VPN e acesso remoto
Como conectar redes remotas ao Ravi Monitor com túneis WireGuard (manualmente ou com configuração automática por IA), gerenciar MikroTiks pelo WinBox direto no navegador e usar o terminal web integrado ao painel.
WireGuard Novo na 7.2 Somente Master
O Ravi Monitor roda num servidor Linux e monitora a rede local do provedor. Quando existem POPs, cidades ou redes remotas atrás de um MikroTik de borda ou de um servidor Debian, o WireGuard cria um túnel VPN criptografado entre o servidor Ravi e essa ponta remota. As sub-redes declaradas como rotas passam a ser alcançáveis pelo túnel, e os equipamentos delas podem ser cadastrados e monitorados por ping, SNMP e SSH como se estivessem na rede local.
A 7.2 traz o gerenciador reformulado: cards com status ao vivo, modo cliente ou servidor, múltiplos peers com rotas individuais, chave pré-compartilhada guardada cifrada e uma blindagem em três camadas contra sequestro de rota e DNS. Os pacotes do WireGuard são instalados automaticamente pela atualização do sistema: o operador não precisa instalar nada no servidor.
Onde fica
- No menu, abra Configurações e vá até a aba Rede.
- Localize o card WireGuard VPN Manager. Se ainda não existe nenhuma VPN, o card mostra a vitrine VPN WireGuard com o botão Acessar WireGuard Manager, que abre o gerenciador.
- Com o gerenciador aberto e sem VPNs cadastradas, aparece o estado vazio Nenhuma VPN configurada com o botão Configurar primeira VPN. Na barra superior há também o botão Adicionar VPN.
Todas as ações do WireGuard (criar, editar, excluir, conectar, desconectar e a configuração por IA) exigem uma conta de nível Master. Contas sem esse nível recebem recusa de acesso.
Conceitos que você vai encontrar na tela
| Conceito | O que significa |
|---|---|
| Modo Cliente | Este Ravi se conecta a um servidor remoto: o Ravi disca para um endpoint (IP público e porta do equipamento remoto). É o modo mais comum. |
| Modo Servidor | Este Ravi recebe conexões: o Ravi escuta numa porta UDP e as pontas remotas discam para ele. Exige porta de escuta válida. |
| IP do túnel (Address) | IP privado que o Ravi terá dentro da VPN, em CIDR (ex.: 10.0.0.2/24). Não é o IP público. Pode ficar em branco para a IA escolher na configuração automática. |
| Peer | O outro lado da VPN: um servidor remoto, um MikroTik ou um cliente. Uma VPN pode ter vários peers, cada um com suas próprias rotas. |
| Rota (CIDR) | Sub-rede do outro lado que você quer alcançar e monitorar pelo túnel. É a rota que define o que trafega no túnel. |
| PSK | Chave pré-compartilhada opcional, uma camada extra de criptografia. Fica armazenada cifrada no servidor. |
| Keepalive | Intervalo em segundos (padrão 25) que mantém o túnel vivo quando a ponta remota está atrás de NAT. |
| Interface | Cada VPN vira uma interface wg<id> no servidor (ex.: a VPN de ID 3 usa a interface wg3). |
Blindagem contra sequestro de rota e DNS
O maior risco de uma VPN mal configurada num servidor de monitoramento é uma rota total (0.0.0.0/0 ou ::/0) entrar no túnel: isso sequestraria a rota padrão e o DNS do servidor, derrubando o monitoramento local e o DNS embarcado. O gerenciador da 7.2 impede esse cenário em três camadas independentes: a rota /0 é recusada já no salvar, a configuração gerada nunca contém rota total nem diretiva de DNS, e o serviço de aplicação revalida tudo e instala apenas rotas por destino, em tabela dedicada, sem tocar na rota padrão do servidor.
- Ao tentar salvar uma rota total, o sistema recusa com a mensagem de que rota total (
/0) não é permitida por segurança do monitoramento. Liste apenas os blocos reais que precisa monitorar. - A porta de escuta
53é proibida no modo servidor, para proteger o DNS embarcado. - Se uma VPN migrada de versão anterior tinha rota total, a rota é removida na migração e o card fica amarelo com o aviso: Esta VPN tinha uma rota total (0.0.0.0/0) que foi removida por segurança. Revise as rotas antes de conectar.
