Como abrir porta roteador
Abrir porta no roteador via port forwarding exige IP público fora da faixa CGNAT 100.64.0.0/10. Saiba liberar TCP e UDP em TP-Link, Intelbras e Huawei.
Para abrir uma porta no roteador, acesse o painel admin pelo navegador, localize a secao de port forwarding e cadastre a regra informando protocolo, porta e IP local do dispositivo de destino.
O processo leva menos de cinco minutos em qualquer marca, mas ha uma armadilha que derruba a maioria dos usuários antes mesmo de começar: se o IP WAN do roteador começar com 100., você esta em CGNAT e o roteador doméstico não tem poder nenhum sobre conexões vindas de fora.
Veja a tabela completa por marca, o passo a passo detalhado e o que fazer quando o CGNAT bloqueia tudo.
Como funciona NAT e port forwarding
Seu roteador opera como intermediário entre a rede local (dispositivos de casa) e a internet. Ele faz Network Address Translation (NAT): traduz o IP privado de cada dispositivo (192.168.x.x) para o IP público da conexão ao sair, e na volta entrega o pacote ao dispositivo correto.
O problema: conexões que chegam de fora sem um pedido anterior ficam sem destino. O roteador não sabe para qual dispositivo interno encaminhar. Port forwarding resolve isso criando uma regra explicita: "conexões externas na porta 25565 vão para o IP 192.168.0.100".
Roteadores brasileiros comuns: IP padrão, login e senha
A etiqueta colada na base ou lateral do equipamento e a fonte mais confiável de credenciais. Os valores abaixo são os de fábrica documentados pelos próprios fabricantes; a operadora ou o técnico de instalação frequentemente personalizam a senha.
| Marca / Modelo | IP admin | Usuário padrão | Senha padrão | Caminho port forwarding |
|---|---|---|---|---|
| Intelbras Twibi Giga / Force | 192.168.0.1 |
admin | admin (ou etiqueta) | Avancado > Virtual Server |
| Intelbras ACtion RG 1200i / RG 1200AC | 192.168.0.1 |
admin | admin | Avancado > Virtual Server |
| TP-Link Archer C6 / AX23 / AX55 | 192.168.0.1 ou tplinkwifi.net |
admin | admin (ou criada no setup) | Avancado > NAT > Virtual Servers |
| TP-Link Deco M5 / X60 | App Tether ou 192.168.68.1 |
-- | Definida no app | App Tether > IPv4 > Port Forwarding |
| D-Link DIR-819 / DIR-842 | 192.168.0.1 ou dlinkrouter.local |
Admin | (em branco) | Avancado > Port Forwarding |
| Multilaser RE170 / RE172 | 192.168.0.1 |
admin | admin | Avancado > Port Forwarding |
| Huawei HG8245H5 / HG8546M (Vivo) | 192.168.1.1 |
telecomadmin | admintelecom | Forward Rules > Port Mapping Config |
| ZTE F670L / F680 (Claro / Vivo) | 192.168.1.1 |
admin | Impressa na etiqueta (única por unidade) | Application > Port Forwarding |
| Sagemcom FAST 5260 / FAST 3686 (TIM) | 192.168.1.1 |
admin | Impressa na etiqueta | Avancado > NAT > Port Forwarding |
| Nokia G-240W-C (Oi Fibra) | 192.168.1.1 |
admin | Impressa na etiqueta | LAN > Port Forwarding |
Passo a passo: como abrir porta no roteador
Antes de começar: atribuir IP fixo local
Port forwarding aponta para um IP local específico. Se o IP do computador ou servidor muda (DHCP dinâmico), a regra para de funcionar. Reserve o IP antes de criar qualquer regra.
- Acesse o painel admin do roteador (endereços na tabela acima).
- Localize "DHCP" ou "LAN" e procure a opção de "Reserva de IP" ou "Static DHCP".
- Associe o MAC address do dispositivo a um IP fixo (ex: 192.168.0.100). Salve antes de prosseguir.
Configurar a regra de port forwarding
- Descubra o gateway. No Windows: Win + R >
cmd> executeipconfige anote o "Gateway Padrão". No Linux/macOS:ip route | grep defaultno terminal. - Acesse o painel admin. Abra o navegador e digite o IP do gateway na barra de endereço. Não use
wwwnem adicionehttps://na frente. - Faca login. Use as credenciais da etiqueta do equipamento. Se a senha foi alterada e não esta registrada, veja o artigo esqueci senha roteador.
