Ir para o conteúdo

Capítulo 21 – Roteamento Dinâmico

Introdução

No capítulo anterior, aprendemos a configurar rotas estáticas para conectar redes locais e filiais — um modelo simples e eficiente em ambientes com poucas conexões.
No entanto, conforme a infraestrutura cresce, esse método se torna limitado em termos de escalabilidade, resiliência e flexibilidade.

O roteamento estático exige intervenção manual a cada mudança de topologia, o que aumenta o risco de falhas e o tempo de resposta em incidentes.
Para resolver essas limitações, o roteamento dinâmico permite que os dispositivos descubram automaticamente os melhores caminhos de rede e se ajustem diante de falhas de enlace.

No OPNsense, isso é possível com o FRR (Free Range Routing) — um plugin que implementa protocolos dinâmicos como BGP, OSPF, RIP e IS‑IS.
Neste capítulo, focaremos no BGP (Border Gateway Protocol) e no BFD (Bidirectional Forwarding Detection), configurando‑os em um cenário prático de matriz e filial interligadas via MPLS, substituindo o roteamento estático por um ambiente dinâmico, resiliente e autoadaptável.

Por Que Migrar de Roteamento Estático para Dinâmico

Em ambientes simples, rotas estáticas cumprem bem o papel de interconexão.
Porém, em redes corporativas ou provedores, a necessidade de automação e alta disponibilidade torna os protocolos dinâmicos indispensáveis.

Limitação das Rotas Estáticas Benefício do Roteamento Dinâmico
Requer atualização manual a cada mudança de topologia Ajuste automático de caminhos
Falta de redundância e failover automático Convergência imediata via BFD
Dificuldade de manutenção em múltiplos sites Gerenciamento centralizado e dinâmico
Alto risco de erro humano Detecção automática de vizinhos e rotas

Importante

No contexto corporativo, o BGP é amplamente utilizado tanto em provedores quanto em grandes empresas.
Ele oferece controle granular sobre as rotas anunciadas e recebidas, sendo ideal para redes interconectadas por MPLS, VPNs ou múltiplos provedores.
Ainda assim, é possível usar o BGP de forma simplificada em pequenas redes sem gerar complexidade.

Preparando o Ambiente

Antes de configurar o roteamento dinâmico, é necessário remover as rotas estáticas criadas no capítulo anterior, evitando sobreposição de caminhos.

Removendo Rotas Estáticas

  1. Acesse System → Routes → Configuration.
  2. Exclua a rota que aponta para a filial (ícone de lixeira).
  3. Repita o procedimento na filial, removendo a rota que aponta para a matriz.

Com o ambiente limpo, seguiremos com a instalação e ativação do FRR.

Adicionando Rotas Estáticas Para o Enlance MPLS (Enlace da Outra Ponta)

Iremos agora adicionar outras rotas estáticas, que vão nortear como um firewall encontra o outro via enlace MPLS para então negociar as rotas das LANs entre os Firewalls de forma dinâmica.

  1. Acesse System → Gateways → Configuration.
  2. Crie um novo Gateway associado a interface MPLS com o IP do roteador CPE (do provedor) que está conectado ao Firewall.
  3. Acesse System → Routes → Configuration.
  4. Adicione uma nova rota com destino a rede do enlace MPLS da outra ponta. Ex.: Ao configurar o firewall da matriz, informe o enlace MPLS da Filial (172.16.2.0/30). No campo Gateway, selecione o Gateway criado anteriormente.
  5. Repita o procedimento na filial, adicionando gateway e rota para o enlace MPLS da matriz.

Instalando e Ativando o FRR

O FRR (Free Range Routing) é o componente responsável por implementar protocolos de roteamento dinâmico dentro do OPNsense.

1. Instalar o Plugin os‑frr

  • Vá para System → Firmware → Plugins.
  • Marque a opção Community Plugins.
  • Localize e instale o plugin os‑frr.
  • Após a instalação, atualize a página.
    O menu esquerdo Routing ficará disponível.

2. Ativar o FRR Globalmente

  • Acesse Routing → General.
  • Marque Enable.
  • Clique em Apply.

Importante

Sem esta etapa, o FRR permanece inativo, mesmo que os módulos individuais (BGP, OSPF etc.) estejam configurados.

Configurando o Endereço Loopback (Router ID)

O Router ID identifica de forma única o roteador BGP em toda a topologia.
Por boas práticas, utiliza-se um endereço de loopback (interface virtual que nunca cai), garantindo estabilidade nas sessões de roteamento.

Etapas

  1. Vá em Interfaces → Devices → Loopback.
  2. Clique em + Add e nomeie como lo_bgp.
  3. Salve e aplique as alterações.
  4. Em Interfaces → Assignments, adicione a interface loopback.
  5. Edite a interface, habilite-a e atribua o endereço IP 10.1.1.1/32 (ou equivalente).
  6. Clique em Save e Apply Changes.

Importante

Use endereços exclusivos para cada firewall (ex.: 10.1.1.1/32 na matriz e 10.2.2.2/32 na filial).
Assim, o Router ID será único e previsível em toda a topologia.

Configurando o BGP

O BGP (Border Gateway Protocol) é o protocolo responsável por anunciar rotas entre os roteadores da matriz e da filial.

