Perguntas Frequentes

Nesta seção, você encontra respostas para perguntas comuns, feitas pelos alunos do curso:

Como baixar versões anteriores do OPNsense?

Pelo seguinte link: https://mirror.cloudfence.com.br/opnsense/releases/

Como descobrir o melhor DNS para o firewall?

https://dnsspeedtest.online/

Acesse a página

Clique em Check DNS Speed

Clique na coluna Min (ms) para organizar pelo dns mais rápido para sua localidade

Créditos ao colega Maciel Meireles.

Fiz o redirecionamento de DNS para o firewall com bloqueio de sites via DNS, mas a máquina do usuário ainda continua acessando os sites proibidos

Indicamos que seja interceptado o DNS das máquinas para o firewall, fazendo com que todas as requisições sejam forçadas a serem resolvidas pelo próprio firewall.

Entretanto, a partir da versão 83 do Google Chrome, por padrão o navegador vem com uma função de privacidade chamada “Usar DNS Seguro”.

Sintoma: Abra o google chrome no computador do usuário e verifique nas configurações de segurança, se a proteção DNS está habilitada.

Resolução (Indicada): Use políticas de grupo para forçar os navegadores Google Chrome e Microsoft Edge a desabilitarem esta função por padrão, para respeitar a política da empresa.

Resolução (Alternativa): Faça o bloqueio dos IPs dos servidores usados para a privacidade DNS dos navegadores. O procedimento consiste em cadastrar um alias e criar uma regra de firewall para bloquear comunicação com este Alias.

O Alias deve ser do tipo URL Tables (IPs) e apontar para a seguinte URL: https://raw.githubusercontent.com/jameshas/Public-DoH-Lists/refs/heads/main/lists/doh_ips_plain.txt.
Ao criar o alias, defina o campo days* como 1 para atualizar diariamente a lista.

Não consigo acessar o firewall externamente, apresenta erro de HTTP_REFERER

Sintoma:

Resolução:

Acesse o menu System → Settings → Administration e marque a caixinha “HTTP_REFERER Enforcement”.

Clique em Salvar ao final da página e tente acessar novamente o firewall.

Quais portas eu preciso liberar no firewall para um PC na VLAN PCs comunicar com um servidor Active Directory em outra VLAN?

Você deve liberar as seguintes portas, tanto TCP quanto UDP:

• 135 - RPC / DCOM - porta estática para comunicação LSASS/NETLOGON
• 445 - Netbios sobre TCP - Comunicação com o serviço Netlogon do windows.
• 88 - kerberos - autenticação de usuários e serviços.
• 49152:65535 - RPC (Remote Procedure Call) - portas dinâmicas por isso o range inteiro precisa ser liberado.
• Referência: https://learn.microsoft.com/pt-br/troubleshoot/windows-server/networking/default-dynamic-port-range-tcpip-chang

Não consigo acessar o firewall pela WAN em laboratório, quando a máquina está na mesma rede WAN do firewall?

Este é um erro recorrente que os colegas têm quando estão fazendo o laboratório e querem acessar o firewall através da interface WAN, muitas vezes usando a máquina física para acessar o firewall virtualizado.

Para resolver esta questão, você vai precisar desabilitar a função Reply-To, que força o firewall a sempre devolver o pacote rede através do gateway padrão, por isso apesar da máquina estar na mesma rede WAN, o pacote é direcionado para o roteador e não para a máquina que iniciou a comunicação.

Esta é uma função de segurança, que vem habilitada por padrão.

Como Permitir a máquina acessar então o firewall pela WAN?

No firewall:

• Crie uma regra de firewall na interface WAN, permitindo o protocolo TCP e porta destino a porta da WebGui (443/https padrão caso não tenha alterado).
• Acesse o menu Firewall → Settings → Advanced.
• Marque a opção Disable Reply-To. (Disable reply-to on WAN rules)
• Clique em Salvar ao final da página.
• Pronto! Agora tente acessar novamente o firewall.
• Obs.: Caso ainda não seja possível o acesso ao firewall, confira se também já desabilitou a opção Block private networks da interface WAN.

