Voltar para todos os tutoriais
Firewall 03 de junho de 2026

Como configurar uma VPN segura com WireGuard no pfSense para trabalho remoto corporativo

Guia completo passo a passo para configurar um túnel VPN ultrarrápido e seguro usando o protocolo WireGuard no firewall pfSense, permitindo conexões remotas de funcionários.

Como configurar uma VPN segura com WireGuard no pfSense para trabalho remoto corporativo

Muitas pequenas e médias empresas ainda expõem portas de serviços internos — como conexões RDP (Remote Desktop/Área de Trabalho Remota) ou painéis de banco de dados e arquivos locais (NAS) — diretamente na internet para que funcionários em home office possam trabalhar. Essa prática é o equivalente digital a deixar a porta da frente da sua empresa destrancada com uma placa indicando onde está o cofre. Cibercriminosos usam varreduras automáticas para identificar essas portas abertas e aplicar ataques de força bruta ou explorar vulnerabilidades para sequestrar servidores em poucas horas.

Para garantir que a comunicação entre os funcionários remotos e a rede da empresa seja totalmente criptografada e segura, a implementação de uma Virtual Private Network (VPN) é obrigatória.

Embora protocolos tradicionais como OpenVPN e IPsec ainda sejam amplamente utilizados, o WireGuard consolidou-se como o novo padrão ouro de mercado. Trata-se de um protocolo extremamente leve, ultrarrápido, moderno e de fácil configuração. Neste guia completo, você aprenderá o passo a passo para configurar um servidor de VPN WireGuard no firewall pfSense para conectar seus usuários remotos com total segurança.

Por que escolher o WireGuard em vez do OpenVPN?

O WireGuard traz melhorias substanciais em relação aos protocolos de VPN de geração anterior:

  • Velocidade e Latência: O WireGuard roda diretamente no espaço do Kernel do sistema operacional, o que reduz drasticamente o consumo de CPU e oferece taxas de transferência próximas à velocidade real do link de internet.
  • Conexão Instantânea: Diferente do OpenVPN, que pode levar de 15 a 30 segundos para negociar certificados criptográficos e estabelecer a conexão, o WireGuard conecta em menos de um segundo.
  • Eficiência de Bateria: Ideal para notebooks e smartphones corporativos, pois não mantém conexões ativas “conversando” em segundo plano quando nenhum dado real está sendo transmitido.
  • Resiliência a Mudanças de Rede: Se um usuário remoto se desconectar do Wi-Fi de casa e migrar para a rede 4G/5G do celular, a VPN WireGuard não cai. Ela restabelece o tráfego de forma transparente e instantânea sem exigir nova autenticação.

Planejamento de Rede da VPN

Antes de iniciarmos a configuração técnica, definiremos o escopo de subredes que utilizaremos:

  • Rede Interna (LAN da Empresa): 192.168.10.0/24 (onde estão os computadores e servidores que os usuários remotos precisam acessar).
  • Subrede do Túnel VPN (WireGuard): 10.6.0.0/24
  • IP do Servidor pfSense na VPN: 10.6.0.1
  • IP do Cliente Remoto (Peer 1): 10.6.0.2
  • Porta de Escuta UDP padrão: 51820 (Esta porta precisará ser liberada na interface WAN).

Passo a Passo para Configurar o WireGuard no pfSense

Passo 1: Instalação e Habilitação do Pacote

Dependendo da versão do seu pfSense (Community Edition ou Plus), o WireGuard já vem integrado ou precisa ser instalado como pacote oficial.

  1. Acesse a interface web do pfSense.
  2. No menu superior, vá em System > Package Manager.
  3. Na aba Available Packages, procure por Wireguard e clique em Install. Confirme a instalação.
  4. Após a instalação bem-sucedida, acesse VPN > WireGuard.
  5. Clique na aba Settings, marque a opção Enable WireGuard e clique em Save.

Passo 2: Criando o Túnel Local (Servidor)

Agora criaremos a interface local do servidor VPN dentro do pfSense.

