Wer im Jahr 2026 noch mit dem ISP-Router VLANs segmentieren will, kämpft mit einem Taschenmesser gegen einen Panzer.
Ich habe das selbst durch. Monatelang habe ich versucht, mein Heimnetzwerk mit einer Fritz!Box 7590 sauber zu strukturieren – IoT-Geräte isolieren, ein separates Gast-WLAN, ein eigenes Segment für NAS und Server. Die Box kann das theoretisch. Aber sobald es an die feingranulare Kontrolle geht – Firewall-Regeln zwischen VLANs, DNS-Hijacking auf einzelne Segmente, IDS/IPS – ist Schluss. Das ist kein Angriff auf AVM. Die FritzBox ist ein hervorragendes Consumer-Produkt. Aber eine professionelle Firewall ist sie nicht.
Wenn du den VLAN-Artikel hier auf dem Blog bereits gelesen hast, weißt du, was möglich ist. Jetzt bauen wir das Fundament dafür: eine eigene OPNsense-Firewall, von der Hardware-Wahl bis zur ersten sicheren Konfiguration. Ich zeige dir Schritt für Schritt, was ich selbst gemacht habe – inklusive der Fehler, die du nicht wiederholen musst.
Das Herzstück deines Netzwerks: Warum eine dedizierte Firewall?
Stell dir deine Firewall vor wie den Türsteher eines Clubs. Jedes Datenpaket, das rein oder raus will, muss an ihm vorbei. Er kennt die Gästeliste (Firewall-Regeln), kontrolliert die Ausweise (Deep Packet Inspection) und schmeißt Verdächtige raus (IDS/IPS mit CrowdSec).
Ein Standard-Router macht das auch – aber nur mit der Gästeliste des Herstellers. Kein Einfluss, keine Transparenz, keine echte Kontrolle.
OPNsense ist eine Open-Source-Firewall auf Basis von FreeBSD, entwickelt vom niederländischen Unternehmen Deciso. Sie ist der direkte Nachfolger von pfSense in Sachen Community und Features, mit einer deutlich moderneren Web-Oberfläche und aktivem Entwicklungszyklus – Releases erscheinen alle zwei Wochen. Und das Beste: Du kannst sie auf nahezu beliebiger x86-Hardware laufen lassen.
„Im Jahr 2026 ist eine Heimnetzwerk-Firewall vom ISP in etwa so sicher wie ein Fahrradschloss an einem Tresor.“
Hardware-Wahl: Worauf du 2026 achten musst
Das ist der Abschnitt, bei dem die meisten Fehler passieren. Falsche Hardware = Frust, Treiberprobleme, unnötiger Stromverbrauch. Ich gehe das systematisch durch.
Die Prozessor-Frage: Intel N100 vs. N305 (und die neuen Twin Lake)
Für OPNsense zu Hause brauchst du keine Gaming-CPU. Was du brauchst: niedrigen Verbrauch, Hardware-AES-Beschleunigung (AES-NI) für VPN-Verbindungen und genug Single-Thread-Leistung für Firewall-Regeln.
Aktuell dominieren zwei Plattformen den Markt:
| Merkmal | Intel N100 | Intel i3-N305 | Intel N150/N355 (2025) |
|---|---|---|---|
| Kerne / Threads | 4 / 4 | 8 / 8 | 4/4 bzw. 8/8 |
| Max. Takt | 3,4 GHz | 3,8 GHz | 3,6 / 3,9 GHz |
| TDP | 6 W | 9–15 W | 6 / 9–15 W |
| RAM-Typ | DDR5-4800 | DDR5-4800 | DDR5-4800 |
| AES-NI | ✅ | ✅ | ✅ |
| Ideal für | Heimnetz bis 2,5 Gbit/s | Heimnetz + leichtes IDS/IPS | Nachfolger der obigen |
| Preisklasse Appliance | 100–180 € | 180–300 € | 120–250 € |
Für 99 % der Heimanwender mit einem Glasfaser- oder Kabelanschluss bis 1 Gbit/s reicht der N100 vollkommen aus. Wenn du planst, Suricata (IDS/IPS) dauerhaft aktiv zu haben oder WireGuard mit hohem Durchsatz zu nutzen, lohnt der Aufstieg auf den N305. Die neuen Twin Lake-Varianten N150 und N355 sind seit 2025 auf dem Markt – energieeffizienter, aber aktuell mit leicht weniger Community-Support als die bewährten N100/N305.
