# OPNsense System Preferences: Globale Identität & Zeit-Management
TL;DR / Management Summary Globale Einstellungen definieren das Verhalten der Firewall im Netzwerk-Ökosystem. Ein Senior Admin sorgt für eine konsistente Namensgebung (FQDN), eine präzise Zeit-Synchronisation via NTP (essentiell für Zertifikate und Logs) und optimiert die System-Performance durch Anpassung der Log-Rotation und Speicher-Parameter. Die Firewall sollte dabei nicht nur Zeit empfangen, sondern als autoritativer NTP-Server für alle internen Clients (PCs, IoT, Switche) fungieren.
# 1. Einführung & Architektur
Die ‘General Settings’.
Unter System -> Settings -> General liegen die “Gene” der Firewall.
- Hostname/Domain: Bestimmen den lokalen FQDN.
- DNS-Server: Definieren, wo die Firewall selbst nach Namen sucht.
- Web GUI SSL: Welches Zertifikat wird für das Management genutzt?
# 2. Zeit-Management (NTP)
Präzision ist keine Option.
# NTP Server (Chrony / NTPd)
OPNsense nutzt standardmäßig den NTP-Dienst, um die Systemzeit synchron zu halten.
- Konfiguration:
Services -> Network Time -> Settings. - Upstream: Nutzen Sie vertrauenswürdige Quellen (z.B.
ptbtime1.ptb.deoderpool.ntp.org).
# Die Firewall als lokaler Zeitgeber
Damit alle Geräte im LAN die gleiche Zeit haben (wichtig für Log-Korrelation):
- In den NTP-Settings das Interface LAN auswählen.
- Zulassen, dass Clients im LAN den Port UDP 123 anfragen dürfen.
- Im DHCP-Server (Artikel 577) die Firewall-IP als NTP-Option mitgeben.
# 3. Deep Dive: DNS-Konfiguration & Forwarding
Der Weg zur Auflösung.
In den General Settings können Sie DNS-Server fest hinterlegen.
- Empfehlung: Wenn Sie kein AD haben, nutzen Sie
1.1.1.1(Cloudflare) und9.9.9.9(Quad9). - Sicherheits-Tipp: Aktivieren Sie “Do not use the local DNS service as a nameserver for this system”, wenn die Firewall selbst unabhänig von ihrem eigenen Unbound-Cache auflösen soll (verhindert Hänger beim Booten).
# 4. Day-2 Operations: Logging & System-Limits
Hygiene für den Kernel.
# Log-Rotation
Standardmäßig nutzt OPNsense zirkuläre Logs (clog).
- Aktion: Stellen Sie unter
System -> Settings -> Loggingdie gewünschte Größe ein. - Tipp: Für Enterprise-Audit-Requirements sollten Logs an einen externen Syslog-Server (Artikel 584) gesendet werden.
# 5. Troubleshooting & “War Stories”
Wenn die Zeit stehen bleibt.
# Top 3 Fehlerbilder
-
Symptom: “Certificate not yet valid” oder “Expired” Fehler im Web-Proxy.
- Ursache: Die Systemzeit der OPNsense ist falsch (z.B. nach langem Stromausfall und leerer BIOS-Batterie).
- Lösung: Manueller Zeit-Sync via Konsole:
ntpdate -u pool.ntp.org.
-
Symptom: DNS-Auflösung geht für die Firewall selbst nicht, aber für die Clients schon.
- Lösung: Prüfen Sie in
System -> Settings -> General, ob die korrekten Gateways für die DNS-Server ausgewählt sind.
- Lösung: Prüfen Sie in
-
Symptom: NTP-Sync schlägt fehl.
- Ursache: Die Outbound-Firewall Regel blockiert UDP 123.
- Lösung: Floating Rule oder WAN-Regel prüfen.
# “War Story”: Der “Time-Drift” im Cluster
Zwei OPNsense Firewalls liefen im HA-Cluster (Artikel 595). Sporadisch meldete der Backup-Knoten, dass er nun “Master” sei, obwohl der Hauptknoten noch lebte. Die Entdeckung: Der Hauptknoten hatte einen extremen Zeit-Drift (Clock Skew) von mehreren Sekunden pro Stunde aufgrund fehlerhafter Hardware-Timer in der VM (Proxmox). Der Cluster-Heartbeat (CARP) nutzt Zeitstempel zur Validierung. Lösung: Wechsel des Zeit-Quell-Treibers in Proxmox und Erhöhung der NTP-Abfrageintervalle. Lehre: Zeit-Synchronität ist in Clustern ein Stabilitäts-Feature, kein kosmetisches Detail.
# 6. Monitoring & Reporting
Dashboard Metriken.
# NTP-Status überwachen
Prüfen Sie unter Services -> Network Time -> Status.
- Jitter/Delay: Sollte im einstelligen Millisekunden-Bereich liegen.
- Stratum: Ein Stratum-1 oder -2 Server ist ideal.
# 7. Fazit & Empfehlung
System-Einstellungen sind das Fundament der Firewall-Identität.
- Empfehlung: Nutzen Sie einen professionellen Hostnamen und pflegen Sie Ihre DNS-Server sorgfältig.
- Wichtig: Stellen Sie die Zeitzone korrekt ein (z.B.
Europe/Berlin), damit Ihre Logs nicht um eine Stunde verschoben sind – das spart Stunden beim Troubleshooting.
# Anhang: Cheatsheet
| Aufgabe | Pfad in der GUI |
|---|---|
| Hostname ändern | System -> Settings -> General |
| NTP-Server setzen | Services -> Network Time -> Settings |
| DNS-Server setzen | System -> Settings -> General |
| Zeitzone wählen | System -> Settings -> General |