Ir para o conteúdo

Capítulo 8 – Configurar o Failover de Internet

Introdução

Após configurar os links de Internet no OPNsense, o próximo passo é garantir continuidade operacional e alta disponibilidade por meio da funcionalidade de failover.
A conectividade com a Internet é um dos pilares mais críticos em qualquer infraestrutura de TI — em empresas, filiais ou até em ambientes domésticos avançados, a indisponibilidade de um link pode resultar em perda de produtividade, interrupção de serviços e impactos diretos nos negócios.

O failover é um mecanismo que assegura a redundância de conexão, permitindo que, em caso de falha no link principal, o firewall transfira automaticamente o tráfego para um link de backup, preservando a comunicação e minimizando interrupções perceptíveis.

No OPNsense, essa funcionalidade é implementada por meio do monitoramento ativo dos gateways.
O firewall realiza testes periódicos de conectividade (geralmente via ping para IPs externos) e avalia o estado de cada link.
Caso o link principal apresente falhas — como perda de pacotes, latência excessiva ou indisponibilidade total — o sistema migra automaticamente o tráfego para o link secundário.

A lógica do failover baseia-se na prioridade de gateways:

  • O gateway primário recebe a prioridade mais baixa (ex.: 10);
  • Os gateways de backup recebem prioridades mais altas (ex.: 20, 30...).

Assim, o OPNsense sempre utilizará o link preferencial, recorrendo aos backups apenas quando necessário.

Além de manter a disponibilidade da rede, o failover é essencial em ambientes que exigem acesso remoto contínuo, operações em nuvem ou serviços corporativos críticos.

Neste capítulo, você aprenderá a habilitar a troca automática de gateways, configurar o monitoramento ativo e validar o funcionamento do failover, garantindo que o firewall mantenha a conectividade mesmo durante falhas de provedor.

Configurando o Failover de Gateways

Habilitar a Troca de Gateways

  1. Acesse System → Settings → General.
  2. Marque a opção Allow default gateway switching (Permitir troca de gateway padrão) no final da página.
  3. Clique em Save e reinicie o firewall para aplicar as alterações.

Troca do Gateway Padrão

Com a troca de gateways habilitada, o OPNsense passa a monitorar todos os gateways disponíveis e alternar automaticamente entre eles conforme a disponibilidade.

Configurar o Monitoramento dos Gateways

  1. Vá até System → Gateways → Configuration.

  2. Edite cada gateway IPv4 individualmente e configure os seguintes parâmetros:

    • Upstream Gateway: marque a opção.
    • Disable Gateway Monitoring: mantenha desmarcado para habilitar o monitoramento.
    • Monitor IP: insira um endereço IP confiável (ex.: 1.1.1.1, 8.8.8.8, 9.9.9.9).
    • Priority: defina a prioridade (quanto menor o número, maior a preferência).

  3. Após salvar e aplicar, a tela exibirá o status de cada gateway, incluindo latência, perda de pacotes e estado atual.

O gateway exibido em negrito (active) indica o link atualmente em uso.

Importante

Utilize IPs diferentes para cada link, evitando falsos positivos.
No campo Monitor IP, prefira endereços externos confiáveis — como DNS do Google, Cloudflare ou do provedor — e, se possível, escolha roteadores a partir do terceiro salto.

Observações Importantes

O correto funcionamento do failover depende de uma configuração cuidadosa.
Considere os pontos abaixo para evitar erros comuns:

  • Failover ≠ Load Balancing: o failover garante continuidade durante falhas, mas não distribui o tráfego simultaneamente entre os links.
    Para balanceamento, é necessária uma configuração adicional.

  • Monitoramento Inteligente: nunca utilize o gateway do próprio provedor como IP de monitoramento. Isso pode mascarar falhas reais. Utilize IPs públicos confiáveis como 1.1.1.1 ou 8.8.8.8.

  • Retorno ao Link Primário: assim que o link principal for restabelecido, o OPNsense redireciona o tráfego automaticamente. Avalie se esse comportamento é desejado, pois pode causar reconexões de VPNs e interrupções de sessões ativas.

  • Qualidade do Link: o failover também pode ser disparado por alta latência ou perda parcial de pacotes, e não apenas por queda total. Ajuste a sensibilidade na configuração avançada do gateway conforme a criticidade do ambiente.

  • Impacto em Sessões Abertas: downloads, chamadas VoIP e sessões HTTPS podem ser interrompidos durante a troca de gateway, devido à mudança no IP público.

Boas Práticas

Além da configuração técnica, adotar boas práticas garante previsibilidade e estabilidade no failover:

  • Defina prioridades coerentes: utilize valores como 10 (primário), 20 (secundário), 30 (terciário).
    Isso evita confusões durante a comutação.

  • Padronize nomenclaturas: adote nomes descritivos para gateways, como:
    GW_Principal_Claro
    GW_Backup_Vivo

  • Realize testes controlados: simule falhas desconectando fisicamente o modem principal e valide se o tráfego migra para o link de backup. Teste também desconectar a fibra do modem para validar o comportamento real.

  • Monitore relatórios: acompanhe periodicamente as métricas de latência e perda de pacotes em System → Gateways → Status ou em Reporting → Health → Quality.

  • Combine com notificações: configure alertas por Monit ou e-mail para ser notificado quando houver troca de gateway.

  • Planeje serviços externos: se você publica VPNs, sites ou RDP, utilize DDNS ou IPs redundantes para reduzir os impactos durante a troca de link.

Conclusão

Com o failover configurado e validado, o OPNsense passa a oferecer alta disponibilidade de conectividade, garantindo que falhas de provedor não causem indisponibilidade total.

No próximo capítulo, você aprenderá a configurar a Rede Local, definindo VLANs, ranges DHCP e regras de firewall para permitir uma segmentação estruturada e segura da rede.