manuais-e-documentacao-itguys/documentacao rede e seguranca/Manual_pfSense_06_MultiWAN_Routing.md

# MANUAL TÉCNICO - MULTI-WAN, FAILOVER E ROTEAMENTO - PFSENSE

**Código:** ITGENG 0020/26 | **Classificação:** RESTRITO
**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}}

## 1. HISTÓRICO DE REVISÃO

| Data | Versão | Descrição | Autor |
| :--- | :--- | :--- | :--- |
| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves |

## 2. OBJETIVO
Garantir alta disponibilidade de internet através da configuração de múltiplos links (Multi-WAN), definindo políticas de Failover e Load Balance.

## 3. PRÉ-REQUISITOS
- [ ] Pelo menos 2 interfaces WAN configuradas e funcionais.
- [ ] Monitor IP (DNS público diferente para cada link) definido.

## 4. PASSO A PASSO (EXECUÇÃO)

### Etapa 1: Definição de Monitoramento nos Gateways

Para o Failover funcionar, o pfSense precisa saber quando um link caiu.

1.  Acesse `System > Routing > Gateways`.
2.  Edite cada Gateway (WAN1, WAN2):
    *   **Monitor IP:** Defina um IP externo que responda a ICMP e seja estável (ex: `1.1.1.1` para WAN1 e `8.8.8.8` para WAN2).
    *   > ⚠️ **IMPORTANTE:** Não use o mesmo Monitor IP para gateways diferentes.
    *   **Disable configuration of monitor actions:** Desmarcado (Queremos que ele aja na falha).

![Lista de Gateways](assets/pfsense_gw_list.png)

### Etapa 2: Criação de Gateway Groups (Failover)

Agrupe os links para definir a lógica de troca.

1.  Acesse `System > Routing > Gateway Groups`.
2.  Clique em **Add**.
3.  Preencha:
    *   **Group Name:** `GW_FAILOVER_WAN1_PRI`
    *   **Gateway Priority:**
        *   `WAN_FIBER` (Link Principal): **Tier 1**
        *   `WAN_4G` (Link Backup): **Tier 2**
    *   **Trigger Level:** `Packet Loss or High Latency` (Mais sensível e rápido).
    *   **Description:** Failover Fibra -> 4G.
4.  Clique em **Save**.

> ℹ️ **NOTA:** Para **Load Balance**, coloque ambos os gateways como **Tier 1**.

![Grupo de Gateway Failover](assets/pfsense_gw_group.png)

### Etapa 3: Roteamento Baseado em Políticas (PBR)

Force o tráfego da LAN a usar o grupo de Failover.

1.  Acesse `Firewall > Rules > LAN`.
2.  Edite a regra de saída padrão ("Default allow LAN to any rule").
3.  Clique em **Display Advanced**.
4.  Role até **Gateway** e selecione o grupo criado: `GW_FAILOVER_WAN1_PRI`.
5.  Salve e Aplique.

> 🚀 **DICA:** Se você não fizer isso, o pfSense usará a Tabela de Roteamento padrão (apenas Default Gateway), ignorando o Failover para tráfego da LAN.

### Etapa 4: Configuração de DNS para MultiWAN

Se o Link 1 cair, o DNS do Link 1 para de responder.

1.  Acesse `System > General Setup`.
2.  Em **DNS Server Settings**, associe cada DNS a um Gateway específico:
    *   DNS 1 (`1.1.1.1`) -> `WAN_FIBER`
    *   DNS 2 (`8.8.8.8`) -> `WAN_4G`
3.  Vá em `Services > DNS Resolver > General`.
4.  Marque **Enable Forwarding Mode** (Recomendado para MultiWAN simples).

## 5. SOLUÇÃO DE PROBLEMAS (TROUBLESHOOTING)

**Problema 1: Link volta, mas conexões continuam no Backup (Sticky Connections)**
*   **Causa:** Estados de conexão antigos permanecem abertos.
*   **Solução:** Habilite `System > Advanced > Miscellaneous > Kill states for all gateways that are down`. Isso força a reconexão.

**Problema 2: HTTPS (Bancos) caindo com Load Balance**
*   **Causa:** O IP de origem muda constantemente.
*   **Solução:** Habilite **Sticky Connections** em `System > Advanced > Miscellaneous`.

## 6. DADOS TÉCNICOS

| Campo | Valor | Descrição |
| :--- | :--- | :--- |
| **Monitor Payload** | ICMP | Ping (Padrão) |
| **Loss Interval** | 2000ms | Tempo para considerar perda |
| **Member Down** | > 20% Loss | Trigger Padrão |

## 7. VALIDAÇÃO FINAL (Definição de Pronto)
- [ ] Simule a queda do Link 1 (desplugue o cabo).
- [ ] O Dashboard mostra o Link 1 como "Offline" ou "Packet Loss"?
- [ ] O acesso à internet continua funcionando (verifique IP público `curl ifconfig.me`)?