OPNsense ist eine quelloffene Firewall- und Routing-Plattform auf FreeBSD-Basis, die von Deciso in den Niederlanden entwickelt wird. Die Community-Edition steht unter der sehr liberalen BSD-2-Klausel-Lizenz und kann damit kostenlos heruntergeladen, genutzt, verändert oder sogar kommerziell weitergegeben werden – ohne jegliche Lizenzgebühren.
Installation
Um OPNsense zu installieren, lade zunächst das passende
ISO-Image
herunter und binde es auf deinem Server oder PC als Startmedium (USB-Stick / Virtuelles CD-Laufwerk) ein.
Wichtig: Nach dem Einstecken des USB-Sticks musst du häufig im UEFI/BIOS
- Secure Boot deaktivieren, damit das System von nicht signierten Images startet,
- die Bootreihenfolge anpassen, sodass das USB-Medium an erster Stelle steht.
Sobald du vom USB-Stick gebootet hast, landet OPNsense im textbasierten Live-Modus. Auf der Konsole siehst du bereits ein vorkonfiguriertes Standard-LAN-Interface (hn0) mit der IP 192.168.1.1/24.
Bevor du jedoch mit der eigentlichen Einrichtung beginnst, musst du OPNsense erst auf die Festplatte installieren. Starte dazu den Installer, indem du dich mit folgenden Zugangsdaten anmeldest:
Benutzername:
installerPasswort:
opnsense
Daraufhin öffnet sich ein neues Fenster mit dem Installations-Wizard. Als ersten Schritt wirst du gebeten, das gewünschte Tastaturlayout auszuwählen.
Wähle zuerst das passende Tastaturlayout aus und prüfe es kurz, indem du ein paar Zeichen eingibst. Passt alles, kannst du direkt anschließend den Installationsassistenten starten.
Jetzt kannst du mit der eigentlichen Installation von OPNsense beginnen. Der Assistent bietet dir zwei Dateisystem-Varianten an – ZFS und UFS – zwischen denen du wählen kannst:
Install (ZFS): Wähle diese Option, wenn du OPNsense auf einem RAID-Verbund installieren möchtest, z. B. RAID 1 mit zwei identischen Festplatten als Ausfallsicherung. Beide Datenträger müssen vom selben Typ und mit gleicher Kapazität ausgestattet sein.
Install (UFS): Diese Option nutzt du, wenn OPNsense auf einer einzelnen Festplatte installiert werden soll (du wählst das Laufwerk im nächsten Schritt aus).
Bei beiden Varianten werden die ausgewählten Festplatten vollständig formatiert, alle vorhandenen Daten gehen dabei unwiederbringlich verloren.
Zudem stehen dir folgende Optionen zur Verfügung:
-> Eine vorhandene OPNsense Konfiguration per XML-Datei importieren
-> Das Root-Passwort der OPNsense zurücksetzen
-> Sowie das System neu zu starten.
Anschließend im neuen Fenster die Festplatte auswählen, wo OPNsense installiert werden soll.
Yes / No: Entscheide hier, ob eine SWAP-Partition größer als 8 GB angelegt werden soll.
Im Anschluss erscheint eine kurze Warnmeldung: Du musst noch einmal bestätigen, dass die ausgewählte Festplatte tatsächlich formatiert wird und OPNsense darauf installiert werden darf.
Ist die Installation abgeschlossen, kannst du noch das Root-Passwort anpassen, mit dem sich der globale Administrator anmeldet. Lässt du dieses Feld leer, bleibt das Standardkennwort opnsense bestehen – nicht empfohlen!
Passe das Root-Passwort an (optional, aber dringend angeraten).
Klicke anschließend auf Complete Install, um das System erstmals zu starten.
Wichtig: Entferne jetzt unbedingt das Installationsmedium (USB-Stick oder ISO) und stelle im BIOS/UEFI sicher, dass deine Festplatte wieder an erster Stelle in der Bootreihenfolge steht.
Konfiguration der Firewall
Nach der erfolgreichen Installation muss zunächst das WAN-Interface festgelegt werden, damit du die Weboberfläche erreichen kannst.