- Localize o menu de Port Forwarding. Os nomes variam: "Virtual Server", "Port Forwarding", "NAT", "Mapeamento de Portas". Consulte a coluna "Caminho" na tabela acima.
- Crie a regra. Preencha: nome livre (ex: "Minecraft"), protocolo (TCP, UDP ou ambos), porta externa (a que chega da internet), porta interna (a que o serviço escuta localmente) e IP local do dispositivo.
- Salve e reinicie o roteador. Alguns firmwares ZTE e Sagemcom só aplicam regras NAT após reinicializacao completa.
- Teste. Use canyouseeme.org para confirmar se a porta esta acessível externamente. "Connection timed out" com a regra criada geralmente indica CGNAT -- leia a secao abaixo.
Caminhos específicos por marca
Intelbras Twibi e linha ACtion RG
No painel Intelbras, o port forwarding fica em Avancado > Virtual Server. Campos: "Porta Inicial", "Porta Final" (deixe igual para porta única), "Protocolo", "IP Destino". A Intelbras fábrica seus equipamentos em Santa Catarina e lidera o mercado brasileiro em roteadores Wi-Fi residenciais de revenda.
TP-Link Archer e linha Deco
Nos modelos Archer, o caminho e Avancado > NAT > Servidores Virtuais. Nos modelos Deco (mesh), o port forwarding fica no aplicativo TP-Link Tether, em IPv4 > Port Forwarding -- não ha interface web nos Deco. A TP-Link exige que o dispositivo de destino tenha IP reservado no DHCP antes de aceitar salvar a regra.
Huawei HG8245 e HG8546 (equipamentos Vivo)
O usuário telecomadmin com senha admintelecom e o login de nível operadora documentado nos manuais públicos da Huawei. Em alguns modelos fornecidos pela Vivo, esse login da acesso a menus adicionais que o usuário admin comum não enxerga. O port forwarding fica em Forward Rules > Port Mapping Config; clique em "New" para criar entrada.
ZTE F670L e F680 (equipamentos Claro e Vivo)
Acesse em Application > Port Forwarding. O ZTE F670L e o equipamento padrão distribuido pela Claro na maioria das instalações FTTH desde 2022. Cada unidade tem senha única impressa na etiqueta -- não ha senha universal de fábrica nesse modelo.
CGNAT: por que a porta não abre mesmo configurada certo
Você criou a regra, confirmou o IP local, reiniciou o roteador. O teste em canyouseeme.org continua retornando "Connection timed out". Na maioria dos casos, a causa não e erro de configuração: e CGNAT.
CGNAT (Carrier-Grade NAT) e definido pela RFC 6598 com a faixa de endereços 100.64.0.0/10. Nesse modelo, a operadora coloca dezenas ou centenas de assinantes atras de um único IP público. O roteador doméstico recebe um IP da faixa 100.64.x.x como endereço WAN -- e esse IP e privado do ponto de vista da internet. Qualquer port forwarding configurado no roteador funciona dentro da rede da operadora, mas não chega até conexões externas vindas da internet pública.
| Operadora | ASN | CGNAT residencial | IPv6 disponível | IP fixo |
|---|---|---|---|---|
| Vivo Fibra | AS26599 | Ativo na maioria dos planos | Sim, dual-stack (prefixo /56) | Planos Vivo Empresas |
| Claro NET | AS28573 | Ativo na maioria dos planos FTTH e HFC | Parcial -- GPON em cidades grandes | Planos Claro Business |
| TIM Live | AS26615 | Presente em planos de entrada | Em expansão -- prefixo /56 via DHCPv6-PD | Planos TIM Business |
| Oi Fibra (Nio) | AS7738 | Presente em grande parte do parque | Disponível em instalações recentes (Nokia) | Sob consulta |
| Algar Telecom | AS16735 | Parcial | Disponível em planos selecionados | Planos empresariais |
Para verificar se você esta em CGNAT: acesse Meu IP neste site e compare o endereço exibido com o IP WAN que aparece no painel do roteador. Se forem diferentes, ou se o IP WAN começar com 100., você esta em CGNAT. Detalhes sobre o funcionamento em O que e CGNAT.
Participação de mercado: roteadores residenciais no Brasil
Os dados abaixo refletem estimativas de participação de mercado em vendas de roteadores Wi-Fi residenciais no Brasil em 2025, com base em dados de varejo e distribuição reportados pelo setor. Equipamentos fornecidos pelas próprias operadoras (Huawei, ZTE, Nokia, Sagemcom) não constam nessas estimativas de varejo, mas representam a maior fatia em número absoluto de unidades instaladas.
