Remote Access

Gerenciar MikroTik Remoto com WireGuard

Configure um servidor WireGuard em VPS, conecte o MikroTik como peer, roteie a LAN e fortaleça o túnel para acesso remoto confiável.

MKController12 de fevereiro de 20256 min read

Resumo O WireGuard combina uma VPS Linux como ponto de encontro com um ou mais roteadores MikroTik atuando como peers, oferecendo gerenciamento remoto estável por meio de um túnel UDP que sobrevive a CGNAT, IPs dinâmicos e à maior parte das esquisitices do provedor. Este guia configura o servidor na VPS, o cliente MikroTik (RouterOS v7), o roteamento que permite alcançar a LAN atrás do roteador a partir do lado da VPS, e o endurecimento de segurança que mantém o túnel seguro ao longo do tempo.

Como o WireGuard viabiliza o gerenciamento remoto do MikroTik?

O WireGuard é uma VPN moderna de Camada 3 construída sobre criptografia atual (Curve25519 para acordo de chaves, ChaCha20-Poly1305 para cifragem) e uma base de código pequena e auditável. Para gerenciamento remoto de MikroTik, a topologia típica é uma VPS Linux modesta funcionando como ponto de encontro sempre online, com um ou mais roteadores MikroTik (rodando RouterOS v7) conectando-se de saída à VPS como peers. Como o WireGuard é baseado em UDP e os roteadores iniciam o túnel para fora, a topologia funciona da mesma maneira esteja o roteador num IP público real, atrás de NAT ou atrás de CGNAT.

Quando o túnel sobe, a VPS detém as rotas que permitem alcançar a LAN de cada roteador por meio do seu IP WireGuard. A partir de um notebook administrativo conectado à VPS (ou à própria rede WireGuard), cada site fica acessível como se estivesse numa LAN privada — e não há porta de Winbox ou WebFig exposta no roteador do cliente para um atacante encontrar.

Por que usar WireGuard para acesso remoto ao MikroTik?

O WireGuard se destaca em cinco dimensões práticas que importam para gestão de frota: alto throughput com baixo consumo de CPU mesmo em roteadores pequenos, uma base de código mínima e auditável que acumulou muito menos CVEs do que o OpenVPN, arquivos de configuração por peer simples que entram limpos em controle de versão, suporte nativo multiplataforma (Linux, Windows, macOS, Android, iOS, RouterOS v7+) e comportamento bem resolvido sob NAT e CGNAT graças ao design do handshake, que tolera mudanças de endereço. A desvantagem é que o WireGuard não dispõe de uma infraestrutura de revogação de certificados nos moldes do OpenVPN — a confiança é gerida adicionando e removendo entradas de peer diretamente, o que significa que o gerenciamento de peers em escala exige um pequeno plano de controle ou alguma automação.

Passo 1: Instale o WireGuard na VPS (Ubuntu)

apt update && apt install -y wireguard

Passo 2: Gere as chaves do servidor

wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

A chave privada permanece na VPS. A chave pública é colada na configuração do peer no MikroTik.

Passo 3: Crie a configuração do servidor

/etc/wireguard/wg0.conf:

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true

[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

Adicione um bloco [Peer] por roteador MikroTik, cada um com um IP de túnel único em AllowedIPs.

Passo 4: Suba o túnel e abra o firewall

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
ufw allow 51820/udp

(Adapte o comando do firewall para nftables ou iptables, conforme a distribuição da VPS.) Use uma porta UDP fora do padrão se quiser fugir de scans automatizados da internet.

Passo 5: Configure o MikroTik como peer WireGuard

O RouterOS v7 traz suporte nativo a WireGuard — sem pacotes adicionais. Abra um terminal no Winbox:

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

/interface wireguard peers add interface=wg-vps \
    public-key="<server_public_key>" \
    endpoint-address=<VPS_IP> \
    endpoint-port=51820 \
    allowed-address=10.8.0.2/32 \
    persistent-keepalive=25

/ip address add address=10.8.0.2/24 interface=wg-vps

persistent-keepalive=25 é o detalhe pequeno mas decisivo — ele mantém vivos os mapeamentos NAT no roteador do lado WAN para que o túnel não caia silenciosamente após alguns minutos de inatividade.