O card de cada VPN
Cada VPN aparece como um card com o nome, um selo de modo (Cliente ou Servidor) e um selo de status: Conectado (verde) ou Desconectado (cinza). O status é honesto: Conectado significa interface ativa e handshake nos últimos 180 segundos. Uma interface de pé com o outro lado morto conta como desconectada.
Além dos selos, o card reúne quatro blocos:
- Dados da interface: a Interface (ex.:
wg1), o IP do túnel, a Porta e, quando conectado, o Tráfego com RX e TX somados de todos os peers. - Seção Peers & Rotas: cada peer exibe o endpoint (ou o início da chave pública), os ícones Editar peer e Excluir peer, as rotas como chips removíveis e o chip verde + rota para adicionar novas.
- Botões de ação: Conectar ou Desconectar, Ver config, Editar, Configurar com IA e Excluir.
- Cor da borda: verde quando a VPN está conectada; amarela quando a blindagem removeu uma rota na migração.
Criar uma VPN manualmente
Os campos da modal Adicionar VPN (na edição, o título muda para Editar VPN):
| Campo | O que preencher |
|---|---|
| Modo de operação | Cartões selecionáveis Cliente ou Servidor (ver conceitos acima). |
| Nome | Identificação amigável da VPN (ex.: "Cidade Norte"). |
| IP do túnel (Address) | Opcional. CIDR privado do Ravi dentro do túnel; em branco, a configuração por IA escolhe automaticamente. |
| Porta de escuta | Padrão 51820. Obrigatória no modo servidor; não pode ser 53. |
| MTU | Padrão 1420, aceito entre 1280 e 1500. |
| Chave privada (opcional) | Em branco, o sistema gera automaticamente. Na edição, o campo vazio preserva a chave existente. |
- Clique em Adicionar VPN. Na modal, escolha o Modo de operação (Cliente ou Servidor) e preencha o Nome (ex.: "Cidade Norte").
- Preencha o campo opcional IP do túnel (Address) com um CIDR privado, ou deixe em branco para a IA escolher depois. Ajuste a Porta de escuta (padrão
51820; obrigatória no modo servidor e nunca53) e o MTU (padrão 1420, entre 1280 e 1500) se necessário. - O campo Chave privada (opcional) pode ficar em branco para o sistema gerar automaticamente. Clique em Salvar.
- No card da VPN, adicione o peer: informe o Nome (opcional), a Chave pública do peer (texto base64 de 44 caracteres), o Endpoint no formato
host:porta(obrigatório no modo cliente; se omitir a porta, o sistema assume 51820), a Chave pré-compartilhada (PSK, opcional) e o Keepalive (s, opcional). Clique em Salvar peer. - Adicione as rotas pelo chip + rota: na modal Adicionar rota, informe o Bloco (CIDR) (ex.:
192.168.10.0/24) e uma Descrição (opcional), e clique em Adicionar. - Clique em Conectar. O sistema aplica a configuração e aguarda alguns segundos pelo resultado: sucesso mostra "Conectada"; erro mostra "Falha:" com o motivo; sem resposta a tempo, o status fica como "Solicitada", pedindo para aguardar e atualizar a tela.
Na edição de uma VPN, deixar o campo Chave privada (opcional) vazio preserva a chave existente. Colar uma chave nova muda a chave pública do Ravi e quebra o pareamento: será preciso atualizar o peer na ponta remota.
Para o handshake fechar, a sub-rede do próprio túnel (ex.: 10.0.0.0/24) precisa estar entre as rotas. Na configuração manual é fácil esquecer esse bloco; na configuração por IA ele é incluído automaticamente.
Ver config: configurar a ponta remota manualmente
O botão Ver config abre uma modal com três abas prontas para copiar e colar na ponta remota:
- Configuração Cliente: o arquivo
.confdo lado Ravi, utilizável comwg-quick up. - Comandos MikroTik: a sequência de comandos RouterOS pronta.
- Configuração Linux: o
.confacompanhado do comando para habilitar o serviço num Linux remoto.
Se o sistema gerou as chaves do servidor automaticamente, a modal exibe um aviso único com o botão Copiar Chave Privada do Servidor. A chave privada só é exibida nessa ocasião: copie e guarde na hora, pois ela não será mostrada novamente.
Desconectar e excluir
Desconectar pede a confirmação "Desconectar esta VPN?". As exclusões também pedem confirmação: excluir a VPN remove todos os seus peers e rotas; excluir um peer remove as rotas dele. Criar, editar, conectar e desconectar VPNs geram entradas no Histórico de ações.
