Netzwerk Fortgeschritten

OPNsense: eigene Firewall einrichten

Bau dir aus einem Mini-PC mit zwei Netzwerkkarten deine eigene Open-Source-Firewall und ersetze die FritzBox als Router.

Auf eigene Gefahr: Eine falsch gesetzte Firewall- oder Interface-Regel kann dich aus dem Web-GUI und aus deinem Netz aussperren — Umbau und Konfiguration auf eigene Gefahr. Halte immer Monitor/Tastatur oder serielle Konsole am Mini-PC bereit (über Menüpunkt „Assign interfaces" und Anti-Lockout-Regel kommst du wieder rein), öffne niemals das Management-GUI Richtung WAN, und sichere die funktionierende Konfiguration unter System > Configuration > Backups, bevor du Änderungen vornimmst.

Was du brauchst

OPNsense ist eine quelloffene Firewall- und Router-Distribution auf FreeBSD-Basis. Sie läuft auf eigener Hardware und gibt dir echte Kontrolle über dein Heimnetz: Firewall-Regeln, VLANs, VPN, IDS/IPS. Für ein Heim-Setup reicht ein lüfterloser Mini-PC mit einem N100/N305, 8 GB RAM und einer kleinen SSD. Entscheidend sind mindestens zwei physische Netzwerkkarten (Intel i225/i226 sind ideal) — eine für WAN (zum Modem/ISP), eine für LAN (dein Switch).

Wichtig: Du brauchst während der gesamten Einrichtung Konsolen- oder Monitor-Zugang zum Mini-PC (HDMI + Tastatur oder serielle Konsole). Eine falsch gesetzte Firewall-Regel kann dich aus dem Web-GUI aussperren — über die Konsole kommst du immer wieder rein. Plane einen Wechsel deiner Internetverbindung außerhalb der Arbeitszeiten ein, denn während der Umstellung ist dein Netz offline.

Installations-Stick erstellen

Lade das aktuelle Image von opnsense.org herunter (Variante dvd für VGA/HDMI oder serial für serielle Konsole), entpacke die .bz2-Datei und schreibe sie auf einen USB-Stick (mind. 4 GB). Unter Linux:

bzip2 -d OPNsense-25.1-dvd-amd64.iso.bz2
# Stick identifizieren (z. B. /dev/sdb) — NICHT die System-Disk erwischen!
lsblk
sudo dd if=OPNsense-25.1-dvd-amd64.iso of=/dev/sdb bs=1M status=progress conv=fsync

Unter Windows nimmst du Rufus (Modus „DD-Image"), unter macOS ebenfalls dd. Stecke den Stick in den Mini-PC, boote davon und wähle im Boot-Menü die Installation (nicht nur das Live-System).

Installieren und Interfaces zuordnen

Am Login-Prompt meldest du dich mit installer / opnsense an. Der Installer fragt nach Tastaturlayout, Dateisystem (ZFS empfohlen, auch als Single-Disk wegen Snapshots und Prüfsummen) und Ziel-Disk. Nach dem Schreiben setzt du das root-Passwort und entfernst den Stick beim Neustart.

Nach dem Boot landest du im Konsolen-Menü. Wähle 1) Assign interfaces. OPNsense fragt dich nacheinander nach WAN und LAN. Tipp: Ziehe die Kabel einzeln, dann zeigt die Konsole bei auto-detection das richtige Interface an. Ordne so zu:

Rolle	Interface (Beispiel)	angeschlossen an
WAN	igc0	Modem / ISP-Anschluss
LAN	igc1	Switch / dein Netz

WAN bezieht standardmäßig per DHCP eine Adresse vom Provider, LAN bekommt 192.168.1.1/24 mit aktivem DHCP-Server. Verbinde jetzt deinen Laptop per Kabel an den LAN-Port — du erhältst eine IP aus dem Bereich.

Erster GUI-Login: Default-Passwort sofort ändern

Öffne https://192.168.1.1 im Browser (Zertifikatswarnung akzeptieren) und melde dich als Benutzer root an — mit dem Passwort, das du bei der Installation gesetzt hast. Das Konsolen-Login installer/opnsense gilt nur im Live-Installer, nicht im Web-GUI. Nur falls du bei der Installation kein eigenes Passwort vergeben hast, greift noch das öffentlich bekannte Default:

Benutzer:  root
Passwort:  opnsense

Kritisch zuerst: Ist das root-Passwort noch das Default opnsense, ändere es sofort unter System > Access > Users → root → starkes Passwort — bevor du den Setup-Wizard oder sonst etwas konfigurierst. Das Default ist öffentlich bekannt; eine erreichbare OPNsense mit Default-Login ist eine offene Tür. Aktiviere zudem unter System > Settings > Administration HTTPS-Only und einen anderen GUI-Port.