1. Configuração Básica

  1. Acesse Routing → BGP.
  2. Marque Enable e Advanced Mode.
  3. Defina o campo AS Number (Autonomous System) como 65551 (AS interno).
  4. Em Router ID, insira o IP da interface loopback (10.1.1.1).
  5. Marque Graceful Restart — isso evita a queda das sessões durante reinicializações.
  6. Em Networks, adicione as redes locais que serão anunciadas (ex.: 192.168.1.0/24 para a matriz).
  7. Marque Log Neighbor Changes para registrar alterações de estado.
  8. Clique em Apply.

Importante

Como estamos tratando de um iBGP (BGP interno), matriz e filial utilizarão o mesmo AS Number, indicando que pertencem à mesma organização.

Configurando Vizinhos BGP

Os vizinhos (peers) representam os roteadores com os quais o OPNsense trocará informações de roteamento.

Etapas

  1. Vá para Routing → BGP → Neighbors.

  2. Clique em + Add e preencha conforme o exemplo:

  3. Description: Firewall‑Filial‑MPLS

  4. Peer‑IP: endereço da interface MPLS do firewall remoto
  5. Remote AS: 65551
  6. Multi‑Hop: habilitar

  7. Enable BFD: marcado (para detecção rápida de falhas)

  8. Clique em Save e depois em Apply.

Importante

Se houver roteadores intermediários entre os firewalls (cenário comum em MPLS), ativar Multi‑Hop no vizinho BGP vai permitir a troca de rotas entre saltos não diretos

Configurando o BFD (Bidirectional Forwarding Detection)

O BFD trabalha em conjunto com o BGP para detectar falhas de enlace de forma extremamente rápida — normalmente em menos de um segundo — sem precisar esperar o tempo de expiração do protocolo.

Etapas

  1. Vá em Routing → BFD.
  2. Marque Enable.
  3. Clique em Apply.

Importante

Para que o BFD funcione corretamente, ambos os firewalls (matriz e filial) precisam ter o recurso habilitado.

Testando a Conectividade e as Sessões BGP

Após configurar o BGP e o BFD em ambos os firewalls:

  1. Acesse Routing → Diagnostics → BGP.
  2. Verifique se as rotas da rede remota estão sendo aprendidas. O prefixo B na rota indica que foi recebida via BGP.
  3. Vá até Neighbors e confirme que o estado da sessão é Established.
  4. Em Routing → Diagnostics → Log, analise possíveis mensagens de erro ou alterações de estado.

Dica

Utilize comandos como traceroute e ping a partir do próprio OPNsense para validar a rota.

Observações Importantes

  • FRR não é ativado automaticamente: após a instalação, é necessário habilitar o serviço em Routing → General.
  • Router ID fixo: utilize o IP da loopback para estabilidade — ele permanece ativo mesmo se a interface física cair.
  • AS Number igual: em cenários de iBGP, matriz e filial compartilham o mesmo número de AS.
  • Multi‑Hop: habilite quando houver roteadores intermediários no caminho MPLS.
  • Aplicação de alterações: sempre clique em Apply após mudanças em Networks, Peers ou Parâmetros Globais.

Boas Práticas

  • Documente todos os parâmetros: IPs de loopback, AS Numbers e redes anunciadas.
  • Ative logs de vizinhos: o “Log Neighbor Changes” é essencial para auditoria e troubleshooting.
  • Simetria de configuração: garanta que ambas as pontas (matriz e filial) usem parâmetros equivalentes.
  • Use BFD com prudência: intervalos muito curtos podem gerar instabilidade em redes sobrecarregadas.
  • Implemente caminho alternativo (VPN): mantenha uma VPN IPsec roteada como backup ao MPLS.
  • Valide em ambiente de laboratório: utilize ferramentas como PNetLab ou EVE‑NG antes de aplicar em produção.

Estudo de Caso – Migração de Rota Estática para BGP

Cenário

Uma empresa interliga matriz e filial por meio de um enlace MPLS.
As redes são as seguintes:

  • Matriz: 192.168.1.0/24
  • Filial: 192.168.2.0/24

Problema

O tráfego entre os sites depende de rotas estáticas, o que causa:

  • Dificuldade de manutenção e lentidão em ajustes.
  • Falta de detecção automática de falhas no link MPLS.

Solução

  1. Instalar e habilitar o FRR.
  2. Configurar BGP interno (iBGP) para troca automática de rotas.
  3. Ativar BFD para detecção rápida de falhas.
  4. Criar uma VPN IPsec roteada como caminho alternativo de backup.

Resultados

  • Redução de esforço administrativo.
  • Convergência quase instantânea em falhas.
  • Aumento da disponibilidade e estabilidade da comunicação entre matriz e filial.

Conclusão

O roteamento dinâmico com BGP e BFD eleva o ambiente de rede a um novo nível de automação, resiliência e eficiência.
Com o FRR integrado ao OPNsense, é possível construir topologias corporativas complexas com detecção automática de falhas, múltiplos caminhos e convergência rápida.
Essa abordagem é o passo seguinte natural após dominar o roteamento estático, preparando o ambiente para alta disponibilidade e interconexão inteligente entre sites.