Interligando Matriz e Filial através de VPN Wireguard e OSPF- Parte 2

Neste segunda parte do artigo, vamos explorar como interligar a rede local da Matriz (172.16.1.0/24) e a rede da Filial (172.16.2.0/24) usando WireGuard para a criação da VPN e o protocolo OSPF (Open Shortest Path First) para o roteamento dinâmico entre as redes.

Aqui está um esboço simples da nossa rede para facilitar o entendimento do planejamento e da execução do projeto.

Estrutura e Configuração do OSPF Matriz

Hoje, vamos configurar o protocolo OSPF (Open Shortest Path First) seguindo as melhores práticas de mercado. Abordaremos desde o planejamento de áreas até a definição de parâmetros de prioridade, métricas e autenticação. Nosso objetivo é garantir uma rede otimizada, escalável e segura para suportar o crescimento com desempenho.

Seguiremos os seguintes passos:

01 – Iremos criar um endereço de loopback para nossa RB da Matriz.
02 – Iremos criar de forma Manual um Router ID com o IP da Loopback.
03 – Iremos fazer as configurações do OSPF.

Vá em IP => Address e clique em +

Iremos adicionar o IP 10.255.255.1 e associar o mesmo a Interface LO que é uma interface de loopback que já existe a partir da versão 7 do Mikrotik.

Dê OK e vamos seguir. Agora vá eu Routing e clique em ROUTER ID. Clique em + .

name: OSPF
ID: 10.255.255.1

Dê OK

Clique em Routing e escolha OSPF

Na guia que aparece escolha a Opção instances e Clique em +

Name: wireguard-ospf
Version: 2
VRF: Main
ROUTER ID: OSPF


Dê OK e clique na Guia => Areas

Clique no Sinal de + e preencha de acordo com a tela a seguir:

Clique na Guia Interface Templates

Nessa guia iremos configurar nossas redes. Siga as configurações de acordo com as telas a seguir:

No MikroTik RouterOS versão 7, dentro do OSPF em Interface Templates, cada campo serve para definir e refinar o comportamento do OSPF em interfaces específicas. Aqui vai uma breve explicação dos principais campos:

  1. Interfaces: Define as interfaces físicas ou lógicas para associar à área OSPF. Cada interface pode herdar as configurações da área atribuída.
  2. Area: Especifica a área OSPF onde a interface vai operar, dividindo o roteamento para melhor escalabilidade e controle de propagação de rotas.
  3. Networks: Determina quais sub-redes devem ser anunciadas ou ouvidas na área OSPF, essencial para o controle de rotas no domínio de roteamento.
  4. Prefix List: Usado para definir quais prefixos (rotas) são permitidos ou negados na interface, facilitando o controle de rotas propagadas.
  5. Interface ID: Identificador único para a interface dentro do domínio OSPF, especialmente útil em cenários com múltiplos links ou roteadores.
  6. Cost: Atribui um custo para a interface, afetando o cálculo da melhor rota, com menor custo sendo preferido.
  7. Priority: Define a prioridade da interface na eleição de um DR (Designated Router), influenciando qual roteador será escolhido como DR ou BDR.
  8. Passive: Quando ativado, faz com que a interface OSPF escute rotas sem participar ativamente do envio de atualizações, útil para interfaces que não precisam anunciar rotas OSPF.

Esses campos oferecem flexibilidade para adaptar o OSPF às necessidades específicas de cada interface na rede.

Clique em + e adicione as configurações conforme a tela abaixo:


Clique em + e adicione as configurações conforme a tela abaixo:


Clique em + e adicione as configurações conforme a tela abaixo:

Agora iremos fazer as mesmas configurações só que no lado da Filial.

Vá em IP => Address e clique em +

Iremos adicionar o IP 10.255.255.2 e associar o mesmo a Interface LO que é uma interface de loopback que já existe a partir da versão 7 do Mikrotik.


Dê OK e vamos seguir. Agora vá eu Routing e clique em ROUTER ID. Clique em + .

name: OSPF
ID: 10.255.255.2

Dê OK

Clique em Routing e escolha OSPF.

Na guia que aparece escolha a Opção instances e Clique em +

Name: wireguard-ospf
Version: 2
VRF: Main
ROUTER ID: OSPF


Dê OK e clique na Guia => Areas.

