O Poder da VPN Site-to-Site
No cenário empresarial moderno, a conectividade segura entre diferentes unidades geográficas é um pilar fundamental para a continuidade dos negócios e a eficiência operacional. É aqui que as Redes Privadas Virtuais (VPNs) do tipo Site to Site L2TP/IPSec (Ponto-a-Ponto) se destacam.
Uma VPN Site-to-Site L2TP/IPSec estabelece um túnel de comunicação criptografado e persistente entre duas redes locais (LANs) distintas, como a matriz de uma empresa e suas filiais. Diferentemente das VPNs de Acesso Remoto (Client-to-Site), que conectam um usuário individual à rede corporativa, a Site-to-Site conecta roteadores ou gateways de rede, permitindo que todos os dispositivos em ambas as redes se comuniquem como se estivessem na mesma localização física.
Vantagens da VPN Site-to-Site
A implementação de uma VPN Site-to-Site oferece benefícios cruciais para a infraestrutura de TI:
| Vantagem | Descrição |
| Segurança Reforçada | Todo o tráfego entre as redes é criptografado, protegendo dados sensíveis contra interceptação em redes públicas (Internet). |
| Comunicação Transparente | Permite o acesso a recursos de rede (servidores, impressoras, sistemas) em qualquer local, de forma transparente para o usuário final. |
| Redução de Custos | Elimina a necessidade de linhas dedicadas caras (como MPLS), utilizando a infraestrutura de Internet existente. |
| Escalabilidade | Facilita a adição de novas filiais à rede corporativa de forma rápida e eficiente. |
Premissa: Servidor VPN L2TP/IPsec (Matriz)
Para que a Filial possa se conectar, o roteador Mikrotik da Matriz deve estar previamente configurado como um servidor L2TP/IPsec.
IMPORTANTE: Este artigo assume que o Mikrotik da Matriz já está configurado como Servidor L2TP/IPsec, seguindo um tutorial base “Configurando L2TP IPSec no MikroTik com IP Cloud“.
Abaixo, um resumo das configurações de rede que serão utilizadas como exemplo:
| Localização | Função | Endereço de Rede Local (LAN) | Endereço IP do Servidor VPN (Matriz) | Pool de IPs VPN |
| Matriz | Servidor VPN | 192.168.1.0/24 | IP Público (ou IP Cloud) | 10.10.0.0/24 |
| Filial | Cliente VPN | 192.168.2.0/24 | – | – |
O IP que o Mikrotik da Filial receberá do Pool da Matriz será o 10.10.0.2.
Configuração do Cliente VPN L2TP/IPsec (Filial)
Configurar a Interface L2TP Client (Filial)
Este procedimento cria o túnel VPN de saída no roteador da Filial, conectando-o ao servidor da Matriz.
Abra o WinBox e conecte-se ao roteador MikroTik da Filial (Cliente).
- No menu lateral, clique em PPP.
- Clique em New (ou no ícone +).
- Selecione a opção L2TP Client.
Na aba General:
- Name: insira um nome de identificação para a VPN (exemplo:
vpn-to-matriz).
Na aba Dial Out:
- Connect To: informe o IP público ou o DNS do IP Cloud da Matriz.
- User: insira o usuário criado em Secrets.
- Password: informe a senha configurada para o usuário VPN.
- Profile: selecione default-encryption (ou outro perfil, se aplicável).
- Use IPSec: marque esta opção para habilitar o uso de IPSec.
- IPSec Secret: digite o mesmo PSK (pré-shared key) configurado no servidor da Matriz.
- Add Default Route: não habilite esta opção, para evitar que todo o tráfego da Filial seja roteado pela VPN.
Por fim, clique em OK para salvar as configurações.
A interface vpn-to-matriz deve aparecer como R (Running) se a conexão for bem-sucedida.
Configurar Roteamento Estático (Filial)
Para que os dispositivos na rede da Filial (192.168.2.0/24) possam acessar a rede da Matriz (192.168.1.0/24), é necessário adicionar uma rota estática.
Confira o artigo “Roteamento Estático em Mikrotik: Guia Completo com Winbox”, que apresenta passo a passo como configurar o roteamento estático de forma simples e eficiente, mas a seguir apresentaremos o caminho principal de forma resumida.
No Mikrotik da Filial (Cliente):
- Vá em IP > Routes.