Comportamento após reinicialização e migração
Não há reconexão automática agendada: quem religa a interface é a ação no painel (ou a reaplicação automática após a migração de versão). Depois de um reboot do servidor Ravi, confira no card se a VPN voltou ao status Conectado e reconecte pelo painel se necessário.
Na atualização de versões anteriores, as VPNs do modelo antigo (com um único peer) são migradas automaticamente para o modelo novo, com peers e rotas individuais. Rotas totais não migram (o card fica amarelo com o aviso de rota removida), e as VPNs que estavam ativas e continuaram válidas são reaplicadas automaticamente sob a blindagem nova.
Limites e boas práticas
- Limite interno de 64 peers e 64 rotas por VPN.
- Use blocos de rota o mais específicos possível: a rota define o que trafega no túnel e o que pode ser monitorado.
- PSK é opcional, mas recomendável em links pela internet.
- Em MikroTik, prefira a configuração por IA (backup automático e validação ao final). Guarde o backup da sessão se for alterar algo depois.
Solução de problemas
| Sintoma | Causa provável e o que fazer |
|---|---|
| Selo fica Desconectado mesmo após conectar | Sem handshake nos últimos 180 segundos. Confira o endpoint (IP público e porta do equipamento remoto, nunca o IP do Ravi), a liberação da porta UDP no firewall remoto e o pareamento das chaves (a chave pública de um lado deve corresponder à chave privada do outro). |
| Handshake nunca fecha após configuração manual | A sub-rede do túnel precisa estar entre as rotas (ex.: 10.0.0.0/24). Adicione o bloco do túnel às rotas do peer. |
| Erro de rota total não permitida | Comportamento intencional da blindagem. Cadastre apenas os blocos reais que precisa monitorar. |
| Card amarelo com aviso de rota removida | A VPN migrada tinha rota 0.0.0.0/0, removida por segurança. Revise e adicione as rotas corretas antes de conectar. |
| Erro de porta de escuta inválida no modo servidor | A porta 53 é reservada ao DNS embarcado. Escolha outra porta UDP. |
| Editei a VPN e o túnel parou de parear | Uma chave privada nova foi colada e a chave pública do Ravi mudou. Atualize o peer na ponta remota, ou deixe o campo vazio na edição para preservar a chave. |
| Erro indicando que o WireGuard não está instalado | Pacote ausente no servidor. Rode a atualização do sistema, que instala os pacotes automaticamente. |
Configuração remota por IA Novo na 7.2 Somente Master
O botão Configurar com IA, no card da VPN, é o caminho recomendado para quem não domina WireGuard: uma IA acessa o equipamento remoto por SSH ao vivo e faz toda a configuração da ponta remota (MikroTik RouterOS ou servidor Debian), com o operador acompanhando cada comando em tempo real. O recurso exige que o serviço de IA do Ravi esteja disponível.
Passo a passo
- No card da VPN, clique em Configurar com IA. Abre a modal Configurar VPN com IA, com o resumo: a IA acessa o equipamento e o Ravi ao vivo, faz backup (MikroTik), aplica a VPN e valida, e você acompanha cada comando.
- Informe as credenciais do equipamento remoto: Tipo de equipamento (
MikroTik RouterOSou Servidor Debian), Host / IP do equipamento, Usuário SSH, Porta (padrão 22) e Senha SSH. A credencial é gravada criptografada no servidor. - Clique em Iniciar configuração. Se faltar algum dado, o sistema avisa: "Informe host, usuário e senha.".
- Acompanhe a execução em dois terminais lado a lado: Servidor Ravi (o que a IA executa no próprio Ravi) e Equipamento remoto (a sessão SSH no MikroTik ou Debian). Uma faixa de status indica o andamento (amarelo executando, verde concluído, vermelho erro) e marca quando o backup foi feito.
- Leia a caixa Raciocínio:, onde a IA explica em texto o que está fazendo a cada passo.
- Se a IA precisar rodar um comando sensível (reset, reboot, remoção de interface ou usuário, exclusão de arquivos), aparece o alerta A IA quer executar um comando sensível: com o comando exato e os botões Aprovar e Recusar. Sem resposta em 5 minutos, o comando é recusado automaticamente.
- Ao final, a tela mostra o resumo do que foi feito. Em caso de sucesso, a página recarrega e a VPN aparece conectada. O botão Fechar encerra o acompanhamento.