Como aumentar partição no OPNsense formatado com ZFS?

É simples. basta seguir a receita de bolo:

1. SEMPRE FAÇA UM BACKUP ANTES DE QUALQUER ALTERAÇÃO
2. Desligue a máquina virtual
3. Expanda o disco virtual através do sistema de virtualização (hyper-v/vmware/proxmox/outros)
4. Inicialize novamente a máquina virtual
5. Realize login no console
6. Acesse a opção 8 - Shell.
7. Execute o comando abaixo para listar as partições. A primeira linha (Geom name) é o nome do disco, e os demais, as partições.

   geom part list | grep -iE name
   

8. Execute os comandos abaixo para realizar uma verificação no disco

   # substitua **vtbd0** pelo **Geom name** obtido acima.
   gpart recover vtbd0
   

9. Execute os comandos abaixo para redimensionar a partição.

   # substitua **vtbd0** pelo **Geom name** obtido acima.
   # "-i 4" é para crescer a 4ª partição, que por padrão é a partição de dados do firewall opnsense.
   gpart resize -i 4 vtbd0
   

10. Execute os comandos abaixo para dizer ao ZFS para expandir o uso da partição raiz.

    # remontar a partição raiz "/" com argumento de expansão "-e".
    # troque vtbd0 pelo **Geom Name** obtido anteriormente. 
    # repare que na frente do nome do disco (**Geom Name**), será anexado "p4" que é referente a quarta partição onde há dados do opnsense.
    zpool online -e zroot vtbd0p4
    
    # lista o espaço livre/em uso na partição raiz
    df -hT
    

11. Agora reinicie o Firewall.

Como aumentar partição no OPNsense formatado com UFS?

Antes de iniciarmos vamos assumir o seguinte:

• O sistema foi instalado inicialmente em um disco com 32GB alocados no VHD.
• Através do comando geom part list é possível ver que a partição raiz está usando 24GB.
• Há uma partição SWAP (padrão da instalação) com 8GB.
• Você vai aumentar em 20GB de disco. Então o disco total vai passar a ter 52GB.

Etapas

1. SEMPRE FAÇA UM BACKUP ANTES DE QUALQUER ALTERAÇÃO
2. Desligue a máquina virtual
3. Expanda o disco virtual através do sistema de virtualização (hyper-v/vmware/proxmox/outros)
4. Inicialize novamente a máquina virtual
5. Realize login no console
6. Acesse a opção 8 - Shell.

7. Execute o comando abaixo para listar as partições. O disco é o vtbd0, as partições são vtbd0p1, vtbd0p2, vtbd0p3 e vtbd0p4.

   geom part list | grep -iE 'name|type'
   

8. Execute os comandos abaixo para realizar uma verificação no disco

   # substitua **vtbd0** pelo **Geom name** obtido acima.
   gpart recover vtbd0
   

9. Desativar o Swap temporariamente

   swapoff -a
   
   # saída esperada:
   # removing /dev/gpt/swapfs as swap device
   

10. Remover a partição de swap

    # use o comando geom part list para certificar-se de que a partição de número 4 é a de swap. geralmente é...
    geom part delete -i 4 vtbd0
    

11. Aumentar a partição raiz.

    Aqui estamos especificando o tamanho da partição como: Tamanho antigo (24GB) + Tamanho que foi aumentado o disco (20GB). Então esta partição raiz passará a ter 44GB.

    gpart resize -i 3 -s 44G vtbd0
    

12. Agora iremos recriar a partição SWAP.

    gpart add -t freebsd-swap -l swapfs vtbd0
    

13. Ativar o Swap novamente no sistema.

    swapon -a
    

14. Aumente o tamanho do sistema de arquivos com o comando.

    growfs -y /
    

15. Verifique se a partição cresceu corretamente.

    # lista o espaço livre/em uso na partição raiz
    df -hT /
    

16. Agora reinicie o Firewall.

Como instalar um plugin sem precisar fazer upgrade do Firmware do Firewall?

