# Static Routing: Die präzise Steuerung des Netzwerkverkehrs
TL;DR / Management Summary Während OPNsense standardmäßig nur zwischen direkt verbundenen Netzen (z.B. WAN und LAN) routet, benötigen wir statische Routen, um entfernte Subnetze zu erreichen (z.B. hinter einem L3-Switch oder einem VPN-Tunnel). Ein Senior Admin nutzt statische Routen für kleine, stabile Umgebungen, um die volle Kontrolle über den Pfad eines Pakets zu behalten. Der Erfolg steht und fällt mit der Definition des korrekten Next-Hop Gateways und der Vermeidung von asymmetrischem Routing.
# 1. Das Routing-Prinzip
Wie Pakete ‘abbiegen’.
Ein Router (z.B. OPNsense) trifft für jedes Paket eine Entscheidung:
- Lokal?: Liegt das Ziel im eigenen Subnetz (Layer 2)? -> Direkte Zustellung.
- Statisch bekannt?: Gibt es eine explizite Regel für dieses Ziel? -> Weitergabe an das definierte Gateway.
- Default?: Nichts bekannt? -> Ab an das Default Gateway (Internet).
# 2. Einrichtung in der Praxis
Der manuelle Pfad.
# Beispiel: Standort-Kopplung
Ihr Hauptbüro (10.0.1.0/24) will ein Projektbüro (10.0.50.0/24) erreichen, das über einen separaten Router (10.0.1.254) angebunden ist.
- Gateway anlegen: Definieren Sie
10.0.1.254als Gateway-Objekt in der OPNsense. - Route anlegen:
- Zielnetz:
10.0.50.0/24. - Gateway:
10.0.1.254.
- Zielnetz:
- Firewall-Regel: Erlauben Sie den Traffic am LAN-Interface für das Ziel
10.0.50.0/24.
# 3. Deep Dive: Administrative Distanz (Metric)
Wer gewinnt bei Gleichstand?
Wenn zwei Routen zum gleichen Ziel existieren (z.B. Hauptleitung und Backup):
- Metric: Ein Zahlenwert (0-255). Je niedriger der Wert, desto bevorzugter die Route.
- Aktion: Setzen Sie die Metrik der Hauptleitung auf
1und die des Backup-Tunnels auf100. - Vorteil: OPNsense nutzt automatisch den schnellen Weg, solange er verfügbar ist.
# 4. Day-2 Operations: Gateway Monitoring
Tote Pfade deaktivieren.
Statische Routen sind “dumm” – sie bleiben aktiv, auch wenn das Zielgerät brennt.
- Lösung: Aktivieren Sie Gateway Monitoring (ICMP Ping) in OPNsense (Artikel 551).
- Wirkung: Schlägt der Ping zum Next-Hop fehl, wird die statische Route automatisch aus der Kernel-Routing-Tabelle entfernt, und Pakete können (falls vorhanden) einen Ersatzweg nehmen.
# 5. Troubleshooting & “War Stories”
Wenn die Pakete im Kreis laufen.
# Top 3 Fehlerbilder
-
Symptom: “Destination Host Unreachable”.
- Ursache: Das definierte Gateway ist offline oder über das gewählte Interface nicht erreichbar.
- Lösung:
arp -aam Router prüfen.
-
Symptom: Ping geht, aber TCP-Verbindungen (Web/SSH) hängen.
- Ursache: Asymmetrisches Routing. Paket geht über Router A raus, Antwort kommt über Router B zurück. Die Firewall droppt die Antwort, da sie keinen passenden State (Artikel 554) hat.
- Lösung: Sorgen Sie dafür, dass Hin- und Rückweg über das gleiche Gerät fließen.
-
Symptom: Routing Loop (CPU Last steigt).
- Fix: Prüfen Sie, ob Router A an B schickt und B wieder zurück an A.
# “War Story”: Der “Double-Gateway” Teufel
Ein Admin gab einem Server zwei Gateways: Eines für das Internet und eines für das Management-VLAN (via statischer Route). Das Ereignis: Der Server war sporadisch nicht erreichbar. Die Ursache: Da beide Gateways eine identische Metrik hatten, nutzte der Server für Antworten mal den einen, mal den anderen Pfad. Die OPNsense-Firewall sah die Antwort-Pakete auf dem “falschen” Interface und blockierte sie als Spoofing-Versuch. Lehre: Ein Host sollte immer nur ein Default Gateway haben. Nutzen Sie statische Routen am Host nur für spezifische, interne Ausnahmen.
# 6. Monitoring & Reporting
Die Routing-Tabelle auditieren.
# Routing Status (Shell)
Prüfen Sie die aktive Tabelle auf der OPNsense oder dem Linux-Host:
# Zeigt alle aktiven Routen
netstat -rn
# Oder modern
ip route show- KPI: Suchen Sie nach dem Flag
G(Gateway) undU(Up).
# 7. Fazit & Empfehlung
Statische Routen sind das Skalpell der Netzwerksteuerung.
- Empfehlung: Nutzen Sie statische Routen für VPN-Tunnel und L3-Switch-Kopplungen.
- Wichtig: Dokumentieren Sie jede manuelle Route in Ihrem IPAM (Artikel 731). Eine vergessene statische Route ist bei einer IP-Umstellung die häufigste Ursache für “Geister-Fehler”.
# Anhang: Cheatsheet (Routing CLI)
| Aufgabe | Windows | Linux |
|---|---|---|
| Route hinzufügen | route add <Netz> mask <mask> <GW> |
ip route add <Netz>/24 via <GW> |
| Route löschen | route delete <Netz> |
ip route del <Netz>/24 |
| Persistent machen | -p Flag nutzen |
/etc/network/interfaces |
| Pfad verfolgen | tracert -d <Ziel> |
traceroute -n <Ziel> |