OPNsense ist eine Open-Source-Firewall- und Routing-Plattform, die auf FreeBSD basiert und eine intuitive Weboberfläche sowie zahlreiche moderne Netzwerkfunktionen bietet. Sie eignet sich hervorragend für den Einsatz in kleinen und mittleren Umgebungen, in Homelabs, aber auch in produktiven Unternehmensnetzwerken. In dieser Unterseite fokussieren wir uns auf die Konfiguration eines Glasfaseranschlusses eines regionalen Anbieters (Bayernwerke), bei dem ein PPPoE-Interface mit VLAN 7 eingesetzt wird. Zusätzlich behandeln wir IPv6 via DHCP mit Prefix Delegation (PRD) /56, die Einrichtung von LAN-Interfaces mit statischer IPv4-Adressierung und IPv6 über ein Track Interface und schließlich die Einrichtung von Dynamic DNS (DynDNS) unter Verwendung des Dienstes IPv64.
Insgesamt gliedert sich die Dokumentation in:
Voraussetzungen und benötigte Hardware/Informationen
WAN-Konfiguration mit PPPoE, VLAN 7, IPv4 und IPv6 (DHCPv6 PD /56)
LAN-Interfaces mit statischem IPv4 und IPv6 Track Interface
DynDNS-Setup mit dem Anbieter IPv64
Firewall-Regeln, Sicherheitsrichtlinien, Monitoring und Logging
Best Practices und typische Fehlerquellen
Am Ende steht eine betriebsbereite OPNsense-Installation, die den Glasfaseranschluss über Bayernwerke sauber handhabt, gleichzeitig IPv6 vollständig unterstützt und über DynDNS immer unter einer festen Domain erreichbar ist. Die Erklärung erfolgt in deutscher Sprache und richtet sich an Administratoren mit Grundkenntnissen in Routing und Netzwerktechnik.
2. Voraussetzungen für Bayernwerke Glasfaseranschluss
Bevor wir in die Konfiguration einsteigen, sollten die folgenden Informationen und Hardware-Voraussetzungen bereitstehen:
OPNsense-Appliance oder ein kompatibler PC/Server: Mindestens 2 Gigabit-Ethernet-Ports (eine IP für WAN, eine/n oder mehrere für LAN). Für bessere Performance empfiehlt sich ein Intel-basiertes System.
Netzwerkteilnehmer: Ein Glasfasermodem (Medienkonverter oder ONT), das seitens Bayernwerke bereitgestellt wird, oft mit RJ45-Ausgang.
PPPoE-Zugangsdaten von Bayernwerke: Benutzername (z. B. „fw-benutzer@bayernwerke“) und Passwort für die Authentifizierung am PPPoE-Server.
VLAN-ID = 7: Bayernwerke erfordert die Kennzeichnung des WANs auf VLAN 7.
IPv6-DHCP-Anforderung: Der Provider liefert über DHCPv6 eine Prefix Delegation (PD) in der Größe /56.
LAN-Subnetze: Planen Sie die internen Netze: z. B. IPv4: 192.168.10.0/24, IPv6: fd00:10::/64 (vorausgesetzt wird die Router Advertisements von OPNsense).
DNS-Domain und DynDNS-Anbieter: Zugriff auf den DynDNS-Dienst „IPv64“ (https://ipv64.net) – Benutzerkonto, Zugangsdaten und Domain gehört zur Vorbereitung.
Zugriff auf OPNsense-Webinterface: Ein Client im LAN, mit Browser, um GUI-Konfiguration durchzuführen (Standard-IP: https://192.168.1.1 oder über Serielle Konsole).
Firewall-Regeln auf VLAN-Switch/Managed Switch: Falls das ONT/Modem keinen reinen Durchschleifbetrieb bietet, muss der Switchport, an dem OPNsense hängt, als Access-Port für VLAN 7 getaggt sein (802.1Q). Alternativ wird VLAN 7 untagged auf dem OPNsense-Port bereitgestellt.
Stellen Sie sicher, dass Sie diese Daten zur Hand haben, bevor Sie mit der Konfiguration beginnen. Sobald die Hardware verkabelt ist (OPNsense-WAN-Port mit VLAN 7 zum Modem verbunden, LAN-Port an internen Switch), können wir im Browser mit der GUI die Parameter setzen.