📦 Pro-Tipp: Achte beim Kauf immer auf AES-NI-Unterstützung. Ohne dieses CPU-Feature bricht WireGuard- oder OpenVPN-Durchsatz dramatisch ein – von mehreren hundert Mbit/s auf teilweise unter 50 Mbit/s.
Die Netzwerkkarten-Falle: Intel NICs sind Pflicht
Das ist der wichtigste Abschnitt dieses Artikels. Lies ihn zweimal.
OPNsense basiert auf FreeBSD. FreeBSD hat eine exzellente Unterstützung für Intel-Netzwerkkarten – und eine historisch wackelige für Realtek-Chips. Das ist 2026 etwas besser geworden (mit dem realtek-re-kmod-Paket), aber der Unterschied bleibt deutlich:
| Eigenschaft | Intel i226-V / i225-V (Rev. B3) | Realtek RTL8125B |
|---|---|---|
| FreeBSD-Treiber (igc) | Nativ, out-of-the-box | Benötigt zusätzliches Kernelmodul |
| Stabilität | Sehr hoch | Mittel – kann unter Last Probleme machen |
| 2,5-Gbit/s-Support | Ja | Ja |
| Empfehlung für OPNsense | ✅ Erste Wahl | ⚠️ Notlösung |
Der i226-V ist aktuell der Standard in modernen Firewall-Appliances. Er ersetzt den etwas unglücklichen i225-V (dessen erste zwei Revisionen hardware-bugged waren; Revision B3 ist stabil). Aktuell kaufst du fast immer einen i226-V – das ist gut so.
⚠️ Achtung: Wenn auf einem AliExpress-Listing „2,5G NIC“ steht, aber kein Chipset genannt wird: frag nach oder lass es sein. Realtek in der Billig-Appliance bedeutet möglicherweise stundenlange Treibersuche am Wochenende.
RAM & Speicher: Die 8-GB-Regel
OPNsense selbst kommt mit 2 GB RAM aus. Aber sobald du ZFS als Dateisystem wählst (und das solltest du – dazu gleich mehr), willst du mindestens 8 GB RAM. ZFS nutzt Arbeitsspeicher aggressiv als Cache – das ist kein Bug, das ist Feature.
Für den Speicher: Eine kleine NVMe-SSD mit 64–128 GB reicht vollkommen. OPNsense ist kein Datengrab. Der Vorteil gegenüber einem USB-Stick (den manche als Boot-Medium nutzen): SSDs vertragen die ständigen Log-Schreibvorgänge deutlich besser. USB-Sticks sterben unter dieser Last gerne nach ein paar Monaten.
Formfaktoren: Was passt zu dir?
Mini-PC-Appliances (Empfehlung für Einsteiger): Anbieter wie Protectli, Topton, Hunsn oder CWWK verkaufen lüfterlose Mini-PCs, die speziell für Firewall-Betrieb ausgelegt sind. Sie haben 2–6 Netzwerkanschlüsse, passen in jeden Schrank und verbrauchen wenig Strom. Geräte mit N100 + 8 GB RAM + 128 GB NVMe bekommst du ab ca. 130–170 €.
Gebrauchte Thin Clients (Budget-Tipp): HP T620 Plus oder T730 sind auf dem Gebrauchtmarkt für 30–60 € erhältlich. Sie haben etwas ältere CPUs, aber reichen für einfache Setups. Nachteil: Du musst oft eine zusätzliche PCIe-Netzwerkkarte einbauen, und die Stromeffizienz ist schlechter.
