# OPNsense Alerts: Echtzeit-Benachrichtigung für Admins
TL;DR / Management Summary Ein Admin kann nicht 24/7 auf das Dashboard schauen. Wir nutzen das Notification-System von OPNsense, um bei kritischen Ereignissen (Gateway Down, Update verfügbar, VPN-Fehler) proaktiv informiert zu werden. Ein Senior Admin nutzt heute neben der klassischen Email-Benachrichtigung moderne Webhooks, um Alarme direkt in Messenger wie Telegram, Slack oder Microsoft Teams zu pushen.
# 1. Einführung & Benachrichtigungs-Typen
Vom System-Event zum Ping am Handy.
OPNsense kann Informationen über verschiedene Kanäle senden:
- SMTP (Email): Der Klassiker für Reports und weniger zeitkritische Infos.
- Monit: Ein leistungsstarkes Watchdog-System für Dienst-Ausfälle.
- Plugins (Webhooks): Ermöglicht die Anbindung an moderne APIs (Telegram, Slack, Pushbullet).
# 2. E-Mail Benachrichtigung (SMTP)
Die Basis.
System -> Settings -> Notifications.
- SMTPServer: Ihr Mail-Relay (z.B.
smtp.office365.comoder der interne Exchange). - Port:
587(STARTTLS) oder465(SSL). - Authentication: Falls nötig, User und Passwort hinterlegen.
- Notification Email: Die Zieladresse (z.B.
it-support@firma.de).
Wichtig: Testen Sie die Konfiguration mit dem Button “Test settings”.
# 3. Deep Dive: Messenger-Integration (Telegram/Slack)
Alarme da, wo man arbeitet.
Nutzen Sie das Plugin os-monit für komplexe Alarme oder spezifische Messenger-Plugins.
# Beispiel: Telegram Bot
- Telegram-Bot erstellen (via
@BotFather). - API Token und Chat ID notieren.
- In OPNsense via
System -> Settings -> Notifications -> Telegramkonfigurieren.
- Ergebnis: “Gateway WAN is DOWN!” erscheint sofort als Nachricht auf Ihrem Smartphone.
# 4. Day-2 Operations: Monit (Der Wächter)
Selbstheilung und Alarm.
Das Plugin os-monit ist ein mächtiges Werkzeug zur Prozessüberwachung.
- Funktion: Monit prüft z.B. alle 30 Sekunden, ob der DNS-Resolver (Unbound) noch läuft.
- Aktion: Falls nein ->
Restart serviceUNDSend Notification. - Setup:
Services -> Monit -> Settings. Erstellen Sie einenService Testund verknüpfen Sie ihn mit einerAlert SettingsRegel.
# 5. Troubleshooting & “War Stories”
Wenn der Alarm stumm bleibt.
# Top 3 Fehlerbilder
-
Symptom: Email-Test schlägt fehl mit “SSL handshake failed”.
- Ursache: Das Zertifikat des Mail-Servers wird nicht vertraut.
- Lösung: Nutzen Sie Port 587 mit STARTTLS statt 465, oder importieren Sie das CA-Zertifikat des Mail-Providers.
-
Symptom: Zu viele Alarme (“Alert Fatigue”).
- Ursache: Gateway flappt alle 5 Minuten und schickt jedes Mal eine Mail.
- Fix: Erhöhen Sie die “Latency Thresholds” im Gateway-Monitoring (Artikel 551).
-
Symptom: Benachrichtigungen kommen nur an, wenn das Internet geht.
- Problem: Wenn WAN tot ist, kann OPNsense keine Mail/Webhook schicken.
- Lösung: Nutzen Sie eine SMS-Gateway Hardware oder einen LTE-Fallback (Artikel 573).
# “War Story”: Der “Stille” VPN-Ausfall
Ein Unternehmen wunderte sich, warum Montagmorgen keine VPN-Einwahlen gingen.
Die Entdeckung: Das VPN-Zertifikat war am Samstag abgelaufen. OPNsense hatte dies im Log vermerkt, aber niemand hat es gesehen.
Lösung: Wir konfigurierten einen Monit-Check, der das Dateisystem nach Zertifikaten durchsucht, die in weniger als 7 Tagen ablaufen, und einen Critical Alert via Slack schickt.
Lehre: Automatisieren Sie die Überwachung von Ablaufdaten!
# 6. Monitoring & Reporting
Audit der Alarme.
# Notification Logs
Prüfen Sie im System -> Log-Files -> General (Filter: notify), ob OPNsense versucht hat, Alarme zu senden und ob diese vom Zielserver angenommen wurden.
# 7. Fazit & Empfehlung
Notifications verwandeln OPNsense von einem passiven Gerät in ein aktives Teammitglied.
- Empfehlung: Nutzen Sie Telegram oder Slack für kritische technische Alarme und Email für wöchentliche Statusberichte.
- Wichtig: Beschränken Sie die Alarme auf das Nötigste. Zu viele Informationen führen dazu, dass der Admin die Nachrichten ignoriert.
# Anhang: Cheatsheet
| Dienst | Port / API | Zweck |
|---|---|---|
| SMTP 25/587 | Standard-Benachrichtigung | |
| Monit | TCP 2812 | Prozess-Überwachung |
| Slack | Webhook URL | Chat-Integration |
| Pushover | API Token | Push-Dienst für Handys |