# OPNsense Static Routing: Manuelle Pfadwahl im Netzwerk

TL;DR / Management Summary Während OPNsense standardmäßig nur zwischen direkt verbundenen Netzen (WAN, LAN) routet, benötigen wir statische Routen, um entlegene Subnetze zu erreichen (z.B. hinter einem L3-Switch oder einem VPN-Gateway eines Partners). Ein Senior Admin nutzt statische Routen, um die Kontrolle über den Paketfluss zu behalten, und vermeidet Routing-Loops durch eine saubere Hierarchie. Wichtigste Regel: Bevor eine Route erstellt werden kann, muss das zugehörige Gateway definiert sein.

# 1. Einführung & Konzepte

Wegweiser für Pakete.

Ein Paket, das nicht für ein lokales Netz bestimmt ist, geht normalerweise an das Default Gateway (Internet). Wenn das Paket aber zu einem internen Standort (z.B. 10.50.0.0/24) soll, müssen wir eine Ausnahme definieren.

# Voraussetzungen

  1. Gateway: Die IP-Adresse des nächsten Routers (Next Hop), der das Zielnetz kennt.
  2. Destination Network: Das Ziel-Subnetz in CIDR-Notation (z.B. /24).

# 2. Einrichtung in der Praxis

In 2 Schritten zur Route.

# Schritt 1: Gateway definieren

System -> Gateways -> Configuration.

  1. Klicken Sie auf Add.
  2. Interface: Wählen Sie das Interface, an dem der andere Router hängt (meist LAN).
  3. IP-Address: Die IP des Routers im LAN (z.B. 192.168.1.254).
  4. Priority: Höher als das WAN-Gateway (z.B. 255), damit es nicht als Default-Internet-Pfad genutzt wird.

# Schritt 2: Statische Route anlegen

System -> Routes -> Configuration.

  1. Network: 10.50.0.0/24 (Das Netz hinter dem Router).
  2. Gateway: Wählen Sie das in Schritt 1 erstellte Gateway aus.
  3. Description: Route to Branch Office Berlin.

# 3. Deep Dive: Gateway Monitoring & Metriken

Intelligente Pfade.

# Monitoring

OPNsense kann das Gateway permanent pingen.

# Metriken (Metric)

Wenn es zwei Wege zum Ziel gibt (z.B. Hauptleitung und Backup), nutzt OPNsense die Route mit der niedrigeren Metrik.

# 4. Day-2 Operations: Firewall-Regeln für Routen

Der Routing-Passierschein.

Eine statische Route sagt der Firewall nur, wohin das Paket soll. Sie erlaubt den Zugriff nicht automatisch!

# 5. Troubleshooting & “War Stories”

Wenn die Pakete im Kreis laufen.

# Top 3 Fehlerbilder

  1. Symptom: Ping auf Ziel-IP geht, aber keine Antwort.

    • Ursache: Fehlende Rückroute am Ziel-Router. Der Ziel-Router weiß nicht, wie er zurück zur OPNsense kommt.
    • Lösung: Route am internen Router für das LAN der OPNsense hinzufügen.

  2. Symptom: Routing-Loop (CPU Last steigt, Paket-TTL läuft ab).

    • Ursache: Router A schickt an Router B, Router B schickt zurück an Router A.
    • Tool: traceroute 10.50.0.1 zeigt den Kreisverkehr.

  3. Symptom: “Destination Host Unreachable”.

    • Ursache: Das definierte Gateway ist offline oder über das gewählte Interface nicht erreichbar.

# “War Story”: Der “Asymmetrische” Albtraum

Ein Admin vernetzte ein neues VLAN via L3-Switch und legte eine statische Route in OPNsense an. Das Ergebnis: Die Verbindung war extrem instabil. TCP-Sessions brachen sofort ab. Die Entdeckung: Da der L3-Switch und die Clients im gleichen LAN-Subnetz lagen, schickten die Clients Pakete direkt zum Switch (für das neue VLAN), aber die Antwort-Pakete gingen vom Switch zur OPNsense (Default Gateway) und dann erst zum Client. Da die OPNsense nur den Rückweg sah (kein State vorhanden), droppte sie die Pakete als “invalid”. Lehre: Vermeiden Sie asymmetrisches Routing! Clients sollten ihr Gateway immer im gleichen logischen Netz haben wie den Router zum Ziel.

# 6. Monitoring & Reporting

Die Routing-Tabelle prüfen.

# Routing Status

System -> Routes -> Status. Hier sehen Sie die “nackte Wahrheit” des Kernels. Suchen Sie nach dem Flag G (Gateway) und U (Up).

# 7. Fazit & Empfehlung

Statische Routen sind das Fundament für segmentierte Netze.

# Anhang: Cheatsheet

Aufgabe Pfad
Gateway anlegen System -> Gateways -> Configuration
Route anlegen System -> Routes -> Configuration
Routing Tabelle (Shell) netstat -rn
Pfad testen traceroute <Ziel-IP>

# Referenzen