- Option 1 wählen
Am Konsolen-PromptEnter an optiondie Zahl1für Assign interfaces eingeben. - LAGs und VLANs überspringen
Do you want to configure LAGs now? N Do you want to configure VLANs now? N - Schnittstellen festlegen
Das System listet alle erkannten Ports, z. B.:Valid interfaces are: hn0 00:15:5d:3d:14:80 Hyper-V Network Interface- WAN: Gib den Namen deines Internet-Ports ein (im Beispiel
hn0; kann je nach Hardware variieren). - LAN / Optional LAN: Leer lassen und einfach mit Enter überspringen.
- WAN: Gib den Namen deines Internet-Ports ein (im Beispiel
- Zuordnung bestätigen
The interfaces will be assigned as follows: WAN --> hn0 Do you want to proceed? YMit
Ybestätigen, um die Konfiguration zu speichern.
Damit ist das WAN-Interface eingerichtet und OPNsense kann nun über die Web-GUI aufgerufen werden:
über https://<WAN-IP>
Wenn die Konfiguration stimmt, erscheint das WAN-Interface zusammen mit seiner zugehörigen IPv4-Adresse. Dabei ist sofort ersichtlich, ob die Adresse statisch festgelegt oder per DHCP zugewiesen wurde.
Wie oben beschrieben, rufst du die OPNsense-Weboberfläche auf, indem du im Browser die aktuelle WAN-IP eingibst. Da die frisch installierte Firewall zunächst nur ein selbstsigniertes Zertifikat besitzt, warnt dich der Browser wahrscheinlich, dass die Verbindung „nicht sicher“ sei. Akzeptiere bzw. klicke auf Trotzdem fortfahren, anschließend erscheint das Login-Fenster von OPNsense.
Beim ersten Aufruf der OPNsense-Weboberfläche gelangst du in die Lobby, wo ein Einrichtungsassistent startet. Dieser führt dich Schritt für Schritt durch die grundlegenden Einstellungen der Firewall.
Stelle im Einrichtungs-Assistenten zunächst die Grundparameter ein – alles Weitere kannst du unverändert lassen:
Sprache: Deutsch
Hostname / FQDN: OPNsene.localadmin (Standart)
Zeitzone: Europe/Berlin
DNS-Einstellungen:
OPNsense betreibt standardmäßig einen eigenen Resolver (Unbound). Lässt du die DNS-Felder leer, nutzt das System diesen internen Dienst automatisch.
Möchtest du stattdessen externe Server verwenden (etwa 9.9.9.9 oder 1.1.1.1), kannst du sie hier eintragen – oder jederzeit später unter System › Settings › General nachpflegen.
Verfügst du über einen zweiten Netzwerkport, kannst du diesen als eigenständiges LAN-Interface konfigurieren.
Am Ende kannst du noch das ROOT Passwort ändern. Falls du dieses nicht änder willst, lasse die Zeile/n leer.
Die Installation deiner OPNsense ist abgeschlossen. Sollte die Firewall danach
nicht mehr über die Web-GUI erreichbar sein, öffne die lokale Konsole,
wähle Option 8 (Shell) und gib folgenden Befehl ein:
pfctl -dDamit deaktivierst du den Paketfilter vorübergehend und erhältst wieder Zugriff
auf die Oberfläche.
Um dauerhaft Zugriff auf die Web-GUI zu sichern und künftiges Aussperren zu vermeiden, lege unter Firewall -> Rules -> WAN eine gezielte Freigabe für deine öffentliche Heim-IP an:
Action: Pass
Interface: WAN
Direction: In
Protocol: Any
Source: deine öffentliche IP-Adresse (z. B. 203.0.113.25)
Destination: This Firewall (oder Any, wenn wirklich nötig)
Destination Port Range: Any (Standard belassen)
Speichere und übernimm die Regel. Von nun an ist die OPNsense-Oberfläche nur noch von deiner eigenen externen IP erreichbar, wodurch ungewollte Zugriffe von außen blockiert bleiben.
Du bist dir nicht sicher, welche öffentliche IPv4-Adresse dein Router aktuell verwendet? Besuche einfach https://ip.aydindns.de – die Seite zeigt dir sofort deine momentane WAN-IP an.
Mit dieser Adresse kannst du anschließend in OPNsense eine gezielte WAN-Firewallregel anlegen, um den Zugriff ausschließlich von deinem Heimanschluss zu erlauben.
