento de NAT)
6. Clique em OK para salvar
7. Repita para clientes adicionais, incrementando o endereço IP (10.10.10.3/32, etc.)

Passo 4: Configurar Regras de Firewall

Para permitir o tráfego WireGuard através do seu firewall:

1. Navegue até IP → Firewall → Filter Rules

2. Adicione uma regra para permitir o tráfego WireGuard:

   • Clique no botão +
   • Defina Chain: input
   • Defina Protocol: udp
   • Defina Dst. Port: 13231 (a porta que você configurou para WireGuard)
   • Defina Action: accept
   • Adicione um comentário como "Permitir WireGuard"
   • Clique em OK para salvar

3. Adicione regras para permitir que o tráfego da sub-rede WireGuard acesse os recursos da sua rede conforme necessário

4. Opcionalmente, adicione uma regra de mascaramento para permitir que os clientes VPN acessem a internet através da VPN:

   • Vá para IP → Firewall → NAT
   • Clique no botão +
   • Defina Chain: srcnat
   • Defina Src. Address: 10.10.10.0/24
   • Defina Action: masquerade
   • Adicione um comentário como "Mascarar clientes WireGuard"
   • Clique em OK para salvar

Passo 5: Configurar Clientes WireGuard

Agora, vamos configurar um cliente para conectar-se à sua VPN WireGuard:

Para Windows:

1. Baixe e instale o WireGuard em wireguard.com
2. Abra o aplicativo WireGuard
3. Clique em "Add Empty Tunnel..." (Adicionar Túnel Vazio...)
4. Gere um novo par de chaves (isso acontece automaticamente)
5. Configure o cliente com o seguinte modelo:

[Interface]
PrivateKey = (chave privada do cliente)
Address = 10.10.10.2/24
DNS = 8.8.8.8, 8.8.4.4

[Peer]
PublicKey = (chave pública da interface WireGuard do seu MikroTik)
AllowedIPs = 0.0.0.0/0
Endpoint = seu-ip-publico-mikrotik:13231
PersistentKeepalive = 25

6. Clique em "Save" (Salvar) e depois em "Activate" (Ativar) para conectar

Para Android/iOS:

1. Instale o aplicativo WireGuard da loja de aplicativos
2. Toque no botão + e selecione "Create from scratch" (Criar do zero)
3. Digite um nome para a VPN
4. Configure usando o mesmo modelo acima
5. Toque em "Save" (Salvar) e depois toque no botão para conectar

Para Linux:

1. Instale o WireGuard (sudo apt install wireguard no Debian/Ubuntu)
2. Gere chaves: wg genkey | tee privatekey | wg pubkey > publickey
3. Crie um arquivo de configuração em /etc/wireguard/wg0.conf usando o modelo acima
4. Conecte-se com sudo wg-quick up wg0

Passo 6: Testar a Conexão

Depois de configurar o servidor e o cliente:

1. Ative a conexão WireGuard no seu dispositivo cliente
2. Verifique a conectividade pingando o IP da interface WireGuard no seu MikroTik (10.10.10.1)
3. Tente acessar outros recursos na sua rede
4. Verifique o status do WireGuard no seu MikroTik indo para WireGuard e olhando a aba Peers

Mini-FAQ

O WireGuard é mais seguro que o OpenVPN ou o IPsec?

O WireGuard usa criptografia moderna com uma base de código muito menor do que o OpenVPN ou o IPsec, o que potencialmente significa menos vulnerabilidades de segurança. No entanto, todos os três protocolos são considerados seguros quando configurados corretamente. As principais vantagens do WireGuard são sua simplicidade e desempenho.

Quantos peers WireGuard meu roteador MikroTik pode suportar?

Isso depende das capacidades de hardware do seu roteador. O WireGuard é muito eficiente, então mesmo roteadores MikroTik de nível de entrada podem lidar com dezenas de peers. Modelos de alto desempenho podem suportar centenas de conexões com impacto mínimo no desempenho.

Seção 6: Configurando VPN Site-a-Site com IPsec

IPsec é uma excelente escolha para estabelecer conexões VPN site-a-site seguras entre filiais ou entre seu escritório principal e um ambiente de nuvem. Nesta seção, configuraremos uma VPN site-a-site entre dois roteadores MikroTik usando IPsec.

