Ir para o conteúdo

Capítulo 12 – VLAN com Saída por Link de Internet Específico (Policy Routing)

Introdução

Com os links de Internet e o failover configurados nos capítulos anteriores, é possível agora direcionar o tráfego de VLANs específicas para links distintos, utilizando um recurso conhecido como policy routing.

Em redes corporativas com múltiplos links de Internet, o comportamento padrão é simples: todas as VLANs utilizam o gateway padrão definido no sistema.
Porém, esse modelo nem sempre atende às necessidades de desempenho, segurança ou distribuição de carga. É justamente nesse contexto que o policy routing se torna essencial.

O que é Policy Routing?

Tradicionalmente, os roteadores tomam decisões com base apenas na tabela de roteamento — ou seja, escolhem o caminho de saída considerando apenas o destino do pacote.
O policy routing altera essa lógica, permitindo que o roteador decida o caminho com base em políticas, levando em consideração critérios como:

  • interface ou VLAN de origem
  • endereço IP de origem
  • tipo de tráfego
  • porta, protocolo ou aplicação
  • gateway especificado diretamente na regra de firewall

No OPNsense, isso se traduz em: “a regra de firewall define qual gateway será usado para aquele tráfego”, permitindo que diferentes VLANs utilizem diferentes links de Internet.

Neste capítulo, utilizaremos policy routing para configurar a VLAN Wi-Fi Convidado de forma que ela utilize preferencialmente um link secundário, por meio de um Grupo de Gateways.
Caso esse link apresente falhas, o tráfego será automaticamente redirecionado para o link remanescente, conforme a prioridade definida.

Essa abordagem oferece benefícios práticos, como:

  • Balanceamento inteligente de carga: exporta tráfego não essencial para outro link.
  • Distribuição previsível da banda: cada VLAN pode ser mapeada a um link específico.
  • Monitoramento contínuo dos links: falhas são detectadas e tratadas automaticamente.
  • Alta disponibilidade: garante continuidade mesmo em falhas de um provedor.

O resultado é um ambiente mais eficiente, resiliente e previsível, onde diferentes VLANs podem ser associadas a links distintos através do policy routing, alinhando desempenho, segurança e confiabilidade.

Configurando o Grupo de Gateways

1. Criar o grupo de gateways

  1. Acesse System → Gateways → Group.
  2. Clique em + Add para criar um novo grupo.
  3. Em Group Name, defina um nome descritivo, por exemplo: FAILOVER-ALGAR-VIVO.
  4. Configure as prioridades (Tier) dos gateways:
    • Tier 1: Link principal (Algar)
    • Tier 2: Link de backup (Vivo)
  5. Clique em Save para concluir.

2. Associar o grupo de gateways à VLAN desejada (Policy Routing)

Neste passo, aplicaremos policy routing por meio da regra de firewall — é a própria regra que define qual gateway será utilizado.

  1. Vá em Firewall → Rules → WIFI_CONVIDADO.
  2. Edite a regra de saída para a Internet.
  3. No campo Gateway, selecione o grupo criado (FAILOVER-ALGAR-VIVO).
  4. Clique em Save e depois em Apply Changes.

Atenção na Ordem das Regras

O policy routing é aplicado linha a linha, seguindo a ordem das regras.
A regra que define o gateway ou grupo de gateways deve estar abaixo das regras que liberam acesso a recursos internos (DNS local, servidores, outras VLANs).
Caso contrário, o tráfego interno poderá ser enviado ao gateway errado, resultando em perda de conectividade.

Observações Importantes

  • O policy routing só é aplicado em tráfego permitido: a regra deve combinar origem, destino e gateway.
  • Ordem das regras: essencial para evitar que tráfego interno saia pelo link de Internet.
  • Prioridades (Tier): defina corretamente os níveis de failover no grupo de gateways.
  • Failover transparente: sessões ativas podem ser reiniciadas devido à troca de IP público.

Boas Práticas

  • Nomenclatura clara: padronize nomes como FAILOVER-ALGAR-VIVO.
  • Teste o failover: desconecte o link secundário e observe a troca automática.
  • Dashboards e relatórios: acompanhe latência e perda de pacotes para validar estabilidade.
  • Combine com Traffic Shaping: ajuste a banda por VLAN ou aplicação.

Caso de Uso

Cenário

Uma empresa possui dois links de Internet:
- Algar: 500 Mbps (principal)
- Vivo: 200 Mbps (backup)

Atualmente todo o tráfego — corporativo e de visitantes — utiliza o link da Algar, causando sobrecarga desnecessária e deixando o link secundário ocioso.

Desafio

Reduzir o consumo do link principal e aproveitar melhor o link secundário, sem impactar serviços corporativos críticos.

Solução com Policy Routing e Gateway Groups

Foi criado um grupo de gateways com a seguinte configuração:
- Vivo (Tier 1) – link primário para a VLAN Wi-Fi Convidado
- Algar (Tier 2) – failover automático

A regra da VLAN de convidados, utilizando policy routing, direciona todo o tráfego dessa VLAN para o grupo definido, garantindo que visitantes naveguem pelo link secundário — liberando o link principal.

Resultados

  • O link principal passou a ser usado quase exclusivamente por sistemas internos essenciais.
  • O link secundário foi devidamente aproveitado, tornando mais fácil detectar falhas e quedas.
  • Os convidados continuam navegando mesmo em caso de falha no link secundário.

Conclusão

O uso de policy routing no OPNsense permite definir exatamente por qual link cada VLAN deve sair, criando cenários altamente controlados e eficientes.
Ao combinar regras de firewall, grupos de gateway e boas práticas de roteamento, sua rede passa a operar com mais previsibilidade, redundância e desempenho — pilares essenciais de ambientes corporativos modernos.