Der Setup-Wizard (System > Wizard) führt dich durch Hostname, DNS, Zeitzone und WAN-Typ. Lass „Block private networks" und „Block bogon networks" auf dem WAN aktiviert.

Backup machen — vor jeder Änderung

Bevor du an Regeln schraubst: Sichere die funktionierende Konfiguration unter System > Configuration > Backups und lade die XML-Datei herunter. Verschlüssele sie optional mit einer Passphrase. So kannst du nach einem Fehler die Konfig in Sekunden wiederherstellen, statt neu zu installieren.

Firewall-Grundregeln: Default-Deny rein, LAN raus

OPNsense ist ab Werk sicher konfiguriert. Das WAN hat keine erlaubende eingehende Regel — alles von außen wird verworfen (Default-Deny). Das ist genau richtig. Lege keine Regel an, die das Web-GUI aufs WAN öffnet.

Prüfe die WAN-Regeln unter Firewall > Rules > WAN: Hier sollte nichts Eingehendes erlaubt sein (außer optional einer Anti-Lockout-Ausnahme, falls du sie bewusst anlegst). Auf Firewall > Rules > LAN findest du zwei voreingestellte Allow-Regeln (Default allow LAN to any für IPv4 und IPv6) — die erlauben deinem Netz den Weg nach draußen:

Interface	Aktion	Source	Destination	Zweck
LAN	Pass	LAN net	any	LAN-Clients dürfen ins Internet
WAN	(keine Pass-Regel)	—	—	Default-Deny von außen

Die Anti-Lockout-Regel (System > Settings > Administration, „Disable web GUI redirect rule" NICHT setzen) hält das GUI auf dem LAN immer erreichbar — lass sie aktiv, solange du keinen dedizierten Management-Zugang abgesichert hast.

Firewall-Log aktivieren und nutzen

Pro Regel kannst du Logging einschalten: Firewall > Rules → Regel editieren → Häkchen bei Log packets. Standardmäßig protokolliert OPNsense bereits verworfene Pakete der impliziten Deny-Regel. Die Live-Ansicht findest du unter Firewall > Log Files > Live View — dort siehst du in Echtzeit, was geblockt wird, inklusive Filter nach IP, Port und Interface. Unverzichtbar zum Debuggen, wenn eine Verbindung nicht funktioniert.

DHCP im LAN konfigurieren

Der DHCP-Server läuft auf LAN bereits. Anpassen kannst du ihn unter Services > ISC DHCPv4 > [LAN] (neuere Versionen: Services > Dnsmasq DHCP oder Kea DHCP). Setze einen sinnvollen Adressbereich, z. B.:

Range from:  192.168.1.100
Range to:    192.168.1.200
DNS servers: 192.168.1.1   (OPNsense als DNS-Resolver)
Gateway:     192.168.1.1

Statische Leases vergibst du weiter unten per MAC-Adresse — praktisch für Server, NAS oder Drucker.

Trenne IoT-Geräte (Smart-Home, Kameras) in ein eigenes VLAN mit restriktiveren Regeln, statt sie ins Haupt-LAN zu hängen. Ein kompromittiertes Billig-Gerät erreicht so nicht deine PCs. Lege dafür ein VLAN-Interface an und gib ihm nur Internet-, aber keinen LAN-Zugriff.

Updates einspielen

Halte die Firewall aktuell — Sicherheits-Patches sind hier kritisch. Im GUI: System > Firmware > Status → Check for updates. Über die Konsole oder SSH geht es ebenso:

opnsense-update -c   # auf Updates prüfen
opnsense-update      # System-Update einspielen
# Major-Upgrade auf eine neue Release-Serie:
opnsense-upgrade

Mache vor jedem Major-Upgrade ein frisches Konfig-Backup. Dank ZFS-Boot-Environments kannst du im Notfall auf einen früheren Snapshot zurückbooten.