3. WAN-Konfiguration
Der WAN-Zugang über Glasfaser bei Bayernwerke erfolgt per PPPoE auf VLAN 7, kombiniert mit IPv6-Prefix-Delegation. Wir konfigurieren zunächst das VLAN 7-Interface, legen dann das PPPoE-Interface fest und aktivieren anschließend DHCPv6 mit Prefix-Delegation /56. Die Schritte erfolgen über die OPNsense-Weboberfläche.
3.1 PPPoE einrichten
1. Melden Sie sich im OPNsense-Webinterface an (z. B. https://192.168.1.1).
2. Wechseln Sie in der oberen Menüleiste zu Interfaces > Other Types > VLAN.
3. Klicken Sie auf +, um ein neues VLAN anzulegen:
Parent Interface: Wählen Sie den physischen WAN-Port (z. B. igb0).
VLAN Tag: 7
VLAN Priority: 0 (default)
Description:WAN_VLAN7
4. Klicken Sie auf Save und anschließend auf Apply Changes.
5. Wechseln Sie zu Interfaces > Assignments. Unter “Available network ports” sollte nun VLAN 7 on igb0 (WAN_VLAN7) auftauchen. Klicken Sie auf + neben diesem Eintrag, um es als neues Interface (z. B. opt1) hinzuzufügen. Danach können Sie den Namen für das neue Interface auf WAN ändern.
6. Klicken Sie auf WAN in der Interface-Liste (linke Liste) und aktivieren Sie es:
- Enable interface
- IPv4 Configuration Type:PPPoE
- IPv6 Configuration Type:DHCP6 (da wir DHCPv6 für IPv6-PD nutzen)
- PPPoE Username:Ihr Benutzername vom Provider
- PPPoE Password:Ihr Passwort vom Provider
- PPPoE Access Concentrator:leer lassen oder “bayernwerke” eintragen, falls vom Provider angegeben
- PPPoE Provider:leer
7. Scrollen Sie nach unten zu DHCP6 Client Configuration und konfigurieren Sie:
DHCP6 Prefix Delegation size:56
Request only an IPv6 prefix: aktiviert (damit keine eigenständige IPv6-Adresse bezogen wird, sondern nur das /56)
Do not wait for a RA: in der Regel deaktiviert lassen
8. Unter Gateway können Sie “Default” lassen, OPNsense richtet einen PPPoE-Gateway automatisch ein.
9. Klicken Sie auf Save und danach auf Apply Changes. OPNsense baut nun über VLAN 7 den PPPoE-Tunnel auf und bezieht eine public IPv4-Adresse sowie per DHCPv6 ein /56-Prefix für weitere Interfaces.
10. Um den Verbindungsstatus zu prüfen, wechseln Sie zu Interfaces > Overview. Dort sollte das WAN-Interface eine IPv4-Adresse im öffentlichen Adressbereich anzeigen (z. B. 85.112.34.56) sowie unter IPv6 Prefix Delegated etwa 2a02:580:abcd:1234::/56.
Bei Problemen prüfen Sie unter Interfaces > WAN die Systemprotokolle (System Logs > PPP bzw. DHCPv6), um Authentication-Errors oder fehlende DHCPv6 PD-Antworten zu identifizieren.
3.2 VLAN 7 konfigurieren
Falls Ihr Glasfasermodem oder ONT bereits VLAN 7 tagged liefert, müssen Sie das VLAN-Interface nicht selbst anlegen (siehe Schritt 3.1). Bei manchen ONT-Geräten jedoch ist eine separate Konfiguration nötig:
Stellen Sie sicher, dass das OPNsense-Gerät per Ethernet mit dem ONT verbunden ist. Falls der ONT nur untagged liefert, müssen Sie VLAN 7 explizit auf dem Switch-Interface taggen, an dem OPNsense hängt.
Auf dem Switch-Port (Layer 2-Gerät) definieren Sie ein VLAN 7 als tagged VLAN – zum Beispiel bei einem managed Switch: interface GigabitEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 7
Der Port liefert also nur VLAN 7 zu OPNsense. Wenn der Port auch als native VLAN 7 fungieren soll, verwenden Sie switchport access vlan 7
für untagged VLAN 7.
In OPNsense ist das VLAN-Interface (WAN on igb0 VLAN 7) wie in Abschnitt 3.1 angelegt.