Verifique o status:

/interface/wireguard/print
/interface/wireguard/peers/print

Quando o peer mostrar atividade de handshake e latest-handshake estiver recente (dentro do intervalo de keepalive), o túnel está ativo.

Passo 6: Roteie até os dispositivos da LAN atrás do MikroTik

Para alcançar a LAN atrás do MikroTik (por exemplo 192.168.88.0/24) a partir da VPS:

Na VPS:

ip route add 192.168.88.0/24 via 10.8.0.2

No MikroTik, adicione uma regra srcnat masquerade para que o tráfego de retorno encontre o caminho de volta pelo túnel:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 \
    out-interface=wg-vps action=masquerade

Agora os serviços da LAN atrás do MikroTik ficam acessíveis a partir da VPS, e a partir de qualquer outro peer que a VPS conheça, por meio do túnel WireGuard. Exponha apenas redes sob seu controle e use regras de firewall para limitar quais hosts e portas são alcançáveis através do túnel. Para a variante cliente desse cenário (o MikroTik como cliente VPN de um provedor comercial em vez de peer da sua VPS), veja nosso tutorial de cliente WireGuard.

Endurecimento de segurança

Par de chaves único por dispositivo. Nunca reuse chaves entre MikroTiks. Gerar um novo par leva segundos e simplifica imensamente a revogação.
AllowedIPs restritos. Defina AllowedIPs no mínimo necessário (10.8.0.2/32 para um único roteador, mais a LAN se for rotear). Faixas mais largas abrem caminho para tráfego peer-to-peer entre sites que pode não ser desejado.
Firewall na porta do WireGuard. Mesmo que o WireGuard rejeite tráfego inválido silenciosamente, deixar 51820/udp aberto para toda a internet é desnecessário. Restrinja por IP de origem se seu fluxo de administração permitir.
Revogue dispositivos perdidos. Remova a entrada [Peer] do arquivo da VPS e reinicie o túnel. O roteador deixa de conseguir se conectar.
Monitore os handshakes. Um túnel sem handshake há 24 horas está quebrado — geralmente uma dessincronia de rotação de chaves ou uma mudança de roteamento.

Faça rotação periódica de chaves como parte da sua rotina padrão de rotação de credenciais. Armazene chaves privadas com a mesma disciplina aplicada às chaves de host SSH. Para frotas acima de 10–20 roteadores, planeje um pequeno fluxo de plano de controle para a criação de peers, em vez de editar o arquivo da VPS manualmente.

Comparado com outras opções de VPN

Solução	Base	Desempenho	Facilidade	Melhor para
WireGuard	VPN no kernel	Muito alto	Simples	Gerenciamento moderno de alto desempenho
OpenVPN	TLS/OpenSSL	Médio	Complexa	Dispositivos legados, ambientes PKI pesados
Tailscale	WireGuard + plano de controle	Alto	Muito fácil	Equipes, acesso baseado em identidade
ZeroTier	Mesh proprietária	Alto	Fácil	Topologias mesh flexíveis

Para opções mais amplas de gerenciamento remoto, veja nossos guias de gerenciamento de MikroTik via VPS e gerenciamento remoto via SSTP.

Próximo passo

Um único túnel WireGuard entre uma VPS e um MikroTik é simples. Gerenciar chaves, entradas de peer e tabelas de roteamento em dezenas ou centenas de roteadores — com a inevitável rotatividade de chaves e a movimentação de clientes — é onde o custo operacional se acumula.

O NATCloud da MKController elimina toda a fiação manual de túneis. Cada MikroTik chega online por um túnel de saída até o plano de controle sem babá de chaves por dispositivo, sem edições no arquivo da VPS e sem scripts para manter. Você ganha monitoramento centralizado, acesso remoto seguro e um onboarding muito mais simples do que montar sua própria infraestrutura WireGuard.

Comece seu teste grátis na MKController