Virtualisierung (Proxmox): Fortgeschrittene betreiben OPNsense als VM auf einem Proxmox-Host. Das spart Hardware, bringt aber Komplexität mit sich – besonders beim Netzwerk-Passthrough. Als Einsteiger: Finger weg, zuerst Bare-Metal.
Der Stromverbrauch: Eine ehrliche Rechnung
Das läuft 24/7. Das spielt finanziell eine Rolle.
| Gerät | Verbrauch | Jahreskosten (0,30 €/kWh) |
|---|---|---|
| FritzBox 7590 | ~8 W | ~21 € |
| N100 Mini-PC (Firewall) | ~8–12 W | ~21–32 € |
| N305 Mini-PC | ~12–18 W | ~32–47 € |
| Alter Büro-PC als Firewall | ~40–80 W | ~105–210 € |
| Dedicated Appliance (Protectli) | ~10–15 W | ~26–39 € |
Ein N100-System kostet dich kaum mehr als deine FritzBox – bei deutlich mehr Kontrolle und Leistung.
📦 Zusammenfassend: Für den Heimgebrauch ist ein Mini-PC mit Intel N100, 8 GB DDR5-RAM, 128 GB NVMe-SSD und Intel i226-V NICs die beste Kombination aus Preis, Leistung und Effizienz.
Vorbereitung: Vom Download zum Boot
Das richtige Image wählen
Auf der OPNsense-Download-Seite (opnsense.org) wirst du von verschiedenen Image-Typen erschlagen. Hier ist, was du brauchst:
| Image-Typ | Wann nutzen? |
|---|---|
dvd (ISO) | Brennen auf DVD – quasi nie mehr nötig |
vga | Standard: USB-Stick + Monitor direkt am Gerät |
serial | Nur wenn du eine serielle Konsole nutzt (Server-Setups) |
nano | Für eingebettete Systeme mit Flash-Speicher |
Für dich: Lade das vga-Image herunter, flashe es mit Balena Etcher oder dd auf einen USB-Stick, fertig.
ZFS als Dateisystem – unbedingt
Während der Installation wirst du nach dem Dateisystem gefragt. Wähle ZFS, nicht UFS. Warum?
ZFS schreibt Daten so, dass bei einem Stromausfall keine Halbzustände entstehen. Wenn dein System mitten beim Schreiben Strom verliert, ist dein Dateisystem danach trotzdem konsistent. UFS kann in diesem Fall korrupt werden – und dann startet deine Firewall morgen früh nicht mehr.
BIOS-Einstellungen vor der Installation
Zwei Dinge musst du im BIOS einstellen, bevor du startest:
- Secure Boot deaktivieren – OPNsense mag das nicht. Es ist eine FreeBSD-basierte Firewall, kein Windows.
- „Power on after power loss“ aktivieren – Damit startet die Firewall nach einem Stromausfall automatisch neu. Ohne diese Einstellung sitzt du nach dem nächsten Kurzausfall im Dunkeln.
📦 Pro-Tipp: Schau im BIOS auch nach „C-States“ – auf manchen Mini-PCs führen aggressive Energiesparzustände zu kurzzeitigen NIC-Aussetzern. Im Zweifelsfall deaktivieren.
Erstinstallation: Schritt für Schritt
Interface-Zuweisung an der Konsole
Nach dem Booten von USB begrüßt dich OPNsense mit einer Textoberfläche. Keine Angst vor der Kommandozeile – du tippst hier genau zwei Befehle und danach nie wieder, wenn du nicht willst.
Das System fragt dich, welcher Netzwerkanschluss WAN und welcher LAN ist. Tipp: Steck nur ein Kabel ein (vom Router/Modem) und schau, welcher Port aufleuchtet – das ist dein WAN-Anschluss.