  1. Ainda em VPN > WireGuard, clique na aba Tunnels e clique em + Add Tunnel.
  2. Preencha as configurações do túnel:
    • Description: VPN_WireGuard_Corp
    • Listen Port: 51820
    • Interface Keys: Clique no botão Generate para gerar automaticamente a chave privada (Private Key) e a chave pública (Public Key) do servidor. (Guarde a chave pública do servidor; você precisará dela para configurar os clientes).
  3. Clique em Save Tunnel.
  4. Agora, vá em Interfaces > Assignments.
  5. Em Available network ports, selecione a interface do WireGuard recém-criada (geralmente tun_wg0 ou tun_wg1) e clique em + Add.
  6. Clique no nome da nova interface criada (ex: OPT1 ou wg0) para editá-la:
    • Enable: Marque Enable Interface.
    • Description: Altere para WIREGUARD_VPN.
    • IPv4 Configuration Type: Selecione Static IPv4.
  7. Role até a seção Static IPv4 Configuration:
    • IPv4 Address: 10.6.0.1 / Netmask: 24.
  8. Clique em Save e em Apply Changes.
+-------------------------------------------------------------+
| pfSense local tunnel details (wg0)                          |
|-------------------------------------------------------------|
| IPv4 Address: 10.6.0.1/24                                   |
| Port: 51820 (UDP)                                           |
| Status: Enabled                                             |
| Keys: Generated (Private/Public)                            |
+-------------------------------------------------------------+

Passo 3: Configurando as Regras de Firewall

Para que o WireGuard consiga receber conexões externas e encaminhar o tráfego para a rede interna, precisamos criar duas regras de firewall cruciais.

Regra 1: Permitir Conexões de Entrada na WAN

Precisamos abrir a porta UDP 51820 na WAN para receber as conexões vindas da internet.

  1. Acesse Firewall > Rules > aba WAN.
  2. Clique em Add (no topo).
  3. Configure a regra:
    • Action: Pass
    • Interface: WAN
    • Address Family: IPv4
    • Protocol: UDP
    • Source: Any (qualquer IP externo, permitindo a conexão de funcionários de qualquer lugar)
    • Destination: WAN Address
    • Destination Port Range: Custom: 51820 to 51820
    • Description: “Permitir conexões de entrada do WireGuard”
  4. Clique em Save.

Regra 2: Permitir Acesso aos Dispositivos Internos (na Interface WireGuard)

Precisamos definir quais recursos os usuários remotos conectados na VPN podem acessar.

  1. Acesse Firewall > Rules > aba WIREGUARD_VPN (ou a aba genérica WireGuard se não tiver atribuído a interface).
  2. Clique em Add.
  3. Configure a regra:
    • Action: Pass
    • Protocol: Any
    • Source: WIREGUARD_VPN net (ou o IP do túnel 10.6.0.0/24)
    • Destination: LAN net (se quiser permitir acesso apenas à rede local padrão. Se quiser acesso irrestrito a todas as VLANs, configure como Any)
    • Description: “Permitir tráfego da VPN para a rede interna LAN”
  4. Clique em Save e depois clique no botão verde Apply Changes no topo da página.

Passo 4: Configurando os Clientes Remotos (Peers)

Diferente de servidores tradicionais de e-mail ou diretório que usam login e senha simples, o WireGuard autentica exclusivamente através de troca de chaves criptográficas de mão dupla. O servidor precisa conhecer a chave pública do cliente, e o cliente precisa conhecer a chave pública do servidor.

No computador do Funcionário (Exemplo: Windows ou macOS):

  1. Baixe e instale o cliente oficial do WireGuard em wireguard.com/install.
  2. Abra o aplicativo e clique na seta ao lado de Add Tunnel > Add empty tunnel….
  3. O programa criará automaticamente as chaves privada e pública do cliente.
  4. Preencha a configuração local do cliente no editor de texto que abrir: 
    [Interface]
PrivateKey = [Chave_Privada_Gerada_No_Cliente]
Address = 10.6.0.2/24
DNS = 10.6.0.1  # IP do pfSense para resolver nomes internos

[Peer]
PublicKey = [Chave_Pública_Gerada_No_pfSense]
Endpoint = ip-publico-da-sua-empresa.com.br:51820  # Ou o IP fixo da WAN
AllowedIPs = 192.168.10.0/24  # Apenas tráfego para a rede interna passará pela VPN (Split Tunneling)
PersistentKeepalive = 25
  5. Copie a Chave Pública (Public Key) exibida no aplicativo do cliente.

