Capítulo 9 – Configurar a Rede Local (LAN)
Introdução
A rede local (LAN) é a espinha dorsal de qualquer ambiente corporativo — por onde circulam os dados críticos entre usuários, servidores e dispositivos de infraestrutura.
Após concluir a instalação inicial e o acesso ao OPNsense, o próximo passo é estruturar a rede interna e suas VLANs, organizando o tráfego e estabelecendo bases sólidas para segurança e escalabilidade.
A segmentação em VLANs é uma das práticas mais importantes em redes modernas.
Ela permite aplicar políticas distintas de acesso e segurança, reduzindo riscos e otimizando o gerenciamento.
Por exemplo, impede que um visitante na rede Wi-Fi de convidados tenha o mesmo nível de acesso que um servidor corporativo.
Neste capítulo, você aprenderá a:
- Alterar a sub-rede padrão da LAN, ajustando o endereço IP do firewall e do servidor DHCP;
- Criar múltiplas VLANs (Servidores, Corporativo, Wi-Fi corporativo e Wi-Fi convidados);
- Configurar cada VLAN com endereço IP e máscara adequados;
- Ativar o serviço DHCP (Dnsmasq) para atribuição automática de IPs dentro de cada rede;
- Criar regras iniciais de firewall para garantir conectividade básica entre as redes.
O objetivo é que, ao final deste capítulo, o ambiente esteja dividido em redes isoladas e funcionais, pronto para receber regras de segurança mais refinadas nos próximos passos.
Importante
As regras criadas neste capítulo serão propositalmente amplas para fins de teste e conectividade.
Em capítulos posteriores, aplicaremos o princípio do menor privilégio, restringindo o tráfego entre as redes.
Alterando a Sub-rede da VLAN Padrão
- Acesse Interfaces → LAN.
- Altere o endereço IP do firewall de
192.168.1.1para192.168.254.1/24. - Clique em Save, mas ainda não em Apply.
- Vá em Services → Dnsmasq DNS & DHCP → DHCP ranges.
- Clique em Edit e ajuste o intervalo de IPs:
- Início:
192.168.254.41 - Fim:
192.168.254.254
- Início:
- Clique em Save e depois em Apply.
- Retorne a Interfaces → LAN e clique em Apply no topo.
- No computador cliente, execute
ipconfig /release && ipconfig /renew. - Acesse novamente o firewall em https://192.168.254.1.
Criando as VLANs
Agora que a LAN foi ajustada, é hora de criar as VLANs que representarão os diferentes segmentos da rede.
- Vá em Interfaces → Devices → VLAN.
- Clique em + Add.
- Selecione a interface física (geralmente
LAN). - Preencha:
- Name:
vtnet0_vlan10 - VLAN Tag:
10 - Description:
SERVIDORES
- Name:
- Clique em Save.
- Repita para as VLANs:
20→ CORPORATIVO30→ WIFI_CORP40→ WIFI_GUEST
- Reflita os nomes das VLANs criadas para manter a padronização (ex.:
vtnet0_vlan20,vtnet0_vlan30, etc.). - Clique em Apply.
Configurando as Interfaces VLAN
- Vá em Interfaces → Assignments.
- Em + Assign a new interface, registre as VLANs uma a uma.
-
Para cada VLAN registrada:
- Acesse Interfaces → [VLAN];
- Marque Enable Interface;
- Selecione Static IPv4;
- Atribua um endereço IP conforme a tabela:
VLAN Função Endereço IP / Máscara 10 Servidores 192.168.10.1/2420 Corporativo 192.168.20.1/2430 Wi-Fi Corporativo 192.168.30.1/2440 Wi-Fi Convidado 192.168.40.1/24 -
Clique em Save e depois em Apply.
As interfaces agora estão ativas e com endereços definidos.
O próximo passo é habilitar o serviço DHCP em cada uma delas.
Desabilitando o Serviço ISC DHCP
A partir da versão 25.7, o OPNsense utiliza o Dnsmasq DHCP & DNS como serviço DHCP padrão.
Para evitar conflitos, desative o serviço antigo caso ainda esteja habilitado:
- Vá em Services → ISC DHCPv4 → [LAN].
- Desmarque Enable.
- Clique em Save.
Procedimento opcional
Caso não encontre [LAN] no submenu do ISC DHCPv4, isso indica que ele já está desativado.
Habilitando o DHCP (Dnsmasq) nas VLANs
- Acesse Services → Dnsmasq DNS & DHCP → General.
- Marque Enable.
- Em Interface, selecione LAN e todas as VLANs.
- Defina Listen port = 0 para manter o Unbound como DNS principal.
- Clique em Apply.
-
Em DHCP ranges, clique em + Add e configure cada interface:
Interface Início Fim Domínio LAN 192.168.254.41192.168.254.245citrait.corpSERVIDORES 192.168.10.41192.168.10.245citrait.corpCORPORATIVO 192.168.20.41192.168.20.245citrait.corpWIFI_CORP 192.168.30.41192.168.30.245citrait.corpWIFI_GUEST 192.168.40.41192.168.40.245citrait.corp -
Clique em Save e depois em Apply.
Criando Regras de Firewall Iniciais
Por padrão, novas interfaces bloqueiam todo o tráfego (exceto DHCP).
Para fins de teste, criaremos regras de liberação geral em cada VLAN.
- Vá em Firewall → Rules → SERVIDORES.
- Clique em + Add.
- Marque Log packets handled by this rule.
- Descrição:
Liberação Geral Servidores. - Clique em Save e depois em Apply.
- Repita o processo para as demais VLANs.
Após aplicar, os dispositivos em qualquer VLAN devem conseguir acessar a Internet e comunicar-se entre redes, conforme as regras temporárias criadas.
Observações Importantes
- Alteração do IP da LAN: ao mudar o endereço padrão, a sessão web será perdida temporariamente.
- Sincronização do range DHCP com o IP da interface: sempre ajuste o intervalo após modificar a sub-rede.
- Nomenclatura padronizada: use nomes claros como
SERVIDORES,CORPORATIVO,WIFI_CORP,WIFI_GUEST. - Associação de VLANs: o switch físico deve estar configurado como trunk para transportar as VLANs.
- Regras padrão: o OPNsense bloqueia todo o tráfego até que regras explícitas sejam criadas.
Boas Práticas
- Padronize endereços: use o número da VLAN no IP (ex.: VLAN 30 →
192.168.30.1/24). - Documente a topologia: registre VLANs, IPs e funções em um inventário de rede.
- Segmente por função: servidores, usuários, convidados, IoT etc.
- Valide cada rede: teste conectividade, DNS e acesso à Internet após configurar.
- Comece permissivo, depois restrinja: as regras criadas aqui são temporárias.
- Planeje o crescimento: mantenha consistência para futuras VLANs e expansões.
Conclusão
A LAN e as VLANs estão configuradas e operacionais, fornecendo conectividade isolada e controlada.
Nos próximos capítulos, aplicaremos técnicas de agregação de portas para garantir alta disponibilidade da rede local com o firewall.