Passo 1: Planejar Sua Topologia de Rede

Antes de configurar o IPsec, planeje sua topologia de rede:

Site A (Escritório Principal):

• IP Público: 203.0.113.1 (substitua pelo seu IP público real)
• Rede Local: 192.168.1.0/24
• Roteador MikroTik: 192.168.1.1

Site B (Filial):

• IP Público: 203.0.113.2 (substitua pelo seu IP público real)
• Rede Local: 192.168.2.0/24
• Roteador MikroTik: 192.168.2.1

Passo 2: Configurar IPsec no Site A (Escritório Principal)

1. Criar Perfil IPsec:

   • Navegue até IP → IPsec → Profiles
   • Clique no botão + para adicionar um novo perfil
   • Configure o seguinte:
     • Name: site-to-site
     • Hash Algorithms: sha256
     • Encryption Algorithms: aes-256-cbc
     • DH Group: modp2048
   • Clique em OK para salvar

2. Criar Proposta IPsec:

   • Vá para IP → IPsec → Proposals
   • Clique no botão + para adicionar uma nova proposta
   • Configure o seguinte:
     • Name: site-to-site-proposal
     • Auth Algorithms: sha256
     • Encr Algorithms: aes-256-cbc
     • PFS Group: modp2048
   • Clique em OK para salvar

3. Criar Peer IPsec:

   • Vá para IP → IPsec → Peers
   • Clique no botão + para adicionar um novo peer
   • Configure o seguinte:
     • Name: site-b-peer
     • Address: 203.0.113.2 (IP público do Site B)
     • Profile: site-to-site
     • Exchange Mode: main
     • Send Initial Contact: yes
     • Nat Traversal: yes
     • Pre-shared Key: SuaChaveSecretaForte (use uma chave forte e única)
   • Clique em OK para salvar

4. Criar Política IPsec:

   • Vá para IP → IPsec → Policies
   • Clique no botão + para adicionar uma nova política
   • Configure o seguinte:
     • Src. Address: 192.168.1.0/24 (rede local do Site A)
     • Dst. Address: 192.168.2.0/24 (rede local do Site B)
     • Protocol: all
     • Action: encrypt
     • Level: require
     • IPsec Protocols: esp
     • Tunnel: yes
     • SA Src. Address: 203.0.113.1 (IP público do Site A)
     • SA Dst. Address: 203.0.113.2 (IP público do Site B)
     • Proposal: site-to-site-proposal
   • Clique em OK para salvar

Passo 3: Configurar IPsec no Site B (Filial)

Repita os mesmos passos no roteador MikroTik do Site B, mas com os endereços de origem e destino invertidos:

1. Criar Perfil IPsec (igual ao Site A)

2. Criar Proposta IPsec (igual ao Site A)

3. Criar Peer IPsec:

   • Configure com o IP público do Site A (203.0.113.1)
   • Use a mesma chave pré-compartilhada do Site A

4. Criar Política IPsec:

   • Src. Address: 192.168.2.0/24 (rede local do Site B)
   • Dst. Address: 192.168.1.0/24 (rede local do Site A)
   • SA Src. Address: 203.0.113.2 (IP público do Site B)
   • SA Dst. Address: 203.0.113.1 (IP público do Site A)
   • Outras configurações iguais ao Site A

Passo 4: Configurar Regras de Firewall em Ambos os Sites

Em ambos os roteadores MikroTik, adicione regras de firewall para permitir o tráfego IPsec:

1. Navegue até IP → Firewall → Filter Rules

2. Adicione regras para permitir o tráfego IPsec:

   • Adicione uma regra para permitir a porta UDP 500 (IKE)
   • Adicione uma regra para permitir a porta UDP 4500 (IPsec NAT-T)
   • Adicione uma regra para permitir o protocolo IP 50 (ESP)
   • Adicione uma regra para permitir o protocolo IP 51 (AH)

3. Certifique-se de que o tráfego entre as redes locais seja permitido em suas regras de firewall

Passo 5: Configurar Roteamento (se necessário)

Se você tiver redes mais complexas com múltiplas sub-redes em qualquer um dos sites, pode ser necessário adicionar rotas estáticas:

1. Navegue até IP → Routes
2. Clique no botão + para adicionar uma nova rota
3. Configure a rota para a rede remota através do túnel IPsec
4. Repita para quaisquer sub-redes adicionais que precisem se comunicar através do túnel

Passo 6: Testar a Conexão

Após concluir a configuração em ambos os sites:

