InícioBlog › VPN
VPN

VPN para Acesso Remoto Seguro com MikroTik: Home Office e Filiais

19 de Maio de 2025·8 min de leitura·Equipe Mikrosinc

Desde a expansão do trabalho remoto, a pergunta que mais recebemos de gestores de TI em pequenas empresas é: "como faço meus funcionários acessarem o sistema interno da empresa de casa com segurança?". A resposta correta — e frequentemente subestimada — é uma VPN corporativa gerenciada.

Se a sua empresa tem um roteador MikroTik no escritório, você já tem toda a infraestrutura necessária para isso. Neste artigo, vamos mostrar como configurar acesso VPN seguro para home office e interligação de filiais.

Por que VPN e não apenas liberar o acesso direto?

Algumas empresas "resolvem" o acesso remoto abrindo portas no roteador — por exemplo, expondo o RDP ou o sistema ERP diretamente para a internet. Isso cria riscos graves:

Com VPN, o tráfego viaja criptografado e o acesso externo só é possível após autenticação na VPN. Sistemas internos ficam invisíveis para a internet.

Escolhendo o protocolo VPN para PMEs

WireGuard Recomendado
✓ Mais rápido
✓ Menos overhead
✓ Configuração simples
✓ RouterOS 7.x
✓ Apps para Windows/macOS/iOS/Android
L2TP/IPSec
✓ Nativo Windows/iOS
✗ Configuração complexa
✗ Mais lento
✗ Problemas com CGNAT
✗ Protocolo mais antigo
OpenVPN
✓ Muito configurável
✗ Requer cliente instalado
✗ Mais lento que WireGuard
✗ Configuração trabalhosa
✗ Suporte limitado no RouterOS

Para PMEs em 2025, WireGuard é a escolha clara: mais rápido, mais simples e com suporte nativo em todos os sistemas operacionais e dispositivos móveis.

Cenário 1: Funcionários em home office acessando o escritório

Neste cenário, o roteador MikroTik da empresa fica como servidor VPN. Cada funcionário em home office tem um peer WireGuard configurado no notebook ou celular.

Configurar o servidor VPN no roteador MikroTik

# Criar interface WireGuard no roteador da empresa
/interface wireguard add \
  name=wg-homeoffice \
  listen-port=51820

# Atribuir IP à interface do túnel
/ip address add \
  address=10.10.0.1/24 \
  interface=wg-homeoffice

# Liberar porta no firewall
/ip firewall filter add \
  chain=input protocol=udp dst-port=51820 \
  action=accept comment="WireGuard home office"

Adicionar peer para cada funcionário

# Cada funcionário gera seu par de chaves no app WireGuard
# e informa a chave pública para o administrador

# Adicionar peer do funcionário João
/interface wireguard peers add \
  interface=wg-homeoffice \
  public-key="CHAVE_PUBLICA_JOAO" \
  allowed-address=10.10.0.2/32 \
  comment="João - Home Office"

# Adicionar peer da funcionária Maria
/interface wireguard peers add \
  interface=wg-homeoffice \
  public-key="CHAVE_PUBLICA_MARIA" \
  allowed-address=10.10.0.3/32 \
  comment="Maria - Home Office"

Configuração no dispositivo do funcionário (app WireGuard)

O funcionário instala o app WireGuard (Windows, macOS, Android ou iOS) e adiciona um túnel com a seguinte configuração:

# Arquivo de configuração WireGuard para o funcionário João
[Interface]
PrivateKey = CHAVE_PRIVADA_JOAO
Address = 10.10.0.2/32
DNS = 192.168.1.1  # DNS do escritório (opcional)

[Peer]
PublicKey = CHAVE_PUBLICA_DO_MIKROTIK
Endpoint = SEU_IP_PUBLICO:51820
AllowedIPs = 192.168.1.0/24  # Apenas tráfego do escritório pelo túnel (split tunnel)
PersistentKeepalive = 25

Split tunneling: definindo AllowedIPs = 192.168.1.0/24 (apenas a rede do escritório), o funcionário usa a internet normalmente em casa e só o tráfego para sistemas internos passa pela VPN. Isso melhora a velocidade e não sobrecarrega o link da empresa. Se quiser rotear todo o tráfego pela VPN (mais seguro), use AllowedIPs = 0.0.0.0/0.

Cenário 2: Interligar matriz e filial

Para conectar duas redes de escritórios permanentemente, o processo é o mesmo descrito no artigo Como Configurar VPN WireGuard Site-to-Site no MikroTik. A diferença principal é que aqui ambos os lados têm múltiplos usuários, então é importante configurar as rotas corretamente para que todos os dispositivos de cada lado enxerguem os do outro.

Revogar acesso de um funcionário que saiu da empresa

Uma vantagem crítica do WireGuard sobre VPNs com usuário/senha é que o acesso é controlado por chaves criptográficas. Para revogar o acesso de um funcionário, basta remover o peer correspondente:

# Remover peer do funcionário que saiu
/interface wireguard peers remove \
  [find comment="João - Home Office"]

# Acesso revogado imediatamente — não há senha para trocar

Monitorar quem está conectado

# Ver peers conectados (last-handshake indica atividade recente)
/interface wireguard peers print

# Monitorar tráfego por peer
/interface wireguard peers monitor [find]

Gerencie VPNs de toda a empresa em um painel

O VPN Orchestrator do Mikrosinc provisiona, monitora e revoga acessos WireGuard para todos os funcionários e filiais em um único painel — sem precisar editar configurações manualmente em cada roteador.

Conhecer o VPN Orchestrator

Artigos relacionados

Como Configurar WireGuard Site-to-Site no MikroTik → Hardening MikroTik: Guia Completo de Segurança → Segmentação de Rede com VLANs no MikroTik →