Gerenciando seu Mikrotik com WireGuard
Resumo
Guia prático do WireGuard: configure um servidor VPS, um cliente MikroTik, divulgue rotas de sub-rede e siga melhores práticas para acesso remoto confiável.
Gerenciamento remoto do MikroTik com WireGuard
WireGuard é uma VPN moderna e minimalista que parece mágica em desempenho.
É leve. Rápida. Segura.
Perfeita para conectar um VPS ao MikroTik ou interligar redes pela internet.
Este guia traz comandos para copiar e colar, exemplos de configuração e dicas valiosas.
O que é o WireGuard?
WireGuard é uma VPN leve na camada 3 criada por Jason Donenfeld.
Utiliza criptografia moderna: Curve25519 para troca de chaves e ChaCha20-Poly1305 para criptografia.
Sem certificados. Pares de chaves simples. Código enxuto.
Essa simplicidade resulta em menos problemas e maior desempenho.
Como funciona o WireGuard — o básico
Cada peer possui uma chave privada e uma pública.
Peers associam chaves públicas a IPs permitidos e endpoints (IP:porta).
O tráfego usa UDP e é ponto a ponto por design.
Não é obrigatório servidor central, mas um VPS costuma ser um ponto estável de encontro.
Benefícios resumidos
- Alto throughput e baixo uso de CPU.
- Código enxuto e auditável.
- Configuração simples por peer.
- Funciona bem com NAT e CGNAT.
- Multiplataforma: Linux, Windows, macOS, Android, iOS, MikroTik.
Servidor: WireGuard em VPS (Ubuntu)
Estes passos montam um servidor básico para peers se conectarem.
1) Instale o WireGuard
apt update && apt install -y wireguard2) Gere chaves do servidor
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey3) Crie /etc/wireguard/wg0.conf
[Interface]Address = 10.8.0.1/24ListenPort = 51820PrivateKey = <server_private_key>SaveConfig = true
# exemplo de peer (MikroTik)[Peer]PublicKey = <mikrotik_public_key>AllowedIPs = 10.8.0.2/324) Ative e inicie
systemctl enable wg-quick@wg0systemctl start wg-quick@wg05) Firewall
ufw allow 51820/udp# ou use nftables/iptables conforme adequadoDica: Use uma porta UDP não padrão para evitar varreduras automatizadas.
MikroTik: configurar como peer WireGuard
RouterOS já suporta WireGuard (RouterOS 7.x+).
1) Adicione a interface WireGuard
/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"2) Adicione o servidor como peer
/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25
/ip address add address=10.8.0.2/24 interface=wg-vps3) Verifique status
/interface/wireguard/print/interface/wireguard/peers/printQuando o peer mostrar atividade em handshake e latest-handshake for recente, o túnel está ativo.
Roteamento e acesso à LAN atrás do MikroTik
Do VPS: rotas para a LAN MikroTik
Se quiser que o VPS (ou outros peers) acessem 192.168.88.0/24 atrás do MikroTik:
No VPS adicione a rota:
ip route add 192.168.88.0/24 via 10.8.0.2No MikroTik, habilite encaminhamento IP e, opcionalmente, src-NAT para simplificar:
/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masqueradeAgora os serviços na LAN do roteador ficam acessíveis do VPS pelo túnel WireGuard.
Aviso: Exponha somente redes que controla. Use regras de firewall para restringir hosts e portas acessíveis.
Melhores práticas de segurança
- Use pares de chaves exclusivos por dispositivo.
- Restringa
AllowedIPsao mínimo necessário. - Mantenha a porta WireGuard protegida e monitorada no firewall.
- Revogue dispositivos perdidos removendo seus peers.
- Monitore handshakes e saúde da conexão.
Dica: Keepalive persistente ajuda a manter mapeamentos NAT em links residenciais.
Gerenciamento de chaves e automação
Roteie chaves periodicamente.
Automatize criação de peers com scripts ao gerenciar muitas unidades.
Guarde as chaves privadas em local seguro — trate como senhas.
Para muitos dispositivos, avalie um plano de controle ou fluxo de distribuição de chaves.
Comparativo rápido
| Solução | Base | Desempenho | Facilidade | Melhor para |
|---|---|---|---|---|
| WireGuard | VPN no kernel | Muito alto | Simples | Links modernos e velozes |
| OpenVPN | TLS/OpenSSL | Médio | Complexo | Dispositivos legados e setups PKI |
| Tailscale | WireGuard + controle | Alto | Muito fácil | Equipes, acesso baseado em identidade |
| ZeroTier | Mesh personalizado | Alto | Fácil | Redes mesh flexíveis |
Integrações e usos
WireGuard integra com monitoramento (SNMP), TR-069, TR-369 e orquestração.
Use para gerenciamento remoto, backhauls de provedores ou túneis seguros para cloud.
Onde o MKController ajuda:
O NATCloud do MKController elimina configurações manuais de túnel. Oferece acesso centralizado, monitoramento e onboarding simplificado — sem preocupação com chaves por dispositivo.
Conclusão
WireGuard simplifica VPN sem abrir mão da segurança.
É rápido, portátil e ideal para par MikroTik e VPS.
Use para criar acesso remoto confiável, roteamento eficiente e boa manutenção.
Sobre o MKController
Esperamos que as dicas acima tenham facilitado seu entendimento do universo MikroTik e Internet! 🚀
Quer você esteja ajustando configs ou buscando organização na rede, MKController simplifica sua vida.
Com gestão centralizada na nuvem, atualizações automáticas de segurança e painel intuitivo, temos o que é preciso para elevar seu controle.
👉 Inicie seu teste grátis de 3 dias agora em mkcontroller.com — e veja como é ter controle de rede sem complicação.