Configurações de VPN

A tela de Configurações de VPN exibe a configuração WireGuard completa para a conexão de um dispositivo a uma rede específica. As alterações salvas aqui são enviadas ao servidor Nettica e sincronizadas com todos os demais pares da mesma rede, para que saibam como alcançar este dispositivo.

Você deve estar logado e ter direitos de administrador ou proprietário para editar as configurações de VPN de outro dispositivo. Você sempre pode visualizar e editar a configuração do seu próprio dispositivo (sem necessidade de login).

Ativar / Desativar

O botão de alternância no topo da tela ativa ou desativa esta VPN no dispositivo. Quando desativada, o túnel WireGuard é interrompido, mas a configuração permanece intacta. Ative-a novamente para reconectar sem precisar reconfigurar nada.

Apenas uma VPN pode estar ativa por vez em um dispositivo. Ativar uma segunda VPN irá desativar a que está ativa no momento e, em seguida, ativar a nova VPN.

Nome DNS

O nome de host DNS que identifica este dispositivo dentro da rede, por exemplo laptop.home. Deve seguir as regras padrão de nome de host DNS: apenas letras, dígitos e hifens; sem hifens no início ou no final; máximo de 63 caracteres por rótulo. O nome completo pode ter até 253 caracteres.

Endpoint

O endereço IP público e a porta UDP que os outros pares usam para iniciar uma conexão WireGuard com este dispositivo, no formato 263.0.113.1:51820. Endereços IPv6 usam o formato [2001:db8::1]:51820.

Deixe o endpoint em branco se este dispositivo estiver atrás de NAT e se conectar apenas de saída — os pares o alcançarão via pacotes de keepalive.

Detectar Endpoint Automaticamente (ícone de varinha)

Se esta for a VPN do seu próprio dispositivo, um ícone de varinha () aparece à direita do campo Endpoint. Ao tocá-lo:

Consulta https://ip.nettica.com para descobrir seu endereço IP público atual.
Atribui uma porta UDP aleatória no intervalo 30000–60000.
Tenta fazer o encaminhamento de porta NAT-PMP no seu roteador para essa porta.
Preenche o campo Endpoint com o endereço e a porta descobertos.

O NAT-PMP deve estar disponível no seu roteador para o encaminhamento automático de porta funcionar. Se o NAT-PMP não estiver disponível, o endpoint ainda é definido com seu IP público e a porta escolhida — mas você precisará adicionar o encaminhamento de porta manualmente nas configurações do roteador.

O campo de endpoint é somente leitura para VPNs do tipo Serviço (serviços de relay e túnel). O servidor gerencia o endpoint para essas conexões.

Endereço

O endereço IP de VPN deste dispositivo (com prefixo CIDR) dentro da rede VPN, por exemplo 10.0.0.5/32. Múltiplos endereços podem ser inseridos, mas não são recomendados, pois apps móveis suportam apenas um endereço. Suporta IPv4 e IPv6.

Provedor DNS

O(s) servidor(es) DNS usado(s) enquanto esta VPN está ativa. Escolha um provedor predefinido no menu suspenso (Cloudflare, Google, Quad9, etc.) ou digite um endereço IP personalizado ou uma lista de endereços separados por vírgulas diretamente no campo. O valor personalizado é salvo como uma entrada "Personalizado" no menu suspenso.

IPs Permitidos

Os intervalos de IP que são roteados através deste túnel VPN. Valores comuns são:

0.0.0.0/0, ::/0 — roteia todo o tráfego IPv4 e IPv6 através do túnel (modo de túnel completo / serviço de túnel)
10.0.0.0/24 — roteia apenas o tráfego destinado à sub-rede privada da VPN (túnel dividido / modo relay)

Para pares de serviço relay, o servidor preenche isso automaticamente. Para a entrada do seu próprio dispositivo na lista de pares, este campo geralmente contém apenas o seu próprio endereço VPN.

Persistent Keepalive

Com que frequência (em segundos) outros dispositivos enviarão um pacote keepalive para este dispositivo. Isso mantém a sessão WireGuard ativa através de dispositivos NAT e firewalls que fechariam conexões UDP ociosas. Não é necessário definir um keepalive persistente se o dispositivo não estiver configurado como endpoint.

O intervalo recomendado é de 17 a 23 segundos. Um valor 0 desativa os keepalives. Keepalives geralmente são necessários quando este dispositivo está atrás de NAT e precisa que os pares possam iniciar conexões com ele.

MTU

Unidade Máxima de Transmissão em bytes. Defina como 0 para deixar o WireGuard escolher automaticamente (recomendado). Reduza este valor se você observar problemas de fragmentação de pacotes — valores comuns são 1280, 1380 ou 1420 dependendo da sobrecarga da sua rede.

Campos Somente Leitura

Na parte inferior da tela, as seguintes informações são exibidas mas não podem ser editadas:

Sob Demanda — a string de regra sob demanda atual, se configurada (apenas iOS/macOS). Edite pelo ícone de estrela na tela principal.
Apps Incluídos — apps roteados pela VPN quando a VPN por Aplicativo está no modo Incluir (apenas Android).
Apps Excluídos — apps que ignoram a VPN quando a VPN por Aplicativo está no modo Excluir (apenas Android).
Criado / Atualizado — registros de data e hora e a conta que fez cada alteração.

Salvar ou Cancelar

Toque em Salvar para validar todos os campos e enviar as alterações ao servidor Nettica. Um indicador de carregamento aparece durante o salvamento. Em caso de sucesso, uma barra de confirmação aparece e a tela é fechada.

Toque em Cancelar para descartar todas as edições e voltar à tela anterior sem fazer nenhuma alteração.

Se você não tiver direitos de administrador ou não estiver logado, o salvamento pode falhar com uma mensagem de erro.