Redes · Router · DrayTek · Vigor · VPN · IPsec · Firewall · NAT · QoS · Wireless

Duarte Spínola · 25 de Junho de 2026

DrayTek Vigor 2026: Configuração Completa do Router para PME

O DrayTek Vigor é um dos routers mais populares em PME portuguesas, conhecido pela robustez do firmware DrayOS, suporte nativo para VPN IPsec e SSL, e funcionalidades empresariais como multi-WAN com load balancing, VLANs por porta e QoS granular. Ao contrário de routers consumer (TP-Link, ASUS), o Vigor expõe configurações avançadas que permitem segmentar redes, gerir múltiplas ligações internet e construir túneis VPN site-to-site sem hardware adicional. Este guia cobre as principais configurações que um sysadmin de PME precisa de dominar: WAN e multi-WAN, LAN e VLANs, firewall, NAT, VPN IPsec, QoS, wireless e gestão remota. Todos os passos aplicam-se ao DrayOS 5 (Vigor 2865, 2927, 2960, 3900, 3912), com notas onde os modelos diferem. As fontes oficiais estão referenciadas inline ao longo do texto (DrayTek Knowledge Base, DrayTek Resources).

Neste artigo

  1. Entender a Arquitectura do DrayTek Vigor
  2. Pré-requisitos e Acesso ao Router
  3. Passo 1 — Configurar WAN e Multi-WAN com Load Balancing
  4. Passo 2 — Configurar LAN, VLANs e DHCP
  5. Passo 3 — Firewall Rules e Filtragem de Tráfego
  6. Passo 4 — NAT: Port Forwarding e Virtual Server
  7. Passo 5 — VPN IPsec Site-to-Site entre Dois DrayTek
  8. Passo 6 — QoS e Gestão de Largura de Banda
  9. Passo 7 — Wireless com VLANs Separadas e Guest Network
  10. Erros Comuns de Configuração
  11. Checklist Rápido de Verificação

1. Entender a Arquitectura do DrayTek Vigor

A série DrayTek Vigor abrange vários segmentos:

Modelo Segmento WANs VPN Túneis WLAN VLANs
Vigor 2136 SOHO / pequena PME 2 8 Sim (Wi-Fi 6) 4
Vigor 2865 PME standard 2 16 Sim (opcional) 8
Vigor 2927 PME com multi-WAN 2 32 Não 8
Vigor 2960 PME grande / empresarial 4 50 Não 8
Vigor 3900 Enterprise / ISP 4 200 Não 8
Vigor 3912 Enterprise / SD-WAN 12 500 Não 40

Todos os modelos correm DrayOS — o sistema operativo proprietário da DrayTek. O DrayOS tem uma interface web para configuração gráfica e um CLI acessível por Telnet ou SSH para operações avançadas (DrayTek — Access CLI by Telnet). A interface web é adequada para 90% das configurações; o CLI é usado principalmente para troubleshooting, debugging VPN e configurações que não estão expostas na GUI.

O DrayOS 5 (presente nos modelos recentes como Vigor 2865, 2927, 3912) introduziu Threat Protection (filtragem de URLs e IPs maliciosos), VPN Matcher (ligação automática entre routers mesmo sem IP público fixo) e melhorias em IPv6 (DrayTek — Threat Protection).

Atenção

Nem todas as funcionalidades estão disponíveis em todos os modelos. O Vigor 2136 tem 4 VLANs; o Vigor 3912 suporta 40. Verificar a página do produto em draytek.com/products antes de comprar ou configurar.

2. Pré-requisitos e Acesso ao Router

Antes de iniciar a configuração, é necessário ter acesso ao router. Por defeito, o DrayTek Vigor vem com o IP 192.168.1.1 e a password predefinida admin (sem username, ou username admin consoante o modelo).

