Como instalar o OPNsense e proteger a rede da sua empresa

O que é o OPNsense

O OPNsense é um firewall open source baseado em HardenedBSD (uma versão reforçada do FreeBSD). Ele transforma um computador comum ou mini PC em um firewall profissional com recursos que firewalls comerciais como Fortinet e SonicWall cobram milhares de reais em licença anual. Gratuito, sem custo de licença, sem pegadinha.

Com o OPNsense você tem: firewall stateful com inspecao de pacotes, VPN (WireGuard e OpenVPN nativos), servidor DHCP, DNS recursivo com Unbound, proxy, IDS/IPS com Suricata, controle de banda, alta disponibilidade, plugins para expandir é uma interface web moderna e bem organizada.

Uma vantagem importante sobre alternativas: o OPNsense tem atualizações semanais de segurança, interface moderna com API REST completa, e uma comunidade muito ativa. A documentacao oficial e excelente.

Hardware necessário

O OPNsense precisa de um equipamento dedicado com pelo menos 2 portas de rede (uma para WAN/internet e outra para LAN/rede interna).

Opção economica (até 20 usuários): Mini PC

• Mini PC com processador Intel Celeron N5105 ou similar
• 4GB de RAM (mínimo), 8GB recomendado
• SSD de 120GB
• 2 ou 4 portas ethernet Intel i225/i226
• Custo: R$ 500 a R$ 1.200

Procure no AliExpress por "mini pc 4 lan" ou "firewall appliance". Existem dezenas de opções. Priorize portas Intel (não Realtek) para melhor compatibilidade com FreeBSD/HardenedBSD.

Opção robusta (50+ usuários): PC dedicado

• Qualquer PC com processador Intel Core i3/i5 de geração recente
• 8GB+ de RAM
• SSD de 120GB+
• Placa de rede Intel dual/quad port (PCI-Express)
• Custo: R$ 1.500 a R$ 3.000

Passo 1: Baixar a imagem do OPNsense

Acesse opnsense.org/download e baixe a imagem. Escolha:

• Architecture: amd64
• Image type: vga (se vai instalar com monitor e teclado) ou serial (se vai usar console serial)
• Mirror: qualquer um próximo do Brasil

Grave o arquivo .img em um pendrive usando o Rufus (Windows) ou Balena Etcher (Mac/Linux). No Rufus, selecione modo DD Image (não ISO).

Passo 2: Instalação

1. Conecte o pendrive no mini PC e ligue
2. Entre na BIOS (geralmente Del ou F2) e coloque o pendrive como primeiro boot
3. O OPNsense vai carregar em modo live. Aguarde até aparecer o prompt de login
4. Faca login com usuário installer e senha opnsense
5. O instalador guiado inicia automaticamente
6. Escolha o keymap (Brazilian Portuguese se quiser)
7. Selecione "Install (UFS)" para instalação padrão no SSD
8. Selecione o disco SSD e confirme
9. Defina uma senha para o usuário root
10. Quando terminar, escolha "Complete Install", remova o pendrive e reinicie

Passo 3: Configuracao das interfaces no console

Na primeira inicializacao após a instalação, o OPNsense mostra o menu do console. Faca login com root e a senha que você definiu.

Se as interfaces não foram atribuidas automaticamente, selecione a opção 1) Assign interfaces:

1. Ele pergunta se quer configurar LAGGs ou VLANs. Digite n para ambos
2. Identifique qual porta e a WAN (conectada no modem/internet). O OPNsense lista as interfaces disponíveis com o nome (igb0, igb1, etc.) e o MAC address. Conecte o cabo do modem em uma porta, veja qual interface fica "up"
3. Identifique qual porta e a LAN (vai para o switch da empresa)
4. Confirme. O OPNsense vai configurar a WAN em DHCP e a LAN como 192.168.1.1/24

Passo 4: Acessar o painel web

Conecte um computador na porta LAN do OPNsense (direto ou via switch). Abra o navegador e acesse:

https://192.168.1.1

Login padrão: root / opnsense (ou a senha que você definiu na instalação). Troque a senha imediatamente se ainda não trocou.

O navegador vai mostrar um aviso de certificado SSL. Isso e normal na primeira vez, aceite e continue.

Passo 5: Assistente de configuração

O OPNsense abre o assistente (Wizard) na primeira vez. Configure:

• Hostname: firewall (ou o nome que quiser)
• Domain: suaempresa.local
• DNS primario: 8.8.8.8
• DNS secundario: 1.1.1.1
• Timezone: America/Sao_Paulo
• WAN: DHCP (se o modem distribui IP) ou PPPoE (se tem login da operadora)
• LAN: 192.168.1.1/24 (ou a faixa que preferir)
• Senha root: defina uma senha forte

Passo 6: Configurar DHCP

Va em Services > DHCPv4 > [LAN]. Ative o servidor DHCP e configure a faixa de IPs:

• Range: 192.168.1.100 a 192.168.1.200
• DNS Server: 192.168.1.1 (o próprio OPNsense, que roda Unbound como DNS recursivo)
• Gateway: 192.168.1.1

O Unbound DNS já vem ativado por padrão. Ele resolve nomes de dominio localmente, o que é mais rápido e mais privado do que depender do DNS da operadora.

Passo 7: Atualizar o sistema

Com internet funcionando, va em System > Firmware > Status e clique em "Check for updates". Instale todas as atualizações disponíveis. O OPNsense recebe patches de segurança semanalmente.

Topologia de rede

A conexão fisica fica assim:

Internet (operadora)
    |
  Modem/ONT
    |
  [WAN] OPNsense [LAN]
                    |
                Switch
               /  |  \ 
            PC1  PC2  AP Wi-Fi

O modem da operadora fica em modo bridge (so converte o sinal) e o OPNsense assume o papel de roteador e firewall. Todo tráfego passa por ele.

O que você já ganhou com essa instalação básica

• Firewall stateful com regras de entrada e saída
• NAT configurado automaticamente
• DHCP para a rede interna
• DNS recursivo local com Unbound (mais rápido e privado)
• Atualizacoes semanais de segurança
• Interface web moderna e responsiva
• API REST para automação (se precisar no futuro)
• Logs detalhados de todo tráfego
• Suporte nativo a WireGuard VPN (para acesso remoto)

A Blackdog.dev instala e configura OPNsense para empresas em Amparo, Jaguariúna, Pedreira e região. Se você quer um firewall profissional sem custo de licença, fale com a gente.