Vergewissern Sie sich, dass hinter dem ONT keine weiteren VLAN-IDs erforderlich sind (Bayernwerke dokumentieren meist nur VLAN 7 für PPPoE).
Wenn Sie einen kombinierten Fiber-Switch (z. B. SFP-Port + RJ45-Port) verwenden, der VLANs trunked, stellen Sie entsprechend den SFP-Port (WAN) auf Tagged VLAN 7 und den RJ45-Port (OPNsense) ebenfalls auf Tagged VLAN 7 ein.
3.3 IPv6 über DHCP und Prefix Delegation /56
Nachdem PPPoE aufgebaut ist und das VLAN 7 korrekt getaggt wurde, bezieht OPNsense über DHCPv6 den IPv6-Prefix. Um sicherzustellen, dass die Delegiert-Option (PD) /56 funktioniert, prüfen Sie:
Unter Interfaces > WAN im Abschnitt DHCP6 Client Configuration ist Request only an IPv6 prefix aktiviert und der PD-Wert auf 56 eingestellt (siehe Abschnitt 3.1).
Nach kurzer Wartezeit sehen Sie unter IPv6 Prefix Delegated das zugewiesene Prefix (z. B. 2a02:580:abcd:1234::/56).
Im Menü Interfaces > Overview wird das korrekte PD-Prefix angezeigt. OPNsense erstellt automatisch ein Gateway-Objekt für WAN (IPv6), sofern erforderlich.
Prüfen Sie, ob eine globale IPv6-Adresse für den WAN-Link generiert wurde (meist eine SLAAC-Adresse aus dem Link-Local-Bereich oder vom DHCPv6-Server). Standardmäßig benötigt OPNsense keine eigenständige WAN-IPv6-Adresse, solange das Tracking-Interface die RAs korrekt verteilt.
Wenn alles richtig läuft, können Sie auf einem LAN-Client die IPv6-Konnektivität testen:
ping6 ipv6.google.com
tracepath6 ipv6.google.com
Sollten Routen fehlen, prüfen Sie unter System > Routing > Gateways, ob ein wan_v6-Gateway eingetragen ist. Ist dies nicht der Fall, erstellen Sie manuell ein gateway mit der Adresse des DHCPv6-Servers oder des Router Ads (z. B. fe80::1%wan), aber in den meisten Fällen findet OPNsense automatisch den richtigen Router über den DHCPv6-Client.
4. LAN-Konfiguration
Nach erfolgreicher WAN-Einrichtung richten wir das LAN so ein, dass interne Clients via IPv4 eine statische Adresse im Subnetz 192.168.10.0/24 nutzen und via IPv6 das delegated /56-Prefix verwenden (automatisch per Tracking-Interface). Wir gehen davon aus, dass das LAN-Interface in OPNsense LAN heißt.
4.1 LAN-Interface: IPv4 statisch
1. Navigieren Sie zu Interfaces > Assignments und klicken Sie auf LAN, um die Einstellungen zu bearbeiten.
2. Konfigurieren Sie im Abschnitt General Configuration:
IPv4 Configuration Type:Static IPv4
IPv4 Address:192.168.10.1
Subnet mask:24
3. Im Bereich DHCP Server aktivieren Sie Enable DHCP server on LAN interface und legen Sie den IPv4-Bereich für Clients fest, z. B. 192.168.10.100 bis 192.168.10.200.
4. Klicken Sie auf Save und dann auf Apply Changes. OPNsense startet nun den DHCPv4-Server und vergibt Adressen an LAN-Clients in diesem Bereich.
Interne Geräte im LAN (PCs, Laptops, IoT-Geräte) verhalten sich automatisch wie folgt:
Standard-Gateway: 192.168.10.1 (OPNsense LAN-IP)
DNS-Server: OPNsense oder andere definierte DNS (z. B. 1.1.1.1, 8.8.8.8)
Wenn Sie eigene Geräte mit statischer IP versehen wollen, empfehlen wir IPs außerhalb des DHCP-Bereichs (z. B. 192.168.10.2 – 192.168.10.50 für Server und Netzwerkhardware).
