# Default Gateway: Die Ausfahrt ins Unbekannte
TL;DR / Management Summary Jedes Netzwerkgerät braucht ein Default Gateway, um Ziele außerhalb seines eigenen Subnetzes zu erreichen. Es ist die “Standard-Route” für alles, was nicht lokal bekannt ist. In Proxmox oder OPNsense Umgebungen ist dies meist die IP des internen Firewalls-Interfaces. Ein Senior Admin beachtet die goldene Regel: Ein Host darf nur ein einziges Default Gateway haben. Mehrere Standard-Routen führen zu unvorhersehbarem asymmetrischem Routing und Verbindungsabbrüchen.
# 1. Was ist ein Default Gateway?
Die Route 0.0.0.0/0.
Wenn ein Computer ein Paket verschickt:
- Check Local: Ist die Ziel-IP im eigenen Netz (via Subnetzmaske, Artikel 725)?
- Ja -> Direkt via Layer 2 (ARP) zustellen.
- Nein -> Schicke das Paket an die MAC-Adresse des Default Gateways.
- Gateway-Job: Der Router (z.B. OPNsense) nimmt das Paket entgegen und entscheidet, wie es weitergeht (Internet, VPN, anderes VLAN).
# 2. Die Gefahr multipler Gateways
Der Irrglaube an die Redundanz.
Häufiger Fehler: Ein Admin gibt der Management-NIC ein Gateway und der Storage-NIC ein zweites Gateway.
- Problem: Das Betriebssystem hat nun zwei gleichberechtigte Wege für “Alles”.
- Folge: Pakete gehen zufällig über beide Leitungen raus. Antworten auf Management-Anfragen könnten über die Storage-Leitung fließen, wo die Firewall sie als “Spoofing” blockiert (Asymmetrisches Routing).
- Lösung: Nur eine NIC bekommt ein Default Gateway. Alle anderen Netze werden via statischer Routen (Artikel 733) definiert.
# 3. Deep Dive: Gateway Metriken (Priority)
Der Schiedsrichter.
Falls Sie zwei Internetleitungen haben (Multi-WAN, Artikel 573), nutzt OPNsense Metriken:
- Metric: Ein niedriger Wert (z.B. 1) bedeutet “Bevorzugter Pfad”.
- Failover: Wenn das Gateway mit Metric 1 offline geht, übernimmt automatisch das Gateway mit Metric 10.
# 4. Day-2 Operations: Proxmox Gateway Management
Den Host erreichbar halten.
In Proxmox definieren Sie das Gateway in /etc/network/interfaces:
iface vmbr0 inet static
address 10.0.10.5/24
gateway 10.0.10.1 # Nur HIER ein Gateway eintragen!
iface vmbr1 inet static
address 10.0.20.5/24
# KEIN Gateway für Storage/Backup!# 5. Troubleshooting & “War Stories”
Wenn der Weg ins Leere führt.
# Top 3 Fehlerbilder
-
Symptom: “Network Unreachable” beim Versuch, das Internet zu erreichen.
- Ursache: Default Gateway fehlt oder IP liegt nicht im eigenen Subnetz.
- Lösung:
ip route(Linux) oderroute print(Windows) prüfen.
-
Symptom: Ping zum Gateway geht, aber kein Surfen möglich.
- Ursache: Das Gateway selbst hat keine Route nach draußen oder blockiert den Traffic (Firewall).
-
Symptom: SSH-Sitzung bricht sofort nach dem Login ab.
- Ursache: Asymmetrisches Routing durch falsche statische Routen am Client.
# “War Story”: Der “Zufalls”-Server
Ein Administrator wunderte sich, warum sein Proxmox-Host nach jedem Reboot “manchmal” erreichbar war und manchmal nicht. Die Entdeckung: Er hatte DHCP auf einem zweiten Interface aktiviert (für ein IPMI-Shared-Port). Der DHCP-Server dort lieferte ein zweites Default-Gateway. Das Ergebnis: Je nachdem, welcher DHCP-Server schneller war, setzte Linux die Default-Route auf das Management-VLAN (Erreichbar) oder das IPMI-VLAN (Blockiert). Lehre: Deaktivieren Sie “Gateway-Zuweisung via DHCP” auf allen sekundären Interfaces Ihrer Server.
# 6. Monitoring & Reporting
Pfade überwachen.
# Route Watch (Shell)
# Zeigt den Pfad zum Ziel (und welches Gateway genutzt wird)
ip route get 8.8.8.8- KPI:
Gateway Reachability. Überwachen Sie die IP Ihres Default Gateways via Monitoring (Zabbix/Prometheus).
# 7. Fazit & Empfehlung
Das Default Gateway ist der wichtigste Wegweiser im System.
- Empfehlung: Nutzen Sie eine virtuelle IP (VIP/CARP) als Default Gateway, um auch bei einem Firewall-Ausfall handlungsfähig zu bleiben.
- Wichtig: Verwenden Sie statische IPs für alle Infrastruktur-Gateways. DHCP-basierte Gateways sind für Server-Workloads zu instabil.
# Anhang: Cheatsheet (Gateway Commands)
| System | Befehl |
|---|---|
| Linux | ip route add default via <IP> |
| Windows | route add 0.0.0.0 mask 0.0.0.0 <IP> |
| OPNsense | System -> Gateways -> Configuration |
| Check | mtr -n 8.8.8.8 |