HomelabNerds

HOME LAB · SELFHOSTING · NETZWERK

Schlagwort: firewall

  • OPNsense WireGuard Remote-Zugriff: sauberes Routing ohne Regelchaos

    OPNsense WireGuard Remote-Zugriff: sauberes Routing ohne Regelchaos

    Schwierigkeit: Mittel · Dauer: 35–65 Min · Ziel: OPNsense WireGuard Remote-Zugriff: sauberes Routing ohne Regelchaos

    Kurzproblem und Zielbild

    In vielen Homelabs funktioniert die Erstinstallation, aber der Dauerbetrieb wird schnell unübersichtlich. Dieses Tutorial zeigt einen reproduzierbaren Ablauf für OPNsense WireGuard Remote-Zugriff mit Fokus auf Stabilität, klare Checks und einfache Fehlerbehebung.

    Ziel ist ein Setup, das nicht nur heute läuft, sondern auch nach Updates und Änderungen beherrschbar bleibt.

    Voraussetzungen

    • Aktuelles Debian/Ubuntu oder kompatible Appliance
    • Administrative Rechte und Wartungsfenster
    • Backup- oder Snapshot-Möglichkeit vor Änderungen

    Schnellstart (funktionierende Basis)

    # Basisprüfung
hostnamectl
ip a
# Dienste prüfen
systemctl --failed
# Logs kurz prüfen
journalctl -p 3 -xb --no-pager | tail -n 30

    Was macht das? Du prüfst erst den Grundzustand und vermeidest, dass Altfehler in neue Änderungen hineinwirken.

    Schritt-für-Schritt Umsetzung

    1) Ausgangszustand dokumentieren

    date -Iseconds
uname -a
# versions/relevante configs sichern

    Erklärung: Mit einer kurzen Bestandsaufnahme lassen sich spätere Fehler schneller eingrenzen.

    2) Kernkonfiguration sauber setzen

    # GUI: VPN -> WireGuard (Local + Endpoint)
# Interfaces -> Assignments: wg0 zuweisen
# Firewall -> Rules: nur benötigte Netze/Ports erlauben
# NAT Outbound auf Konsistenz prüfen

    Erklärung: Änderungen gezielt umsetzen, danach direkt den Dienst-/Funktionszustand prüfen.

    3) Dienst kontrolliert neu laden

    sudo systemctl daemon-reload
sudo systemctl restart 
sudo systemctl status  --no-pager

    4) Betriebsgrenzen testen

    wg show
netstat -rn
pfctl -sr | head -n 120

    Validierung / Checks

    wg show
ifconfig | grep -A4 wg
pfctl -vvsr | sed -n "1,120p"
clog /var/log/filter/filter.log | tail -n 80

    Troubleshooting

    Konfiguration wird nicht übernommen

    Ursache: Syntax-, Reload- oder Parameterfehler.

    wg show
netstat -rn
pfctl -sr | grep -i wireguard -n

    Dienst läuft, Funktion aber fehlerhaft

    Ursache: Abhängigkeiten, Routing oder Berechtigungen sind inkonsistent.

    wg show
ping -M do -s 1380 REMOTE_IP

    Fazit

    Mit einem klaren Ablauf für OPNsense WireGuard Remote-Zugriff reduzierst du Ausfälle und erhöhst die Wartbarkeit deutlich. Der wichtigste Hebel ist die Kombination aus kleiner Änderung, sofortigem Check und dokumentiertem Ergebnis.

    Nächster Schritt: den Ablauf als monatliche Betriebsroutine einplanen und regelmäßig gegen echte Störfälle testen.

    Quellen

  • OPNsense Regeln sauber aufbauen: Segmentierung, NAT und Wartbarkeit

    OPNsense Regeln sauber aufbauen: Segmentierung, NAT und Wartbarkeit

    Schwierigkeit: Mittel · Dauer: 45–75 Min · Ziel: OPNsense-Regeln konsistent aufbauen, damit Netzwerkzugriffe nachvollziehbar und sicher bleiben.

    Kurzproblem und Zielbild

    Viele OPNsense-Setups wachsen mit Einzelregeln und verlieren schnell die Übersicht. Ziel ist ein klarer, wiederholbarer Regelaufbau mit Segmentierung, nachvollziehbarem NAT und sauberen Checks.

    Voraussetzungen

    • OPNsense mit administrativem Zugriff
    • Definierte Netze/VLANs
    • Wartungsfenster und Backup vor Regeländerungen

    Schnellstart (funktionierende Basis)

    cp /conf/config.xml /conf/config.xml.bak.$(date +%F-%H%M)
pfctl -sr
configctl filter status

    Schritt-für-Schritt Umsetzung

    1) Regelmodell festlegen

    # Prinzip: erst erlaubte Flows definieren, dann default deny
# Beispielzonen: LAN, SERVER, IOT, MGMT

    2) Aliases für Dienste/Netze

    # in OPNsense GUI: Firewall > Aliases
# z.B. RFC1918_INTERNAL, DNS_SERVERS, MGMT_HOSTS

    3) NAT konsistent halten

    # Outbound NAT auf Hybrid/Manual nur wenn nötig
# Portforwards nur mit zugehöriger Filterregel

    4) Logging für kritische Regeln

    # Block-/Allow-Regeln für sensible Segmente mit Logging aktivieren

    Validierung / Checks

    pfctl -sr
pfctl -sn
configctl filter status
clog -f /var/log/filter/filter.log

    Troubleshooting

    Traffic bricht nach Regeländerung

    pfctl -sr | less
# Reihenfolge prüfen, pass/quick beachten

    Portforward greift nicht

    pfctl -sn
# zugehörige Filterregel und Zielhost prüfen

    Fazit

    Mit Alias-basiertem Regelwerk und klarer Segmentierung bleibt OPNsense langfristig wartbar. Nächster Schritt: monatlicher Regel-Review mit Cleanup veralteter Ausnahmen.

    Quellen