OPNsense – Firewall installieren

Mit OPNsense kannst du dir deine eigene kostenlose OpenSource-Firewall installieren.
Egal ob auf echtem Blech oder in einer virtuellen Maschine.
In diesem Video zeige ich dir, wie du das Ganze installieren kannst und die erste Einrichtung schaffst.


>> OPNsense-Download

Systemanforderungen:

Minimal* Empfohlen*
CPU 1×2,0GHz 8×4,0GHz
RAM 2GB 8GB
HDD SSD mit 32GB M.2 SSD mit 64GB
Netzwerk 2x 1GBit/s RJ45 Anschluss für LAN und WAN 2x 1GBit/s (oder mehr) RJ45 Anschluss für LAN und WAN

*Meine Empfehlungen, nach meiner Erfahrung.


Weitere Tipps & Tricks

Einbruchserkennung – IDS + IPS
– Das Plugin braucht einiges an Rechenleistung und kann die Bandbreite enorm reduzieren, wenn das System ausgelastet ist!
– Versuche erst das Plugin und dessen Meldungen zu verstehen, bevor du es nutzt, sonst ist es nutzlos 😉
– IDS kann immer aktiviert werden
– IPS sollte nur bei statischer WAN und LAN-Adresse genutzt werden (für den Heimgebrauch also nicht gerade Sinnvoll)
– Pattern matcher => Wer eine Intel-CPU nutzt, sollte den Hyperscan aktivieren. Das ist am performantesten.
– Detection Profil => Je höher desto performanter läuft das ganze, braucht aber mehr RAM
– Interface => WAN sollte ausgewählt sein, LAN ist optional
– Fiter => Lade nur die Filter rein, die wirklich Sinn ergeben. Ein Filter für eine Einbruchsmöglichkeit in ein Mailserver macht kein Sinn, wenn du kein Mailserver bereit stellst. Listen für Malware, Kompromittierte Server oder ähnliches macht aber durchaus Sinn zu aktivieren.

Cache-Server
– Der Cache-Server arbeitet nur effektiv, wenn du den Proxy-Server aktiv nutzt
– Um SSL-Traffic zu cachen, braucht jedes System ein Root-Zertifikat der Firewall (Macht im normalen Heimnetz kein Sinn)
– SSDs sollten hier im System verbaut sein, damit die Performance stimmt

VPN
OpenVPN wird von vielen System schon unterstützt und eine Einrichtung am Endgerät ist meist per Bordmitteln möglich.
Wireguard ist aber um ein vielfaches schneller, braucht aber auf den meisten Endgeräten eine eigene Anwendung.

AdBlocker fürs Netzwerk
Wir können uns AdGuardHome auf unserer OPNsense installieren.
Das läuft auf FreeBSD und damit direkt auf der Firewall.
Wir richten uns AdGuardHome als normalen DNS-Dienst ein und nutzen anschließend Unbound als Upstream.
Somit haben wir einen tollen AdBlocker, Trackerblocker & Phishing-Schutz inkl. eines DNS-Caches!
Eine Anleitung gibts HIER.

4 Kommentare

  1. Hallo,
    welche Hardware würdest du für eine OPNsense Firewall fürs Homeoffice empfehlen?

    • Hallo Jan,

      da verwende ich doch mal mein Lieblingssatz, den keiner hören möchte: Es kommt drauf an.
      Wenn man nur im Homeoffice sitzt und z.B. mit einem PC via VPN sich zu einer Firma verbindet, braucht man wirklich keine extra Firewall.
      Wenn man aber „mehr“ machen möchte, stößt man durchaus mit „normalen“ Routern an deren Grenzen.
      Es kommt auch drauf an, wie viel Bandbreite man hat und ob man z.B. mehrere Internetanschlüsse hat. Zudem muss man die vorhandene Bandbreite mit einbeziehen und welche Funktionen man in der Firewall aktivieren möchte.

      Als Einstieg reichen hier wirklich Geräte, die sehr wenig Power haben, wenn man nicht viele Funktionen einer Firewall braucht.
      Ein Intel i3 oder AMD Ryzen 3 (oder noch schlechter) ist ein guter Start.

      Ich kann dir hier nichts direkt empfehlen (auch weil hier Infos fehlen 😉 ), aber nutze das hier mal als Denkanstoß:
      https://amzn.to/3sb532l
      https://www.thomas-krenn.com/de/produkte/einsatzzweck/opnsense-firewalls.html

      Zurzeit bastel ich gerade eine eigene Hardware-Firewall. Mal sehen, vielleicht kommt dazu mal was.

  2. Hallo,

    danke für die Infos. Ich habe es einfach als VM auf meinem Synology NAS eingerichtet. Dort habe ich 2 Cores, 8GB RAM und 2 dedizierte 1GBit Ports für die VM hergenommen. Mit meinem 300MBit/s Glasfaser Anschluss kommt die Firewall gut zurecht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Durch das Absenden dieses Kommentars werden deine angegebenen Daten auf dem Server gespeichert. Du stimmst dadurch den Datenschutzbedingungen zu.