Vamos supor que você queira realizar a instalação do plugin do zabbix-agent no seu firewall.

Só que ao acessar a página de plugin e clicar para instalar, o firewall diz que é necessário fazer primeiro um Update de Firmware, ou seja, pular da versão 25.1.3 para a 25.1.8.

Mas você não quer fazer isso em produção e não pode dar um reboot na hora. A solução é instalar o plugin pela linha de comandos.

1. Acesse o firewall via linha de comandos (terminal ou via SSH).

2. Localize o pacote que deseja instalar usando o comando pkg search. Aqui por exemplo usaremos o zabbix-agent.

   # aqui estamos buscando pelo plugin zabbix-agent, mas poderia ser qualquer outro.
   pkg search zabbix-agent
   
   # exemplo de saída no terminal. 
   [...]
   os-zabbix7-proxy-devel-1.12    Zabbix monitoring proxy
   **os-zabbix72-agent-1.15**         Zabbix monitoring agent
   os-zabbix72-agent-devel-1.15   Zabbix monitoring agent
   [...]
   

3. Agora faça a instalação do plugin usando o comando pkg install. Como no exemplo abaixo para instalar o zabbix-agent72.

   pkg install -y os-zabbix72-agent-1.15
   

4. Pronto. Agora volte na interface WebGui do Firewall, atualize a página para recarregar a lista de menus, e localize o serviço do zabbix-agent em Services → Zabbix Agent.

Como fazer update para uma versão específica do Firmware?

Vamos supor que você esteja executando a versão 25.1 em produção. Só que foi recentemente lançada a versão 25.1.11.

Em ambientes mais controlados, você pode querer realizar o upgrade para a versão 25.1.5 ao invés da mais recente, por uma questão de segurança mesmo.

Nesses casos, você precisa:

1. Acessar a página https://pkg.opnsense.org/FreeBSD:14:amd64/
2. Clique na pasta com a versão do Firmware. Em nosso exemplo, 25.1
3. Acessar a pasta MINT
4. Clicar no link da versão almejada. Em nosso exemplo: 25.1.5.
5. Clique no link “Latest”.
6. Copie da URL a informação da versão, no formato “VERSÃO/MINT/VERSÃO/latest”. Exemplo: Para a URL https://pkg.opnsense.org/FreeBSD:14:amd64/25.1/MINT/25.1.5/latest/ Iremos extrair 25.1/MINT/25.1.5/latest
7. No firewall, acesse o menu System → Firmware → Settings.
8. Clique no botão “Advanced Mode”.
9. Defina o Flavour como Custom e cole abaixo o texto que extraímos acima.
10. Clique em Save ao final da página.
11. Agora acesse a guia Status e clique no botão “Check for Updates”.
12. Você verá que haverá atualizações para a versão especificada no campo Flavour.

Lembre-se: O firewall irá ficar travado na versão que você definir no campo Flavour. Portanto, para realizar atualizações ou upgrades do firmware, será necessário inserir manualmente a versão que irá atualizar - sempre de forma incremental, da 25.1.1 para 25.1.2, 25.1.3, 25.1.4 em diante; ou precisará limpar o campo Flavour para realizar o upgrade direto para a última versão.

O link de backup quando acessado de fora ou a vpn conecta por ele, não conecta ou trafega dados

Sintoma: Não é possível fazer publicação usando o link de backup do firewall. Mas se ativar ele como primário, as publicações ou mesmo o acesso ao firewall funciona.

Resolução: Veja se criou regras de liberação da VPN como floating, e se for o caso, remove a liberação das regras floating e faça regras individualmente em cada interface.

Como configurar o DHCP do Dnsmasq para só distribuir os IPs manualmente cadastrados?

Edita o range, seleciona as opções avançadas, e define o campo Mode como “static”.