4.2 LAN-Interface: IPv6 Track Interface
Damit LAN-Clients ein eigenes Subnetz aus dem vom ISP zugewiesenen /56-Prefix verwenden, richten wir das Track Interface ein:
1. Öffnen Sie Interfaces > LAN und scrollen Sie zu IPv6 Configuration Type.
2. Wählen Sie Track Interface aus.
3. Unter Track IPv6 Interface wählen Sie WAN (als übergeordnetes Interface, das das /56 erhält).
4. Geben Sie IPv6 Prefix ID ein, das den gewünschten /64-Teil innerhalb Ihres /56-Prefixes bestimmt. Zum Beispiel:
Zugewiesenes PD /56: 2a02:580:abcd:1234::/56
Prefix ID 0 ergibt das /64-Subnetz 2a02:580:abcd:1234:0::/64 für das LAN.
5. Klicken Sie auf Save und danach auf Apply Changes. OPNsense richtet automatisch die LAN-IPv6-Adresse 2a02:580:abcd:1234:0::1/64 als Router-Advertiser ein, und der DHCPv6-Server (oder RA) teilt das Subnetz an die LAN-Hosts aus.
6. Stellen Sie sicher, dass unter Services > DHCPv6 Server & RA für LAN:
DHCPv6 Server Mode:Stateless oder Stateful je nach Bedarf. Für stateless (Router Advertisements) reicht RA aus; für DHCPv6-bezogene Zuweisungen aktivieren Sie stateless DHCPv6.
Router Advertisement auf Assisted (RA + stateless DHCPv6) oder Managed (Stateful)
Prefix Delegation Range: Autogenerated – /64 aus /56 via Track Interface
7. Aktivieren Sie den DHCPv6-Server falls erforderlich, legen Sie DNS-Server für IPv6 fest (z. B. fd00::53 falls intern) und speichern Sie die Änderungen.
Nun sollten LAN-Clients automatisch eine IPv6-Adresse aus dem 2a02:580:abcd:1234:0::/64-Netzwerk beziehen (per SLAAC oder stateless DHCPv6). Testen Sie auf einem IPv6-fähigen Client:
ping6 google.com
ifconfig # oder ip -6 addr show
In Interfaces > Overview sehen Sie, dass LAN nun zwei Adressen hat: IPv4 192.168.10.1/24 und IPv6 2a02:580:abcd:1234:0::1/64. Die Clients erhalten daraus eigene IPv6-Adressen wie 2a02:580:abcd:1234:0::abcd:ef12.
5. DynDNS mit IPv64
Da sich die öffentliche IP-Adresse am WAN-Interface regelmäßig ändern kann (z. B. bei Neustart oder Ausfall des PPPoE-Tunnels), ist ein DynDNS-Dienst hilfreich, um eine feste Domain auf die aktuelle WAN-IP zeigen zu lassen. Wir verwenden den Dienst IPv64 (https://ipv64.net), der kostenlose beziehungsweise kostenpflichtige DynDNS-Funktionalität für IPv4 und IPv6 anbietet.
5.1 DynDNS Überblick
DynDNS (Dynamic DNS) aktualisiert bei IP-Änderungen automatisch den A-Record (IPv4) und/oder AAAA-Record (IPv6) Ihrer Domain. So bleibt Ihr OPNsense-Host unter einer festen URL erreichbar (z. B. meinrouter.club.ipv64.net), selbst wenn die hinterlegte WAN-IP wechselt. Typische Anwendungsfälle:
Fernzugriff per VPN oder SSH auf Ihr Homelab
Externe Dienste wie Webserver, Nextcloud oder Home Assistant
Remote-Management-Tools, Fernwartungszugriff
IPv64 ist dabei ein beliebter Anbieter, da er kostenlose Subdomains im Format *.ipv64.net anbietet und per API oder klassischen HTTP-Update-URL funktioniert.
5.2 IPv64-Service einrichten
1. Erstellen Sie ein Konto bei IPv64 und melden Sie sich an.
2. Unter Domains registrieren Sie eine Subdomain (z. B. homelab123.ipv64.net).
3. Notieren Sie sich die Zugangsdaten für DynDNS-Updates: Username, Password und den Update-URL-Formatstring, z. B. https://ipv64.net/dyndns/update?hostname=%HOSTNAME%&myip=%IP% für IPv4 und https://ipv64.net/dyndns/update?hostname=%HOSTNAME%&myipv6=%IP6% für IPv6.
