Como abrir porta roteador
Para abrir uma porta no roteador, acesse o painel admin pelo navegador, localize a secao de port forwarding e cadastre a regra informando protocolo, porta e IP local do dispositivo de destino.
O processo leva menos de cinco minutos em qualquer marca, mas ha uma armadilha que derruba a maioria dos usuarios antes mesmo de comecar: se o seu IP publico comecar com 100., voce esta em CGNAT e o roteador domestico nao tem poder nenhum sobre o que entra de fora.
Veja a tabela de acesso por marca, o passo a passo detalhado e o que fazer quando o CGNAT bloqueia tudo.
Tabela de acesso ao painel por marca e operadora
A etiqueta colada na base ou lateral do equipamento e a fonte mais confiavel de credenciais. As informacoes abaixo sao os valores de fabrica documentados pelos proprios fabricantes; a operadora ou o tecnico de instalacao frequentemente personalizam a senha.
| Marca / Modelo | URL admin | Usuario padrao | Senha padrao | Caminho port forwarding |
|---|---|---|---|---|
| Intelbras Twibi Giga / Twibi Force | 192.168.0.1 |
admin | admin (ou na etiqueta) | Avancado > Virtual Server |
| Intelbras ACtion RG 1200i / RG 1200AC | 192.168.0.1 |
admin | admin | Avancado > Virtual Server |
| TP-Link Archer C6 / AX23 / AX55 | 192.168.0.1 ou tplinkwifi.net |
admin | admin (ou criada no setup) | Avancado > NAT > Virtual Servers |
| TP-Link Deco M5 / X60 | App Tether ou 192.168.68.1 |
-- | Definida no app | App Tether > IPv4 > Port Forwarding |
| D-Link DIR-819 / DIR-842 | 192.168.0.1 ou dlinkrouter.local |
Admin | (em branco) | Avancado > Port Forwarding |
| Multilaser RE170 / RE172 | 192.168.0.1 |
admin | admin | Avancado > Port Forwarding |
| Huawei HG8245H5 / HG8546M (Vivo) | 192.168.1.1 |
telecomadmin | admintelecom | Forward Rules > Port Mapping Config |
| ZTE F670L / F680 (Claro / Vivo) | 192.168.1.1 |
admin | Impressa na etiqueta | Application > Port Forwarding |
| Sagemcom FAST 5260 / FAST 3686 (TIM) | 192.168.1.1 |
admin | Impressa na etiqueta | Avancado > NAT > Port Forwarding |
| Nokia G-240W-C (Oi Fibra) | 192.168.1.1 |
admin | Impressa na etiqueta | LAN > Port Forwarding |
Passo a passo: como abrir porta no roteador
Antes de comecar: atribuir IP fixo local
Port forwarding aponta para um IP local especifico. Se o IP do computador ou servidor muda (DHCP dinamico), a regra para de funcionar. Reserve o IP antes de criar qualquer regra.
- Acesse o painel admin do roteador (enderecos na tabela acima).
- Localize "DHCP" ou "LAN" e procure a opcao de "Reserva de IP" ou "Static DHCP".
- Associe o MAC address do dispositivo a um IP fixo (ex: 192.168.0.100). Salve.
Configurar a regra de port forwarding
- Descubra o gateway. No Windows, abra o Prompt de Comando (Win + R >
cmd) e executeipconfig. Anote o valor em "Gateway Padrao". No Linux/macOS, executeip route | grep defaultno Terminal. - Acesse o painel admin. Abra o navegador e digite o IP do gateway na barra de endereco. Nao use
wwwnem adicionehttpsna frente -- apenas o numero. - Faca login. Use as credenciais da etiqueta do equipamento. Se a senha foi alterada e nao esta registrada, veja o artigo esqueci senha roteador.
- Localize o menu de Port Forwarding. Os nomes variam: "Virtual Server", "Port Forwarding", "NAT", "Mapeamento de Portas". Consulte a coluna "Caminho" na tabela acima.