Acesso web:

  1. Ligar um computador ao router via cabo Ethernet (porta LAN1)
  2. Configurar o computador para receber DHCP (ou IP estático na range 192.168.1.x)
  3. Abrir o browser e navegar para http://192.168.1.1
  4. Introduzir a password predefinida (admin)
  5. Alterar a password imediatamente no menu System Maintenance > Administrator Password

Acesso CLI por Telnet:

Para troubleshooting e configurações avançadas, o CLI é acessível por Telnet (DrayTek KB 4923):

# Ligacao Telnet ao router (executar no terminal do PC)
telnet 192.168.1.1

# Ou por SSH (se activado em System Maintenance > Administrator Password)
ssh [email protected]

No CLI, os comandos principais são:

# Verificar estado das interfaces WAN
wan status

# Verificar tabela de routing
route print

# Verificar túneis VPN
vpn ipsec status

# Verificar logs do sistema
sys log

# Verificar performance (CPU, memoria)
sys usage

# Reiniciar o router
sys reboot

Nota: O CLI do DrayOS não segue o padrão Cisco IOS — usa uma sintaxe própria com comandos curtos (wan, vpn, sys, vlan). A lista completa de comandos está no user guide de cada modelo, disponível em DrayTek Resources.

3. Passo 1 — Configurar WAN e Multi-WAN com Load Balancing

A configuração da WAN é o primeiro passo — sem ligação à internet, nada mais funciona. O DrayTek suporta vários tipos de WAN: DHCP (fibra/meo/Vodafone — o caso mais comum em Portugal), PPPoE (algumas operadoras empresariais), IP estático e 4G/LTE (nos modelos com SIM).

WAN única (DHCP — o caso mais comum em Portugal):

  1. Navegar para WAN > General Setup
  2. Seleccionar WAN1
  3. Em ISP Settings, definir:
  • Access Mode: DHCP (para MEO fibra, Vodafone, Nos — a maioria das operadoras entrega IP por DHCP)
  • VLAN Tag: activar se o ISP usar VLAN tagging (ex.: MEO usa VLAN 10; Vodafone pode usar VLAN 910)
  1. Em Physical Mode, seleccionar o tipo de ligação (Ethernet GbE para fibra)
  2. Clicar OK e reiniciar o router

Alternativa PPPoE (algumas operadoras empresariais):

  • Access Mode: PPPoE (usado por algumas ofertas empresariais MEO/Vodafone que entregam credenciais PPP)
  • Username: o username fornecido pelo ISP (ex.: [email protected])
  • Password: a password do ISP

Atenção

Em Portugal, a MEO costuma entregar fibra com VLAN tagging ( VLAN 10 para internet, VLAN 20 para IPTV). Se o router não sincroniza com a MEO, verificar a configuração VLAN na WAN — omitir o tag VLAN é a causa nº1 de falta de internet em instalações novas. A Vodafone Portugal usa por vezes VLAN 910 para internet.

Multi-WAN com Load Balancing (2+ ligações internet):

Para PME com duas ligações internet (ex.: fibra principal + 4G de backup), o Vigor suporta load balancing e failover automático:

  1. Configurar WAN1 com a ligação principal (DHCP fibra)
  2. Configurar WAN2 com a ligação secundária (DH cabo ou 4G/LTE)
  3. Navegar para Load Balance and Backup > General Setup
  4. Definir o modo:
  • Enable Load Balance: ON
  • Mode: Weighted Round Robin (distribui tráfego por peso) ou By Speed (distribui por largura de banda)
  • Weight: WAN1 = 3, WAN2 = 1 (70% tráfego na fibra, 30% no backup)
  1. Activar Failover: quando WAN1 cai, todo o tráfego vai para WAN2
  2. Em Load Balance > Connection Table, definir que certos protocolos (ex.: VPN) usam sempre WAN1

Para forçar que o tráfego SIP (VoIP) use sempre uma WAN específica, usa-se Route Policy (DrayTek — Route Policy):

# CLI: Route Policy para SIP trafego (porta 5060) usar WAN1
# Configurado via GUI: Application > Route Policy
# Source: any
# Destination: any
# Protocol: UDP 5060
# Interface: WAN1
# Action: Always route

Se um serviço específico (ex.: VPN IPsec) não funciona em load balance, pode-se desactivar o auto load balance para esse serviço (DrayTek KB 10819).