IPv64 stellt oft einen kombinierten URL-Endpunkt bereit, der beide Protokolle bedient, man trägt also nur hostname und entsprechende Parameter ein. Beispiel:
5. Klicken Sie auf Save und anschließend auf Force Update, um sofort ein Update anzustoßen. Im Protokoll-Bereich sollten Sie “OK” als Bestätigung sehen.
6. Überprüfen Sie, ob Ihre Domain (homelab123.ipv64.net) nun auf die aktuelle WAN-IP zeigt (A-Record) und/oder auf eine IPv6-Adresse (AAAA-Record).
7. Um zu testen, ob IPv6-Update funktioniert, verwenden Sie:
Wenn die AAAA-Adresse aus dem /56-Prefix passt (z. B. 2a02:580:abcd:1234::1 oder eine SLAAC-basierte Adresse), ist alles korrekt eingerichtet.
Wichtig: DynDNS-Updates sollten im Minutentakt erfolgen, wenn sich IP-Adressen wechseln. OPNsense führt standardmäßig alle 5 Minuten ein Update durch, sofern die IP sich geändert hat.
6. Firewall- und Sicherheitsrichtlinien
Eine Firewall ohne passende Regeln ist nutzlos. Nach der grundlegenden Interface-Konfiguration müssen passende Firewall-Regeln definiert werden, um Zugriff von innen nach außen und bei Bedarf auch von außen nach innen zu ermöglichen.
6.1 WAN-Firewall-Regeln
Standardmäßig blockiert OPNsense alles von WAN nach LAN. Möchten Sie z. B. SSH oder VPN-Verbindungen von außen zulassen, fügen Sie eine Regel hinzu:
# Regel: Erlaube SSH vom Internet nur von spezifischer IP
Interface: WAN
Action: Pass
Protocol: TCP
Source: 203.0.113.5 (Ihre vertrauenswürdige IP)
Source Port: any
Destination: WAN address
Destination Port: 22 (SSH)
Description: Allow SSH from admin IP
Für VPN (z. B. OpenVPN auf Port 1194 UDP):
Interface: WAN
Action: Pass
Protocol: UDP
Source: any
Source Port: any
Destination: WAN address
Destination Port: 1194
Description: Allow OpenVPN
Speichern und Apply. Im Reiter Firewall > Log Files > Normal View können Sie protokollierte Verbindungsversuche einsehen.
6.2 LAN-Firewall-Regeln
Die LAN-Regeln sollten zumindest erlauben, dass Clients ins Internet gelangen:
Interface: LAN
Action: Pass
Protocol: any
Source: LAN net
Source Port: any
Destination: any
Destination Port: any
Description: Allow LAN to any
Für spezifische Dienste (z. B. HTTP/HTTPS zu einem internen Webserver 192.168.10.10):
Interface: LAN
Action: Pass
Protocol: TCP
Source: LAN net
Source Port: any
Destination: 192.168.10.10
Destination Port: 80,443
Description: Allow HTTP/HTTPS to internal server
Weitere sinnvolle Regeln:
Blockiere lokale Geräte voneinander: Wenn keine Kommunikation zwischen LAN-Clients gewünscht wird, aktivieren Sie Firewall > Rules > LAN > Block private networks from entering this interface oder fügen Sie eine Regel ein, die LAN net to LAN net blockt.
Blockiere IPv6 anonymen Verkehr: Da WAN auch IPv6 zulässt, sollten Sie Regeln für unerwünschten IPv6-Verkehr definieren:
Interface: LAN
Action: Pass
Protocol: IPv6 any
Source: LAN net
Destination: any
Description: Allow LAN IPv6 out
6.3 NAT-Regeln
OPNsense konfiguriert NAT (Network Address Translation) automatisch für IPv4 (1:1 oder Portforwarding) und IPv6 (NPTv6 oder Outbound NAT). Standardmäßig wird für IPv4 ein Automatic outbound NAT rule generation verwendet. Wenn Sie manuelle NAT benötigen:
Gehen Sie zu Firewall > NAT > Outbound.
Wählen Sie Hybrid outbound NAT rule generation (ermöglicht automatische NAT sowie eigene Regeln).