Clique no Sinal de + e preencha de acordo com a tela a seguir:

Clique na Guia Interface Templates

Nessa guia iremos configurar nossas redes. Siga as configurações de acordo com as telas a seguir:

Clique em + e adicione as configurações conforme a tela abaixo:


Clique em + e adicione as configurações conforme a tela abaixo:


Clique em + e adicione as configurações conforme a tela abaixo:


Clicando na Guia Neighbors podemos validar que a comunicação com a matriz foi fechada com sucesso.


Agora iremos fazer um teste de comunicação entre os computadores da filial e matriz para comprovar a comunicação entre eles.


Com isso finalizamos com sucesso a implementação do OSPF e Wireguard.

Dúvidas podem deixar nos comentários.

Interligando Matriz e Filial através de VPN Wireguard e OSPF- Parte 1

Neste artigo, vamos explorar como interligar a rede local da Matriz (172.16.1.0/24) e a rede da Filial (172.16.2.0/24) usando WireGuard para a criação da VPN e o protocolo OSPF (Open Shortest Path First) para o roteamento dinâmico entre as redes.

Aqui está um esboço simples da nossa rede para facilitar o entendimento do planejamento e da execução do projeto.

Estrutura e Configuração do WireGuard

O WireGuard será responsável por criar o túnel seguro entre a matriz e a filial. Aqui está um exemplo de configuração básica:

Configuração do WireGuard na Matriz (Servidor)

01 – Clique em Wireguard
02 – Clique no Sinal de +
03 – Preencha as informações conforme a Tela abaixo:

obs: Nessa tela temos informações importantes que serão de extrema importância para configuração na Matriz e Filial. Copie para um lugar seguro e salve a Chave pública que foi gerada em Public Key, além disso anote a porta de comunicação do Wireguard em Listen port.

Lado Matriz:
Private Key: WziWcEWblWt/tue2/kIKqbAQu7ojNyz9B25ZdxEBWAs=
Listen Port: 13231

Próximo passo será configurarmos um endereçamento para o nosso Wireguard. Vá em IP => Address e na Tela que se Segue faça exatamente as seguintes configurações:

Address: 10.0.0.1/30
Network: Pode deixar em branco pois será preenchido automaticamente.
Interface: Escolha o nome dado ao criar a Interface do Wireguard. No nosso caso FILIAL-FEIRA-SANTANA.

Nesta primeira etapa, configuramos o servidor WireGuard, mas ainda precisamos criar o peer, que estabelecerá a conexão VPN. Esse passo será concluído após a geração da chave de segurança do lado da filial.

Iremos gerar agora a Chave do lado da Filial.

Configuração do WireGuard na Filial

01 – Clique em Wireguard
02 – Clique no Sinal de +
03 – Preencha as informações conforme a Tela abaixo:

Name: MATRIZ-SALVADOR
Listen Port: 13232

Anote a Public Key gerada na filial:
Public Key: sb50fnNKLm2PJRlWGgwJ6p1yO96y2e8lUrrW4xJSolk=


Próximo passo será configurarmos um endereçamento para o nosso Wireguard. Vá em IP => Address e na Tela que se segue faça exatamente as seguintes configurações:

Address: 10.0.0.2/30
Network: Pode deixar em branco pois será preenchido automaticamente.
Interface: Escolha o nome dado ao criar a Interface do Wireguard. No nosso caso FILIAL-FEIRA-SANTANA.


Agora iremos criar o PEER do lado da FILIAL.

Name: MATRIZ – SALVADOR
Interface: O nome que demos na criação da Interface do Wireguard. MATRIZ-SALVADOR
Public Key: Essa é uma parte importante, iremos colar aqui a chave gerada lá na Matriz.
Endpoint: Aqui iremos colocar o IP público lá de nossa Matriz. (Necessário haver um ip público em um dos lados. Como nosso IP público esta na Matriz nosso servidor Será a matriz, caso o ip público estivesse do lado da filial essa configuração seria invertida por causa do ip público).
Endpoint Port: Aqui iremos configurar a porta do Servidor do Wireguard.
Allowed Address: Aqui, configuraremos apenas as redes específicas que desejamos permitir em nossa conexão. Como uma boa prática de segurança, liberaremos exclusivamente as redes conhecidas e autorizadas.