4. Passo 2 — Configurar LAN, VLANs e DHCP

A configuração da LAN define como os dispositivos internos recebem IPs e como as redes são segmentadas. O DrayTek suporta até 8 VLANs (40 no Vigor 3912), permitindo isolar departamentos, servidores e convidados.

Configuração base de LAN:

  1. Navegar para LAN > General Setup
  2. Na secção LAN1, definir:
  • IP Address: 192.168.1.1
  • Subnet Mask: 255.255.255.0
  • Enable DHCP Server: ON
  • DHCP Start IP: 192.168.1.10
  • DHCP End IP: 192.168.1.200
  • Lease Time: 86400 (24 horas)
  1. Em DNS Server, definir:
  • DNS1: 8.8.8.8 (Google) ou 192.168.1.1 (resolver local)
  • DNS2: 1.1.1.1 (Cloudflare)

Configurar VLANs para segmentação de rede:

Para isolar departamentos (ex.: administração, vendas, convidados), usa-se VLANs baseadas em portas físicas:

  1. Navegar para LAN > VLAN
  2. Seleccionar Enable VLAN
  3. Definir a membership das portas:
Porta VLAN1 (Admin) VLAN2 (Vendas) VLAN3 (Guest) Untagged
LAN1 VLAN1
LAN2 VLAN2
LAN3 VLAN3
LAN4 VLAN1
WAN1
  1. Definir o IP de cada VLAN em LAN > General Setup > LAN2/LAN3:
  • VLAN2: 192.168.2.1/24, DHCP 192.168.2.10-200
  • VLAN3: 192.168.3.1/24, DHCP 192.168.3.10-100

LAN DNS (resolver nomes internos):

O DrayTek tem um resolver DNS local que permite atribuir nomes a servidores internos (DrayTek KB 5151):

  1. Navegar para Application > LAN DNS
  2. Adicionar entrada:
  • Hostname: servidor.kbase.local
  • IP Address: 192.168.1.100
  1. Activar Enable LAN DNS

Isto permite que os utilizadores acedam a servidor.kbase.local em vez de memorizar o IP.

Nota: Para ambientes com Active Directory, o DNS do DrayTek deve encaminhar as queries do domínio AD para o servidor DNS do Windows. Configurar em LAN > DNS Forward o IP do DC.

5. Passo 3 — Firewall Rules e Filtragem de Tráfego

Ao contrário de firewalls de próxima geração (FortiGate, Palo Alto), o DrayTek usa um modelo de filtros baseado em prioridade: cada filtro é avaliado por ordem, e a primeira regra que corresponde determina a acção. O filtro padrão é PERMIT tudo, por isso é necessário criar regras DENY explicitas para bloquear tráfego indesejado.

Firewall → General Setup:

  1. Navegar para Firewall > General Setup
  2. Activar Enable Firewall
  3. Definir Default Action: Permit (manter, mas criar regras deny específicas)

Criar regra para bloquear acesso à internet de uma VLAN:

  1. Navegar para Firewall > Filter Rule
  2. Adicionar nova regra:
  • Direction: LAN to WAN
  • Source IP: 192.168.3.0/24 (VLAN Guest)
  • Destination IP: 0.0.0.0/0 (all)
  • Service: ALL
  • Action: Deny
  • Schedule: Always
  1. Mover a regra para o topo da lista (maior prioridade)

Bloquear sites de redes sociais:

O DrayTek tem Web Content Filter que bloqueia categorias inteiras sem precisar de listar URLs (DrayTek KB 5205):

  1. Navegar para Firewall > Web Content Filter
  2. Activar Enable URL Access Control
  3. Seleccionar categorias: Social Networking, Gambling, Adult Content
  4. Aplicar a uma VLAN ou profile específica (ex.: VLAN Guest)

Para modelos com DrayOS 5, o Threat Protection oferece filtragem baseada em reputação de URLs e IPs, actualizada em tempo real pela DrayTek (DrayTek KB 12448):