Erstellen Sie eine Rule für IPv6-Outbound, falls Sie NPTv6 benötigen (z. B. Übersetzung eines internen ULA-Bereichs in das zugewiesene PD-Prefix). Beispiel:
Interface: WAN
Source: fd00:10:abcd:1234::/64
Source port: any
Destination: any
Destination port: any
NAT Address: (network amount) 2a02:580:abcd:1234::/56
Static-Port: checked
Description: IPv6 NPTv6 LAN to WAN
Die automatische Outbound-NAT-Regel für IPv4 sieht typischerweise so aus:
Interface: WAN
Source: 192.168.10.0/24
Source Port: any
Destination: any
Destination Port: any
Translation Address: Interface address
Description: Automatic NAT for LAN to WAN
6.4 Port Forwarding (Portweiterleitung)
Für Dienste, die von außen auf interne Server zugänglich sein müssen (z. B. Webserver, SSH, VPN), nutzen Sie Firewall > NAT > Port Forward:
Interface: WAN
Protocol: TCP
Destination address: WAN address
Destination port range: 80 to 80
Redirect target IP: 192.168.10.10
Redirect target port: 80
Description: Forward HTTP to internal webserver
Nach Speichern und Übernehmen wird automatisch eine passende Firewall-Regel unter Firewall > Rules > WAN erstellt. Testen Sie die Erreichbarkeit von außen (z. B. über http://homelab123.ipv64.net).
6.5 Sicherheitsoptionen
OPNsense bietet zahlreiche Sicherheitsfeatures:
GeoIP Blocking: Unter Firewall > Aliases können Sie Ländernamen hinterlegen und unter Firewall > Rules blockieren.
Intrusion Detection & Prevention (IDS/IPS): Unter Services > Intrusion Detection können Sie Suricata/Zeek aktivieren, Regeln auswählen (Snort-Regelsätze), Interfaces für IDS Traffic auswählen (WAN, LAN) und Logging einrichten.
Anti-Lockout Rule: Standardmäßig ist eine Anti-Lockout-Regel aktiv, die lokalen Zugriff auf die OPNsense-Oberfläche zulässt. Passen Sie diese Regel an, wenn Sie z. B. SSH nur aus bestimmten VLANs erlauben wollen.
VPN-Zugriff: Wenn Sie OpenVPN oder IPsec nutzen, richten Sie entsprechende Server unter VPN > OpenVPN bzw. VPN > IPsec ein und erstellen Sie Firewall-Regeln, die VPN-Traffic nur auf autorisierte Ressourcen leiten.
Fail2Ban/SSH Harden: Unter System > Trust > Authorities können Sie Fail2Ban verwenden oder SSH bruteforce protection aktivieren (System > Settings > Administration).
7. Monitoring & Logging
Eine Firewall wie OPNsense sollte kontinuierlich überwacht werden, um Anomalien oder Angriffe frühzeitig zu erkennen. OPNsense bietet integrierte Logging- und Monitoring-Tools.
7.1 RRD Graphs
Unter Reporting > RRD Graphs finden Sie grafische Darstellungen zu:
Traffic Graphs: Bandbreitenauslastung pro Interface (WAN, LAN) in Echtzeit und historische Darstellung (täglich, wöchentlich, monatlich).
System Load & Memory: CPU- und RAM-Auslastung, Load Average des Systems.
State Table: Anzahl der Firewall States (Conntrack Entries), erlaubt Kapazitätsplanung und Erkennung von State-Flooding.
Gateway Latency/Packet Loss: Monitoring der Gateways (z. B. default IPv4- und IPv6-Gateways), Erkennung von Latenzspitzen oder Ausfällen.
Durch regelmäßiges Prüfen dieser Graphs lässt sich erkennen, ob beispielsweise die PPPoE-Verbindung instabil ist oder ob die CPU durch IDS/IPS und VPN-Clients zu stark belastet wird.
7.2 System Logs
Unter System > Log Files > General sehen Sie eine konsolidierte Ansicht aller Logs (Firewall, DHCP, System, Auth). Spezifische Log-Bereiche:
Firewall: Quell- und Ziel-IP, Protokoll, Port, Action (Pass/Block). Erkennung von unerwünschtem Traffic.
DHCP/DHCPv6: Anfragen und Zuweisungen, nützlich um zu prüfen, ob der DHCP-Server im LAN korrekt arbeitet.
