# OPNsense Dynamic Routing: Automatisierte Pfade mit OSPF & BGP

TL;DR / Management Summary Statische Routen (Artikel 571) skalieren nicht in komplexen Umgebungen. Dynamic Routing erlaubt es Firewalls und Switchen, Informationen über verfügbare Netzwerke automatisch auszutauschen. Wir nutzen das FRR (Free Range Routing) Plugin in OPNsense. OSPF ist der Standard für das interne Firmennetz, während BGP für die Anbindung an Cloud-Provider (Azure ExpressRoute / AWS DirectConnect) oder mehrere Internet-Provider (Multi-Homing) genutzt wird.

# 1. Einführung & Architektur

Selbstheilende Netzwerke.

Dynamic Routing Protokolle berechnen den besten Pfad zum Ziel basierend auf Kosten, Bandbreite oder Hop-Count.

• Vorteil: Fällt ein Kabel zwischen zwei Switchen aus, “spricht” sich das im Netz herum, und OPNsense wählt automatisch den Ersatzweg.
• Engine: OPNsense nutzt das quelloffene FRR-Paket, das einen Industriestandard darstellt.

# 2. Einrichtung in der Praxis

Der Weg zum dynamischen Netz.

# Schritt 1: Plugin installieren

System -> Firmware -> Plugins. Suchen und installieren Sie os-frr.

# Schritt 2: OSPF konfigurieren (Intern)

Routing -> OSPF.

1. General Settings: OSPF aktivieren.
2. Interfaces: Wählen Sie die Interfaces aus, auf denen OSPF “nachbarn” soll (z.B. LAN).
3. Networks: Definieren Sie Ihre lokalen Netze, die Sie bekanntgeben wollen (z.B. 10.0.0.0/24).

# Schritt 3: BGP konfigurieren (Extern/Hybrid)

Routing -> BGP.

1. AS Number: Vergeben Sie Ihre Autonome Systemnummer (Privatbereich: 64512-65534).
2. Neighbors: Tragen Sie die IP Ihres Cloud-Routers oder Providers ein.

# 3. Deep Dive: Area Design & AS-Path

Ordnung im Routing-Sturm.

# OSPF Areas

In großen Netzen unterteilen wir in Areas. Area 0 (Backbone) ist das Zentrum. Alle anderen Areas müssen physisch mit Area 0 verbunden sein.

• Ziel: Reduzierung der Routing-Tabellengröße auf schwächeren Geräten.

# BGP AS-Path

BGP ist ein Pfad-Vektor-Protokoll. Es entscheidet nicht nach Geschwindigkeit, sondern nach der Anzahl der durchquerten Autonomen Systeme (Hops). Ein Senior Admin nutzt AS-Path Prepending, um einen Internet-Pfad künstlich “länger” zu machen und so eingehenden Traffic auf eine bevorzugte Leitung zu steuern.

# 4. Day-2 Operations: Route Redistribution

Vom VPN ins OSPF.

Ein häufiges Szenario: Sie haben ein VPN (Artikel 565) und wollen, dass alle internen Switche sofort wissen, dass das entfernte Netz nun über die OPNsense erreichbar ist.

• Aktion: Aktivieren Sie Redistribute Connected oder Redistribute Static in den OSPF-Einstellungen.
• Vorsicht: Filtern Sie diese Umverteilung! Sie wollen nicht versehentlich Ihre öffentliche WAN-IP als interne Route verteilen.

# 5. Troubleshooting & “War Stories”

Wenn die Nachbarschaft zerbricht.

# Top 3 Fehlerbilder

1. Symptom: OSPF-Nachbarschaft bleibt im Status ExStart oder Init hängen.

   • Ursache: MTU Mismatch. Beide Seiten müssen die exakt gleiche MTU haben.
   • Lösung: MTU prüfen (Artikel 547) oder “Ignore MTU” in den FRR-Settings aktivieren.

2. Symptom: BGP-Sitzung ist Down.

   • Ursache: Firewall blockiert TCP Port 179.
   • Lösung: Regel Source: Neighbor_IP -> Destination: WAN address, Port 179 erlauben.

3. Symptom: Route erscheint nicht in der Tabelle.

   • Ursache: Filter-Listen (Prefix-Lists) blockieren den Import.

# “War Story”: Der “Routing-Tsunami”

Ein Admin aktivierte BGP zu seinem Provider und vergaß, einen Outbound-Filter zu setzen. Er schickte versehentlich seine gesamte interne Routing-Tabelle (inklusive privater RFC1918 IPs) an das globale Internet. Das Ergebnis: Der Provider blockierte den Port sofort wegen “Routing Instability”. Die gesamte Firma war offline. Lehre: Nutzen Sie bei BGP immer Prefix-Listen für Inbound und Outbound. Vertrauen Sie niemals darauf, dass die Gegenseite filtert.

# 6. Monitoring & Reporting

Status der FRR-Engine.

# Diagnostics (Live)

Unter Routing -> Diagnostics finden Sie die exakten Befehle der FRR-Shell:

• show ip ospf neighbor: Wer ist mein Partner?
• show ip route: Was hat das dynamische Protokoll gelernt? (Markiert mit O für OSPF oder B für BGP).

# 7. Fazit & Empfehlung

Dynamic Routing macht komplexe Netze erst wartbar.

• Empfehlung: Nutzen Sie OSPF für alle internen Verbindungen zu L3-Switchen (z.B. in einem Proxmox-Rechenzentrum).
• Sicherheit: Nutzen Sie MD5-Authentifizierung für OSPF-Nachbarschaften, damit kein fremdes Gerät in Ihrem LAN Routing-Informationen fälschen kann.

# Anhang: Cheatsheet

# Referenzen

• FRR Project Documentation
• OPNsense Docs: OSPF Setup
• BGP Best Practices (Cloudflare Guide)