O que a IA garante
- Backup obrigatório antes de tudo: em MikroTik, backup binário mais export da configuração; em Debian, cópia compactada da configuração de VPN existente. Se o backup falhar, ela não prossegue com nenhuma mudança.
- Trabalha em passos pequenos e inspeciona o que já existe antes de criar qualquer coisa.
- Adota túnel existente: se já houver um túnel deste Ravi no equipamento, ela reaproveita porta e sub-rede e apenas atualiza o pareamento do peer, sem recriar nem abortar por conflito.
- Escolhe o IP do túnel quando o campo IP do túnel (Address) ficou em branco: uma sub-rede privada /24 sem conflito, com o equipamento terminando em .1 e o Ravi em .2.
- Abre a porta UDP no firewall da ponta remota quando necessário.
- Aplica a configuração no Ravi, conecta e valida o resultado com handshake e ping.
- Inclui automaticamente a sub-rede do túnel nas rotas permitidas, o que evita o caso clássico de handshake que nunca fecha.
- Se a ponta remota for outro servidor Ravi, a IA cadastra a VPN no gerenciador dele em modo Servidor, sem editar arquivos de configuração manualmente.
- Toda a sessão fica registrada, com linha do tempo de eventos e entrada no Histórico de ações.
A sessão de configuração usa um token de uso único com validade de 15 minutos e roda apenas dentro do próprio servidor, sem exposição externa. Se a IA informar que não pode confirmar o dono de um peer existente, é uma proteção: ela só reconfigura peers comprovadamente deste Ravi. Nesse caso, confirme o túnel manualmente no equipamento.
Sessões longas não caem mais e instabilidades momentâneas do serviço de IA geram novas tentativas automáticas, com aviso no painel de raciocínio.
WinBox no navegador Novo na 7.2
O WinBox 4, cliente oficial da MikroTik em versão Linux nativa, roda dentro do painel do Ravi, numa modal, sem instalar nada na máquina do técnico. É a forma prática de gerenciar MikroTiks de qualquer lugar em que o painel esteja acessível.
Cada usuário tem o seu próprio ambiente isolado: os acessos e senhas salvos no WinBox ficam guardados só para aquele usuário e sobrevivem entre sessões. Não há acesso cruzado entre usuários. O ambiente nunca é exposto por URL pública: o acesso só acontece com sessão válida do painel, verificada a cada requisição.
Como habilitar e usar
- No menu do avatar, abra Perfil e localize o card WinBox.
- Ligue a chave Habilitar WinBox. O card explica: habilita o acesso rápido aos seus MikroTik direto pelo painel, num botão no topo, com os acessos e senhas salvos guardados só para você.
- Com a opção ligada, aparece um botão redondo com o logo da MikroTik no topo do painel, ao lado do alternador de tema.
- Clique no botão para abrir a modal do WinBox, que ocupa a maior parte da janela. Um preloader aparece enquanto o ambiente sobe. Feche pelo botão de fechar ou pela tecla
ESC. - Dentro da modal é o WinBox real: adicione roteadores, salve acessos e abra sessões normalmente. Copiar e colar funciona, e o tema claro ou escuro acompanha o tema atual do painel.
Primeiro uso
Os requisitos do recurso são instalados automaticamente pela atualização do sistema. A imagem do ambiente (cerca de 2,4 GB) é preparada em segundo plano logo após a atualização, para que o primeiro clique seja instantâneo. Essa preparação exige internet de saída no servidor, pois o WinBox é baixado do site da MikroTik (o binário não é distribuído junto, por licença). Se a imagem ainda não existir no primeiro clique, o sistema a constrói na hora e o primeiro uso pode demorar alguns minutos.
Se precisar acompanhar essa preparação inicial, o andamento fica registrado no servidor em /var/log/winbox-build.log. Uma trava interna impede preparações simultâneas.
Comportamento automático
- Ambientes ociosos há mais de 10 minutos (modal fechada) são desligados automaticamente para liberar memória. Os dados persistem: ao reabrir a modal, o ambiente religa em segundos com os acessos salvos intactos.
- Se o ambiente voltar de um reboot em estado ruim, o sistema o recria sozinho preservando os dados: senhas e endereços salvos não se perdem.
