Redundância de Firewall com pfSense CARP: Configuração de Failover Automático

O firewall de borda é a guarita de segurança da rede de qualquer empresa. É por ele que passa todo o tráfego que sai para a internet e todo o tráfego externo que acessa servidores internos, filiais via VPN ou serviços locais. No entanto, na grande maioria das pequenas e médias empresas, esse firewall opera em uma única máquina física ou virtual. Se essa máquina sofrer uma queima de fonte, falha de disco ou precisar de um reboot de atualização de sistema durante o expediente, toda a empresa ficará completamente sem internet, sem acessos internos e com as VPNs fora do ar.

Para mitigar esse ponto único de falha, o pfSense suporta nativamente a configuração de Alta Disponibilidade (HA - High Availability).

Através do protocolo CARP (Common Address Redundancy Protocol), podemos colocar dois firewalls pfSense físicos idênticos operando em conjunto: um como Master (Primário) e outro como Backup (Secundário). Eles compartilham endereços IPs virtuais para a rede interna (LAN) e para o link externo (WAN). Se o Master falhar, o Backup assume o tráfego em milissegundos de forma totalmente transparente e automática para os usuários da rede.

Neste tutorial prático, você aprenderá o passo a passo completo para configurar o pfSense em Alta Disponibilidade com CARP.

---

Pré-requisitos Técnicos para a Alta Disponibilidade no pfSense

1. Dois Hardwares ou VMs com Placas de Rede Idênticas: Você precisará de duas máquinas rodando pfSense. O ideal é que as placas de rede física possuam os mesmos nomes (ex: igb0, igb1, igb2) para evitar problemas na sincronização de configurações.
2. Três Portas de Rede Ativas em Cada Firewall:
   • WAN: Conectada ao link de internet.
   • LAN: Conectada ao switch da rede local corporativa.
   • SYNC: Uma porta de rede física dedicada exclusiva para conectar o Firewall 1 diretamente ao Firewall 2 para sincronização das configurações e estados de conexão (via cabo cross ou VLAN dedicada no switch).
3. Endereços IPs de WAN Públicos (Mínimo 3 IPs no mesmo escopo):
   • IP fixo para a WAN física do Firewall 1.
   • IP fixo para a WAN física do Firewall 2.
   • IP Virtual CARP da WAN (usado de fato pelos serviços e VPNs).

   Se você tiver apenas 1 IP público dinâmico (comum em links domésticos de operadoras), o CARP na WAN não funcionará adequadamente. O uso de múltiplos IPs estáticos corporativos é obrigatório.

---

Planejamento do Escopo de IPs para o Tutorial

Interface	pfSense Master (Master)	pfSense Backup (Backup)	IP Virtual CARP
LAN	192.168.10.2	192.168.10.3	192.168.10.1 (Gateway das máquinas)
WAN	200.100.50.2	200.100.50.3	200.100.50.1 (IP público do tráfego)
SYNC	172.16.0.1/30	172.16.0.2/30	Não necessita de IP Virtual

---

Passo a Passo para Configurar o pfSense HA

Passo 1: Configuração Físicas e Interface SYNC

O primeiro passo é atribuir e ativar a interface de sincronização em ambos os firewalls.

1. Acesse a interface web do pfSense Master (https://192.168.10.2).
2. Vá em Interfaces > Assignments e atribua a porta dedicada (ex: igb2) como a interface SYNC.
3. Clique no nome da interface, marque a caixa Enable Interface, mude a descrição para SYNC e configure o IPv4 como estático com o endereço 172.16.0.1/30. Clique em Save e Apply Changes.
4. No menu Firewall > Rules > aba SYNC, adicione uma regra de permissão do tipo Pass Any to Any para permitir que toda a comunicação de sincronização flua livremente entre os dois firewalls.
5. Acesse o pfSense Backup (https://192.168.10.3), repita os mesmos passos atribuindo o IP 172.16.0.2/30 na interface SYNC e liberando a regra correspondente.

---

Passo 2: Configurando o IP Virtual CARP na LAN

O IP virtual é aquele que os computadores da rede usarão como Gateway padrão.

