Anleitung

1. Was du lernst

• OPNsense herunterladen und als Firewall installieren
• Die Netzwerk-Interfaces (WAN & LAN) richtig konfigurieren
• VLANs anlegen, um dein Netzwerk in sichere Bereiche zu teilen
• Grundlegende Firewall-Regeln einrichten

---

2. Was ist OPNsense?

OPNsense ist eine kostenlose, Open-Source Firewall basierend auf FreeBSD. Sie bietet professionelle Funktionen wie VPN, VLANs, IDS/IPS und vieles mehr – ideal für dein Heimnetzwerk oder kleine Unternehmen.

3. Was du brauchst

• Einen Mini-PC oder alten Computer mit mindestens 2 Netzwerkkarten
• Einen USB-Stick (mindestens 4 GB)
• Einen Computer zum Herunterladen und Flashen
• Ein Netzwerkkabel
• Optional: Einen VLAN-fähigen Switch

Tipp: Mini-PCs wie der Protectli Vault oder Futro S740 sind perfekt für OPNsense!

---

4. OPNsense herunterladen

1. Gehe auf https://opnsense.org/download/
2. Wähle:
   • Architecture: amd64
   • Image Type: dvd (für USB-Installation)
   • Mirror: Den nächsten in deiner Nähe
3. Lade die ISO-Datei herunter

5. USB-Stick erstellen

1. Lade balenaEtcher herunter: https://etcher.balena.io
2. Starte balenaEtcher
3. Wähle die heruntergeladene OPNsense-ISO
4. Wähle deinen USB-Stick als Ziel
5. Klicke auf Flash!

Achtung: Alle Daten auf dem USB-Stick werden gelöscht!

---

6. OPNsense installieren

1. USB-Stick in den Mini-PC stecken
2. Mini-PC starten und ins Boot-Menü gehen (meist F12, F2 oder DEL)
3. Vom USB-Stick booten
4. Warte bis der Installer geladen hat
5. Logge dich ein mit:
   • Benutzer: installer
   • Passwort: opnsense
6. Folge dem Installer:
   • Tastaturlayout: German
   • Installationsmethode: UFS (empfohlen für Anfänger)
   • Ziel-Festplatte auswählen
   • Installation bestätigen
7. Nach Abschluss: USB-Stick entfernen und Neustart

Tipp: Die Installation dauert nur 5-10 Minuten.

---

7. Erster Zugang zum Webinterface

Nach dem Neustart zeigt OPNsense in der Konsole die zugewiesenen IPs an.

1. Verbinde deinen Computer per Netzwerkkabel mit dem LAN-Port
2. Öffne deinen Browser und gehe zu:

https://192.168.1.1

3. Logge dich ein:
   • Benutzer: root
   • Passwort: opnsense

Wichtig: Ändere das Standardpasswort sofort unter System → Access → Users!

---

8. WAN-Interface einrichten

Das WAN-Interface verbindet deine Firewall mit dem Internet.

1. Gehe zu Interfaces → WAN
2. Stelle sicher, dass der richtige Netzwerkadapter ausgewählt ist
3. IPv4 Configuration Type: Meistens DHCP (automatische IP vom Provider)
4. Falls dein Provider PPPoE nutzt:
   • IPv4 Configuration Type: PPPoE
   • Benutzername und Passwort eingeben (von deinem Provider)
5. Block private networks: ✅ Aktivieren
6. Block bogon networks: ✅ Aktivieren
7. Klicke Save und dann Apply Changes

---

9. LAN-Interface einrichten

Das LAN-Interface verbindet deine Firewall mit deinem internen Netzwerk.

1. Gehe zu Interfaces → LAN
2. IPv4 Configuration Type: Static IPv4
3. IPv4 Address: 192.168.1.1 / 24
4. Klicke Save und Apply Changes

Tipp: Die /24 Subnetzmaske bedeutet, dass 254 Geräte im Netzwerk möglich sind (192.168.1.1 - 192.168.1.254).

---

10. VLANs anlegen

VLANs teilen dein Netzwerk in isolierte Bereiche auf. Das ist wichtig für die Sicherheit!