Typische Zuweisung:
WAN: igc0 (Kabel vom Modem/Router)
LAN: igc1 (Kabel zu deinem Switch)
Danach startet die eigentliche Installation. ZFS wählen, Passwort setzen, warten. Die Installation dauert auf einer NVMe-SSD keine 5 Minuten.
Erste Verbindung zum Web-GUI
Nach der Installation verbindest du einen Laptop direkt per LAN-Kabel mit dem OPNsense-Gerät und rufst auf:
https://192.168.1.1
Der Browser meckert über ein selbstsigniertes Zertifikat – das ist normal, akzeptiere es. Login: root / opnsense (Standardpasswort, das du gleich änderst).
Der Setup-Wizard: Was du eintragen musst
OPNsense führt dich durch einen ersten Setup-Assistenten. Das Wichtigste:
- Hostname: z. B.
opnsenseoderfirewall-home - Domain: z. B.
lan.home(wird für lokale DNS-Namen genutzt) - DNS-Server: Trag erstmal
9.9.9.9(Quad9) oder1.1.1.1(Cloudflare) ein – den lokalen Unbound-Resolver konfigurierst du danach - Timezone:
Europe/Berlin - WAN-Typ: Je nach Anbieter PPPoE (DSL), DHCP (Kabel/Glasfaser) oder statische IP
⚠️ „Block private networks on WAN“: Dieser Haken ist wichtig, wenn OPNsense direkt am Modem hängt – er verhindert, dass RFC-1918-Adressen (192.168.x.x, 10.x.x.x) von außen ins Netz gelangen. Hast du jedoch einen Router davor (Double-NAT), muss dieser Haken deaktiviert sein, sonst blockiert OPNsense den Traffic vom vorgelagerten Router.
Die lebenswichtige Grundkonfiguration: Die ersten 10 Minuten
Herzlichen Glückwunsch – du bist eingeloggt. Jetzt die Pflichtliste, bevor du anfängst zu experimentieren.
1. Updates – sofort, als allererstes
Gehe zu: System → Firmware → Updates
Klicke auf „Check for updates“. Installiere alles. Neustarten. Erst dann weiter. OPNsense erhält alle zwei Wochen ein neues Release, und Sicherheitslücken werden schnell gepatcht – aber nur, wenn du aktuell bist.
2. DNS mit Unbound konfigurieren
OPNsense bringt Unbound DNS mit – einen vollwertigen, cachenden DNS-Resolver, der direkt auf deiner Firewall läuft. Das hat zwei Vorteile:
- DNS-Anfragen werden gecacht → schnellere Auflösung für häufig besuchte Seiten
- Du kannst lokale Hostnamen vergeben:
nas.lan.homezeigt auf192.168.10.5
Aktivieren unter: Services → Unbound DNS → General → Enable
Setze das Häkchen bei „DNSSEC“ für validierte DNS-Antworten.
📦 Pro-Tipp: Unter „Overrides“ kannst du lokale Hostnamen eintragen. Nie wieder IP-Adressen merken für dein NAS, deinen Proxmox-Host oder den Drucker.
3. DHCP-Server sinnvoll konfigurieren
Unter Services → DHCPv4 → LAN konfigurierst du, welche IP-Adressen OPNsense an Geräte vergibt.
Denk jetzt schon an deine zukünftige VLAN-Struktur. Ich nutze folgendes Schema:
| VLAN | Netz | Zweck |
|---|---|---|
| 1 (LAN) | 192.168.1.0/24 | Management, vertrauenswürdige Geräte |
| 10 | 192.168.10.0/24 | Server, NAS |
| 20 | 192.168.20.0/24 | IoT-Geräte |
| 30 | 192.168.30.0/24 | Gäste |
Für das erste LAN stellst du den DHCP-Bereich auf z. B. 192.168.1.100 – 192.168.1.200 und vergibst feste IPs für Server und NAS über „DHCP Static Mappings“.