Os acessos salvos no WinBox ficam armazenados no servidor Ravi, no espaço do usuário. Trate o servidor como um ativo sensível. Em servidores com pouca memória, evite deixar muitas modais do WinBox abertas ao mesmo tempo.
Solução de problemas
| Sintoma | Causa e ação |
|---|---|
| Botão do WinBox não aparece no topo | A opção Habilitar WinBox está desligada no Perfil daquele usuário. |
| Preloader demorado na primeira abertura | A imagem ainda está sendo preparada (primeiro uso sem a preparação em segundo plano concluída). Confira se o servidor tem internet de saída e aguarde alguns minutos. |
| Tela preta ou congelada ao reabrir depois de um tempo | O ambiente ocioso foi desligado; o sistema detecta e recarrega sozinho ao reabrir a modal. Se persistir, feche e abra a modal novamente. |
| Erro de acesso negado por sessão inválida | A sessão do painel expirou. Faça login novamente. |
| WinBox abriu no tema errado | O tema sincroniza na abertura da modal. Depois de trocar o tema do painel, feche e reabra a modal. |
Terminal web Novo na 7.2
O terminal web é um painel que desliza sobre a tela com um shell real, direto no navegador. Foi reformulado na 7.2 com uma engine mais rápida (conexão em tempo real, em vez do mecanismo antigo por atualizações periódicas) e com token de uso único a cada abertura. A migração do terminal antigo para o novo acontece automaticamente na atualização do sistema.
Use o terminal para diagnósticos rápidos sem sair do painel: verificar um serviço, testar conectividade a partir do servidor ou acessar um equipamento por SSH.
Ele tem dois usos:
- Terminal do servidor Ravi: item Terminal no menu superior (no desktop aparece como
<_; no menu do celular, como "Terminal"). Fecha pelo botão Fechar. - Terminal SSH de um dispositivo: no menu de contexto do dispositivo, o item Terminal SSH abre uma sessão SSH direto no equipamento, usando as credenciais SSH cadastradas no dispositivo (próprias ou herdadas do padrão do sistema). Veja também Terminal SSH do dispositivo.
Quem pode usar
| Perfil | Terminal do servidor | Terminal SSH de dispositivo |
|---|---|---|
| Master | Shell root no servidor Ravi | Sim |
| Admin | Shell limitado (usuário sem privilégios de root) | Sim |
| Simples | Não (mensagem de falta de permissão) | Não |
O item Terminal do menu só aparece para contas que não são do nível Simples e quando o sistema está com o plano ativo.
O terminal do Master é root de verdade no servidor de monitoramento. Restrinja quem tem conta Master. As sessões do terminal não passam pelo histórico de auditoria do painel: ações feitas ali não geram trilha no sistema.
Segurança: token de uso único
A cada abertura, o painel gera um token aleatório válido para aquela sessão. O terminal consome o token imediatamente e ele não pode ser reutilizado: colar uma URL antiga do terminal (ou uma URL sem token) cai na tela de login do sistema operacional, nunca num shell aberto. O serviço do terminal escuta apenas dentro do próprio servidor, sem exposição direta.
Detalhes de uso
- No celular e no tablet, o terminal abre sem o banner de boas-vindas (que quebraria a tela pequena) e com fonte menor.
- O banner de boas-vindas aparece uma única vez por sessão: a 7.2 corrigiu a duplicação que ocorria em algumas aberturas.
- O fundo do terminal é escuro e translúcido sobre o painel, tanto no tema claro quanto no escuro.
- No terminal SSH de dispositivo, se a opção de herdar credenciais do pai estiver marcada, valem o usuário, a senha e a porta padrão do sistema.
Solução de problemas
| Sintoma | Causa e ação |
|---|---|
| Terminal só mostra "login:" e pede usuário | Token ausente ou expirado (URL reaproveitada), ou servidor ainda com o terminal antigo. A atualização da 7.2 migra automaticamente para o novo terminal; rodar a atualização resolve. |
| Terminal fica "reconectando" e não abre | Configuração de proxy web desatualizada. Regenerar a configuração pelo próprio sistema ou pela atualização resolve. |
| Terminal SSH não conecta no dispositivo | Credenciais SSH do dispositivo erradas ou ausentes, ou a herança do padrão do sistema está ligada com o padrão desatualizado. Confira as credenciais no cadastro do dispositivo. |
| Usuário Simples clica e vê aviso de permissão | Comportamento esperado: o terminal não está disponível para contas do nível Simples. |