Configurar servidores VPN por agente (VPN direta)

Uma VPN direta de instalação é um túnel dedicado entre o Mirox-Agent de uma única instalação e o próprio router dessa instalação — a ferramenta certa quando uma instalação já executa a sua própria VPN, ou quando pretende que a Mirox aloje uma VPN para a qual o router da instalação se liga. Ao contrário da VPN pessoal, que dá a cada utilizador um perfil que alcança todas as instalações autorizadas, uma VPN direta é um túnel de infraestrutura por instalação que configura uma vez e sobre o qual circula todo o tráfego da equipa para essa instalação.

As VPNs diretas são configuradas a partir da página Rede de uma instalação, no separador VPN do local.

Abrir na Mirox

Abra o separador VPN do local da instalação. Na aplicação, é a página Rede da instalação, separador VPN do local.

Quando usar uma VPN direta

Recorra a uma VPN direta quando a conectividade da instalação não se enquadra no modelo padrão de VPN pessoal:

  • O router da instalação já aloja o seu próprio servidor VPN. Tem um ficheiro de configuração (WireGuard .conf) ou um perfil OpenVPN (.ovpn) e quer que a Mirox se ligue a ele.
  • O router da instalação só consegue iniciar ligações para o exterior, não aceitar ligações de entrada. A Mirox aloja o endpoint VPN e o router liga-se a ele.
  • Quer um túnel sempre ativo para toda a instalação em vez de cada utilizador transportar um perfil pessoal.

Para o trabalho técnico diário em várias instalações — abrir interfaces web de dispositivos, executar ferramentas de diagnóstico — a VPN pessoal e o Proxy do navegador são normalmente a melhor opção. A tabela abaixo resume a distinção; a comparação completa encontra-se na página da funcionalidade VPN.

FerramentaO que éQuem a configura
VPN pessoalUm perfil pessoal que alcança todas as instalações para as quais está autorizadoCada utilizador, dentro das suas permissões
VPN direta (este guia)Um túnel por instalação entre o agente da instalação e o seu routerUm Moderador ou Administrador da organização da instalação
Proxy do navegadorAbrir a interface web de um dispositivo a partir do navegador, sem instalar clienteO operador da instalação

As duas direções

Uma VPN direta pode funcionar numa de duas direções. O assistente de configuração pergunta isto primeiro, em Onde fica o servidor VPN?

Nota: as linhas tracejadas indicam a direção da ligação — só uma direção se aplica por VPN direta.

  • Ligação de saída — a Mirox liga-se ao router da instalação. O router da instalação executa o seu próprio servidor VPN; o Mirox-Agent liga-se como cliente. Escolha esta opção quando já tiver um ficheiro de configuração ou credenciais para a VPN do router.
  • Alojado aqui — o router da instalação liga-se à Mirox. A Mirox executa o servidor VPN. O endpoint, a porta e os certificados são gerados pela Mirox e entregues para serem carregados no router da instalação. Escolha esta opção quando o router consegue iniciar ligações para o exterior mas não consegue aceitar ligações de entrada.

Ambas as direções suportam WireGuard e OpenVPN (UDP ou TCP). Para OpenVPN pode adaptar as definições de um router mais antigo (cifra, resumo de autenticação, versão TLS mínima, compressão) para que mesmo firmware legado consiga ligar-se.

Antes de começar

Quem pode configurar VPNs diretas

O separador VPN do local é visível para Technical Manager ou superior na instalação (incluindo Operador). Criar, editar ou eliminar uma VPN direta requer um Moderador ou Administrador da própria organização da instalação. As funções inferiores, e os utilizadores que alcançam a instalação através de uma cooperação, veem os túneis configurados mas não os podem alterar. O acesso segue o sistema de permissões.

Tenha à mão:

  • A direção de que precisa (de saída vs. alojada), com base no que o router da instalação suporta.
  • Para a direção de saída: o ficheiro de configuração VPN do router (.conf ou .ovpn), ou o endereço do endpoint e as chaves para introduzir manualmente.
  • A(s) subrede(s) da instalação atrás do router que pretende alcançar — os intervalos de rede locais (CIDRs) onde se encontram os inversores, loggers e outros dispositivos.