- Intelbras — ~34%
- TP-Link — ~24%
- D-Link — ~15%
- Multilaser — ~11%
- Outros — ~16%
Estimativa de vendas no varejo em 2025. Equipamentos fornecidos por operadoras (Huawei, ZTE, Nokia, Sagemcom) não incluidos nessa base. Fontes: dados de distribuidores e reportagens do setor.
Alternativas quando o CGNAT bloqueia o port forwarding
IPv6 com firewall aberto (gratuito, onde disponível)
Se a operadora distribui IPv6, cada dispositivo da sua rede recebe um endereço público real sem NAT. Port forwarding em IPv6 não e feito no menu "NAT" -- e no firewall IPv6 do roteador. Basta liberar a porta no firewall IPv6 e usar o endereço IPv6 do dispositivo para acesso externo. Não ha custo adicional. Limitação: o cliente que acessa também precisa ter IPv6 funcional. Veja o guia completo em como configurar IPv6.
Cloudflare Tunnel (gratuito para HTTP e HTTPS)
Instale o daemon cloudflared na maquina que vai receber as conexões. Ele abre um tunel criptografado de saida para os servidores da Cloudflare, que fazem proxy reverso para o seu serviço. Funciona mesmo atras de CGNAT duplo. Ideal para sites, APIs, paineis. Não funciona para UDP ou protocolos de jogos que exigem conexão direta.
Tunel reverso via VPS
Alugue um servidor VPS com IP fixo dedicado -- planos partem de US$ 4 a 6/mês (DigitalOcean, Vultr, Hostinger). Configure SSH com port forwarding reverso ou WireGuard para tunel permanente. O VPS recebe a conexão externa e redireciona para sua maquina local via tunel criptografado. Funciona para qualquer protocolo.
IP fixo da operadora
Remove o CGNAT e garante endereço IPv4 público dedicado. A Vivo oferece em planos Vivo Empresas. A Claro em planos Claro Business / NET Empresas. Custo típico: R$ 50 a R$ 150/mês dependendo do plano e região. Solução definitiva para quem hospeda serviços regularmente em casa.
Portas mais usadas e seus serviços
| Porta | Protocolo | Serviço | Uso típico |
|---|---|---|---|
| 22 | TCP | SSH | Acesso remoto seguro a servidor |
| 80 | TCP | HTTP | Servidor web não cifrado |
| 443 | TCP | HTTPS | Servidor web cifrado, padrão moderno |
| 53 | UDP/TCP | DNS | Resolucao de nomes |
| 3389 | TCP | RDP | Area de trabalho remota Windows |
| 25565 | TCP | Minecraft | Servidor caseiro de jogo |
| 32400 | TCP | Plex | Servidor de mídia caseiro |
| Porta | Protocolo | Serviço | Bloqueada por operadora? | Observação |
|---|---|---|---|---|
| 22 | TCP | SSH | Não | Acesso remoto ao terminal. Sujeita ao CGNAT. |
| 25 | TCP | SMTP | Sim (saida) | Bloqueada pelas operadoras para prevenção de spam. Use porta 587. |
| 80 | TCP | HTTP | Sim (entrada) | Bloqueada em planos residenciais Vivo e Claro. |
| 443 | TCP | HTTPS | Sim (entrada) | Bloqueada em planos residenciais Vivo e Claro. |
| 587 | TCP | SMTP STARTTLS | Não | Alternativa ao 25 para envio autenticado de email. |
| 3389 | TCP | RDP (Windows Remote Desktop) | Não | Geralmente liberada. Sujeita ao CGNAT. |
| 8080 | TCP | HTTP alternativo | Não | Exige porta explicita na URL. Sujeita ao CGNAT. |
| 25565 | TCP | Minecraft Java Edition | Não | Não bloqueada pelas operadoras. Sujeita ao CGNAT. |
| 19132 | UDP | Minecraft Bedrock | Não | Não bloqueada. Sujeita ao CGNAT. |
| 51820 | UDP | WireGuard VPN | Não | Não bloqueada. Sujeita ao CGNAT. |
Firewall do computador: a segunda barreira
A porta pode estar aberta no roteador e ainda aparecer fechada nos testes externos. O Firewall do Windows (ou ufw no Linux) bloqueia conexões de entrada por padrão para qualquer porta não explicitamente liberada.
No Windows: va em Painel de Controle > Sistema e Segurança > Windows Defender Firewall > Configurações Avancadas. Crie uma nova regra de entrada (Inbound Rule) para a porta desejada. No Ubuntu/Debian com ufw: execute sudo ufw allow PORTA/tcp no terminal.
