Pular para o conteúdo
MKController Blog
InstagramYouTubeFacebook

Tutorial

Configurar VPN WireGuard no MikroTik

Configure um roteador MikroTik como cliente WireGuard com roteamento por política e kill switch em cinco passos no RouterOS v7.

MKController5 min read

Resumo O WireGuard roda nativamente em roteadores MikroTik a partir do RouterOS v7 e é a forma mais rápida e simples de enviar dispositivos específicos da LAN por um túnel VPN. Este guia configura o MikroTik como cliente WireGuard, adiciona roteamento por política para que apenas os dispositivos escolhidos usem o túnel e instala uma rota blackhole como kill switch, que descarta o tráfego quando o túnel cai, em vez de deixá-lo vazar pelo ISP.

Como funciona o WireGuard no MikroTik?

WireGuard é um protocolo VPN moderno que vem nativo no RouterOS v7 — sem pacote adicional, sem container, sem módulo de kernel para compilar. Em um roteador MikroTik, você configura uma interface WireGuard, atribui a ela um IP de túnel fornecido pelo seu provedor VPN, adiciona um peer (o servidor remoto) com sua chave pública e endpoint e então decide qual tráfego local realmente atravessa o túnel usando roteamento por política.

O resultado é um túnel criptográfico rápido e auditado, com desempenho significativamente melhor que OpenVPN ou L2TP/IPsec no mesmo hardware. O protocolo foi projetado para ter alguns milhares de linhas de código em vez de dezenas de milhares, e é por isso que ele roda mais rápido e é mais fácil de ser verificado por pesquisadores de segurança.

Obtenha suas credenciais WireGuard

Antes de abrir o Winbox, reúna a configuração do seu provedor VPN (Proton VPN, Mullvad, NordVPN ou um servidor WireGuard auto-hospedado). Você precisa de quatro informações:

  • Private Key: atribuída à interface do seu MikroTik. O portal do provedor normalmente entrega um arquivo de configuração contendo essa chave.
  • Public Key: pertence ao servidor remoto. O MikroTik a usa para autenticar o peer.
  • Endereço e porta do Endpoint: o IP ou hostname do servidor e a porta UDP em que ele escuta (geralmente 51820).
  • Allowed IPs: normalmente 0.0.0.0/0 para um túnel completo que cobre todo o tráfego. Restrinja se quiser apenas sub-redes específicas pelo túnel.
Configuração da interface WireGuard do MikroTik no Winbox

Passo 1: Crie a interface WireGuard

No Winbox, navegue até o menu WireGuard e clique em + para adicionar uma nova interface. Nomeie-a como WG-Client, cole a Private Key fornecida pelo provedor e clique em OK — o MikroTik derivará a chave pública correspondente automaticamente. Em IP → Addresses, adicione o IP que o provedor atribuiu ao seu túnel (algo como 10.66.66.2/32).

Passo 2: Configure o peer

O peer é o servidor remoto ao qual você está se conectando. Na janela do WireGuard, vá para a aba Peers e adicione um peer apontando para a interface WG-Client:

  • Public Key: a chave pública do servidor.
  • Endpoint e Endpoint Port: o IP e a porta UDP do servidor.
  • Allowed IPs: 0.0.0.0/0. Isso permite que todo o tráfego passe pelo túnel — mas ainda não roteia nada. O roteamento acontece no Passo 4.
Adicionando um peer WireGuard no Winbox

Passo 3: Roteamento por política (PBR)

Geralmente você não quer a LAN inteira na VPN — apenas dispositivos específicos, como uma estação de trabalho que precisa acessar um serviço com restrição geográfica ou um servidor de mídia que lida com tráfego sensível à privacidade. O MikroTik resolve isso com regras de Mangle que marcam pacotes e tabelas de roteamento que agem sobre essas marcas.

  1. Vá em IP → Firewall → Mangle.
  2. Adicione uma nova regra com Chain: prerouting.
  3. Defina Src. Address como o IP local do dispositivo que deseja tunelar (por exemplo, 192.168.88.50).
  4. Defina Action como mark routing.
  5. Defina New Routing Mark como via-wireguard.
  6. Desmarque “Pass Through” — sem isso, regras subsequentes podem sobrescrever a marca e você perderá o túnel.
Regra de Mangle no MikroTik marcando tráfego para roteamento WireGuard

Passo 4: Roteamento e o kill switch

Agora diga ao roteador que qualquer pacote marcado como via-wireguard deve passar pelo túnel.

  1. Vá em IP → Routes.
  2. Adicione uma nova rota: Gateway: WG-Client, Routing Table: via-wireguard, Distance: 1.
  3. Adicione o kill switch — adicione uma segunda rota com a mesma Routing Table (via-wireguard), defina Type como blackhole e dê a ela uma Distance maior (por exemplo, 10).

A rota blackhole é a peça crítica. Se o túnel WireGuard cair, a rota normal desaparece, a rota blackhole assume e os pacotes marcados pela regra de Mangle são descartados silenciosamente, em vez de cair de volta no ISP — sem vazamentos de DNS, sem vazamentos de IP, sem tráfego não criptografado saindo pela WAN.

Tabela de roteamento do MikroTik com blackhole kill switch para WireGuard

Verifique o túnel

A partir do dispositivo que você marcou para ser tunelado, abra um site como ifconfig.me ou whatismyip.com. Ele deve reportar o IP do servidor VPN, não o do seu ISP. Em seguida, no MikroTik, execute:

/interface/wireguard/peers print stats

Um peer funcionando mostra contadores recentes de bytes rx e tx que aumentam conforme você gera tráfego. Se os contadores ficam em zero, a causa mais comum é uma porta de endpoint ausente ou errada, ou um firewall na WAN descartando UDP de saída.

Dicas

  • Mantenha a distância do kill switch maior que a da rota ativa — se você invertê-las por engano, a blackhole vira a rota principal e todo o tráfego tunelado é descartado, mesmo com o túnel ativo.
  • Se você gerencia vários dispositivos MikroTik remotamente pelo mesmo túnel, veja nosso guia de gerenciamento remoto via SSTP para um protocolo complementar, ou WireGuard para gerenciamento remoto MikroTik para o padrão completo de administração remota.
  • O WireGuard não tenta novos handshakes de forma agressiva quando o endpoint está inalcançável; se o seu provedor VPN rotaciona servidores, planeje rotacionar também a configuração do endpoint.

Dê o próximo passo

WireGuard em um MikroTik leva vinte minutos. Manter a mesma configuração — mesmas chaves rotacionadas no prazo, mesma regra de kill switch, mesmas marcas de Mangle — em uma frota de sites é onde a disciplina operacional importa. Surge desvio: um engenheiro muda uma regra de Mangle para um cliente, um roteador é resetado e o kill switch some, uma rotação de chaves pula um dispositivo.

O MKController envia a mesma configuração WireGuard, Mangle e roteamento para cada MikroTik do seu inventário e destaca os dispositivos que divergem do modelo. Quando um túnel cai ou um kill switch some em um cliente, o painel sinaliza antes do cliente perceber.

Comece seu teste gratuito do MKController