Apenas para conhecimento:

10.0.0.2/30 – Rede do Túnnel da VPN Wireguard.
172.16.2.0/24 – Rede Interna da Filial
172.16.1.0/24 – Rede Interna da Matriz
224.0.0.0/27 – link-local multicast

No contexto do WireGuard, a faixa de IP 224.0.0.0/27 não é usada diretamente para comunicação entre clientes ou para a configuração tradicional de VPN. Na verdade, esse intervalo de IP faz parte de um bloco reservado para endereços de multicast no IPv4, que compreende o intervalo 224.0.0.0 a 239.255.255.255.

A faixa 224.0.0.0/27 cobre o intervalo de endereços 224.0.0.0 a 224.0.0.31 e é geralmente usada para protocolos de roteamento e serviços de rede que dependem de comunicação multicast, como OSPF (Open Shortest Path First), que é um protocolo de roteamento dinâmico. Esses endereços são definidos para serem “link-local multicast,” ou seja, são destinados a pacotes multicast que não são roteados pela internet ou entre redes locais distintas.

Após as configurações finalize com o OK.

Após essas configurações vamos voltar para o Wireguard do Servidor e configurar o PEER lá.

Name: FILIAL – FEIRA
Interface: O nome que demos na criação da Interface do Wireguard. FILIAL-FEIRA-SANTANA
Public Key: Essa é uma parte importante, iremos colar aqui a chave gerada lá na filial.
Endpoint:  Por ser o servidor não precisamos colocar nada nesse campo.
Endpoint Port: Podemos deixar em branco.
Allowed Address: Aqui, configuraremos apenas as redes específicas que desejamos permitir em nossa conexão. Como uma boa prática de segurança, liberaremos exclusivamente as redes conhecidas e autorizadas.

Apenas para conhecimento:

10.0.0.1/30 – Rede do Túnnel da VPN Wireguard.
172.16.2.0/24 – Rede Interna da Filial
172.16.1.0/24 – Rede Interna da Matriz
224.0.0.0/27 – link-local multicast


Após as configurações finalize com o OK.

Se toda a sua configuração deu certo até aqui podemos fazer um teste de ping para validar a comunicação da VPN entre a Matriz e Filial.

Vá em TOOL => PING


Realize um ping para o IP do túnnel do lado da Filial: 10.0.0.2

Se a sua tela estiver igual a essa, ótimo! O primeiro passo foi concluído com sucesso. No próximo artigo, daremos continuidade configurando o protocolo de roteamento dinâmico OSPF, permitindo que as redes da filial e da matriz se comuniquem.

Aprenda como Interligar Matriz e Filial com Mikrotik Versão 7 usando EOIP

Aprenda como Interligar Matriz e Filial com Mikrotik Versão 7 usando EOIP | Canal Tira Dúvidas Online.

 

Antes de mais nada, é preciso entender que para que uma VPN funcione existe a necessidade do lado dela ter um IP público. Se apenas um dos lados possui o IP público outras opções de VPN podem ser utilizadas como SSTP, L2TP e assim por diante e esse é o grande barato do Mikrotik. Sempre temos mais de uma opção para alguma solução que queremos implementar.

Em nosso laboratório hoje vamos imaginar que tanto nossa MATRIZ como a FILIAL possuem IP público e dentro desse cenário iremos criar uma VPN utilizando o EOIP.

A MATRIZ possui a operadora VIVO e fica em São Paulo, enquanto a FILIAL possui a operadora CLARO e fica no RJ.

Porque fazer uma VPN da Matriz com a Filial?

Eu poderia fazer uma lista enorme, mais a VPN vai facilitar a comunicação com as pessoas e utilização de recursos.

*  Utilização de um Servidor da Matriz pelos Funcionários da Filial.
*  Comunicação de Ramais através de IP sem uso de linhas telefônicas convencionas
*  Imprimir um documento direto em uma impressora na Filial ou Matriz
*  Acesso aos documentos da Rede e compartilhamento desses documentos pelas empresas Matriz e Filial.
*  Entre outros.

Sem mais Delongas vamos ao Passo a Passo para a configuração:

Obs: O Mikrotik já esta devidamente configurado e funcionando com DHCP e seus IP´s privados e não iremos abordar nesse tutorial essas configurações.

