# OPNsense Plugins: Modularität & Erweiterbarkeit für Profis
TL;DR / Management Summary Die Stärke von OPNsense liegt in seiner Modularität. Durch Plugins wird aus einem einfachen Paketfilter ein vollwertiges UTM-Gateway (Unified Threat Management). Ein Senior Admin nutzt Plugins gezielt, um Funktionen wie Suricata (IDS), WireGuard (VPN) oder HAProxy (Reverse Proxy) hinzuzufügen. Wichtig ist jedoch die “Plugin-Hygiene”: Installieren Sie nur, was Sie wirklich brauchen, um die Angriffsfläche klein und die Performance hoch zu halten.
# 1. Einführung & Plugin-Architektur
Der FreeBSD-Unterbau.
Alle Plugins basieren auf dem FreeBSD Paketmanager pkg. Ein OPNsense-Plugin ist ein Wrapper um ein Standard-Unix-Paket, der zusätzlich:
- Die GUI-Menüs integriert.
- Die Konfiguration in die
config.xml(Artikel 544) schreibt. - Dienst-Hooks (Start/Stop/Reload) bereitstellt.
# 2. Plugin-Management in der Praxis
Suchen, Finden, Installieren.
System -> Firmware -> Plugins.
# Den Katalog verstehen
- Installiert (Installed): Plugins mit einem blauen Haken.
- Verfügbar: Liste aller offiziell unterstützten Erweiterungen.
- Aktion: Klicken Sie auf das Plus-Symbol, um ein Plugin zu installieren. Die Seite lädt neu, und der neue Dienst erscheint meist unter
Services.
# 3. Deep Dive: Community Repositories
Jenseits der offiziellen Pfade.
Manchmal benötigen Sie Software, die nicht im Standard-Katalog ist (z.B. neuere Treiber oder spezialisierte Tools wie os-sunny).
- Aktion: Sie können via Shell zusätzliche Repositories hinzufügen.
- Warnung: Drittanbieter-Repos können die Systemstabilität gefährden und werden beim Major-Upgrade (Artikel 545) oft deaktiviert. Nutzen Sie diese nur in Test-Umgebungen oder wenn zwingend erforderlich.
# 4. Day-2 Operations: Plugin-Abhängigkeiten
Konflikte vermeiden.
Einige Plugins beißen sich.
- Beispiel: Wenn Sie zwei Web-Proxy Plugins gleichzeitig installieren, kann es zu Port-Konflikten (TCP 8080) kommen.
- Aktion: Prüfen Sie vor der Installation die Dokumentation auf “Incompatibilities”.
# 5. Troubleshooting & “War Stories”
Wenn die Erweiterung das System bremst.
# Top 3 Fehlerbilder
-
Symptom: Plugin lässt sich nicht installieren (“Conflict with package X”).
- Ursache: Ein bereits installiertes Paket blockiert die Installation (oft bei manuellen
pkg installVersuchen via Shell). - Lösung:
pkg autoremoveausführen oder das Konflikt-Paket manuell entfernen.
- Ursache: Ein bereits installiertes Paket blockiert die Installation (oft bei manuellen
-
Symptom: System-Load steigt massiv nach Plugin-Installation.
- Ursache: Das Plugin (z.B.
os-net-snmpoderos-ntopng) ist falsch konfiguriert und scannt zu viele Interfaces. - Fix: Einstellungen des Plugins prüfen oder Dienst temporär stoppen.
- Ursache: Das Plugin (z.B.
-
Symptom: Plugin-Menü erscheint nicht in der GUI.
- Lösung: Browser-Cache leeren oder den Dienst
configdneustarten (pluginctl -s configd restart).
- Lösung: Browser-Cache leeren oder den Dienst
# “War Story”: Die “Plugin-Messie” Firewall
Ein Admin installierte 40 verschiedene Plugins “zum Testen” auf einer produktiven Firewall mit nur 4 GB RAM.
Das Ergebnis: Die OPNsense wurde unerträglich langsam. Der Kernel begann, Prozesse zu killen (Out of Memory), darunter auch den unbound DNS-Dienst. Die Fehlersuche dauerte Stunden, da kein einzelnes Plugin “schuld” war, sondern die Summe der Hintergrund-Dienste den Speicher auffraß.
Lehre: Weniger ist mehr. Deinstallieren Sie Test-Plugins sofort wieder. Jedes Plugin belegt Speicher, auch wenn der Dienst nicht gestartet ist (durch Caching und Hooks).
# 6. Monitoring & Reporting
Ressourcen-Audit.
# Dienst-Status überwachen
Nutzen Sie das Dashboard-Widget “Services Status”.
- KPI: Überwachen Sie die CPU- und RAM-Last im zeitlichen Verlauf nach einer Plugin-Installation (
Reporting -> Health).
# 7. Fazit & Empfehlung
Plugins machen OPNsense zu einem mächtigen Werkzeug.
- Empfehlung: Nutzen Sie die offiziellen Plugins für alle Kernfunktionen.
- Sicherheit: Führen Sie vor jeder Plugin-Installation ein Config-Backup durch. Ein fehlerhaftes Plugin kann im schlimmsten Fall die Web-GUI unbrauchbar machen.
# Anhang: Die 5 wichtigsten Admin-Plugins
os-acme-client: Automatische SSL-Zertifikate.os-haproxy: Professioneller Reverse-Proxy.os-wireguard: Modernes, schnelles VPN.os-net-snmp: Monitoring-Anbindung.os-suricata: Intrusion Detection (integriert im Kern, aber als Dienst zu managen).