Adicionar uma VPN direta

  1. Abrir na Mirox: abra o separador VPN do local da instalação — a página Rede da instalação, separador VPN do local.
  2. Clique em Adicionar VPN direta. Abre-se um assistente curto.
  3. Escolha a direçãoA Mirox liga-se ao Park-Router (de saída) ou O Park-Router liga-se à Mirox (alojada).
  4. Definições básicas — dê um nome ao túnel e uma descrição opcional, e escolha o protocolo (WireGuard ou OpenVPN). Para um servidor OpenVPN alojado pode também escolher UDP ou TCP e, em Avançado, adaptar as definições criptográficas de um router legado.
  5. Detalhes da ligação(apenas de saída) carregue o ficheiro .conf/.ovpn do router, ou mude para introdução manual e escreva o endpoint e as chaves. Para uma VPN alojada não há nada a introduzir aqui; a Mirox aprovisiona o endpoint e as chaves.
  6. Subrede da instalação — adicione o(s) intervalo(s) de rede local alcançáveis atrás do router. A plataforma valida cada intervalo e bloqueia qualquer um que colida com o intervalo de túnel reservado, uma rota de VPN da organização, ou outra VPN direta na mesma instalação.
  7. Rever e aplicar — confirme o resumo e clique em Aplicar.

Guarde imediatamente as credenciais da VPN alojada

Quando cria uma VPN alojada, a Mirox gera o certificado e a chave de que o router da instalação precisa para se ligar, e mostra-os apenas uma vez. Transfira-os e carregue-os no router antes de fechar a caixa de diálogo — não podem ser recuperados mais tarde. Se os perder, elimine e recrie o servidor.

Assim que o túnel estiver ativo, os dispositivos nas subredes da instalação configuradas tornam-se alcançáveis, e qualquer deteção de dispositivos de rede que execute na instalação passa a percorrê-lo.

A rota predefinida nunca é permitida

Uma VPN direta nunca transporta uma rota 0.0.0.0/0 de "enviar tudo". Liste sempre as subredes explícitas da instalação que pretende alcançar. Se carregar uma configuração que contenha uma rota predefinida, a plataforma remove-a e pede-lhe que adicione os intervalos específicos.

Gerir uma VPN direta existente

Cada VPN direta aparece como um cartão no separador VPN do local, marcada como Servidor (alojada) ou Cliente (de saída), com uma barra de ligação em tempo real e um indicador de tráfego. Abra o menu ... do cartão para:

  • Editar — alterar o nome, a descrição, as subredes, o endpoint ou as chaves.
  • Reiniciar VPN — reciclar o túnel sem alterar a sua configuração; útil após uma alteração de definições ou uma queda transitória.
  • Abrir registos — ver os registos de ligação recentes do túnel para diagnosticar um problema.
  • Diagnosticar(apresentado quando o túnel está atualmente desligado) executar uma verificação guiada que sugere o que corrigir.
  • Eliminar / Desativar — remover o túnel.

Gerir as subredes da instalação

As subredes que uma VPN direta encaminha são o que torna os dispositivos da instalação alcançáveis. Adicione ou remova intervalos a partir da vista Editar da VPN a qualquer momento. Remover uma subrede que ainda tem dispositivos de rede atrás dela deixa esses dispositivos sem rota — a caixa de diálogo de eliminação avisa-o e lista quais os dispositivos afetados, para que os possa reatribuir a outro túnel primeiro.

VPN alojada: ligar clientes

Uma VPN alojada pode aceitar dois tipos de ligações, ambas geridas sem sair da instalação:

  • Ligações de local — o próprio router da instalação (ou outro local fixo) a ligar-se e a anunciar as subredes da instalação. O primeiro cliente de local é criado automaticamente quando configura uma VPN alojada.
  • Ligações de utilizador — pessoas individuais a ligarem-se ao mesmo servidor alojado. Estas estão listadas no separador VPN de utilizador à parte, onde pode adicionar um utilizador, entregar-lhe o seu perfil de utilização única e remover o seu acesso mais tarde.

Desativar um servidor alojado é destrutivo

Eliminar uma VPN alojada remove o servidor e todos os clientes que se ligam — tanto locais como utilizadores. As suas configurações existentes deixam de funcionar imediatamente e não podem ser reemitidas; se reativar o servidor mais tarde, todos os clientes têm de ser criados de raiz.

Funcionalidades relacionadas

  • Usar a VPN — o perfil de VPN pessoal, por utilizador, que alcança todas as instalações para as quais está autorizado
  • Usar o Proxy — abrir a interface web de um dispositivo no navegador sem um cliente VPN
  • Gerir dispositivos de rede — descobrir e monitorizar os dispositivos alcançáveis através de um túnel
  • VPN (funcionalidade) — como diferem os tipos de VPN e como funcionam o encaminhamento e a auditoria
  • Inspetor de rede local — verificações de alcançabilidade da rede da instalação a partir da plataforma
  • Registo de auditoria de acessos — o registo de auditoria que cobre todo o acesso remoto
MIT Licensed | Copyright 2026 Mirox Verwaltungs GmbH