# OPNsense Interface Failover: Ausfallsicherheit für das Gateway

TL;DR / Management Summary Ein Internetausfall stoppt heute das gesamte Geschäft. Wir nutzen Multi-WAN Failover, um zwei oder mehr Internetanschlüsse (z.B. Glasfaser und LTE) zu kombinieren. OPNsense überwacht die Gateways permanent via Ping-Checks. Fällt die Primärleitung aus, schwenkt die Firewall den Traffic innerhalb von Sekunden auf die Backup-Leitung um. Ein Senior Admin konfiguriert hierbei Gateway Groups, um Prioritäten festzulegen und hängende Sessions via “State Killing” sauber zu beenden.

# 1. Einführung & Architektur

Die Logik der Redundanz.

Interface Failover basiert auf dem Konzept von Gateway-Prioritäten.

Tier 1: Die schnellste/günstigste Leitung (Standard).
Tier 2: Die Backup-Leitung (wird erst genutzt, wenn Tier 1 offline ist).
Tier 3+: Weitere Fallbacks (z.B. Satellit).

# Architektur-Übersicht (Mermaid)

graph TD
    LAN[Internal Network] --> FW[OPNsense Firewall]
    FW -->|Tier 1| ISP1[Fiber ISP - Primary]
    FW -->|Tier 2| ISP2[LTE / Starlink - Backup]
    
    subgraph "Gateway Monitoring"
    FW -.->|ICMP| MON1[Monitor IP 8.8.8.8 via ISP1]
    FW -.->|ICMP| MON2[Monitor IP 1.1.1.1 via ISP2]
    end
    
    ISP1 ---|Link Down| FAIL[Failover Logic]
    FAIL -->|Switch to| ISP2

# 2. Einrichtung in der Praxis

Vom Gateway zur Gruppe.

# Schritt 1: Gateways überwachen

Unter System -> Gateways -> Configuration.

Monitor IP: Geben Sie für jedes WAN eine externe, stabile IP an (nicht die IP des Modems!).
Action: Wenn der Ping fehlschlägt, markiert OPNsense das Gateway als Down.

# Schritt 2: Gateway Groups erstellen

System -> Gateways -> Group.

Priority:
- WAN1 -> Tier 1
- WAN2 -> Tier 2
Trigger Level: Member Down (Schaltet um, sobald ein Gateway offline ist).

# Schritt 3: Firewall-Regeln anpassen

Ändern Sie Ihre “Allow LAN to Internet” Regel:

Gateway: Wählen Sie die neue Gateway Group statt “Default” aus.

# 3. Deep Dive: Sticky Connections & States

Hängende Sessions vermeiden.

Das größte Problem beim Failover: Die IP-Adresse ändert sich. Laufende Downloads oder SSH-Sessions brechen ab.

Sticky Connections: Unter Firewall -> Settings -> Advanced. Sorgt dafür, dass ein User innerhalb eines Zeitraums immer das gleiche Gateway nutzt (Wichtig für Home-Banking).
Kill States on Gateway Failure: Unbedingt aktivieren. Dies zwingt den Browser des Users, die Verbindung sofort über das neue Gateway neu aufzubauen, anstatt auf einen Timeout zu warten.

# 4. Day-2 Operations: WAN-Kostenkontrolle

Das teure LTE-Backup bändigen.

Wenn die Backup-Leitung volumenbasiert ist (z.B. LTE/5G):

Traffic Shaping: Drosseln Sie die Bandbreite für das Backup-Interface (Artikel 552).
Policy Routing: Erlauben Sie im Failover-Fall nur kritischen Traffic (z.B. Email, ERP) und blockieren Sie Windows-Updates oder YouTube via Firewall-Regel.

# 5. Troubleshooting & “War Stories”

Wenn das Umschalten hakt.

# Top 3 Fehlerbilder

Symptom: Gateway wird als Down angezeigt, obwohl das Internet geht.
- Ursache: Die Monitor-IP antwortet nicht auf ICMP oder der ISP blockiert Pings.
- Lösung: Andere Monitor-IP wählen (z.B. Google DNS vs. Cloudflare DNS).
Symptom: Failover findet statt, aber kein Traffic fließt über die Backup-Leitung.
- Ursache: Fehlende Outbound-NAT Regel für das Backup-Interface.
- Lösung: Firewall -> NAT -> Outbound auf “Hybrid” stellen und Regel für WAN2 ergänzen.
Symptom: Ständiges Hin- und Herschalten (Flapping).
- Lösung: Erhöhen Sie die “Latency Thresholds” in den Gateway-Settings.

# “War Story”: Der “Zombie” Link

Ein Kunde hatte ein Glasfaser-Modem, das bei einem Bagger-Schaden am Kabel weiterhin “Link Up” am Ethernet-Port signalisierte. Das Problem: Da die OPNsense nur auf den Link-Status schaute (Standard-Einstellung), schaltete sie nicht auf das LTE-Backup um. Lösung: Wir konfigurierten eine Monitor-IP (8.8.8.8) weit im Internet. Erst als der Ping dorthin durch den Bagger-Schaden abriss, erkannte die OPNsense den Fehler und schwenkte um. Lehre: Vertrauen Sie niemals dem physischen Link-Status eines Modems. Prüfen Sie immer die End-to-End Konnektivität!

# 6. Monitoring & Reporting

Uptime-Statistiken.

# Gateway-Statistiken visualisieren

Unter Reporting -> Health -> System -> Gateway.

Hier sehen Sie die Paketverluste und Latenzen über die letzten 24 Stunden. Ein idealer Nachweis für Preisnachlässe beim ISP.

# 7. Fazit & Empfehlung

Failover ist kein Luxus, sondern eine Notwendigkeit.

Empfehlung: Nutzen Sie eine Gateway Group für alle ausgehenden Regeln.
Wichtig: Testen Sie den Failover monatlich (Kabel ziehen!). Ein ungetesteter Failover-Plan wird im Ernstfall zu 50% scheitern.

# Anhang: Cheatsheet

Aufgabe	Pfad
Gateways verwalten	`System -> Gateways -> Configuration`
Failover Gruppen	`System -> Gateways -> Group`
Routing Tabelle	`System -> Routes -> Status`
States löschen	`Firewall -> Diagnostics -> States`