Configurando Firewall/Router Dual WAN pfSense

1-Para iniciar as configurações de um Firewall/Router Dual WAN no pfSense é necessário 3

interfaces de rede Ethernet, 2 serão configuradas para conexões WAN e 1 para Conexão LAN.
Acesse na interface Web do pfSense a opção (Interfaces/Assignments).

2-Clique na interface “WAN” para alterar suas configurações conforme o exemplo da figura logo
abaixo (Description: WAN1, IPv4 Configuration Type: DHCP).

3-Clique na interface “OPT1” para alterar suas configurações.

4-Na interface “OPT1” altere suas configurações conforme o exemplo da figura logo abaixo
(Marque a opção: Enable interface, Description: WAN2, IPv4 Configuration Type: DHCP).

5-Verifique o status dos Gateways configurados via DHCP nas interfaces WAN (Status/Gateways).

6-Acesse na interface Web (System/Routing) para editar as configurações dos Gateways.

7-Digite no campo “Monitor IP” o endereço do servidor de DNS desejado para monitorar a
conexão em caso de falha. (O endereço IP deve ser capaz de responder a consultas ICMP)
8-Ainda na tela de edição do Gateway WAN1 clique em “Display Advanced” e selecione a opção
“Weight” para número 3, este será o Gateway principal.

9-Repita o processo de edição do campo “Monitor IP” para a WAN2_DHCP digitando outro
servidor DNS.

10-Ainda na tela de edição do Gateway WAN2 clique em “Display Advanced” e selecione a opção
“Weight” para número 1, este será o Gateway secundário.

Obs: Múltiplas conexões WAN configuradas no pfSense por padrão são consideradas iguais em
relação a velocidade, para otimizar o uso de conexões em relação a largura de banda disponível para
cada link podemos utilizar a opção “Weight” onde o número 3 configurado neste exemplo para o
Gateway principal disponibiliza um link de 30 Mbps e o número 1 para o Gateway secundário
disponibiliza um link de 10 Mbps. (ratio 3:1)
11-Clique em “Gateway Groups” e no botão “+Add” para configurar um grupo de gateways.

12-Edite as configurações do grupo de Gateways conforme a figura logo abaixo para habilitar o
modo “Load Balance” no pfSense.

• Group Name: LOADBALANCE

• Gateway Priority: WAN1_DHCP Tier1, WAN2_DHCP Tier1
• Trigger Level: Member Down
• Description: DUAL WAN

Obs: Para identificar um Gateway que perdeu sua conectividade com a Internet é utilizado a opção
“Trigger Level” que especifica 4 possibilidades de modos para detectar falhas de conexão em um
link.

• Member Down: quando o monitor IP chega a 100% de perda de pacotes no link.

• Packet Loss: quando há uma alta taxa de perda de pacotes no link.
• High Latency: quando há alta latência no link.
• Packet Loss or High Latency: combina os fatores de alta taxa de perda de pacotes e alta
latência no link.
13-Para finalizar a configuração do grupo de gateways clique no botão “Apply Changes”.

14-Acesse na interface Web (System/General Setup), altere as configurações dos servidores de

DNS conforme a figura logo abaixo. (É recomendado um servidor de DNS diferente para cada
Gateway)

15-Acesse na interface Web “Firewall/Rules/LAN” e clique no botão “Add” para criar uma regra
para liberar todo o tráfego no Gateway Load Balance.

• Action: Pass
• Interface: LAN
• Address Family: IPv4
• Protocol: Any
• Source: LAN net
• Destination: any
• Description: LAN Load Balance
• Gateway: LOADBALANCE – DUAL WAN
16-Ainda na tela de configurações da regra de Firewall clique no botão “Display Advanced” e
selecione no campo “Gateway” o grupo de Gateways “LOADBALANCE – DUAL WAN”.

17-Desative as regras de Firewall “Default IPv4/IPv6” da interface LAN.

18-Acesse na interface Web “Diagnostics/Ping” para testar a conectividade das conexões WAN1 e
WAN2.
19-Acesse na interface Web “Status/Dashboard” adicione o “Widget Gateways” para monitorar
as conexões WAN, abra um prompt ou shell em um PC conectado ao Firewall/Router para testar a
conectividade da Internet e simular algumas falhas de conexão.

20-Faça uma simulação de falha de conexão desligando o roteador conectado na interface WAN1.
21-Faça uma simulação de falha de conexão desconectando o cabo de Internet do roteador
conectado na interface WAN1.

22-Faça uma simulação de falha de conexão desconectando o cabo de Internet do roteador

conectado na interface WAN2.
23-Para configurar o modo “Fail Over” no pfSense acesse na interface Web
“System/Routing/Gateway Groups” e edite as opções “Group Name” e “Gateway Priority” do
Gateway WAN2_DHCP para “Tier2”.

Obs: A prioridade sobre um Gateway é definida através do parâmetro “Tier” onde sempre o
número de menor valor será o Gateway principal, no exemplo configurado na figura logo acima o
Gateway WAN1_DHCP “Tier 1” é considerado de alta prioridade sendo utilizado como conexão
padrão e o Gateway WAN2_DHCP “Tier 2” é considerado como backup e só será utilizado em
caso de falha do Gateway principal.

24-Com o Grupo de Gateways criado siga os passos de número 15 a 16 para liberar o trafego NO
FIREWALL para o FAILOVER editando as opções “Display Advanced” e selecione no campo
“Gateway” o grupo de Gateways “FAILOVER – DUAL WAN”.