Voltando ao pfSense (Registrando o Cliente no Servidor):

  1. Acesse VPN > WireGuard > aba Peers.
  2. Clique em + Add Peer.
  3. Configure o cliente:
    • Tunnel: Selecione o túnel criado (wg0).
    • Description: Nome do funcionário (ex: Notebook_Joao_Financeiro)
    • Public Key: Cole a chave pública que você acabou de copiar do computador do João.
    • Allowed IPs: Defina o IP fixo que o João usará na VPN: 10.6.0.2/32. (Note que usamos a máscara /32 para designar apenas este host individual).
  4. Clique em Save Peer e em Apply Changes.

Agora, basta clicar em Ativar/Conectar no aplicativo cliente do WireGuard no computador do funcionário. O status mudará instantaneamente para ativo e ele conseguirá acessar servidores e serviços internos da empresa como se estivesse fisicamente no escritório.

Erros Comuns e Resolução de Problemas

  • Túnel Conecta, mas não passa tráfego (Sem Handshake): Se você percebe que os dados enviados sobem, mas os recebidos ficam em zero e não há registro de Latest Handshake, o cliente não está conseguindo alcançar o pfSense. Verifique se a porta 51820/UDP está aberta corretamente no firewall física da sua operadora (se o pfSense estiver atrás de um modem de internet em modo bridge/router, você terá NAT duplo e precisará redirecionar a porta no modem).
  • Allowed IPs configurado incorretamente: Se você configurar AllowedIPs = 0.0.0.0/0 no cliente, todo o tráfego de internet do usuário passará pela rede da empresa (Full Tunneling). Isso protege o funcionário em redes públicas de cafés e aeroportos, mas consome muita banda de upload da empresa. Se ele precisa apenas acessar sistemas internos, use AllowedIPs = 192.168.10.0/24 (Split Tunneling).
  • Esquecer do Persistent Keepalive: Como o WireGuard é um protocolo silencioso (não envia pacotes de controle se não houver dados), firewalls domésticos ou roteadores de operadoras podem derrubar a sessão NAT por inatividade. Adicionar a linha PersistentKeepalive = 25 na configuração do cliente garante que a conexão permaneça aberta indefinidamente.

Checklist de Segurança da VPN Corporativa

Monitore e audite regularmente o acesso remoto da sua infraestrutura:

  • A porta padrão 51820/UDP está aberta na WAN apenas para conexões legítimas?
  • Cada funcionário possui um par de chaves próprio e exclusivo configurado (Peers individuais)? (Nunca compartilhe o mesmo arquivo de configuração entre múltiplos usuários).
  • A subrede do túnel VPN (10.6.0.0/24) está isolada de VLANs críticas não autorizadas através de regras de firewall no pfSense?
  • A configuração do cliente utiliza PersistentKeepalive de 25 segundos para evitar quedas silenciosas de NAT?
  • Se a empresa possui IP dinâmico na WAN, foi configurado um serviço de Dynamic DNS (DDNS) confiável no Endpoint do cliente?
  • O DNS fornecido na configuração da VPN aponta para um resolvedor seguro capaz de bloquear consultas maliciosas (ex: DNS interno da empresa com bloqueador de anúncios ou resolvedor do pfSense com pfBlockerNG)?

Como a WL Tech pode ajudar a blindar o trabalho remoto da sua empresa

Configurar conexões VPN estáveis, rápidas e verdadeiramente seguras exige a integração fina de firewalls, roteamento IP avançado, controle de DNS interno e políticas de acesso restritas. Uma brecha em uma regra de permissão ou a exposição inadequada de portas de VPN pode se tornar a porta de entrada para invasões cibernéticas completas.

A WL Tech realiza o projeto, implantação e suporte de infraestruturas seguras para trabalho remoto (home office). Configuramos conexões VPN baseadas em WireGuard ou OpenVPN com controle rígido de acessos a nível de firewall, implementamos autenticação multifator (MFA/2FA) integrada a servidores de diretório (Active Directory/OpenLDAP), e blindamos as bordas da sua rede corporativa contra ataques de varredura externa. Garantimos que sua equipe trabalhe de qualquer lugar do mundo com a mesma segurança e desempenho do escritório físico.

Quer implementar um sistema de VPN rápido, moderno e 100% seguro para a sua equipe remota? A WL Tech projeta e configura toda a estrutura de WireGuard no seu firewall pfSense. Solicite uma avaliação técnica gratuita ou fale com nossos especialistas no WhatsApp.

Tags: pfSense VPN WireGuard segurança da informação home office trabalho remoto criptografia
Voltar para todos os tutoriais

Atendimento WL Tech

Online • Resposta imediata