  1. Navegar para Firewall > Threat Protection > Safe Browsing
  2. Activar Safe Browsing
  3. Seleccionar categorias a bloquear (malware, phishing, botnet C&C)
  4. Opcional: activar licença gratuita de avaliação (30 dias) em DrayTek KB 5374

6. Passo 4 — NAT: Port Forwarding e Virtual Server

Para expor serviços internos à internet (servidor web, RDP, servidor de email), o DrayTek usa Port Redirection ou Open Ports. A diferença é importante:

Método Quando usar Complexidade
Port Redirection Traduzir uma porta pública para uma porta interna diferente (ex.: 8080→80) Simples
Open Ports Abrir um range de portas sem tradução (ex.: para VoIP SIP/RTP) Média
DMZ Host Encaminhar TODAS as portas para um host interno (não recomendado) Rápida mas insegura

Port Redirection (ex.: aceder NAS pela porta 8080):

  1. Navegar para NAT > Port Redirection
  2. Adicionar nova regra:
  • Enable: ON
  • Well-known port: Custom
  • Protocol: TCP
  • Public Port: 8080
  • Private IP: 192.168.1.50 (o NAS)
  • Private Port: 8080
  1. Clicar OK

Open Ports (ex.: servidor VoIP SIP — portas 5060 e 10000-20000):

  1. Navegar para NAT > Open Ports
  2. Adicionar duas regras:
  • Rule 1: Protocol UDP, Public Port 5060, Private IP 192.168.1.60, Private Port 5060
  • Rule 2: Protocol UDP, Public Port 10000-20000, Private IP 192.168.1.60, Private Port 10000-20000

Atenção

Ao abrir portas para a internet, garantir que existe uma firewall rule no servidor interno. O NAT do DrayTek abre a porta, mas não filtra tráfego malicioso — o servidor tem de ter a sua própria proteção (Windows Firewall, fail2ban, etc.). Para RDP (porta 3389), usar sempre VPN em vez de port forwarding directo — expor RDP à internet é a causa nº1 de ransomware em PME.

7. Passo 5 — VPN IPsec Site-to-Site entre Dois DrayTek

A VPN IPsec site-to-site liga dois escritórios através de um túnel encriptado. O DrayTek suporta IKEv1 e IKEv2, sendo IKEv2 o recomendado. Este exemplo liga dois DrayTek Vigor — Escritório A (192.168.1.0/24) e Escritório B (192.168.2.0/24) (DrayTek KB 5202).

Configuração no Escritório A (Vigor A):

  1. Navegar para VPN and Remote Access > LAN to LAN
  2. Adicionar novo perfil:
  • Enable: ON
  • Profile Name: Escritorio-B
  • Call Direction: Dial-Out (este router inicia a ligação)
  • Server IP/Host Name: IP público do Vigor B (ex.: 203.0.113.50)
  • Auth Method: Pre-Shared Key
  • Pre-Shared Key: uma string aleatória de 32+ caracteres (usar a mesma em ambos os routers)
  • IKE Version: IKEv2
  • Phase 1 Proposal: AES-256-CBC + SHA-256 + DH Group 14
  • Phase 2 Proposal: AES-256-CBC + SHA-256 + PFS DH Group 14
  • Local Network: 192.168.1.0/24 (subnet do Escritório A)
  • Remote Network: 192.168.2.0/24 (subnet do Escritório B)
  1. Clicar OK

Configuração no Escritório B (Vigor B):

Configuração espelhada:

  1. VPN and Remote Access > LAN to LAN
  2. Novo perfil:
  • Enable: ON
  • Profile Name: Escritorio-A
  • Call Direction: Dial-In (aceita ligação do Vigor A)
  • Auth Method: Pre-Shared Key (mesma chave)
  • IKE Version: IKEv2
  • Phase 1/Phase 2: idênticos ao Vigor A
  • Local Network: 192.168.2.0/24
  • Remote Network: 192.168.1.0/24

Verificação do túnel:

No CLI do DrayTek:

# Verificar estado do túnel IPsec
vpn ipsec status

# Ver logs de VPN
vpn log

# Debug de negociação IKE (avançado)
vpn debug ike on
vpn log view
# … tentar estabelecer túnel …
vpn debug ike off

Na GUI, navegar para VPN and Remote Access > Connection Status para ver o estado das SAs e contadores de tráfego.