1. Verifique o status do IPsec indo para IP → IPsec → Active Peers

   • Você deverá ver uma conexão estabelecida entre os dois sites

2. Teste a conectividade pingando dispositivos através do túnel:

   • De um dispositivo na rede do Site A, pingue um dispositivo na rede do Site B
   • De um dispositivo na rede do Site B, pingue um dispositivo na rede do Site A

3. Se os pings forem bem-sucedidos, tente acessar outros serviços através do túnel

Passo 7: Monitorar e Solucionar Problemas

Para monitorar e solucionar problemas do seu túnel IPsec:

1. Verifique as estatísticas do IPsec:

   • Vá para IP → IPsec → Statistics
   • Procure associações de segurança (SAs) ativas

2. Visualize os logs para mensagens relacionadas ao IPsec:

   • Vá para System → Logs
   • Filtre por entradas relacionadas ao IPsec

3. Use a ferramenta ping com opções de roteamento para testar o túnel:

   • Vá para Tools → Ping
   • Insira o IP de um dispositivo no site remoto
   • Defina o Src. Address para o IP da sua interface local

Mini-FAQ

O que devo fazer se o túnel IPsec não estabelecer?

Verifique as regras de firewall em ambos os lados para garantir que o tráfego IPsec seja permitido. Verifique se as chaves pré-compartilhadas correspondem exatamente. Verifique se há problemas de NAT se algum dos roteadores estiver atrás de outro dispositivo NAT. Revise os logs para mensagens de erro específicas.

Como posso verificar se o tráfego está realmente passando pelo túnel IPsec?

Use a página IP → IPsec → Statistics para ver se os pacotes estão sendo criptografados e descriptografados. Você também pode usar a ferramenta Torch (Tools → Torch) para monitorar o tráfego em suas interfaces e ver se os pacotes estão fluindo através da interface IPsec.

Seção 7: Configurações Avançadas de VPN e Melhores Práticas

Agora que cobrimos as configurações básicas de VPN, vamos explorar algumas configurações avançadas e melhores práticas para aprimorar a segurança, o desempenho e a capacidade de gerenciamento de suas implantações de VPN MikroTik.

Implementando Tunelamento Dividido (Split Tunneling)

O tunelamento dividido permite que os clientes VPN acessem a rede remota e a internet diretamente, melhorando o desempenho para o tráfego destinado à internet:

1. Para OpenVPN:

   • No arquivo de configuração do cliente, modifique a diretiva redirect-gateway ou use declarações route específicas
   • Exemplo: route 192.168.1.0 255.255.255.0 (apenas roteia o tráfego para a rede 192.168.1.0/24 através da VPN)

2. Para WireGuard:

   • Na configuração do cliente, modifique a configuração AllowedIPs
   • Em vez de 0.0.0.0/0 (que roteia todo o tráfego), use redes específicas:
   • Exemplo: AllowedIPs = 10.10.10.0/24, 192.168.1.0/24

3. Para L2TP/IPsec:

   • Em clientes Windows, edite as propriedades da conexão VPN
   • Vá para Rede → IPv4 → Propriedades → Avançado
   • Desmarque "Usar gateway padrão na rede remota"

Implementando Autenticação de Dois Fatores

Aprimore a segurança com autenticação de dois fatores:

1. Autenticação RADIUS:

   • Configure um servidor RADIUS (você pode usar o pacote User Manager do MikroTik)
   • Configure seu servidor VPN para usar RADIUS:
     • Vá para Radius no menu à esquerda
     • Adicione um novo cliente RADIUS para seu serviço VPN
     • Nas configurações do seu servidor VPN, habilite a autenticação RADIUS

2. Autenticação por Certificado + Senha:

   • Para OpenVPN, exija tanto certificado quanto nome de usuário/senha:
     • Na configuração do servidor, defina o script auth-user-pass-verify
     • Certifique-se de que client-cert-not-required NÃO esteja definido

3. Senhas de Uso Único Baseadas em Tempo (TOTP):

   • Instale o pacote TOTP no seu MikroTik
   • Configure usuários com segredos TOTP
   • Configure sua autenticação para exigir códigos TOTP

Otimizando o Desempenho da VPN

Melhore o desempenho da VPN com estes ajustes:

1. Ajustar Configurações de MTU:

   • Encontre o MTU ideal para sua conexão usando testes de ping com a flag "não fragmentar"
   • Defina o MTU apropriado em sua interface VPN
   • Para OpenVPN, valores típicos são 1400-1450
   • Para WireGuard, 1420 é frequentemente ideal

