11.06.2025
1334
12
0OPNsense nach Reload Wireguard werden statische Routen nicht mehr gesetzt
Hallo,
wie der Titel schon sagt: Wenn ich in der OPNsense 24.7.12 unter "VPN > Wireguard > Peers" zum Beispiel einen Peer hinzufüge und danach "Apply" betätige, schmeißt er mir vorher angelegte statische Routen unter "System > Routes > Configuration" raus. Das passiert aber nur bei Routen die auch mit dem Wireguard-Interface korrespondieren. Wenn das passiert muss ich manuell in jenem Menü für die Routen diese nochmal aktivieren.
Das WG-Interface hat allerdings die Lock-Option gesetzt, wovon ich mir erhofft habe, das genau dieses Phänomen nicht passiert. Das Routen wegfliegen, wenn das zugrundeliegende Interface weg ist, ist ok. Aber nicht wenn ich sage das Interface bestehen bleiben soll.
OPNsense Maschine ist eine VM mit vtnet Interfaces. Falls das eine Rolle spielt.
Hat dafür jemand eine Lösung?
Grüße
wie der Titel schon sagt: Wenn ich in der OPNsense 24.7.12 unter "VPN > Wireguard > Peers" zum Beispiel einen Peer hinzufüge und danach "Apply" betätige, schmeißt er mir vorher angelegte statische Routen unter "System > Routes > Configuration" raus. Das passiert aber nur bei Routen die auch mit dem Wireguard-Interface korrespondieren. Wenn das passiert muss ich manuell in jenem Menü für die Routen diese nochmal aktivieren.
Das WG-Interface hat allerdings die Lock-Option gesetzt, wovon ich mir erhofft habe, das genau dieses Phänomen nicht passiert. Das Routen wegfliegen, wenn das zugrundeliegende Interface weg ist, ist ok. Aber nicht wenn ich sage das Interface bestehen bleiben soll.
OPNsense Maschine ist eine VM mit vtnet Interfaces. Falls das eine Rolle spielt.
Hat dafür jemand eine Lösung?
Grüße
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673329
Url: https://administrator.de/forum/opnsense-wireguard-statische-routen-673329.html
Ausgedruckt am: 18.07.2025 um 05:07 Uhr
12 Kommentare
Neuester Kommentar
Vielleicht besser hier: forum.opnsense.org/
PS: Upgrade auf V25 auch mitmachen.
PS: Upgrade auf V25 auch mitmachen.
Kann das Verhalten hier mit der Version 24.7.12 nachvollziehen. Ein Test mit der Version 25.1 hat auch keine Besserung gebracht. Wirst du dir dann wohl vorübergehend angewöhnen müssen einmal nach Änderungen an den Peers den Apply Button in den Routes zu drücken, oder ein Skript zu bemühen. Vielleicht mal als Bug im OPNsense Forum melden.
Unter Plain Vanilla Linux hätte ich dazu die "OnLink" beim Anlegen der Route aktiviert damit das "wegfliegen" nicht passiert wenn das Interface flappt, eine Option in der GUI der OPNsense die das gleiche tut findet sich leider nicht.
Unter Plain Vanilla Linux hätte ich dazu die "OnLink" beim Anlegen der Route aktiviert damit das "wegfliegen" nicht passiert wenn das Interface flappt, eine Option in der GUI der OPNsense die das gleiche tut findet sich leider nicht.
1
Zitat von @BiberMan:
Kann das Verhalten hier mit der Version 24.7.12 nachvollziehen. Ein Test mit der Version 25.1 hat auch keine Besserung gebracht. Wirst du dir dann wohl vorübergehend angewöhnen müssen einmal nach Änderungen an den Peers den Apply Button in den Routes zu drücken, oder ein Skript zu bemühen. Vielleicht mal als Bug im OPNsense Forum melden.
Unter Plain Vanilla Linux hätte ich dazu die "OnLink" beim Anlegen der Route aktiviert damit das "wegfliegen" nicht passiert wenn das Interface flappt, eine Option in der GUI der OPNsense die das gleiche tut findet sich leider nicht.
Kann das Verhalten hier mit der Version 24.7.12 nachvollziehen. Ein Test mit der Version 25.1 hat auch keine Besserung gebracht. Wirst du dir dann wohl vorübergehend angewöhnen müssen einmal nach Änderungen an den Peers den Apply Button in den Routes zu drücken, oder ein Skript zu bemühen. Vielleicht mal als Bug im OPNsense Forum melden.
Unter Plain Vanilla Linux hätte ich dazu die "OnLink" beim Anlegen der Route aktiviert damit das "wegfliegen" nicht passiert wenn das Interface flappt, eine Option in der GUI der OPNsense die das gleiche tut findet sich leider nicht.