Typische VLAN-Struktur

VLAN ID	Name	IP-Bereich	Verwendung
1	LAN	192.168.1.0/24	Hauptnetzwerk
10	Management	192.168.10.0/24	Netzwerkgeräte
20	Gäste	192.168.20.0/24	Gäste-WLAN
30	IoT	192.168.30.0/24	Smart Home Geräte

VLAN erstellen

1. Gehe zu Interfaces → Other Types → VLAN
2. Klicke auf + (Hinzufügen)
3. Einstellungen:
   • Parent Interface: Das LAN-Interface (z.B. igb1)
   • VLAN tag: 20 (für Gäste)
   • Description: Gaeste
4. Klicke Save
5. Wiederhole für weitere VLANs (IoT = Tag 30, Management = Tag 10)

VLAN als Interface aktivieren

1. Gehe zu Interfaces → Assignments
2. Wähle bei „New interface” das erstellte VLAN
3. Klicke + und dann Save
4. Klicke auf das neue Interface (z.B. OPT1)
5. Aktiviere es: Enable Interface ✅
6. Description: GAESTE
7. IPv4 Configuration Type: Static IPv4
8. IPv4 Address: 192.168.20.1 / 24
9. Klicke Save und Apply Changes

---

11. DHCP für VLANs aktivieren

Damit Geräte in den VLANs automatisch eine IP-Adresse bekommen:

1. Gehe zu Services → DHCPv4 → [VLAN-Interface]
2. Enable: ✅
3. Range: 192.168.20.10 bis 192.168.20.200
4. DNS Server: 192.168.20.1 (die Firewall selbst)
5. Klicke Save

Wiederhole dies für jedes VLAN.

---

12. Basisabsicherung – Firewall-Regeln

Jetzt sichern wir die VLANs mit Firewall-Regeln ab.

Grundprinzip

• Erlaubt wird nur, was du explizit erlaubst
• Alles andere wird automatisch blockiert (Default Deny)

Gäste-VLAN: Nur Internet erlauben

1. Gehe zu Firewall → Rules → GAESTE
2. Klicke + (neue Regel)
3. Einstellungen:
   • Action: Pass
   • Interface: GAESTE
   • Protocol: Any
   • Source: GAESTE net
   • Destination: Wähle Invert match ✅ und dann GAESTE net
4. Klicke Save und Apply

Das bedeutet: Gäste dürfen überall hin – AUSSER in das Gäste-Netzwerk selbst (verhindert dass Gäste sich gegenseitig sehen).

IoT-Geräte: Kein Zugriff auf andere Netze

1. Firewall → Rules → IOT
2. Erste Regel: DNS erlauben
   • Action: Pass
   • Protocol: TCP/UDP
   • Source: IOT net
   • Destination: IOT address, Port: 53
3. Zweite Regel: Internet erlauben, interne Netze blockieren
   • Action: Block
   • Source: IOT net
   • Destination: RFC1918 (alle privaten Netze)
4. Dritte Regel: Alles andere erlauben
   • Action: Pass
   • Source: IOT net
   • Destination: Any

---

13. Weitere Sicherheitstipps

• SSH deaktivieren wenn nicht benötigt: System → Settings → Administration
• Automatische Updates aktivieren: System → Firmware → Settings
• DNS over TLS aktivieren: Services → Unbound DNS → General → Forwarding an 1.1.1.1 oder 9.9.9.9
• Webinterface nur per HTTPS erreichbar lassen

---

14. Zusammenfassung

Schritt	Was du gemacht hast
Installation	OPNsense auf Mini-PC installiert
WAN	Internet-Verbindung eingerichtet
LAN	Internes Netzwerk konfiguriert
VLANs	Netzwerk in sichere Bereiche geteilt
Firewall-Regeln	Zugriff zwischen Netzen kontrolliert

---

Geschafft! 🎉

Du hast OPNsense erfolgreich installiert, deine Interfaces eingerichtet, VLANs angelegt und die Basisabsicherung konfiguriert. Dein Netzwerk ist jetzt deutlich sicherer!

Fragen? Schreib uns auf Instagram!