OPNsense Regeln sauber aufbauen: Segmentierung, NAT und Wartbarkeit

Schwierigkeit: Mittel · Dauer: 45–75 Min · Ziel: OPNsense-Regeln konsistent aufbauen, damit Netzwerkzugriffe nachvollziehbar und sicher bleiben.

Kurzproblem und Zielbild

Viele OPNsense-Setups wachsen mit Einzelregeln und verlieren schnell die Übersicht. Ziel ist ein klarer, wiederholbarer Regelaufbau mit Segmentierung, nachvollziehbarem NAT und sauberen Checks.

Voraussetzungen

• OPNsense mit administrativem Zugriff
• Definierte Netze/VLANs
• Wartungsfenster und Backup vor Regeländerungen

Schnellstart (funktionierende Basis)

cp /conf/config.xml /conf/config.xml.bak.$(date +%F-%H%M)
pfctl -sr
configctl filter status

Schritt-für-Schritt Umsetzung

1) Regelmodell festlegen

# Prinzip: erst erlaubte Flows definieren, dann default deny
# Beispielzonen: LAN, SERVER, IOT, MGMT

2) Aliases für Dienste/Netze

# in OPNsense GUI: Firewall > Aliases
# z.B. RFC1918_INTERNAL, DNS_SERVERS, MGMT_HOSTS

3) NAT konsistent halten

# Outbound NAT auf Hybrid/Manual nur wenn nötig
# Portforwards nur mit zugehöriger Filterregel

4) Logging für kritische Regeln

# Block-/Allow-Regeln für sensible Segmente mit Logging aktivieren

Validierung / Checks

pfctl -sr
pfctl -sn
configctl filter status
clog -f /var/log/filter/filter.log

Troubleshooting

Traffic bricht nach Regeländerung

pfctl -sr | less
# Reihenfolge prüfen, pass/quick beachten

Portforward greift nicht

pfctl -sn
# zugehörige Filterregel und Zielhost prüfen

Fazit

Mit Alias-basiertem Regelwerk und klarer Segmentierung bleibt OPNsense langfristig wartbar. Nächster Schritt: monatlicher Regel-Review mit Cleanup veralteter Ausnahmen.

Quellen

• OPNsense Firewall Manual
• OPNsense NAT Manual
• OPNsense Dokumentation