Capítulo 19 – Virtual IPs (VIPs)

Introdução

Em ambientes corporativos, é comum que múltiplos serviços precisem ser publicados externamente ou que diferentes firewalls cooperem para garantir alta disponibilidade (HA).
Nessas situações, o uso de endereços IP virtuais (Virtual IPs – VIPs) torna-se essencial.

No OPNsense, os VIPs permitem associar endereços IP adicionais a uma mesma interface física, possibilitando que o firewall:

Publique múltiplos serviços com IPs distintos.
Gerencie tráfego de forma mais granular.
Replique IPs entre firewalls para redundância.
Centralize o controle e o monitoramento do tráfego de entrada.

Em resumo, os VIPs são uma ferramenta versátil para cenários de NAT avançado, balanceamento de serviços e alta disponibilidade.

Tipos de Virtual IPs no OPNsense

O OPNsense oferece quatro modos principais de configuração de VIPs, cada um voltado a um tipo específico de aplicação.

IP Alias

O IP Alias adiciona um endereço IP adicional a uma interface existente.
É o tipo mais comum de VIP, utilizado para publicação de múltiplos serviços via NAT ou para criar regras de firewall dedicadas a cada IP.

Importante

O IP Alias se comporta como um endereço “extra” da interface.
É ideal quando se possui um bloco público de IPs (ex.: /29) e deseja-se associar cada serviço a um IP distinto.

Proxy ARP

O Proxy ARP permite que o firewall responda por IPs que não pertencem diretamente à sua interface WAN, fingindo ser o destinatário desses endereços.
É útil quando o provedor entrega um único IP no link, mas roteia outros endereços adjacentes para o mesmo segmento.

Note

Em resumo, o Proxy ARP cria compatibilidade com endereços IP legados ou faixas de rede externas sem necessidade de sub-redes adicionais.

CARP (Common Address Redundancy Protocol)

O CARP é utilizado em cenários de alta disponibilidade (HA).
Nesse modo, dois ou mais firewalls compartilham um mesmo IP virtual.
Um dos nós atua como master e responde normalmente; os demais ficam em standby, assumindo o IP automaticamente em caso de falha.

Importante

Cada VIP CARP deve ter um VHID (Virtual Host ID) único, que identifica aquele IP exclusivamente dentre outros VIPs de um mesmo Cluster/HA.

Other

O tipo Other é reservado para configurações avançadas e integrações personalizadas, como scripts de roteamento, interfaces virtuais dinâmicas ou cenários experimentais.
Seu uso é raro por isso não trataremos dele aqui.

Criando um Virtual IP

Após compreender os tipos de VIP, o próximo passo é configurá-los no OPNsense.

Acesse Firewall → Virtual IPs → Settings.
Clique em + Add.
Preencha os seguintes campos:
- Interface: selecione a interface associada (ex.: WAN).
- Mode: escolha entre IP Alias, CARP, Proxy ARP ou Other.
- Address: insira o IP e a máscara (ex.: 192.168.100.10/24).
- Virtual IP Password: (somente para CARP) — define a senha de sincronização entre os firewalls.
- VHID Group: (somente para CARP) — define o identificador do VIP dentro do Cluster/HA.
- Description: adicione uma descrição clara, como “VIP Servidor Web Público”.
Clique em Save.
Clique em Apply Changes para aplicar as configurações.

Evite conflitos de IP

O VIP não deve colidir com endereços já utilizados na rede, especialmente com IPs do DHCP ou interfaces físicas.
Sempre valide a disponibilidade do endereço antes de aplicá-lo.

Boas Práticas de Configuração

Planeje a alocação de IPs antes de criar os VIPs.
Em cenários com vários serviços publicados, reserve um bloco de endereços dedicado.
Documente cada VIP com sua finalidade e o serviço associado.
Inclua também os VHIDs utilizados em ambientes HA.
Teste o failover CARP simulando falhas físicas (como desconexão de cabo) para validar a troca entre master e backup.
Evite excesso de VIPs desnecessários, pois cada endereço adicional aumenta a complexidade de monitoramento e processamento.
Crie regras de firewall específicas para interfaces com VIPs, limitando acesso e aplicando auditoria.

Caso de Uso 1 – Publicação de Serviços com Múltiplos IPs Públicos

Cenário

A operadora fornece cinco IPs públicos, e a organização precisa publicar três serviços distintos usando IPs dedicados:

Servidor Web
Servidor FTP
Servidor de E-mail

Solução

Criar três VIPs do tipo IP Alias, utilizando os IPs públicos disponíveis.
Configurar três regras de DNAT distintas, cada uma utilizando um VIP como destino.
Associar descrições claras a cada mapeamento (ex.: “DNAT – Servidor Web”).

Resultados

Cada serviço possui um IP público exclusivo, facilitando o monitoramento e troubleshooting.
Permite controle individual de acesso e logging.
Reduz o risco de bloqueios indevidos ou sobreposição de portas.

Caso de Uso 2 – Alta Disponibilidade com CARP

Cenário

Dois firewalls OPNsense configurados em modo High Availability (HA) precisam garantir que a rede LAN mantenha conectividade mesmo em caso de falha no firewall principal.

Solução

Criar um VIP do tipo CARP para ser usado como gateway da LAN (ex.: 192.168.1.1/24).
Configurar o mesmo VIP no firewall secundário, com as mesmas credenciais de sincronização e VHID.
Definir o IP CARP como gateway padrão em estações e servidores internos.
Validar o failover desconectando o nó master e observando o failover imediato pelo firewall backup.

Resultados

Continuidade operacional: a rede mantém acesso à Internet e aos serviços internos.
Transição automática: o failover ocorre sem reconfigurações manuais.
Resiliência: reduz o impacto de falhas físicas e melhora a estabilidade da infraestrutura.

HA em capítulos futuros

A configuração completa de alta disponibilidade (HA) com sincronização de conexões e failover será detalhada nos próximos capítulos.

Conclusão

Os Virtual IPs (VIPs) no OPNsense são elementos-chave para publicação de múltiplos serviços, isolamento de tráfego e implementação de alta disponibilidade.
Quando corretamente planejados, proporcionam flexibilidade operacional, redundância eficiente e melhor visibilidade do tráfego.
A adoção de boas práticas — como documentação, validação de endereços e teste de failover — garante que os VIPs operem de forma segura e previsível dentro da infraestrutura.