2. Habilitar Aceleração de Hardware:

   • Se o seu modelo MikroTik suporta criptografia de hardware:
     • Vá para System → Resources
     • Verifique se a criptografia de hardware está disponível e habilitada
     • Para IPsec, vá para IP → IPsec → Settings e habilite a aceleração de hardware

3. Escolher Protocolos Eficientes:

   • Use UDP em vez de TCP para OpenVPN quando possível
   • Considere WireGuard para melhor desempenho no RouterOS v7+
   • Use algoritmos de criptografia modernos que suportam aceleração de hardware

Implementando Failover e Balanceamento de Carga

Para conexões VPN de missão crítica, implemente failover ou balanceamento de carga:

1. Failover de Dual WAN:

   • Configure múltiplas conexões WAN em seu MikroTik
   • Configure roteamento de failover usando marcas de roteamento e roteamento baseado em política
   • Configure sua VPN para reconectar automaticamente se a conexão primária falhar

2. Redundância de VPN Site-a-Site:

   • Configure múltiplos túneis entre sites usando diferentes conexões WAN
   • Use métricas de roteamento para priorizar o túnel primário
   • Configure protocolos de roteamento dinâmico (OSPF ou BGP) sobre os túneis VPN para failover automático

3. Balanceamento de Carga:

   • Para múltiplos usuários de acesso remoto, distribua-os entre vários servidores VPN
   • Use round-robin de DNS ou um balanceador de carga para distribuir as solicitações de conexão

Monitoramento e Registro de Conexões VPN

Configure um monitoramento abrangente para seus serviços VPN:

1. Configurar Registro Detalhado:

   • Vá para System → Logging
   • Adicione uma nova ação de registro para eventos relacionados à VPN
   • Defina os tópicos apropriados (ex: ppp, ipsec, ovpn)

2. Configurar Monitoramento SNMP:

   • Vá para IP → SNMP
   • Habilite o serviço SNMP
   • Configure strings de comunidade e listas de acesso
   • Use uma ferramenta de monitoramento SNMP para rastrear conexões e desempenho da VPN

3. Criar Scripts de Rastreamento de Conexão:

   • Use o script RouterOS para rastrear conexões VPN
   • Configure alertas por e-mail para tentativas de conexão falhas ou eventos de túnel desativado
   • Exemplo de script para monitorar o status do túnel IPsec e enviar alertas

/system script
add name="monitor-ipsec" source={
    :if ([/ip ipsec policy find where dst-address="192.168.2.0/24" and invalid=yes] != "") do={
        /tool e-mail send to="[email protected]" subject="IPsec Tunnel Down" body="O túnel IPsec para a Filial está desativado."
    }
}

/system scheduler
add interval=5m name="check-ipsec" on-event=monitor-ipsec start-time=startup

Mini-FAQ

Como posso permitir com segurança o gerenciamento remoto do meu roteador MikroTik através da VPN?

Crie um perfil VPN separado especificamente para acesso de gerenciamento com configurações de segurança mais rigorosas. Use regras de firewall para permitir apenas o acesso de gerenciamento (Winbox, SSH, WebFig) da sub-rede VPN. Considere implementar listas de acesso baseadas em IP e autenticação de dois fatores para segurança adicional.

Qual é a melhor maneira de lidar com endereços IP dinâmicos para VPNs site-a-site?

Use serviços de DNS dinâmico para rastrear endereços IP em mudança. Configure seu IPsec ou OpenVPN para usar nomes de host em vez de endereços IP. Para IPsec, pode ser necessário usar um script para atualizar os endereços dos pares quando eles mudarem. Alternativamente, considere usar o recurso "mode-config" do RouterOS para IPsec para lidar com endereçamento dinâmico.

Conclusão

Configurar uma VPN em seu roteador MikroTik fornece acesso remoto seguro aos recursos de sua rede e permite conectividade segura site-a-site entre múltiplos locais. Neste guia abrangente, abordamos várias opções de implementação de VPN, desde o amplamente compatível L2TP/IPsec até o moderno e eficiente protocolo WireGuard.

Nós percorremos o processo passo a passo de configuração de cada tipo de VPN, incluindo os certificados necessários, configurações de criptografia, regras de firewall e configurações de cliente. Também exploramos configurações avançadas como tunelamento dividido, autenticação de dois fatores e técnicas de otimização de desempenho para ajudá-lo a construir uma infraestrutura VPN robusta e segura.