Aplicativos como servidores web (Apache, Nginx), servidores de jogos e ferramentas de acesso remoto costumam criar suas próprias regras de firewall durante a instalação. Se o aplicativo criou a regra automaticamente, você não precisa criar manualmente -- mas vale confirmar.
Passos para liberar porta no Windows Defender Firewall
- Abra o Painel de Controle, va em "Sistema e Segurança" e clique em "Windows Defender Firewall".
- No painel esquerdo, clique em "Configurações Avancadas" para abrir o editor de regras de segurança.
- Clique em "Regras de Entrada" (Inbound Rules) no painel esquerdo.
- No painel direito, clique em "Nova Regra" (New Rule).
- Selecione "Porta" e clique em Avancar.
- Selecione TCP ou UDP conforme o protocolo necessário. Digite o número da porta (ex: 25565). Clique em Avancar.
- Selecione "Permitir a conexão" e clique em Avancar duas vezes.
- Dê um nome descritivo (ex: "Minecraft 25565") e conclua com Concluir.
Para verificar se o serviço esta escutando na porta: abra o Prompt de Comando e execute netstat -an | findstr :25565 (substitua o número). Se aparecer "LISTENING", o serviço esta ativo. Se não aparecer, o problema e no serviço em si, não no firewall ou no roteador.
UPnP: quando usar e quando desativar
UPnP (Universal Plug and Play) permite que aplicativos abram portas no roteador automaticamente. Jogos, clientes de torrent e plataformas de videoconferência usam UPnP para criar regras temporárias sem necessitar que o usuário configure port forwarding manualmente. Você ve as regras UPnP ativas no painel do roteador em "UPnP" ou "Mapa de Portas".
O risco do UPnP: qualquer aplicativo na rede local -- incluindo malware -- pode abrir portas no roteador sem nenhum aviso. Para ambientes seguros, desabilite UPnP em "Avancado > UPnP" e crie regras de port forwarding manuais apenas para os serviços que você usa. Se um jogo parar de funcionar após desabilitar UPnP, crie a regra manual para a porta específica do jogo.
| Sintoma | Causa provável | Como verificar |
|---|---|---|
| Nenhuma porta funciona externamente | CGNAT ativo | IP WAN do roteador começar com 100. ou diferente do IP em Meu IP |
| Porta aberta no roteador, fechada no teste | Firewall local do SÓ | Verificar regras de firewall no Windows ou ufw no Linux |
| Regra correta, serviço não responde | Serviço não esta rodando ou escutando na porta errada | netstat -tlnp (Linux) ou netstat -an (Windows) |
| Porta 80 ou 443 nunca abre | Bloqueio da operadora | Testar com IP fixo ou tunel -- se funcionar, e bloqueio do ISP |
Perguntas frequentes
Port forwarding (redirecionamento de porta) e uma instrução no roteador para encaminhar conexões externas que chegam em uma porta específica para um dispositivo interno da rede local. Sem essa instrução, o firewall NAT do roteador descarta a conexão antes de ela chegar ao servidor ou computador de destino. E necessário para hospedar servidores, jogar com NAT aberto e acessar dispositivos remotamente.
Na maioria dos casos e CGNAT. Confirme acessando Meu IP neste site e comparando com o IP WAN no painel do roteador: se forem diferentes, ou se o IP WAN começar com 100., você esta em CGNAT e port forwarding no roteador doméstico não funciona. Outras causas possíveis: firewall local no computador de destino bloqueando a porta, serviço não estar rodando na porta configurada, ou IP local do dispositivo ter mudado.
Não necessariamente. Para uso doméstico, IP dinâmico funciona enquanto o IP não muda. O problema e que o IP muda periodicamente. Para acesso externo confiável sem IP fixo, use um serviço de DNS dinâmico (DDNS) como No-IP ou DuckDNS, que atualiza automaticamente o nome de domínio toda vez que o IP mudar. Se você esta em CGNAT, porém, nem IP dinâmico nem DDNS resolvem: o problema e estrutural na rede da operadora.
Minecraft Java Edition usa TCP porta 25565 por padrão. Minecraft Bedrock usa UDP porta 19132. Crie a regra de port forwarding apontando para o IP local do computador onde o servidor roda. Nenhuma das duas portas e bloqueada pelas grandes operadoras brasileiras, mas ambas ficam inacessiveis se você estiver em CGNAT. Verifique seu IP público em Meu IP antes de configurar.
