# OPNsense ICW: Die ersten Schritte zur sicheren Firewall
TL;DR / Management Summary Der Initial Configuration Wizard (ICW) ist der geführte Prozess nach der ersten Anmeldung. Er legt das Fundament für DNS, Zeit-Synchronisation und den Internet-Zugang. Ein Senior Admin nutzt den Wizard nur für die grobe Einrichtung und verfeinert das Hardening (SSL-Certs, SSH-Keys) sofort im Anschluss. Wichtigste Regel: Ändern Sie das Standard-Passwort
opnsensesofort im ersten Schritt!
# 1. Einführung & Vorbereitung
Den Zugang sichern.
Bevor Sie den Wizard starten, stellen Sie sicher, dass Ihr Management-PC direkt am LAN-Port der OPNsense hängt.
- URL:
https://192.168.1.1 - Browser: Akzeptieren Sie die Zertifikatswarnung (da es sich um ein selbstsigniertes Zertifikat handelt).
# 2. Der Wizard: Schritt für Schritt
Das Fundament gießen.
# Schritt 1: General Information
- Hostname: z.B.
firewall - Domain: Ihr firmeninternes Suffix (z.B.
firma.local). - DNS Server: Nutzen Sie hier neutrale Resolver (z.B.
9.9.9.9für Quad9), bis Ihr internes AD (Artikel 493) bereit ist.
# Schritt 2: Time Server (NTP)
Wählen Sie einen verlässlichen Zeit-Server. In Deutschland empfiehlt sich:
0.de.pool.ntp.org- Warum?: Kerberos (AD) und VPN-Zertifikate benötigen eine synchrone Uhrzeit.
# Schritt 3: Configure WAN Interface
Hier wird es technisch. Die Wahl hängt von Ihrem Provider ab:
- DHCP: Standard für die meisten Kabel- und Glasfaser-Modems.
- PPPoE: Standard für klassisches DSL (erfordert Benutzername/Passwort vom ISP).
- Static: Für Business-Leitungen mit festen IPs.
# 3. Deep Dive: DNS & Unbound
Den ‘Resolver’ richtig einstellen.
OPNsense nutzt standardmäßig Unbound.
- Wizard-Tipp: Aktivieren Sie “DNS Server Override”. Dadurch lernt OPNsense die DNS-Server Ihres ISPs via DHCP am WAN-Port.
- Senior Admin Tipp: Deaktivieren Sie dies später und nutzen Sie ausschließlich Ihre eigenen Upstream-DNS (z.B. via DNS-over-TLS), um Tracking durch den ISP zu vermeiden.
# 4. Day-2 Operations: Admin-Zugang absichern
Weg von Port 80.
Nachdem der Wizard abgeschlossen ist, sollten Sie den Management-Zugriff härten:
- System -> Settings -> Administration.
- Protocol: HTTP auf HTTPS zwingen.
- TCP Port: Ändern Sie den Port von 443 auf einen unüblichen Port (z.B. 8443), um Kollisionen mit Port-Forwardings zu vermeiden.
- Listen Interfaces: Stellen Sie sicher, dass die GUI nur am LAN lauscht, niemals am WAN!
# 5. Troubleshooting & “War Stories”
Wenn der Wizard hängen bleibt.
# Top 3 Fehlerbilder
-
Symptom: “Kein Internet nach dem Wizard”.
- Ursache: Das Modem liefert die IP via DHCP erst nach einem Neustart des Modems (MAC-Locking).
- Lösung: Modem für 5 Minuten ausschalten, dann wieder an.
-
Symptom: DNS-Auflösung geht nicht (Ping auf IP geht, auf Name nicht).
- Ursache: Konflikt zwischen DNS-Forwarding und DNS-Resolving.
- Lösung: In
Services -> Unbound DNSprüfen, ob “DNS Query Forwarding” zum gewünschten Verhalten passt.
-
Symptom: Web-GUI ist nach Port-Änderung weg.
- Lösung: Via Konsole (Option 8)
pfctl -dausführen (deaktiviert die Firewall temporär), Fehler korrigieren und wieder aktivieren.
- Lösung: Via Konsole (Option 8)
# “War Story”: Das “Ghost” Gateway
Ein Admin konfiguriert WAN als “Static IP”. Er vergaß im Wizard, das Gateway-Feld auszufüllen. Das Ergebnis: Die Firewall konnte selbst ins Internet (Pings gingen), aber sie leitete keine Pakete vom LAN weiter, da sie keine Route nach draußen kannte. Lehre: Der Wizard fragt nach dem Gateway – ignorieren Sie dieses Feld niemals bei statischen IP-Adressen!
# 6. Monitoring & Reporting
Erster Health-Check.
Prüfen Sie nach dem Wizard das Dashboard:
- Gateways: Steht der Status auf
Online? - Interfaces: Haben WAN und LAN die korrekten IPs?
# 7. Fazit & Empfehlung
Der Wizard ist nur der Anfang.
- Empfehlung: Machen Sie sofort nach dem Wizard ein Backup der Config (
System -> Configuration -> Backups). - Wichtig: Prüfen Sie unter
System -> Firmware -> Statussofort auf Updates. OPNsense-Images auf USB-Sticks sind oft Monate alt.
# Anhang: Cheatsheet
| Feld | Empfohlener Wert |
|---|---|
| Hostname | fw01 |
| DNS 1 | 1.1.1.1 (Cloudflare) |
| DNS 2 | 9.9.9.9 (Quad9) |
| Timezone | Europe/Berlin |
| Block Private Networks | Aktiv (für WAN) |