- Na janela Route List, clique no botão New (ou no ícone +).
| Parâmetro | Valor |
| Dst. Address | 192.168.1.0/24 (Rede de destino — representa a LAN da Matriz) |
| Gateway | vpn-to-matriz (Interface VPN utilizada para a conexão com a Matriz) |
Clique em OK.
Configurar Roteamento Estático (Matriz)
O Mikrotik da Matriz precisa saber como enviar o tráfego de volta para a rede da Filial (192.168.2.0/24).
No Mikrotik da Matriz (Servidor):
- Vá em IP > Routes.
- Clique no ícone +.
| Parâmetro | Valor |
| Dst. Address | 192.168.2.0/24 (Rede de destino — representa a LAN da da Filial) |
| Gateway | l2tp-ewerton (Interface VPN utilizada para a conexão com a Filial) |
Clique em OK.
Ajustes de Firewall (Matriz e Filial)
É fundamental garantir que o tráfego entre as redes locais não seja bloqueado pelo Firewall após o estabelecimento do túnel.
No Mikrotik da Matriz (Servidor):
Vá em IP > Firewall.
Na aba “Filter Rules”, serão exibidas todas as regras de filtro já existentes (caso haja alguma).
Para criar uma nova regra no Firewall do MikroTik, clique no botão “New” ou no ícone “+” (sinal de adição) para abrir a janela de configuração da nova regra.
Na aba General:
- Comment: insira um comentário descritivo para facilitar a identificação da regra.
- Adicione uma regra no campo Chain forward para aceitar o tráfego da rede VPN (Src. Address – 10.10.0.0/24) para a rede local da Matriz (Dst Address – 192.168.1.0/24).
- Action: selecione a opção accept.
- Agora adicione uma regra no campo Chain forward para aceitar o tráfego da rede local Matriz (Src. Address – 192.168.1.0/24) para a rede local da VPN (Dst Address – 10.10.0.024).
Action: selecione a opção accept.
No Mikrotik da Filial (Cliente):
Vá em IP > Firewall.
Na aba “Filter Rules”, clique no botão “New” ou no ícone “+” (sinal de adição) para abrir a janela de configuração.
Na aba General:
- Comment: insira um comentário descritivo para facilitar a identificação da regra.
- Adicione uma regra no campo Chain forward para aceitar o tráfego da rede VPN (Src. Address – 10.10.0.0/24) para a rede local da Filial (Dst Address – 192.168.2.0/24).
Action: selecione a opção accept.
- Agora adicione uma nova regra no campo Chain forward para aceitar o tráfego da rede Filial(Src. Address – 192.168.2.0/24) para a rede VPN (Dst Address – 10.10.0.0/24).
- Action: selecione a opção accept.
Conclusão: Conectividade Segura e Eficiente com VPN Site-to-Site L2TP/IPSec
A configuração de uma VPN Site-to-Site L2TP/IPsec no Mikrotik, seguindo o modelo Matriz-Filial, é uma solução robusta e econômica para interligar redes corporativas. Ao garantir que o servidor (Matriz) esteja corretamente configurado e que o cliente (Filial) utilize a interface L2TP Client com as rotas estáticas e regras de Firewall adequadas, é possível criar um ambiente de rede unificado e seguro, essencial para o sucesso de qualquer empresa com múltiplas localizações.
Não perca nenhuma novidade! Clique no link abaixo e faça parte do nosso canal no WhatsApp para receber artigos, reviews e notícias exclusivas sobre Mikrotik em primeira mão.
👉 https://whatsapp.com/channel/0029Va4pJbu47Xe79TIBxo1G
Conheça o blog EMNews e fique por dentro das últimas novidades, análises e tendências do mundo da tecnologia e telecomunicações!
Garanta já o seu roteador MikroTik ideal para servidor L2TP/IPSec para Site-to-Site e eleve a segurança da sua rede, com a confiança e praticidade de comprar pelo Mercado Livre! 🚀🔒
| Image | Produto | Especificações | Compra |
 | hAP ac3 | ARM 32bit, CPU | |
 | RB1100x4 | ARM 32bit, CPU 1.4 GHz, RAM 1 GB e HD 128 MB | |
 | Mikrotik Routerboard Rb5009ug+s+in | ARM 64 bits, CPU |