⚠️ Stufe 3 — NUR PLANEN. Ausführung NUR mit Marcels ausdrücklicher Genehmigung.
Diese Seite ist ein reiner Planungs-Entwurf. Keine Infrastruktur-Änderungen ohne OK.
Status: 🟡 Entwurf — Wartet auf Stufe 2 (VM-Test) + Marcels Genehmigung
Zuletzt aktualisiert: 2026-03-22
Dieses Dokument beschreibt den finalen Umschaltplan von OPNsense (VM 102) zu OpenWRT als Router/Firewall auf PVE-Hetzner.
Voraussetzungen für diese Stufe:
Internet (Hetzner)
│
▼ vmbr2 (WAN)
┌─────────────────────┐
│ OPNsense VM 102 │
│ RAM: 14.2/16 GB │
│ Uptime: 9+ Tage │
├─────────────────────┤
│ vmbr0 (LAN) │ → 10.0.0.0/16 (alle VMs)
│ vmbr1 (PVE-Link) │ → 172.16.0.0/30 (PVE intern)
└─────────────────────┘
OPNsense ist Default-Gateway für 10.0.0.0/16.
Internet (Hetzner)
│
▼ vmbr2 (WAN)
┌─────────────────────┐
│ OpenWRT VM (neu) │
│ RAM: 256 MB │
│ OpenWRT 25.12.0 │
├─────────────────────┤
│ vmbr0 (LAN) │ → 10.0.0.0/16 (alle VMs)
│ vmbr1 (PVE-Link) │ → 172.16.0.0/30 (optional)
└─────────────────────┘
| Risiko | Wahrscheinlichkeit | Impact | Mitigation |
|---|---|---|---|
| OpenWRT nicht gebootet | Mittel | 🔴 Hoch | Stufe 2 erst vollständig testen |
| Falsche Firewall-Regel | Mittel | 🔴 Hoch | Alle Regeln aus OPNsense vorher dokumentieren |
| DHCP-Leases verloren | Niedrig | 🟡 Mittel | Statische IPs sind per CLAUDE.md bekannt |
| NetBird fällt aus | Niedrig | 🔴 Hoch | WireGuard-Tunnel bleibt als Break-Glass |
| NAT-Port-Forward fehlt | Mittel | 🟡 Mittel | Port-Forward-Liste vorher von OPNsense exportieren |
| Kein Rollback möglich | Niedrig | 🔴 Hoch | OPNsense VM 102 bleibt gestoppt (nicht gelöscht!) |
Die Umschaltung unterbricht alle VMs für kurze Zeit (Sekunden bis Minuten). Betroffen:
OPNsense VM 102 wird nicht gelöscht — nur gestoppt.
proxmox_stop_vm vmid=<openwrt-vmid>proxmox_start_vm vmid=102pre-openwrt-migration-YYYY-MM-DDSTOP: Marcels Genehmigung erforderlich bevor Schritt 1!
Schritt | Aktion | Erwartet
--------|------------------------------------------|------------------------
1 | OPNsense stoppen (VM 102) | Netz fällt weg ⚠️
2 | OpenWRT VM: vmbr0 + vmbr2 hinzufügen | Config via PVE MCP
3 | OpenWRT VM starten | Boot ~30 Sekunden
4 | Ping-Test: 10.0.0.148 (vm-600) | Antwort = Netz ok ✅
5 | NanoClaw prüft eigene Verbindung | Telegram-Nachricht an Marcel
ping 10.0.0.148 ✅ping 10.0.0.139 ✅# LAN Interface (10.0.0.0/16)
uci set network.lan.proto='static'
uci set network.lan.ipaddr='10.0.0.1' # OPNsense-kompatible Gateway-IP behalten!
uci set network.lan.netmask='255.255.0.0'
# DHCP für LAN
uci set dhcp.lan.start='100'
uci set dhcp.lan.limit='60000'
uci set dhcp.lan.leasetime='24h'
Wichtig: Gateway-IP
10.0.0.1beibehalten! OPNsense nutzt diese IP — alle VMs haben diese als Gateway. Änderung würde alle VMs betreffen.
| Hostname | IP | Notiz |
|---|---|---|
| vm-600 | 10.0.0.148 | Docker-Server |
| vm-200 | 10.0.0.139 | PostgreSQL |
| vm-160 | 10.0.0.141 | Authentik |
| vm-150 | 10.0.0.150 | PBS |
| vm-610 | 10.0.0.151 | AI-Server |
| nanoclaw | 10.0.0.158 | NanoClaw |
# WAN: alles ablehnen außer etablierten Verbindungen
uci set firewall.wan_zone.input='REJECT'
uci set firewall.wan_zone.masq='1' # NAT aktiv!
# LAN: alles erlaubt
uci set firewall.lan_zone.input='ACCEPT'
uci set firewall.lan_zone.forward='ACCEPT'
| Datum | Phase |
|---|---|
| TBD | Stufe 2: VM erstellen + Image importieren |
| TBD+1 Woche | Stufe 2: Konfiguration testen (isoliert) |
| TBD+2 Wochen | OPNsense-Regeln dokumentiert + OpenWRT gespiegelt |
| TBD+3 Wochen | Genehmigung von Marcel + Umschalttag festlegen |
| TBD+3 Wochen | UMSCHALTUNG (wenn alle Checks ✅) |
Erstellt: 2026-03-22 — Entwurf, noch nicht genehmigt