1. No pfSense Master, acesse Firewall > Virtual IPs.
2. Clique em + Add.
3. Configure os dados do IP virtual da rede interna:
   • Type: CARP
   • Interface: LAN
   • Address Family: IPv4
   • Address(es): 192.168.10.1 / Netmask: 24
   • Virtual IP Password: Defina uma senha de sincronização segura.
   • VHID Group: Selecione um número único (ex: 10). (Os dois firewalls devem usar o mesmo VHID para a mesma rede).
   • Advertising Frequency: 0 (Sinaliza que este nó é o Master e transmitirá anúncios rapidamente).
4. Clique em Save e Apply Changes.

+-------------------------------------------------------------+
| pfSense Master - Virtual IP Configuration (LAN)            |
|-------------------------------------------------------------|
| Type: CARP (Common Address Redundancy Protocol)             |
| VIP: 192.168.10.1/24                                        |
| VHID: 10                                                    |
| Status: MASTER [Active]                                     |
+-------------------------------------------------------------+

---

Passo 3: Configurando o IP Virtual CARP na WAN

1. Ainda em Firewall > Virtual IPs no Master, clique em + Add.
2. Configure o IP virtual externo para o link de internet:
   • Type: CARP
   • Interface: WAN
   • Address(es): 200.100.50.1 / Netmask: 24 (conforme o bloco público contratado)
   • Virtual IP Password: Insira a mesma senha ou outra específica.
   • VHID Group: Selecione outro número único (ex: 20).
   • Advertising Frequency: 0
3. Clique em Save e Apply Changes.

---

Passo 4: Configurando a Sincronização XMLRPC (Configuração de Cluster)

Esta é a engrenagem que faz com que qualquer regra de firewall ou configuração inserida no Master seja replicada de forma automática e em tempo real para o Backup, sem que você precise reconfigurar o secundário manualmente.

1. No pfSense Master, acesse System > High Avail. Sync (ou pfSync dependendo da versão).
2. Configure a seção de sincronização de estado:
   • Synchronize States (pfSync): Marque esta caixa.
   • Synchronize Interface: Selecione SYNC.
   • pfsync IP: Insira o IP do Backup na rede SYNC (172.16.0.2).
3. Role a tela até a seção XMLRPC Sync Options:
   • Synchronize Config to IP: Insira 172.16.0.2.
   • Remote System Username: admin
   • Remote System Password: A senha de administrador do pfSense Backup.
   • Marque as caixas de opções que deseja sincronizar automaticamente (recomenda-se marcar todas, como Firewall Rules, Aliases, NAT, Virtual IPs, DHCP Server, OpenVPN, etc.).
4. Clique em Save.

+-------------------------------------------------------------+
| pfSense Master -> XMLRPC Sync Configuration                |
|-------------------------------------------------------------|
| Target: 172.16.0.2                                          |
| Sync Mode: Bidirectional pfSync + XMLRPC Push               |
| Sync Classes: Rules, NAT, VIPs, DHCP, VPNs, Aliases         |
+-------------------------------------------------------------+

---

Passo 5: Configurando o DHCP Server e Regras de NAT no Master

Como as configurações serão sincronizadas do Master para o Backup, precisamos garantir que o servidor DHCP distribua o IP Virtual do CARP como gateway para a rede local.

1. No Master, acesse Services > DHCP Server > aba LAN.
2. Role até a opção Gateway e mude de em branco/padrão para 192.168.10.1 (o IP Virtual do CARP).
3. No campo DNS Servers, configure também o IP virtual 192.168.10.1 (se o pfSense resolver DNS) ou os resolvedores corporativos de sua preferência.
4. Clique em Save. (Esta alteração será empurrada de forma automática para o Backup).
5. Em Firewall > NAT > aba Outbound, mude o modo de NAT de Automatic para Hybrid Outbound NAT ou Manual Outbound NAT.
6. Edite a regra de tradução de IPs e configure o campo Translation Address para utilizar a interface Virtual IP CARP da WAN (200.100.50.1), em vez de utilizar o IP WAN padrão do host físico. Isso garante que, em caso de failover, as conexões de internet não sejam redefinidas, pois o IP público de saída permanecerá o mesmo.

---

Verificação e Teste de Failover

Após salvar e aplicar as alterações, acesse o menu Status > CARP (status) em ambos os firewalls:

• No pfSense Master, o status de todas as interfaces CARP deve constar como MASTER.
• No pfSense Backup, o status das interfaces CARP deve constar como BACKUP.

