# OPNsense Interfaces: Physische Power & Virtuelle Flexibilität
TL;DR / Management Summary Ein Interface in OPNsense ist mehr als nur eine IP-Adresse. Es ist die Kombination aus Hardware (NIC), Treiber und logischer Zuweisung. Wir optimieren physische Karten via Hardware-Offloading (falls unterstützt) und nutzen in Proxmox-Umgebungen den VirtIO-Treiber für maximale Bandbreite. Ein Senior Admin trennt Datenströme konsequent durch den Einsatz von VLANs (Artikel 548) und nutzt Bridges nur für spezifische Szenarien wie transparente Inline-Filter.
# 1. Einführung & Hardware-Treiber
Vom vtnet0 zur em0.
OPNsense erkennt Hardware-Typen anhand ihrer Treiberpräfixe:
- em / igb / ix: Intel Gigabit/10G Karten (Der Goldstandard für OPNsense).
- vtnet: VirtIO-Schnittstellen (Standard in Proxmox VMs).
- re: Realtek Karten (Vorsicht: Performance-Probleme möglich, Artikel 541).
# Interface Zuweisung
Unter Interfaces -> Assignments mappen wir die physische Hardware (z.B. igb0) auf logische Namen (z.B. WAN).
# 2. Interface Konfiguration in der Praxis
Produktionsreife Settings.
# IPv4 & IPv6 Konfiguration
- WAN: Meist DHCP oder PPPoE.
- LAN: Statische IP (z.B.
192.168.1.1). - IPv6 Configuration Type: Auf
SLAACoderDHCPv6stellen, um die moderne Adressierung zu nutzen.
# MTU (Maximum Transmission Unit)
In 90% der Fälle ist 1500 korrekt.
- DSL/PPPoE: Hier müssen Sie die MTU oft auf
1492senken, um Fragmentierung zu vermeiden. - Jumbo Frames: Setzen Sie MTU auf
9000nur in isolierten Storage-VLANs (iSCSI).
# 3. Deep Dive: Virtualisierung & Bridges
Transparente Kontrolle.
# Transparente Firewall (Bridge Mode)
Manchmal soll OPNsense zwischen zwei Geräten filtern, ohne selbst IP-Routing zu betreiben.
- Erstellen Sie eine Bridge unter
Interfaces -> Other Types -> Bridge. - Fügen Sie zwei Interfaces hinzu (z.B. LAN und OPT1).
- Wichtig: Weisen Sie der Bridge selbst die Management-IP zu, nicht den Member-Interfaces.
# Hardware Offloading in VMs
Wenn OPNsense auf Proxmox läuft:
- Aktion: Deaktivieren Sie unter
Interfaces -> Settingsalle Offloading-Features (LRO, TSO, TX/RX Checksum Offload). - Grund: Der VirtIO-Treiber erledigt dies effizienter, und das doppelte Offloading führt oft zu instabilen Verbindungen oder hängenden SSL-Sessions.
# 4. Day-2 Operations: Interface-Statistiken
Wer verbraucht die Bandbreite?
# Real-time Traffic Graph
Reporting -> Health.
- Suchen Sie nach dem Counter
System \ Traffic. Hier sehen Sie live, ob ein Interface gesättigt ist.
# Error Monitoring
# Via Shell: Zeigt detaillierte Interface-Fehler (Input Errors, Collisions)
netstat -i# 5. Troubleshooting & “War Stories”
Wenn der Link blinkt, aber kein Ping kommt.
# Top 3 Fehlerbilder
-
Symptom: Interface wird als
DOWNangezeigt, obwohl das Kabel steckt.- Ursache: Speed/Duplex Mismatch oder defektes Kabel.
- Lösung: Geschwindigkeit manuell von
Autoauf1000baseT full-duplexzwingen.
-
Symptom: OPNsense friert ein, wenn ein neues Interface zugewiesen wird.
- Ursache: IRQ-Konflikt oder Driver-Bug (besonders bei USB-Netzwerkkarten).
- Lösung: Verzichten Sie auf USB-NICs in produktiven Umgebungen.
-
Symptom: VMs in Proxmox erreichen das Internet nicht über OPNsense.
- Lösung: Prüfen Sie, ob die Proxmox Firewall auf der Bridge oder dem Tap-Interface der VM den Traffic blockiert.
# “War Story”: Der “Ghost” Link-Up
Ein Admin wunderte sich, warum sein WAN-Interface alle 10 Minuten für 5 Sekunden offline ging.
Die Entdeckung: Das Modem des Providers (DOCSIS) verhandelte den Link mit 2.5 Gbit/s, während der Intel i210 Port der Firewall nur 1 Gbit/s konnte. Der Handshake schlug sporadisch fehl.
Lösung: Wir erzwangen am OPNsense Interface fest 1000baseT. Danach war die Verbindung stabil.
Lehre: “Auto-Negotiation” ist ein Segen, aber bei ungleicher Hardware-Generation oft ein Fluch.
# 6. Monitoring & Reporting
Network Health Dashboard.
# Wichtige Metriken
- In/Out Errors: Sollte immer 0 sein.
- Collisions: Ein Zeichen für Halbduplex-Probleme.
- Throughput: Vergleichen Sie den Wert mit Ihrer gebuchten ISP-Bandbreite.
# 7. Fazit & Empfehlung
Interfaces sind die physische Manifestation Ihrer Sicherheitszonen.
- Empfehlung: Nutzen Sie aussagekräftige Namen für OPT-Interfaces (z.B.
DMZ,GUEST,IoT). - Strategie: Wenn Sie mehr als 3-4 Netze haben, wechseln Sie von physischen Ports auf VLAN-Trunks (Artikel 548), um Hardware-Kosten zu sparen und flexibler zu skalieren.
# Anhang: Cheatsheet
| Aufgabe | Pfad / Befehl |
|---|---|
| Zuweisung ändern | Interfaces -> Assignments |
| IP Adressen prüfen | ifconfig (Shell) |
| ARP Tabelle | Diagnostics -> Network -> ARP Table |
| Route Test | Diagnostics -> Network -> Ping |