Ir para o conteúdo

Capítulo 20 – Roteamento Estático

Diagrama de Roteamento Estático

Introdução

O roteamento estático é uma das formas mais diretas e previsíveis de definir o caminho que o tráfego deve seguir entre redes distintas.
Diferentemente do roteamento dinâmico, que utiliza protocolos como OSPF ou BGP para descobrir automaticamente os melhores caminhos, o roteamento estático depende de configurações manuais feitas pelo administrador.

No OPNsense, o roteamento estático é amplamente utilizado em cenários como:

  • Conexões LAN-to-LAN (como túneis VPN ou links MPLS entre matriz e filial).
  • Integrações com provedores que exigem rotas fixas para serviços específicos.
  • Ambientes pequenos ou estáveis, onde o uso de protocolos dinâmicos não se justifica.

A principal vantagem do roteamento estático é sua simplicidade e previsibilidade. No entanto, isso também implica maior responsabilidade na manutenção, já que qualquer alteração na topologia exige atualização manual das rotas.

Neste capítulo, será demonstrado como configurar o roteamento estático no OPNsense — desde o cadastro do gateway até a criação da rota estática propriamente dita — além de boas práticas e um caso de uso real.

Conceitos Fundamentais

Antes da configuração, é importante compreender dois conceitos-chave:

  • Gateway: é o próximo salto (next hop), ou seja, o roteador responsável por encaminhar o tráfego em direção à rede remota.
  • Rota Estática: define o destino (rede ou host) e o gateway pelo qual o tráfego deverá seguir.

Esses dois elementos trabalham em conjunto: o gateway indica o caminho de saída, e a rota estática define qual tráfego deve utilizá-lo.

Cadastrando um Gateway

O gateway representa o endereço IP do roteador ou dispositivo intermediário que fará o encaminhamento do tráfego até a rede de destino.
No OPNsense, ele é configurado por interface e pode incluir monitoramento ativo para verificar a disponibilidade do link.

Registro da Interface do LAN-to-LAN

Antes de cadastrar o gateway LAN-to-LAN como no procedimento abaixo, certifique-se de que já tenha registrado a interface do LAN-to-LAN e atribuído um endereço IP a ela.
Veja a seção 09 - Configurar Rede Local caso tenha dúvidas em como atribuir a interface e definir seu endereço IP.

Etapas para cadastrar um gateway

  1. Acesse System → Gateways → Configuration.
  2. Clique em + Add.
  3. Preencha os campos conforme o exemplo abaixo:
    • Name: GW_L2L_FILIAL
    • Interface: L2L_FILIAL, ou a interface que conecta à rede remota
    • IP Address: 172.16.1.2 (IP do gateway - no caso o firewall da outra ponta que está no mesmo enlace LAN-to-LAN)
    • Monitor IP (opcional, mas recomendado): insira um IP confiável para monitoramento — pode ser o próprio gateway ou um host estável da rede de destino
    • Description: “Gateway para filial via LAN-to-LAN”
  4. Clique em Save.
  5. Clique em Apply Changes para aplicar a configuração.

Note

O campo Monitor IP é essencial em ambientes corporativos. Ele permite que o OPNsense identifique falhas no link e desative automaticamente as rotas associadas ao gateway em caso de inatividade.

Adicionando uma Rota Estática

Com o gateway definido, o próximo passo é criar uma rota estática que informe ao firewall qual caminho utilizar para alcançar a rede remota.

Etapas para cadastrar uma rota estática

  1. Acesse System → Routes → Configuration.
  2. Clique em + Add.
  3. Preencha os campos conforme o exemplo abaixo:
    • Network Address: 192.168.2.0/24 (rede de destino)
    • Gateway: selecione GW_L2L_FILIAL (criado na etapa anterior)
    • Description: “Rota estática para filial via L2L”
  4. Clique em Save.
  5. Clique em Apply Changes para ativar a rota.

Após aplicar, qualquer tráfego destinado à rede 192.168.2.0/24 será encaminhado ao gateway 172.16.1.2, que continuará o roteamento até o destino final.

Importante

O roteamento estático é bidirecional.
Para que a comunicação funcione corretamente, o firewall remoto também deve possuir uma rota estática apontando de volta para a rede de origem.