- Crie a regra. Preencha: nome livre (ex: "Minecraft"), protocolo (TCP, UDP ou ambos), porta externa (a que chega da internet), porta interna (a que o servico escuta localmente) e IP local do dispositivo.
- Salve e teste. Use canyouseeme.org para confirmar se a porta esta acessivel externamente. Se aparecer "Connection timed out" mesmo com a regra criada, leia a secao sobre CGNAT abaixo.
Caminho do menu por marca: detalhes especificos
Intelbras Twibi e linha ACtion RG
No painel Intelbras, o port forwarding fica em Avancado > Virtual Server. Campos: "Porta Inicial", "Porta Final" (deixe igual para porta unica), "Protocolo", "IP Destino". A Intelbras fabrica seus equipamentos em Santa Catarina e e lider de mercado no Brasil em roteadores Wi-Fi residenciais.
TP-Link Archer e linha Deco
Nos modelos Archer, o caminho e Avancado > NAT > Servidores Virtuais. Nos modelos Deco (mesh), o port forwarding fica no aplicativo TP-Link Tether, em IPv4 > Port Forwarding -- nao ha interface web nos Deco. A TP-Link exige que o dispositivo de destino tenha IP reservado no DHCP antes de aceitar salvar a regra.
Huawei HG8245 e HG8546 (equipamentos Vivo)
O usuario telecomadmin com senha admintelecom e o login de nivel operadora documentado nos manuais publicos da Huawei. Em alguns modelos fornecidos pela Vivo, esse login da acesso a menus adicionais que o usuario admin comum nao enxerga. O port forwarding fica em Forward Rules > Port Mapping Config; clique em "New" para criar entrada.
ZTE F670L e F680 (equipamentos Claro e Vivo)
Acesse em Application > Port Forwarding. O ZTE F670L e o equipamento padrao distribuido pela Claro na maioria das instalacoes FTTH desde 2022. Cada unidade tem senha unica impressa na etiqueta -- nao ha senha universal de fabrica nesse modelo.
CGNAT: por que a porta nao abre mesmo configurada certo
Voce criou a regra, confirmou o IP local, reiniciou o roteador. O teste em canyouseeme.org continua retornando "Connection timed out". Na maioria dos casos, a causa nao e erro de configuracao: e CGNAT.
CGNAT (Carrier-Grade NAT) e definido pela RFC 6598 com a faixa de enderecos 100.64.0.0/10. Nesse modelo, a operadora coloca dezenas ou centenas de assinantes atras de um unico IP publico. O roteador domestico recebe um IP da faixa 100.64.x.x como endereco WAN -- e esse IP e privado do ponto de vista da internet. Qualquer port forwarding configurado no roteador funciona dentro da rede da operadora, mas nao chega ate conexoes externas vindas da internet.
| Operadora | ASN | CGNAT residencial | IPv6 disponivel | IP fixo |
|---|---|---|---|---|
| Vivo Fibra | AS26599 | Ativo na maioria dos planos | Sim, dual-stack (prefixo /56) | Planos Vivo Empresas |
| Claro NET | AS28573 | Ativo na maioria dos planos FTTH e HFC | Parcial -- disponivel em regioes com GPON | Planos Claro Business |
| TIM Live | AS26615 | Presente em planos de entrada | Em expansao -- prefixo /56 via DHCPv6-PD | Planos TIM Business |
| Oi Fibra (Nio) | AS7738 | Presente em grande parte do parque | Disponivel em instalacoes recentes (Nokia) | Sob consulta |
| Algar Telecom | AS16735 | Parcial | Disponivel em planos selecionados | Planos empresariais |
Para verificar se voce esta em CGNAT: acesse Meu IP neste site e compare o endereco exibido com o IP WAN que aparece no painel do roteador. Se forem diferentes, ou se o IP WAN comecar com 100., voce esta em CGNAT. Detalhes sobre o funcionamento em O que e CGNAT.