Subnets sobrepostas:

Se ambos os escritórios usam 192.168.1.0/24, o túnel não funciona. A solução é usar NAT no túnel IPsec para traduzir as subnets (DrayTek KB 5202):

  1. Em VPN and Remote Access > LAN to LAN, secção Advanced
  2. Activar NAT for IPsec Tunnel
  3. Definir a tradução: Local 192.168.1.0/2410.1.0.0/24 para o tráfego que vai pelo túnel

Atenção

Se o túnel IPsec não estabelece, as causas mais comuns são: (1) mismatch de proposals entre os dois routers, (2) IP público errado no remote gateway, (3) firewall do ISP a bloquear portas IKE (UDP 500/4500), (4) NAT-T não activo. Ver DrayTek KB 4921 — Troubleshoot Unstable VPN.

8. Passo 6 — QoS e Gestão de Largura de Banda

O QoS (Quality of Service) permite priorizar tráfego crítico (VoIP, videoconferência) sobre tráfego menos sensível (downloads, streaming). O DrayTek implementa QoS de duas formas: Bandwidth Limit (limitar bandwidth por IP/grupo) e QoS Class (classificar e priorizar).

Configurar QoS para VoIP (DrayTek KB 5286):

  1. Navegar para Bandwidth Management > QoS Settings
  2. Activar Enable QoS
  3. Definir a bandwidth total da WAN1 (ex.: 100 Mbps download, 20 Mbps upload)
  4. Criar classe de tráfego:
  • Class Name: VoIP
  • Priority: Highest
  • Service Type: SIP (UDP 5060) + RTP (UDP 10000-20000)
  • Bandwidth Guarantee: 5 Mbps (garante mínimo para voz)
  • Bandwidth Ceiling: 10 Mbps (limite máximo)
  1. Criar segunda classe:
  • Class Name: Default
  • Priority: Low
  • Service Type: ALL
  • Bandwidth Ceiling: 80 Mbps

Isto garante que o tráfego VoIP tem sempre pelo menos 5 Mbps disponíveis, mesmo que o resto da rede esteja saturado.

Limitar bandwidth de utilizadores específicos:

  1. Navegar para Bandwidth Management > Bandwidth Limit
  2. Adicionar regra:
  • Source IP: 192.168.1.50 (utilizador específico)
  • Destination: Any
  • Upload Limit: 5 Mbps
  • Download Limit: 10 Mbps
  • Schedule: Always

Útil para evitar que um utilizador a descarregar grandes ficheiros sature a ligação de toda a empresa.

9. Passo 7 — Wireless com VLANs Separadas e Guest Network

Nos modelos Vigor com Wi-Fi integrado (Vigor 2136, Vigor 2865 Wi-Fi), é possível criar múltiplas SSIDs, cada uma mapeada para uma VLAN diferente. Isto permite isolar convidados da rede corporativa sem hardware adicional (DrayTek KB 4317).

Configurar SSIDs com VLANs:

  1. Navegar para Wireless LAN > General Setup
  2. Na secção SSID1 (rede principal):
  • SSID: KBase_Corporativa
  • Security: WPA3-Personal (ou WPA2/WPA3 Mixed Mode para compatibilidade)
  • Authentication: PSK
  • Pre-Shared Key: a password do Wi-Fi corporativo
  • VLAN ID: 1 (VLAN corporativa)
  1. Na secção SSID2 (rede de convidados):
  • SSID: KBase_Guest
  • Security: WPA2-Personal
  • Pre-Shared Key: password do Wi-Fi de convidados
  • VLAN ID: 3 (VLAN Guest definida no Passo 2)
  • Client Isolation: ON (impede convidados de comunicar entre si)
  1. Em Wireless LAN > Access Control:
  • Activar MAC Address Control (opcional: whitelist de dispositivos autorizados)

Nota: O WPA3 é suportado no DrayOS 5 (Vigor 2136, Vigor 2865 Wi-Fi). Modelos mais antigos com DrayOS 4 suportam apenas WPA2. Para PME com dispositivos legacy (impressoras antigas, terminais POS), usar WPA2/WPA3 Mixed Mode.