Abrir uma porta expoe o serviço que roda naquela porta para toda a internet. O risco depende do serviço: um servidor SSH mal configurado com senha fraca e alvo constante de ataques de força bruta. Um servidor Minecraft em porta padrão atrai tentativas de exploracao de vulnerabilidades. Boas práticas: use senhas fortes, mantenha o software atualizado, considere alterar SSH para uma porta não padrão, e desative regras que não usa mais.
Acesse Meu IP neste site e anote o endereço exibido. Depois acesse o painel admin do roteador (192.168.1.1 na Vivo/Claro) e veja o IP WAN na tela de status. Se os dois endereços forem diferentes, ha CGNAT. Se o IP WAN começar com 100. (faixa 100.64.0.0 a 100.127.255.255), e CGNAT por definição da RFC 6598. A Vivo Fibra (AS26599) e a Claro NET (AS28573) aplicam CGNAT na maioria dos planos residenciais em 2025-2026.
Sim. Acesse o painel admin do equipamento fornecido pela operadora normalmente (IP na tabela acima), faca login com as credenciais da etiqueta e crie a regra de port forwarding. Não e necessário resetar para isso. Reset apaga todas as configurações -- use somente quando a senha foi perdida.
TCP garante entrega ordenada dos dados, com controle de erro e reconexão automática. UDP e mais rápido mas sem garantia de entrega. Serviços web (HTTP, HTTPS, SSH) usam TCP. Jogos online, streaming ao vivo e VoIP frequentemente usam UDP. Quando em dúvida, crie a regra para ambos os protocolos -- o custo de performance e desprezivel e garante compatibilidade.
A forma mais direta e verificar a documentação do programa. A maioria dos servidores mostra a porta configurada no próprio painel ou arquivo de configuração. No Windows, o comando netstat -ano no Prompt de Comando lista todas as conexões ativas com as portas. No Linux, ss -tlnp ou netstat -tlnp mostram quais processos estão escutando em quais portas. A IANA mantém um registro oficial de portas conhecidas em iana.org/assignments/service-names-port-numbers.
DMZ (Demilitarized Zone) no roteador e uma configuração que encaminha todo o tráfego de entrada para um único dispositivo interno, sem restrições de porta. E útil para consoles de jogos que precisam de NAT aberto completo, ou para um servidor dedicado que precisa de todas as portas abertas. O risco e que o dispositivo em DMZ fica exposto a toda a internet sem a proteção do NAT do roteador -- use somente em dispositivos que você sabe o que esta fazendo e que tem firewall próprio configurado.
Câmeras IP e NVRs (gravadores de rede) tipicamente usam portas 80, 8080 ou portas customizadas para acesso web, mais portas RTSP (geralmente 554) para streaming de vídeo. Crie regras de port forwarding para cada porta necessária apontando para o IP fixo da câmera ou NVR. Atenção: se a operadora bloqueia a porta 80, use uma porta alternativa no equipamento (ex: 8090) e crie a regra correspondente. Muitas câmeras modernas usam CGNAT de forma transparente via nuvem do fabricante -- verifique se o acesso já não funciona por app antes de configurar port forwarding manual.
Saber como abrir porta no roteador resolve a maioria dos cenários de acesso remoto e hosting doméstico. O processo e simples quando a operadora fornece IP público dedicado. O obstáculo real, presente na maioria das conexões residenciais brasileiras em 2025-2026, e o CGNAT. Confirme seu IP público em Meu IP antes de gastar tempo configurando regras que não vão funcionar por causa de NAT da operadora.
Aviso editorial: as informações de senhas padrão e caminhos de menu refletem documentação pública dos fabricantes verificada em 2025-2026. As políticas de CGNAT e bloqueio de portas podem variar por região, plano e período -- confirme sempre com o suporte da sua operadora. Este artigo não substitui o suporte técnico da operadora ou do fabricante. SaberMeuIP.com.br não e afiliado a Intelbras, TP-Link, Huawei, ZTE, Vivo, Claro, TIM ou Oi.
Ver IP de WAN
Leituras Relacionadas
- Como acessar roteador — Acessar o roteador pelo navegador usando 192.168.0.1 ou 192.168.1.1, descobrir o gateway com ipconfig e logar com admin/admin. Veja o caminho seguro.
- O que é CGNAT — O que e CGNAT: RFC 6598, faixa 100.64.0.0/10, NAT compartilhado pelo provedor, impacto em jogos e hospedagem no Brasil, e como saber se você esta em CGNAT.
- Esqueci senha roteador — Esqueci a senha do roteador e preciso recuperar acesso? Confira a etiqueta, tente admin/admin e, se falhar, faça reset segurando o botão por 10 a 30 segundos.