PPP: Verbindungsaufbau PPPoE, Authentifizierungs-Logs, PPPoE-Fehler (z. B. “Authentication failed”).
DHCPv6: PD-Zuweisung vom Provider, Lease-Informationen, Fehler beim DHCPv6-Client.
Suricata (IDS/IPS): erkannte Signatur-Events, Protokollanalysen, Protokollverstöße (z. B. SQLi, XSS-Versuche).
Sie können bestimmte Events in Echtzeit betrachten und bei Bedarf die Protokollierung erhöhen (System > Settings > Logging), um detailliertere Debug-Informationen zu erhalten.
7.3 Benachrichtigungen
OPNsense kann per E-Mail oder Telegram/Slack-Bot Benachrichtigungen verschicken:
E-Mail-Einstellungen: Unter System > Settings > Notifications SMTP-Server, E-Mail-Adresse (Absender), Auth-Daten eintragen. Test-E-Mail senden.
Alarm-Trigger: Unter System > Settings > Miscellaneous & Logging kann man bei bestimmten Systemereignissen (z. B. Interface-down, High CPU, Speicher-Auslastung) automatisch E-Mails verschicken lassen.
Plugin: Telegram/Slack: Unter System > Firmware > Plugins das Plugin os-telegram-push (oder os-slack) installieren. Danach in Services > Telegram > Settings bzw. Services > Slack > Settings den Bot-Token und Chat-ID konfigurieren. So erhalten Sie Push-Nachrichten bei Firewall-Blocks oder IDS-Alerts.
8. Best Practices & Troubleshooting
Die folgende Liste soll Ihnen helfen, typische Fallstricke zu vermeiden und Ihr OPNsense-System stabil und sicher zu betreiben.
8.1 Best Practices
Backup der Konfiguration: Unter System > Configuration > Backups regelmäßig automatische Backups einstellen (TFTP, SCP, USB). Vor Updates und größeren Änderungen immer Backup durchführen.
Firmware-Updates: Installieren Sie System-Updates (OPNsense » Dashboard » Firmware Updates) in wartungsarmen Zeiten. Lesen Sie Release Notes, insbesondere Sicherheits-Patches.
Minimale Packages: Installieren Sie nur benötigte Plugins (z. B. Suricata, Intrusion Detection). Zu viele Pakete können CPU- und Speicherressourcen belasten.
Secure Shell (SSH): Aktivieren Sie SSH nur bei Bedarf unter System > Settings > Administration. Nutzen Sie Key-basierte Authentifizierung, deaktivieren Sie Passwort-Login, ändern Sie den Standard-Port (z. B. 2222) und begrenzen Sie den Zugriff auf bestimmte IPs (Firewall-Regel LAN > allow source X).
Zwei-Faktor-Authentifizierung: Unter System > Access > Servers können Sie zur OPNsense-Webkonsole RADIUS oder TOTP/2FA einrichten. So schützen Sie sich vor unbefugtem Zugriff.
State Table Size: Erhöhen Sie die State Table unter System > Settings > Tunables nur wenn nötig (z. B. net.inet.ip.fw.sc_limit). Dokumentieren Sie Änderungen für den Fall eines Rollbacks.
Verwaltung VLAN: Legen Sie ein separates Management-VLAN für OPNsense fest, um Zugriff von Endgeräten zu trennen. Unter Interfaces > LAN kann man beispielsweise Management anstelle von LAN umbenennen und dann im Switchport ein zweites VLAN definieren.
Rate-Limiting & Traffic Shaping: Wenn Bandbreite knapp ist, nutzen Sie Firewall > Traffic Shaper für QoS. Erstellen Sie Pipes (z. B. 25 % für VoIP, 75 % für Bulk) und ordnen Sie Flows zu (DSCP-Klassen oder Ports).
8.2 Troubleshooting
PPPoE-Verbindungsprobleme: Unter Interfaces > WAN auf Logs prüfen (System Logs > PPP). Häufige Ursachen: Benutzername/Passwort falsch, VLAN nicht korrekt getaggt, ONT nicht im Bridge-Mode.
DHCPv6 PD fehlt: Prüfen Sie System Logs > DHCPv6. Stellen Sie sicher, dass Request only an IPv6 prefix ausgewählt ist. Manche ISPs senden RAs, und dann ist Request only an IPv6 address falsch. Experimentieren Sie mit Request only an IPv6 prefix und Prefix hint.