10. Erros Comuns de Configuração

Problema Causa Solução
Sem internet após configurar WAN VLAN tag do ISP não configurado (MEO VLAN 10, Vodafone VLAN 910) Activar VLAN tagging na WAN1 e definir o VLAN ID do ISP
VPN IPsec não estabelece Proposals mismatch entre os dois routers Garantir que Phase 1 e Phase 2 são idênticos em ambos os lados. Usar vpn debug ike on para diagnóstico
VPN estabelece mas tráfego não passa Subnets sobrepostas (ambos escritórios 192.168.1.0/24) Activar NAT for IPsec Tunnel ou mudar a subnet de um dos escritórios
Port forwarding não funciona Firewall do servidor interno a bloquear a ligação Verificar firewall do servidor (Windows Firewall, iptables). Verificar que a regra NAT aponta para o IP correcto
Wi-Fi lento ou a desconectar Interferência de canais vizinhos Mudar canal Wi-Fi em Wireless LAN > Channel. Usar canal 1, 6 ou 11 (2.4GHz). Preferir 5GHz quando possível
Load balance não distribui tráfego Route Policy a forçar todo o tráfego por uma WAN Verificar Route Policies em Application > Route Policy. Ajustar para permitir load balance
DHCP não atribui IPs Pool DHCP esgotado ou conflito de IPs estáticos Aumentar o range DHCP ou reduzir IPs estáticos. Verificar ARP table: arp -a no CLI
QoS não prioriza VoIP Bandwidth total da WAN mal definida Definir bandwidth real em QoS Settings. Se a bandwidth estiver errada, o QoS não consegue calcular as quotas correctamente
Acesso remoto ao router não funciona DDNS não configurado ou ISP bloqueia porta de gestão Configurar DDNS em Application > Dynamic DNS (DrayTek KB 5169). Mudar porta de gestão de 80 para 8443 em System Maintenance > Management
Após firmware upgrade, configs perdidas Upgrade falhou ou redefiniu configs Fazer backup antes do upgrade: System Maintenance > Configuration Backup. Ver DrayTek Resources para firmware

11. Checklist Rápido de Verificação

  • [ ] Alterar password predefinida (admin) imediatamente após instalação
  • [ ] Configurar WAN com DHCP e VLAN tag correcto do ISP (MEO: VLAN 10)
  • [ ] Verificar ligação internet com ping 8.8.8.8 no CLI
  • [ ] Configurar DHCP com range suficiente para os dispositivos da rede
  • [ ] Criar VLANs para segmentar administração, vendas e convidados
  • [ ] Activar firewall e criar regras deny para tráfego indesejado
  • [ ] Configurar port forwarding apenas para serviços necessários (nunca expor RDP directo)
  • [ ] Configurar VPN IPsec com IKEv2, AES-256, SHA-256, DH Group 14+
  • [ ] Activar QoS para priorizar VoIP (garantir 5 Mbps mínimo)
  • [ ] Configurar SSIDs separadas para corporativo e convidados (Client Isolation ON)
  • [ ] Activar Threat Protection / Safe Browsing se disponível no modelo
  • [ ] Configurar DDNS para acesso remoto ao router (DrayTek KB 5169)
  • [ ] Activar autenticação de 2 factores para acesso remoto (DrayTek KB 5172)
  • [ ] Fazer backup da configuração: System Maintenance > Configuration Backup
  • [ ] Verificar firmware actualizado em DrayTek Resources
  • [ ] Testar failover da WAN (desligar WAN1 e confirmar que WAN2 assume)

Artigos Relacionados

Este artigo foi útil?

Duarte Spínola

Artigos  

Deixe um Comentário