Im OPNsense Forum habe ich bereits nachgefragt. Da scheint es aber auch keinen anderweitigen Ansatz zu geben, mit Verweis auf den Source Code. Scheinbar ist dieses Verhalten bisher nie getestet worden, weil die meisten Wireguard mit Routing verwenden. Ich verwende es mit "No Routes" und mache dynamisches Routing mit BGP.
Habe auch schon versucht STATICD vom FRR-Package zu verwenden zu diesem Zweck. Dort passiert aber haargenau das gleiche. Als Peer-Adressen verwende ich Loopback-Adressen, deshalb muss ich überhaupt statische Routen erstellen. Den es gibt da leider noch ein Problem mit BGP und Wireguard. Der BGP Daemon mag es überhaupt nicht, das nach einem Reload oder Neuaufbau das WG-Interface weg ist und versucht dann keinen neuen Verbindungsaufbau. Stattdessen muss man auch hier manuell einmal einen Reload des Daemon anschieben.
Quelle: KI
Fenris14, ja das Problem ist bekannt und BiberMan hat das richtig analysiert. Die Lock-Option bei WireGuard ist eher dafür da, das Interface selbst nicht zu löschen, aber statische Routen, die darauf zeigen, können bei einem Neustart oder Interface-Flap trotzdem fliegen gehen. Das ist halt das FreeBSD-Netzwerk-Stack-Verhalten und nicht unbedingt ein OPNsense-Bug im klassischen Sinne. Dass selbst STATICD da nicht sauber mitspielt, zeigt, wie tief das sitzt. Deine Notwendigkeit für statische Routen wegen den Loopbacks für BGP ist nachvollziehbar. Policy-Based Routing, wie in der Suche erwähnt, hilft hier nur bedingt, weil du ja die Routen zu den Loopbacks auf dem WG-Interface brauchst, nicht zwingend den Traffic durch den Tunnel.
Die sauberste Lösung ohne OPNsense-Codeänderungen ist ein Script. Du könntest ein Shell-Script anlegen, das bei einem 'Interface Up' Event des WireGuard-Interfaces (z.B. über) die benötigten statischen Routen mit neu setzt. Und falls dein BGP-Daemon bockt, direkt danach noch ein um ihn neu zu initialisieren. Ist zwar ein Workaround, aber in dieser Konstellation oft der einzige Weg, bis OPNsense da vielleicht mal nativ nachbessert.
Die sauberste Lösung ohne OPNsense-Codeänderungen ist ein Script. Du könntest ein Shell-Script anlegen, das bei einem 'Interface Up' Event des WireGuard-Interfaces (z.B. über
/usr/local/etc/rc.syshook.d/interface-up/route add -interface <Zielnetz> <WireGuard_Interface_IPconfigctl bgp start[Moderation: Ich glaube wir hatten diese Diskussion mit dir schon mal. Ich bitte dich nun noch einmal eindringlich, dich an unser Richtlinien bezüglich der überwiegenden KI-Nutzung zu halten. Merci und Gruß @colinardo (Moderator)]
@SPOK71 lies dir mal unsere Richtlinien zu KI-Posts durch ...
Regel Nr. 6: KI-Inhalte
Regel Nr. 6: KI-Inhalte
Nutze KI nur als Unterstützung, nicht als Ersatz für eigene Gedanken
Stelle sicher, dass deine persönliche Stimme und Expertise im Vordergrund steht
Eine ausschließliche oder überwiegende Nutzung von KI-generierten Inhalten ist nicht erlaubt
...
Jeder KI-erstellte Text sollte:
von dir überarbeitet und angepasst werden durch eigene Gedanken und Expertise ergänzt werden
auf Richtigkeit geprüft werden
in deinem persönlichen Schreibstil formuliert sein
Also nicht nur stumpf KI-BlaBla hier rein pasten, wie du es hier überwiegend tust !Stelle sicher, dass deine persönliche Stimme und Expertise im Vordergrund steht
Eine ausschließliche oder überwiegende Nutzung von KI-generierten Inhalten ist nicht erlaubt
...
Jeder KI-erstellte Text sollte:
von dir überarbeitet und angepasst werden durch eigene Gedanken und Expertise ergänzt werden
auf Richtigkeit geprüft werden
in deinem persönlichen Schreibstil formuliert sein
2
Also nicht nur stumpf KI-BlaBla hier rein pasten, wie du es hier überwiegend tust !
Full ACK! 👍
Die Lösung ist auch nicht gerade toll, weil das vom OPNsense Backup nicht erfasst wird. Heißt wieder, das ich Datei-basiert eine extra Sicherung einrichten muss.