Alternativas quando o CGNAT bloqueia o port forwarding
IPv6 com firewall aberto (gratuito, onde disponivel)
Se a operadora distribui IPv6, cada dispositivo da sua rede recebe um endereco publico real sem NAT. Port forwarding em IPv6 nao e feito no menu "NAT" -- e no firewall IPv6 do roteador. Basta liberar a porta no firewall IPv6 e usar o endereco IPv6 do dispositivo para acesso externo. Nao ha custo adicional. Limitacao: o cliente que acessa tambem precisa ter IPv6 funcional.
Cloudflare Tunnel (gratuito para HTTP e HTTPS)
Instale o daemon cloudflared na maquina que vai receber as conexoes. Ele abre um tunel criptografado de saida para os servidores da Cloudflare, que fazem proxy reverso para o seu servico. Funciona mesmo atras de CGNAT duplo. Ideal para sites, APIs, paineis. Nao funciona para UDP ou protocolos de jogos que exigem conexao direta.
Tunel reverso via VPS
Alugue um servidor VPS com IP fixo dedicado -- planos partem de US$ 4 a 6/mes (DigitalOcean, Vultr, Hostinger). Configure SSH com port forwarding reverso (ssh -R 80:localhost:80 usuario@ip-do-vps) ou WireGuard para tunel permanente. O VPS recebe a conexao externa e redireciona para sua maquina local via tunel criptografado. Funciona para qualquer protocolo.
IP fixo da operadora
Remove o CGNAT e garante endereco IPv4 publico dedicado. A Vivo oferece em planos Vivo Empresas. A Claro em planos Claro Business / NET Empresas. Custo tipico: R$ 50 a R$ 150/mes dependendo do plano e regiao. Solucao definitiva para quem hospeda servicos regularmente em casa.
Portas mais usadas e seus servicos
| Porta | Protocolo | Servico | Observacao |
|---|---|---|---|
| 22 | TCP | SSH | Acesso remoto ao terminal. Nao bloqueada pelas operadoras. |
| 25 | TCP | SMTP | Bloqueada pelas operadoras (prevencao de spam). Use porta 587. |
| 80 | TCP | HTTP | Bloqueada em planos residenciais Vivo e Claro. |
| 443 | TCP | HTTPS | Bloqueada em planos residenciais Vivo e Claro. |
| 3389 | TCP | RDP (Windows Remote Desktop) | Geralmente liberada. Sujeita ao CGNAT. |
| 25565 | TCP | Minecraft Java Edition | Nao bloqueada pelas operadoras. Sujeita ao CGNAT. |
| 19132 | UDP | Minecraft Bedrock | Nao bloqueada pelas operadoras. Sujeita ao CGNAT. |
| 51820 | UDP | WireGuard VPN | Nao bloqueada. Sujeita ao CGNAT. |
Firewall do computador: a segunda barreira
A porta pode estar aberta no roteador e ainda aparecer fechada nos testes externos. O Firewall do Windows (ou ufw no Linux) bloqueia conexoes de entrada por padrao para qualquer porta nao explicitamente liberada.
No Windows: va em Painel de Controle > Sistema e Seguranca > Windows Defender Firewall > Configuracoes Avancadas. Crie uma nova regra de entrada para a porta desejada. No Ubuntu/Debian com ufw: execute sudo ufw allow PORTA/tcp no terminal. Essa etapa e necessaria em qualquer sistema operacional que use firewall local ativo.
Aplicativos como servidores web (Apache, Nginx), servidores de jogos e ferramentas de acesso remoto costumam criar suas proprias regras de firewall durante a instalacao. Se o aplicativo criou a regra, voce nao precisa criar manualmente.
Perguntas frequentes
Port forwarding (redirecionamento de porta) e uma instrucao no roteador para encaminhar conexoes externas que chegam em uma porta especifica para um dispositivo interno da rede local. Sem essa instrucao, o firewall NAT do roteador descarta a conexao antes de ela chegar ao servidor ou computador de destino. E necessario para hospedar servidores, jogar com NAT aberto e acessar dispositivos remotamente.
Na maioria dos casos e CGNAT. Confirme acessando Meu IP neste site e comparando com o IP WAN no painel do roteador: se forem diferentes, ou se o IP WAN comecar com 100., voce esta em CGNAT e port forwarding no roteador domestico nao funciona. Outras causas possiveis: firewall local no computador de destino bloqueando a porta, ou o servico nao estar rodando na porta configurada.