4. Backup – bevor du spielst
Unter System → Configuration → Backups lädst du die config.xml herunter. Diese Datei enthält alles: alle Firewall-Regeln, Interfaces, VPN-Konfigurationen. Speicher sie sicher (z. B. im Passwort-Manager oder einem verschlüsselten Ordner auf dem NAS).
Meine Regel: Vor jeder größeren Änderung → Backup exportieren. Du wirst mir später danken.
⚠️ Achtung: Die config.xml enthält sensible Daten inklusive VPN-Schlüsseln. Leg sie nicht unverschlüsselt in die Cloud.
📦 Zusammenfassend: Updates installieren, Unbound DNS aktivieren, DHCP-Bereiche nach VLAN-Schema strukturieren und config.xml sichern – das sind die vier Pflichtschritte nach der Installation, bevor du eine einzige Firewall-Regel anfasst.
Vergleich: Alter PC vs. dedizierte Firewall-Appliance
| Kriterium | Alter Büro-PC | Mini-PC Appliance (N100) |
|---|---|---|
| Anschaffungskosten | 0–30 € (gebraucht) | 130–180 € |
| Stromverbrauch 24/7 | 40–80 W | 8–12 W |
| Stromkosten/Jahr | 105–210 € | 21–32 € |
| Lautstärke | Lüfter, hörbar | Lüfterlos / leise |
| Größe | Groß | Handflächengroß |
| Intel NIC onboard | Selten | Standard (i226-V) |
| Amortisation | Sofort, aber hohe Betriebskosten | Nach ~2 Jahren günstiger |
| Empfehlung | Für erste Tests | Für dauerhaften Betrieb |
Fazit & Ausblick: Du hast jetzt eine Profi-Firewall
Lass das kurz sacken: Du hast gerade eine Firewall aufgebaut, die in der Leistungsklasse von Hardware liegt, die Unternehmen für vierstellige Beträge kaufen. OPNsense, Intel-NICs, ZFS – das ist kein Bastelprojekt, das ist ernstzunehmende Netzwerksicherheit.
Was kommt als nächstes?
- VLANs einrichten: Jetzt, wo das Fundament steht, segmentierst du dein Netzwerk. IoT raus aus dem Haupt-LAN.
- WireGuard VPN: Sicherer Remote-Zugang zu deinem Heimnetz – in OPNsense in unter 10 Minuten konfiguriert.
- CrowdSec: Ein modernes, community-basiertes IDS/IPS-System, das weit über klassisches Suricata hinausgeht.
- ACME-Zertifikate: Echte Let’s-Encrypt-Zertifikate für deine lokalen Dienste, damit der Browser nicht mehr meckert.
Wenn du Fragen zur Hardware-Wahl hast oder beim Setup irgendwo feststeckst: Schreib es in die Kommentare oder in den Thread unter dem zugehörigen YouTube-Video. Ich antworte auf alle Fragen – zumindest so schnell wie mein Deployment-Skript fertig ist. 🚀
Glossar
| Begriff | Bedeutung |
|---|---|
| NIC | Network Interface Card – die Netzwerkkarte |
| AES-NI | CPU-Befehlssatz für Hardware-beschleunigte AES-Verschlüsselung (wichtig für VPN) |
| PPPoE | Point-to-Point Protocol over Ethernet – typisch für DSL-Anschlüsse |
| ZFS | Zettabyte File System – ein modernes, fehlertolerantes Dateisystem |
| IDS/IPS | Intrusion Detection/Prevention System – überwacht und blockiert Angriffe |
| DHCP | Dynamic Host Configuration Protocol – verteilt IP-Adressen automatisch |
| Unbound | Freier, cachender DNS-Resolver |
| FreeBSD | Unix-ähnliches Betriebssystem, auf dem OPNsense basiert |
| Bare Metal | Direktinstallation auf echter Hardware (kein Hypervisor dazwischen) |
