Ir para o conteúdo

Capítulo 48 – DDNS (Cloudflare)

Introdução

Em ambientes onde o link de internet possui IP dinâmico, é comum perder o acesso remoto ao firewall ou às publicações de serviços sempre que o endereço IP muda. O DNS Dinâmico (DDNS) resolve esse problema automaticamente: ele atualiza o DNS toda vez que o IP muda, mantendo o nome de domínio sempre apontando para o endereço atual do firewall.

No OPNsense, é possível configurar o DDNS com a Cloudflare, integrando o firewall diretamente à API da plataforma. Dessa forma, mesmo com links residenciais ou comerciais dinâmicos, você continua acessando o ambiente de forma estável e segura.

Limitação Importante

O DDNS não funciona em conexões sob CGNAT (Carrier-Grade NAT). Se o IP recebido do provedor estiver no intervalo 100.64.0.0/10, significa que o firewall não possui um IP público próprio. Nesse caso, VPNs, redirecionamentos de porta e publicações externas não funcionarão — apenas acesso saída → internet será possível.

Conceito de Funcionamento

  1. O firewall envia periodicamente o endereço IP atual para o serviço de DDNS.
  2. O provedor de DNS (Cloudflare) atualiza automaticamente o registro A do domínio/subdomínio.
  3. Qualquer acesso feito ao nome configurado (ex.: opnsense.citrait.com.br) será sempre resolvido para o IP correto.

Benefícios do DDNS

  • Acesso remoto contínuo, mesmo após troca de IP pelo provedor.
  • Facilidade para publicar VPNs e portais web.
  • Alternativa viável quando IP fixo não está disponível.

Configuração da Cloudflare

Antes de configurar o OPNsense, crie o token de autenticação e o registro DNS na sua conta Cloudflare.

1. Criar um Token de API

  1. Acesse o painel da Cloudflare.
  2. No menu lateral, clique em Manage Account → Account API Tokens.
  3. Clique em Create Token.
  4. Na linha Edit Zone DNS, clique em Use Template.
  5. Em Zone Resources, selecione o domínio desejado.
  6. Clique em Continue to Summary e depois em Create Token.
  7. Copie e salve o token gerado (por exemplo, em um bloco de notas seguro).

Importante

O token será usado como senha (Password) na configuração do OPNsense. Após gerar, não é possível visualizá-lo novamente — guarde-o com segurança.

2. Criar o Registro DNS na Cloudflare

  1. No painel principal, clique no nome da conta e depois no domínio que será atualizado.
  2. Vá até DNS → Records.
  3. Clique em Add record e crie um registro do tipo A:
Campo Valor
Type A
Name Nome do host (ex.: opnsense)
Content Seu IP público atual
Proxy Status desativado
  1. Clique em Save.

Importante

O uso do Proxy Cloudflare é opcional. Caso esteja publicando VPN ou outros serviços TCP/UDP, mantenha o proxy desativado (cinza) para evitar interferências.

Configuração do OPNsense

1. Instalar o Plugin DDClient

  1. Acesse System → Firmware → Plugins.
  2. Localize e instale o plugin os-ddclient.
  3. Após instalado, recarregue a página.

2. Configurar o DDClient

  1. Vá em Services → Dynamic DNS → Settings.
  2. Clique em + Add para criar uma nova entrada.

  3. Preencha os campos conforme abaixo:

    Campo Valor
    Description Cloudflare
    Service cloudflare
    Username token (literalmente a palavra “token”)
    Password Cole o token gerado anteriormente
    Zone Nome do domínio (ex.: citrait.com.br)
    Hostname(s) Subdomínio completo (ex.: opnsense.citrait.com.br)

  4. Clique em Save, depois em Apply.

  5. Aguarde alguns segundos: o IP público do link será sincronizado automaticamente com a Cloudflare.

Verificação

O status deve exibir o endereço IP atual. Caso contrário, revise o token, nome da zona e hostname.

Testando o DDNS

  1. Acesse o terminal do OPNsense ou outro computador.

  2. Execute um ping para o hostname configurado: ping opnsense.citrait.com.br

  3. O resultado deve exibir o mesmo IP público da sua conexão atual.

  4. Após uma troca de IP pelo provedor, o hostname será automaticamente atualizado em poucos minutos.

Acesso Remoto ao Firewall (opcional)

Com o DDNS funcionando, você pode permitir acesso remoto temporário à WebGUI para fins de teste.

  1. Vá em Firewall → Rules → WAN → + Add.

  2. Configure conforme abaixo:

    Campo Valor
    Source Any
    Destination This Firewall
    Destination Port HTTPS (ou a porta configurada, ex.: 8443)
    Log Enabled
    Description Acesso remoto WebGUI

  3. Save → Apply Changes.

Atenção – Exposição da WebGUI

Essa regra abre o acesso ao firewall pela internet. Use somente para testes temporários e aplique boas práticas:
- Restrinja o acesso a um Alias com IPs confiáveis; ou
- Limite o acesso apenas a endereços do Brasil (ver capítulo de Aliases).

Importante

Após confirmar o funcionamento do DDNS, remova a regra e utilize métodos mais seguros, como VPN de acesso remoto.

Integrações Relacionadas

O DDNS é frequentemente usado em conjunto com outras funcionalidades do OPNsense:

Integração Descrição
VPN SSL (OpenVPN) Utilize o domínio DDNS como endereço público do servidor VPN.
NAT (Port Forwarding) Associe o domínio DDNS aos serviços publicados (ex.: HTTP, SSH, RDP).
Proxy Reverso (NGINX) Publique múltiplos sites no mesmo IP com SSL válido e hostname fixo.

Conclusão

O DDNS com Cloudflare garante que o acesso ao OPNsense e aos serviços internos permaneça estável mesmo em links dinâmicos. Com a integração via API Token, o firewall atualiza automaticamente o IP público, eliminando a necessidade de intervenção manual. Em conjunto com boas práticas de segurança — como VPNs e filtragem de origem, o DDNS se torna uma solução confiável e profissional para administração remota.