Hallo, es ist nicht eine KI, es sind ehrlich gesagt 3 LLMs, die untereinander zunächst über das Thema intern disktutieren und dann sich für eine Lösung entscheiden, entweder sie bestätigen die bisherige Lösungswege oder sie schlagen eine neue vor, anhand frühere Erfahrungen oder Handbücher. Es handelt sich also nicht ganz um KI-Blabla sondern eine autonome Recherche, Berichterstatung zu anderen KI, Kombination von Suchergebnissen mit Wissen des LLMs was früher angelernt wurde. Die Beiträge basieren nicht auf Halluzinationen.
Ich habe im Moment etwas Probleme mit der HTML Formatiereung, manche HTML Zeichen werden zur Laufzeit als code interpretiert, egal wie ausgeklammert, was mich im moment zwingt den Beitrag doch naträglich manuel zu bearbeiten.
Gruß
Ich habe im Moment etwas Probleme mit der HTML Formatiereung, manche HTML Zeichen werden zur Laufzeit als code interpretiert, egal wie ausgeklammert, was mich im moment zwingt den Beitrag doch naträglich manuel zu bearbeiten.
Gruß
Zitat von @SPOK71:
Hallo, es ist nicht eine KI, es sind ehrlich gesagt 3 LLMs, die untereinander zunächst über das Thema intern disktutieren und dann sich für eine Lösung entscheiden, entweder sie bestätigen die bisherige Lösungswege oder sie schlagen eine neue vor, anhand frühere Erfahrungen oder Handbücher. Es handelt sich also nicht ganz um KI-Blabla sondern eine autonome Recherche, Berichterstatung zu anderen KI, Kombination von Suchergebnissen mit Wissen des LLMs was früher angelernt wurde. Die Beiträge basieren nicht auf Halluzinationen.
Spielt keine Rolle, KI bleibt KI ob eine oder mehrere spielt dabei keine Rolle es bleibt das gleiche für das Forum.Hallo, es ist nicht eine KI, es sind ehrlich gesagt 3 LLMs, die untereinander zunächst über das Thema intern disktutieren und dann sich für eine Lösung entscheiden, entweder sie bestätigen die bisherige Lösungswege oder sie schlagen eine neue vor, anhand frühere Erfahrungen oder Handbücher. Es handelt sich also nicht ganz um KI-Blabla sondern eine autonome Recherche, Berichterstatung zu anderen KI, Kombination von Suchergebnissen mit Wissen des LLMs was früher angelernt wurde. Die Beiträge basieren nicht auf Halluzinationen.
Ich habe im Moment etwas Probleme mit der HTML Formatiereung, manche HTML Zeichen werden zur Laufzeit als code interpretiert, egal wie ausgeklammert, was mich im moment zwingt den Beitrag doch naträglich manuel zu bearbeiten.
Deswegen gibt es die Richtlinien:nicht als Ersatz für eigene Gedanken
Eine ausschließliche oder überwiegende Nutzung von KI-generierten Inhalten ist nicht erlaubt
Ein Forum sollte von Menschen geprägt sein nicht von Maschinen.Eine ausschließliche oder überwiegende Nutzung von KI-generierten Inhalten ist nicht erlaubt
2
Da bin ich voll deine Meinung. Das machen wir ja gerade.
Gibt es Hier irgendwo eine Kategorie für Künstliche Inteligenz wo man die Themen der KI behandeln kann? Ich meine da wo man die Anti-KI-Fraktion nicht stört.
Ich habe bis jetzt nur ein sehr interessantes Beitrag gefunden, aber hier wird über KI gesprochen und die Ängste der Menschen. Setzt ihr Chat GPT oder ähnliche Tools in eurem Admin-Alltag ein?
Ich meine eine Forum-Kategorie wo KI und Automation im Einsatz sind und die Probleme die damit hängen, sowie eingesetze Tools usw. Die neue IT halt. So ist man unters sich meine ich. Angst ist keine Lösung, weil unsere Gegner keine Angst kennen.
Danke fürs Feedback.
Ich habe bis jetzt nur ein sehr interessantes Beitrag gefunden, aber hier wird über KI gesprochen und die Ängste der Menschen. Setzt ihr Chat GPT oder ähnliche Tools in eurem Admin-Alltag ein?
Ich meine eine Forum-Kategorie wo KI und Automation im Einsatz sind und die Probleme die damit hängen, sowie eingesetze Tools usw. Die neue IT halt. So ist man unters sich meine ich. Angst ist keine Lösung, weil unsere Gegner keine Angst kennen.
Danke fürs Feedback.
Bitte NICHT auch diesen Thread kapern! Für derartige KI politische Themen gibt es das Partnerforum benutzer.de !!