Os roteadores MikroTik oferecem flexibilidade excepcional e poderosas capacidades de VPN a uma fração do custo de muitas soluções empresariais. Seguindo as instruções neste guia, você pode aproveitar essas capacidades para criar conexões seguras que protegem seus dados e permitem acesso remoto contínuo aos recursos de sua rede.

Lembre-se de que a segurança é um processo contínuo, não uma configuração única. Atualize regularmente o firmware do seu RouterOS, revise suas configurações de VPN, monitore os logs para atividades incomuns e ajuste suas configurações de segurança conforme necessário para manter uma postura de segurança forte.

Para soluções VPN especializadas adaptadas às suas necessidades específicas, considere as ofertas de servidor MikroTik da TildaVPS, que fornecem hardware otimizado e ambientes pré-configurados para executar serviços VPN robustos com tempo mínimo de configuração.

Perguntas Frequentes (FAQ)

Qual protocolo VPN devo escolher para o meu roteador MikroTik?

O melhor protocolo depende das suas necessidades específicas. L2TP/IPsec oferece ampla compatibilidade com a maioria dos dispositivos. OpenVPN oferece um bom equilíbrio entre segurança e flexibilidade. WireGuard (disponível no RouterOS v7+) oferece o melhor desempenho e simplicidade. Para conexões site-a-site entre filiais, IPsec é geralmente a escolha preferida devido à sua segurança robusta e ampla adoção empresarial.

Como soluciono problemas de conexão VPN no MikroTik?

Comece verificando os logs (System → Logs) para mensagens de erro específicas. Verifique se suas regras de firewall permitem o tráfego VPN nas portas apropriadas. Para VPNs baseadas em certificado como OpenVPN, garanta que os certificados estejam devidamente assinados e não expirados. Teste a conectividade usando ping e traceroute para identificar onde a conexão está falhando. Para IPsec, verifique se as associações de segurança (SAs) estão estabelecidas olhando em IP → IPsec → Active Peers.

Posso executar vários servidores VPN no mesmo roteador MikroTik?

Sim, você pode executar vários protocolos VPN simultaneamente em um único roteador MikroTik. Por exemplo, você pode ter L2TP/IPsec para clientes móveis, OpenVPN para trabalhadores remotos remotos e IPsec para conexões site-a-site. Apenas certifique-se de que cada serviço use uma porta diferente e tenha regras de firewall apropriadas. Esteja ciente das capacidades de hardware do seu roteador, pois executar múltiplos serviços VPN com muitos clientes pode ser intensivo em CPU.

Como posso melhorar a segurança da VPN no meu roteador MikroTik?

Aprimore a segurança da VPN usando algoritmos de criptografia fortes (AES-256), implementando autenticação de dois fatores, rotacionando regularmente chaves pré-compartilhadas e senhas, usando autenticação baseada em certificado sempre que possível, implementando regras de firewall rigorosas para limitar o acesso apenas aos recursos necessários e mantendo seu RouterOS atualizado para a versão estável mais recente para corrigir vulnerabilidades de segurança.

Quantos usuários VPN simultâneos meu roteador MikroTik pode suportar?

Isso depende das especificações de hardware do seu roteador, principalmente do poder da CPU e da RAM disponível. Modelos de nível de entrada como a série hAP podem lidar com 5-10 usuários simultâneos, modelos de médio porte como o RB4011 podem suportar 20-30 usuários, enquanto modelos de alto desempenho como a série CCR podem lidar com mais de 50 conexões simultâneas. O WireGuard tende a ser mais eficiente que o OpenVPN ou o IPsec, permitindo mais conexões simultâneas com o mesmo hardware.

Posso acessar minha VPN MikroTik de dispositivos móveis?

Sim, todos os protocolos VPN discutidos neste guia podem ser usados em dispositivos móveis. L2TP/IPsec e IKEv2 têm suporte nativo no iOS e Android. Para OpenVPN, você pode usar o aplicativo oficial OpenVPN Connect. O WireGuard tem excelentes aplicativos móveis para ambas as plataformas. Ao configurar a VPN para dispositivos móveis, considere implementar o tunelamento dividido para otimizar a vida útil da bateria e o uso de dados.

Como configuro um servidor VPN no MikroTik que funciona em países com restrições de internet?