Observações Importantes

  • Interface correta: selecione sempre a interface física correta ao criar o gateway. Um erro neste campo pode causar perda de conectividade.
  • Rotas sobrepostas: evite rotas conflitantes, como 192.168.0.0/16 e 192.168.0.0/22. Planeje a tabela de roteamento com cuidado.
  • VPNs x Rotas Estáticas: em túneis IPsec, o roteamento costuma ser automático. Adicione rotas manuais apenas quando usar o IPsec no modo roteado (VTI).
  • Monitoramento: utilize o campo Monitor IP para detectar quedas de comunicação e acionar alertas de link.

Boas Práticas

  • Documente todas as rotas: registre o propósito, o gateway e a rede de destino. Isso evita erros em auditorias e manutenções.
  • Agrupe rotas semelhantes: se várias redes apontam para o mesmo gateway, considere sumarizá-las para reduzir o número de entradas.
  • Evite rotas desnecessárias: mantenha apenas o que é essencial. Rotas redundantes podem introduzir riscos ou caminhos inesperados.
  • Valide a configuração: use ping e traceroute a partir do firewall e das estações para confirmar que o tráfego segue pelo caminho correto.
  • Ajuste as regras de firewall: o roteamento define o caminho, mas o firewall ainda precisa permitir o tráfego entre as redes.

Caso de Uso – Conexão Matriz e Filial (LAN-to-LAN)

Cenário

Uma empresa possui duas unidades conectadas por um enlace LAN-to-LAN fornecido pela operadora:

  • Matriz: rede 192.168.1.0/24
  • Filial: rede 192.168.2.0/24

A conexão LAN-to-LAN entre as unidades utiliza os endereços 172.16.1.1 (matriz) e 172.16.1.2 (filial).

Problema

Apesar do link LAN-to-LAN estar ativo, as estações da matriz não conseguem acessar servidores ou impressoras da filial, pois o firewall ainda não sabe como encaminhar o tráfego para a rede remota.

Solução com Roteamento Estático

Na Matriz

  • Criar o gateway GW_L2L_FILIAL, apontando para o firewall na outra ponta (172.16.1.2).
  • Criar a rota estática 192.168.2.0/24 via GW_L2L_FILIAL.

Na Filial

  • Criar o gateway GW_L2L_MATRIZ, apontando para o firewall da Matriz (172.16.1.1).
  • Criar a rota estática 192.168.1.0/24 via GW_L2L_MATRIZ.

Regras de Firewall

  • Criar regra na interface L2L de cada Firewall, permitindo o tráfego entre as redes 192.168.1.0/24192.168.2.0/24.

Resultados

  • Comunicação direta e estável entre matriz e filial.
  • Impressoras e servidores acessíveis sem necessidade de NAT.
  • Estrutura de rede simples de manter e auditar.

Redundância de Rotas

O roteamento estático não oferece convergência automática em caso de falha no link (ex.: LAN-to-LAN fora do ar).
Uma abordagem resiliente é configurar uma VPN de backup e utilizar roteamento dinâmico para alternar automaticamente o caminho.
Esse cenário será abordado no próximo capítulo, dedicado ao Roteamento Dinâmico.

Rotas duplicadas

No OPNsense, diferente de outros firewalls como Mikrotik, Fortigate, SonicWall e outras marcas, não é possível simplesmente adicionar 2 rotas para o mesmo destino usando-se de pesos (distância administrativa) diferentes, para quando a rota principal ficar indisponível, a rota secundária assumir convergindo o tráfego para o gateway secundário.
É uma limitação do sistema FreeBSD, a base do OPNsense.
Entretanto, podemos usar do roteamento dinâmico, que possui uma configuração simplificada para este tipo de cenário almejado.

Conclusão

O roteamento estático no OPNsense fornece uma solução simples, previsível e confiável para interligar redes locais e remotas.
Apesar de exigir configuração manual, ele garante controle total sobre os caminhos do tráfego, sendo ideal para ambientes de topologia estável ou com poucos enlaces.
Ao aplicar boas práticas e monitorar a disponibilidade dos gateways, é possível manter uma comunicação segura e eficiente entre diferentes segmentos da rede.