IPv6-Routing-Probleme: Falls LAN-Clients keine IPv6-Adresse erhalten, kontrollieren Sie unter Interfaces > LAN, ob Track Interface korrekt auf WAN zeigt und der Prefix ID stimmt. Prüfen Sie RA-Einstellungen unter Services > DHCPv6 & RA.
DynDNS-Updates fehlschlagen: In Services > Dynamic DNS > Log prüfen, welche Fehlermeldung kommt (z. B. “Unauthorized”=Benutzerdaten falsch). Testen Sie die Update-URL im Browser und prüfen Sie, ob “OK” zurückkommt. Achten Sie auf HTTPS-Zertifikatprobleme (Use SSL/TLS).
Firewall-Regeln greifen nicht: Unter Firewall > Rules > LAN/WAN die Regeln nachprüfen. Wichtig: Reihenfolge beachten, oberste passende Regel trifft zu. Aktivieren Sie in Firewall > Log Files das Logging für blockierte Pakete, um herauszufinden, welche Regel den Traffic blockiert.
IDS/IPS-Performance-Probleme: Wenn Suricata oder andere IDS hohe CPU-Last erzeugt, limitieren Sie Regeln oder deaktivieren Sie nicht benötigte Signaturen. Unter Services > Intrusion Detection > Administration können Sie CPU-Threads anpassen oder nur spezifische Rule-Sets (z. B. Emerging Threats) aktivieren.
System-Performance: Unter Reporting > RRD Graphs prüfen, ob CPU-/Speicherauslastung dauerhaft hoch ist. Eventuell ein Upgrade der Hardware oder Reduzieren von Plugins notwendig.
9. Zusammenfassung
In dieser Dokumentation haben wir die Einrichtung von OPNsense für einen Bayernwerke-Glasfaseranschluss ausführlich beschrieben. Die zentralen Schritte waren:
Anlage und Tagging von VLAN 7 auf dem WAN-Port (physisch oder über den externen Switch).
Konfiguration des WAN-Interfaces als PPPoE (IPv4) und DHCP6 (IPv6 Prefix Delegation /56).
Einrichtung des LAN-Interfaces mit IPv4 statischer IP (z. B. 192.168.10.1/24) und IPv6 Track Interface (Ausschneiden eines /64 aus dem /56-PD für das LAN).
Aktivierung und Konfiguration des DHCPv4-Servers für das LAN sowie des DHCPv6-Servers / RA für IPv6.
Einrichtung von DynDNS mit dem Anbieter IPv64, um stets unter einer festen Domain erreichbar zu bleiben (Automatisches Update von A- und AAAA-Records).
Definition von Firewall-Regeln für WAN (geringer Zugang), LAN (Zugriff ins Internet) und gegebenenfalls Port-Forwarding für Dienste von außen.
Aktivierung von Sicherheitsfunktionen wie DHCP Snooping, IDS/IPS (Suricata) und gezieltem Traffic Shaping.
Einbindung von Monitoring-Mechanismen (RRD Graphs, System Logs) sowie Benachrichtigungen per E-Mail oder Telegram.
Ausführliche Best Practices für Backup, Firmware-Updates, SSH-Härtung sowie Troubleshooting von häufigen Problemen (PPPoE, IPv6-PD, DynDNS, Firewall).
Mit dieser Anleitung sollte es möglich sein, OPNsense stabil in ein Homelab oder eine Produktivumgebung mit Bayernwerke-Glasfaseranschluss zu integrieren. Die Kombination aus PPPoE, VLAN 7, IPv4 und IPv6 (DHCPv6 PD) sowie DynDNS IPv64 stellt eine leistungsfähige, zukunftssichere Netzwerklösung dar. OPNsense bietet dabei eine übersichtliche Weboberfläche, umfangreiche Sicherheitsfunktionen und eine lebhafte Community, die bei individuellen Fragen weiterhilft.
Abschließend sei empfohlen, OPNsense regelmäßig zu aktualisieren, Konfigurations-Backups zu automatisieren und die Logs proaktiv auszuwerten, um den reibungslosen Betrieb zu gewährleisten und mögliche Angriffe frühzeitig zu erkennen. Viel Erfolg beim Aufbau Ihres OPNsense-basierten Netzwerks!