Em ambientes restritivos, as portas VPN padrão são frequentemente bloqueadas. Configure sua VPN para usar portas comuns como 443 (HTTPS) ou 53 (DNS) que raramente são bloqueadas. Para OpenVPN, use TCP em vez de UDP, pois é mais difícil de detectar. Considere implementar técnicas de ofuscação como stunnel ou obfsproxy para disfarçar o tráfego VPN. O WireGuard pode ser configurado para ser executado em qualquer porta, tornando-o flexível para contornar restrições.

Qual a diferença entre uma VPN de acesso remoto e uma VPN site-a-site?

Uma VPN de acesso remoto conecta usuários individuais a uma rede, permitindo-lhes acessar recursos como se estivessem fisicamente presentes naquele local. Isso é ideal para trabalhadores remotos ou para acessar sua rede doméstica durante uma viagem. Uma VPN site-a-site conecta redes inteiras, permitindo que todos os dispositivos em cada local se comuniquem entre si. Isso é tipicamente usado para conectar filiais à sede ou para conectar-se a ambientes de nuvem.

Como posso monitorar quem está conectado à minha VPN MikroTik?

Para monitoramento em tempo real, verifique as conexões ativas na respectiva seção VPN (PPP → Active Connections para L2TP e PPTP, IP → IPsec → Active Peers para IPsec, Interface → WireGuard → Peers para WireGuard). Para dados históricos, configure o registro (System → Logging) para registrar eventos de conexão. Você também pode usar ferramentas de monitoramento SNMP ou configurar scripts personalizados para rastrear conexões e gerar relatórios.

É possível restringir o acesso VPN a horários ou dias específicos?

Sim, você pode implementar restrições baseadas em tempo usando scripts de agendamento ou regras de firewall. Crie regras de firewall baseadas em tempo que permitam o tráfego VPN apenas durante horas específicas. Alternativamente, use perfis de usuário com limitações de tempo ou escreva scripts personalizados que habilitam/desabilitam serviços VPN de acordo com um cronograma. Isso é útil para impor acesso em horário comercial ou implementar janelas de manutenção.

Principais Aprendizados

• Roteadores MikroTik suportam múltiplos protocolos VPN, incluindo L2TP/IPsec, OpenVPN, WireGuard e IPsec, oferecendo flexibilidade para escolher a melhor solução para suas necessidades específicas.

• O WireGuard (disponível no RouterOS v7+) oferece o melhor desempenho e simplicidade, enquanto o IPsec fornece segurança robusta para conexões site-a-site, e o L2TP/IPsec oferece a mais ampla compatibilidade de dispositivos.

• A configuração adequada do firewall é essencial para a segurança da VPN - sempre crie regras específicas para permitir apenas o tráfego VPN necessário e implemente controles de acesso adequados para os recursos da sua rede.

• Recursos avançados como tunelamento dividido, autenticação de dois fatores e conexões redundantes podem aprimorar significativamente a segurança e a usabilidade da sua implementação de VPN.

• O monitoramento, o registro e a manutenção regulares da sua configuração de VPN são cruciais para manter a segurança e garantir um desempenho confiável ao longo do tempo.

Glossário

IPsec (Internet Protocol Security): Um conjunto de protocolos que autentica e criptografa pacotes IP para fornecer comunicação criptografada segura entre dispositivos de rede.

L2TP (Layer 2 Tunneling Protocol): Um protocolo de tunelamento usado para suportar VPNs, frequentemente combinado com IPsec para criptografia.

OpenVPN: Um protocolo VPN de código aberto que usa SSL/TLS para troca de chaves e pode operar tanto via UDP quanto TCP.

WireGuard: Um protocolo VPN moderno, mais rápido e mais simples, focado em desempenho e facilidade de implementação.

Tunelamento Dividido (Split Tunneling): Um recurso VPN que permite ao usuário acessar diferentes redes (pública e privada) ao mesmo tempo através da mesma conexão de rede física.

Chave Pré-Compartilhada (PSK): Um segredo compartilhado que é usado para autenticação em conexões VPN.

Autoridade Certificadora (CA): Uma entidade que emite certificados digitais, que verificam que uma chave pública específica pertence a uma entidade específica.

MTU (Maximum Transmission Unit): O tamanho da maior unidade de dados de protocolo que pode ser comunicada em uma única transação da camada de rede.

Atravessamento de NAT (NAT Traversal): Técnicas para estabelecer e manter conexões através de tradutores de endereços de rede.

Autenticação de Dois Fatores (2FA): Um processo de segurança no qual os usuários fornecem dois fatores de autenticação diferentes para verificar sua identidade.