¶ OPNsense Netzwerk-Dokumentation (OpenWRT Vorarbeit)
Status: Live verifiziert 2026-03-22 (Session 24)
Methode: SSH zu vm-600 (10.0.0.148), Netzwerk-Diagnostik, traceroute, ARP-Analyse
Einschränkung: OPNsense SSH deaktiviert, API-Credentials fehlen → NAT-Regeln und DHCP-Range nicht auslesbar
¶ Interface-Konfiguration
| Interface | Bridge | OPNsense IP | Gegenstelle | Funktion |
|---|---|---|---|---|
| LAN | vmbr0 | 10.0.0.1/16 | Alle VMs | LAN-Segment, DHCP-Server, DNS |
| WAN/Interconnect | vmbr1 | 172.16.0.2/30 | PVE-Host: 172.16.0.1 | Uplink zum PVE-Host |
| WAN-Uplink | vmbr2 | (PVE-managed) | Hetzner Router | Öffentliches Internet |
Verifiziert: 10.0.0.1 antwortet auf ICMP (ping OK, ttl=64)
Verifiziert: 172.16.0.1 erreichbar von VMs via OPNsense (traceroute Hop 2)
Verifiziert: 172.16.0.2 antwortet auf ICMP (direkte Antwort, ttl=64)
¶ Routing-Kette (LAN → Internet)
VM (10.0.0.x)
→ OPNsense LAN (10.0.0.1) [Hop 1]
→ OPNsense WAN (172.16.0.2) → PVE vmbr1 (172.16.0.1) [Hop 2]
→ PVE vmbr2 → Hetzner Upstream (100.90.228.129) [Hop 3]
→ Hetzner Backbone (213.239.x.x) [Hop 4+]
→ Internet (Public IP: 168.119.5.229)
Traceroute-Beweis (von vm-600 zu 8.8.8.8):
1 10.0.0.1 1.56ms ← OPNsense LAN
2 172.16.0.1 1.09ms ← PVE vmbr1 (nach OPNsense WAN)
3 100.90.228.129 1.00ms ← Hetzner interne IP
4 213.239.245.209 ← Hetzner Backbone
¶ DHCP-Konfiguration
| Parameter | Wert | Quelle |
|---|---|---|
| DHCP-Server | 10.0.0.1 (OPNsense) | /etc/resolv.conf auf VMs |
| Subnetz | 10.0.0.0/16 | DHCP-Lease vm-600 |
| DNS | 10.0.0.1 | resolv.conf auf VMs |
| Lease-Zeit (beobachtet) | ~1.9h (6812s valid, 5912s preferred) | networkctl vm-600 |
| DHCP-Pool Start | unbekannt (OPNsense-Zugang nötig) | — |
| DHCP-Pool Ende | unbekannt | — |
| Statische Einträge | unbekannt | — |
Beobachtete DHCP-Adressen:
- VMs haben IPs im Bereich 10.0.0.139 – 10.0.0.160 (wahrscheinlich DHCP-Pool)
- NanoClaw hat 10.0.0.158 (DHCP oder statisch?)
¶ Bekannte IP-Belegung (ARP-Tabelle 2026-03-22)
| IP | Hostname/Rolle | MAC | Verifiziert |
|---|---|---|---|
| 10.0.0.1 | OPNsense LAN | f2:9b:14:05:86:0a | ✅ Ping OK |
| 10.0.0.2 | Unbekannt (kein SSH/HTTP) | bc:24:11 63:6f |
❓ |
| 10.0.0.50 | PVE-Host | f2:bd:5e:db:82:5d | ✅ Ping OK |
| 10.0.0.51 | Unbekannt | 7e:e8:67:ef:9d:5c | ❓ |
| 10.0.0.139 | vm-200 PostgreSQL | bc:24:11:83:68:83 | ✅ bekannt |
| 10.0.0.141 | vm-160 Authentik | bc:24:11:85:d1:76 | ✅ bekannt |
| 10.0.0.148 | vm-600 Docker | bc:24:11:4f:f4:51 | ✅ SSH OK |
| 10.0.0.150 | vm-150 PBS | bc:24:11:15:0c:a1 | ✅ bekannt |
| 10.0.0.151 | vm-610 AI-Server | bc:24:11:b7:7e:f7 | ✅ bekannt |
| 10.0.0.153 | vm-602/603/604? | bc:24:11:7e:ba:01 | ❓ |
| 10.0.0.154 | vm-602/603/604? | bc:24:11:b7:d1:3f | ❓ |
| 10.0.0.155 | vm-602/603/604? | bc:24:11:62:dd:c4 | ❓ |
| 10.0.0.156 | vm-602/603/604? | bc:24:11:29:22:91 | ❓ |
| 10.0.0.157 | vm-602/603/604? | bc:24:11:91:45:c2 | ❓ |
| 10.0.0.158 | NanoClaw | bc:24:11:f9:56:f2 | ✅ bekannt |
| 10.0.0.160 | vm-6050? | bc:24:11:38:5a:ba | ❓ |
¶ OPNsense Management-Zugang
| Methode | Adresse | Status |
|---|---|---|
| Web UI (HTTPS) | https://10.0.0.1 | ✅ Erreichbar (HTTP 200) |
| SSH | 10.0.0.1:22 | ❌ Port geschlossen |
| API | https://10.0.0.1/api/ | ⚠️ Erreichbar, aber Credentials fehlen |
¶ NAT-Konfiguration (⚠️ Unvollständig)
Was bekannt ist:
- Masquerade aktiv: Traffic aus 10.0.0.0/16 → Public IP 168.119.5.229
- Externe IP: 168.119.5.229 (Hetzner Dedicated)
Was fehlt (braucht OPNsense-Zugang):
- Port-Weiterleitungen (NAT-Regeln)
- Virtuelle IPs (VIPs)
- NAT-Reflection Konfiguration
¶ Offene Fragen für OpenWRT Migration
Folgende Infos fehlen noch und können nur mit OPNsense-Credentials ermittelt werden:
- Firewall-Regeln → Welche Verbindungen werden geblockt/erlaubt?
- Port-Weiterleitungen → Welche öffentlichen Ports werden auf welche interne IP weitergeleitet?
- DHCP-Pool → Genaue Start/End-IP, Lease-Zeit
- Statische DHCP-Einträge → Welche VMs haben feste IPs?
- Aliases/IPs → Was ist 10.0.0.2 und 10.0.0.51?
- OPNsense Version → Für Feature-Vergleich mit OpenWRT
- VLANs → Sind VLANs auf OPNsense konfiguriert?
Empfehlung: Marcel kann die fehlenden Infos aus dem OPNsense Web UI (https://10.0.0.1) exportieren oder NanoClaw API-Credentials geben.
¶ Für OpenWRT Übertragung (Was gesetzt werden muss)
Basierend auf bekannten Daten, muss OpenWRT mindestens konfiguriert werden mit:
# Interface br-lan (vmbr0)
LAN IP: 10.0.0.1/16
DHCP Server: 10.0.0.1
DHCP DNS: 10.0.0.1
# Lease-Zeit: 2h (Standardwert, oder von OPNsense übernehmen)
# Interface eth1 (vmbr1 WAN)
WAN IP: 172.16.0.2/30
Gateway: 172.16.0.1 (PVE-Host)
# NAT (Masquerade)
Alle 10.0.0.0/16 → MASQ auf WAN interface
Erstellt: 2026-03-22 (Session 24) | Methode: Live-Netzwerk-Diagnostik via vm-600
Forensik-Prinzip: Nur verifizierte Daten, Lücken klar markiert