Nao necessariamente. Para uso domestico, IP dinamico funciona enquanto o IP nao muda. O problema e que o IP muda periodicamente -- horas, dias ou semanas dependendo da operadora. Para acesso externo confiavel sem IP fixo, use um servico de DNS dinamico (DDNS) como No-IP ou DuckDNS, que atualiza automaticamente o nome de dominio toda vez que o IP mudar. Se voce esta em CGNAT, porem, nem IP dinamico nem DDNS resolvem: o problema e estrutural na rede da operadora.
Minecraft Java Edition usa TCP porta 25565 por padrao. Minecraft Bedrock usa UDP porta 19132. Crie a regra de port forwarding apontando para o IP local do computador onde o servidor roda. Nenhuma das duas portas e bloqueada pelas grandes operadoras brasileiras, mas ambas ficam inacessiveis se voce estiver em CGNAT. Verifique seu IP publico antes de tentar configurar.
Abrir uma porta expoe o servico que roda naquela porta para toda a internet. O risco depende do servico: um servidor SSH mal configurado com senha fraca e alvo constante de ataques de forca bruta. Um servidor Minecraft em porta padrao atrai tentativas de exploracao de vulnerabilidades. Boas praticas: use senhas fortes, mantenha o software atualizado, considere alterar SSH para uma porta nao padrao (diferente de 22), e desative regras que nao usa mais.
Acesse Meu IP neste site e anote o endereco exibido. Depois acesse o painel admin do roteador (192.168.1.1 na Vivo/Claro) e veja o IP WAN na tela de status. Se os dois enderecos forem diferentes, ha CGNAT. Se o IP WAN comecar com 100. (faixa 100.64.0.0 a 100.127.255.255), e CGNAT por definicao da RFC 6598. A Vivo Fibra (AS26599) e a Claro NET (AS28573) aplicam CGNAT na maioria dos planos residenciais em 2025-2026.
Sim. Acesse o painel admin do equipamento fornecido pela operadora normalmente (IP na tabela acima), faca login com as credenciais da etiqueta e crie a regra de port forwarding. Nao e necessario resetar para isso. Reset apaga todas as configuracoes -- use somente quando a senha foi perdida. Consulte o artigo sobre como acessar o roteador se tiver duvidas no login.
TCP garante entrega ordenada dos dados, com controle de erro e reconexao automatica. UDP e mais rapido mas sem garantia de entrega. Servicos web (HTTP, HTTPS, SSH) usam TCP. Jogos online, streaming ao vivo e VoIP frequentemente usam UDP. Quando em duvida, crie a regra para ambos os protocolos -- o custo de performance e desprezivel e garante compatibilidade.
Saber como abrir porta no roteador resolve a maioria dos cenarios de acesso remoto e hosting domestico. O processo e simples quando a operadora fornece IP publico dedicado. O obstaculo real, presente na maioria das conexoes residenciais brasileiras em 2025-2026, e o CGNAT. Confirme seu IP publico em Meu IP antes de gastar tempo configurando regras que nao vao funcionar por causa de NAT da operadora.
Aviso editorial: as informacoes de senhas padrao e caminhos de menu refletem documentacao publica dos fabricantes e foram verificadas em 2025-2026. Fabricantes atualizam firmware sem aviso; o comportamento pode diferir em versoes mais recentes. Este artigo nao substitui o suporte tecnico da operadora ou do fabricante. SaberMeuIP.com.br nao e afiliado a Intelbras, TP-Link, Huawei, ZTE, Vivo, Claro, TIM ou Oi.
Ver IP de WAN
Leituras Relacionadas
- Como acessar roteador —
- O que e CGNAT — O que e CGNAT: RFC 6598, faixa 100.64.0.0/10, NAT compartilhado pelo provedor, impacto em jogos e hospedagem no Brasil, e como saber se voce esta em CGNAT.
- Esqueci senha roteador —