Etapas LADO MATRIZ:

• Configuração do EOIP Tunnel com IPSEC.
• Configuração de um IP Local
• Configuração de Rota Estática para Filial

01 – Vamos Acessar o Mikrotik da Matriz com o Winbox.

Após abrir o mesmo clique em Interface => EoIP Tunnel e Clica no Sinal de +.

Na Tela que se abre vamos preencher as seguintes informações:

name: eoip-tunnel-filial
mtu: 1500
Local Address: 192.168.193.135 (É o IP público do lado da Matriz).
Remote Address: 192.168.193.130 (é o IP público do lado da Filial).
Tunnel ID: 100 (esse número você pode escolher o que quiser porém ele deve ser configurado na outra ponta com a mesma numeração.).
Ip Secret: TIRADUVIDAS@2023 (Essa senha deve ser configurada exatamente igual do outro lado. Escolha sempre uma senha forte).

Após dar OK o túnnel ainda não irá funcionar pois precisamos ainda configurar o outro lado. Vamos aproveitar e efetuar todas as configurações da Matriz para depois partir para a Filial.

02 – Agora iremos Criar um IP privado para a comunicação da VPN entre as redes Matriz e Filial.

IP => Address => Clica no sinal de +

Address: 100.90.254.1/30
Network: 100.90.254.0
Interface: eoip-tunnel-filial

Pronto agora dá OK

 

03 – Configuração da Rota Estática.

Agora precisamos configurar de forma manual a rota da Rede da Filial. Precisamos fazer com que o Roteador da Matriz conheça a rede da Filial.

IP => ROUTES => Clica no +
DST Address: 172.16.20.0/24 (Essa é a Rede que meu roteador precisa aprender ).
GATEWAY: 100.90.254.2 (Esse é o IP/Gatway que irá me permitir conhecer a rede acima em comunicação com o roteador da Filial).

Com isso finalizamos a parte da Matriz. Vamos iniciar as configurações do Lado da Filial.

Etapas LADO FILIAL:

• Configuração do EOIP Tunnel com IPSEC.
• Configuração de um IP Local
• Configuração de Rota Estática para Filial

01 – Vamos Acessar o Mikrotik da Filial com o Winbox.

Após abrir o mesmo clique em Interface => EoIP Tunnel e Clica no Sinal de +.


Na Tela que se abre vamos preencher as seguintes informações:

name: eoip-tunnel-Matrix
mtu: 1500
Local Address: 192.168.193.130 (É o IP público do lado da Filial).
Remote Address: 192.168.193.135 (É o IP público do lado da Matriz).
Tunnel ID: 100 (esse número você pode escolher o que quiser porém ele deve ser configurado na outra ponta com a mesma numeração.).
Ip Secret: TIRADUVIDAS@2023 (Essa senha deve ser configurada exatamente igual do outro lado. Escolha sempre uma senha forte).

 

Após dar OK o tunnel foi fechado com sucesso conforme o Running. Vamos aproveitar e efetuar todas as configurações da Filial para as redes se comunicarem.

02 – Agora iremos Criar um IP privado para a comunicação da VPN entre as redes Matriz e Filial.

IP => Address => Clica no sinal de +

Address: 100.90.254.2/30
Network: 100.90.254.0
Interface: eoip-tunnel-Matrix

03 – Configuração da Rota Estática.

Agora precisamos configurar de forma manual a rota da Rede da Matriz. Precisamos fazer com que o Roteador da Filial conheça a rede da Matriz.

IP => ROUTES => Clica no +

DST Address: 172.16.10.0/24 (Essa é a Rede que meu roteador precisa conhecer ).
GATEWAY: 100.90.254.1 (Esse é o IP/Gatway que irá me permitir conhecer a rede acima em comunicação com o roteador da matriz).

 

Configuração finalizada, agora vamos ver se os computadores da filial e matriz conseguem se comunicar.

Observe que tenho um PC da Matriz com IP 172.16.10.254 e que consegue realizar um ping normalmente em um computador da Filial de IP 172.16.20.254.

Observe que tenho um PC da Filial com IP 172.20.10.254 e que consegue realizar um ping normalmente em um computador da Matriz de IP 172.16.10.254.

Qualquer dúvida que possam ter comentem que irei responder a todos com prazer. Agradeço a todos que chegaram até aqui.