O Teste de Queda:

1. Inicie um ping contínuo em uma estação da rede para um IP externo (ex: ping 8.8.8.8 -t).
2. Acesse fisicamente o pfSense Master e retire o cabo de rede da interface LAN (ou clique em Temporarily Disable CARP na tela de status do Master).
3. Observe o ping na estação: o failover ocorrerá e apenas 1 ou no máximo 2 pacotes de ping falharão antes que a transmissão de dados retorne normalmente.
4. Acesse a tela de status do pfSense Backup: o status mudará instantaneamente de BACKUP para MASTER, assumindo todo o tráfego da rede com segurança.

---

Erros Comuns e Resolução de Problemas

• Bloquear tráfego CARP em switches: O CARP utiliza o protocolo de rede multicast IP com o endereço 224.0.0.18 (protocolo número 112). Se os seus switches gerenciáveis possuírem a função de IGMP Snooping mal configurada ou regras restritivas contra pacotes de multicast, as mensagens de anúncio do CARP serão bloqueadas. Como consequência, ambos os firewalls se assumirão como “MASTER” ao mesmo tempo, gerando conflito de IPs e derrubando a rede (Split-Brain).
• Não configurar o NAT Outbound para o IP Virtual: Se você esquecer de associar a tradução de saída de NAT (Outbound NAT) ao IP virtual CARP da WAN, quando o failover ocorrer, o IP de saída dos usuários remotos mudará para o IP da WAN do Backup. Isso fará com que todas as sessões de internet ativas (bancos, ERPs em nuvem, downloads, conexões SSL) caiam e exijam novo login por parte dos colaboradores.
• Sincronização XMLRPC de mão dupla no Backup: Configurar a sincronização XMLRPC no Backup apontando de volta para o Master. As configurações devem ser empurradas apenas do Master para o Backup. Se você configurar em ambos os lados de forma circular, as modificações entrarão em loop ou conflitos de banco de dados podem corromper as regras.

---

Checklist de Saúde e Auditoria de Redundância pfSense

Verifique a qualidade e segurança do seu cluster de firewalls:

• Ambas as interfaces CARP do Master constam como MASTER e as do Backup constam como BACKUP?
• O tráfego de sincronização XMLRPC e pfsync trafega por um cabo de rede físico dedicado ou VLAN exclusiva?
• As regras de NAT de saída (Outbound NAT) estão direcionadas para o IP virtual do CARP na WAN?
• A configuração do Gateway do Servidor DHCP aponta para o IP virtual do CARP na LAN?
• Os switches de rede física permitem o tráfego de multicast e mensagens do protocolo CARP (protocolo 112)?
• Mudanças em regras de firewall realizadas no Master aparecem de forma instantânea na dashboard do Backup?
• O teste de failover físico foi executado fora do expediente e a internet permaneceu ativa com menos de 2 segundos de downtime?

---

Como a WL Tech pode ajudar a blindar a segurança de perímetro do seu negócio

Implementar um firewall corporativo redundante e com alta disponibilidade real exige conhecimentos sólidos em engenharia de telecomunicações, roteamento IP dinâmico e integração avançada com switches gerenciáveis. Projetar o CARP de forma incorreta ou omitir o tratamento de pacotes multicast pode derrubar a rede da sua empresa de forma imprevisível.

A WL Tech projeta, implanta e oferece suporte continuado de clusters de firewalls baseados no pfSense em Alta Disponibilidade (HA). Dimensionamos os hardwares redundantes, configuramos a sincronização em tempo real de pacotes e estados de conexões, desenhamos redundâncias físicas em switches e prestamos suporte de atendimento emergencial em caso de panes físicas. Cuidamos do portão de entrada digital do seu negócio para que sua operação de vendas e faturamento permaneça 100% ativa.

---

Sua empresa não pode se dar ao luxo de ficar sem internet em caso de pane no roteador ou firewall? A WL Tech configura toda a redundância de alta disponibilidade pfSense CARP para o seu negócio. Solicite um diagnóstico gratuito da estabilidade da sua rede ou fale com nossos especialistas no WhatsApp.