So bauen Sie Ihren eigenen Router samt Firewall mit Opnsense

Tüfteln Sie gerne an Ihrem PC herum und haben Sie Lust auf ein fortgeschrittenes Projekt? Dann habe ich einen Vorschlag für Sie: Bauen Sie Ihren eigenen Router samt Firewall.

Ein Router, auf dem ein fortschrittlicheres Betriebssystem auf einer leistungsfähigeren Hardware als bei Standard-Routern läuft, eröffnet eine ganze Welt neuer Möglichkeiten. Obwohl es eine steile Lernkurve gibt und es sich anfangs kompliziert anfühlen kann, lohnt sich der Aufwand. Damit können Sie Dinge tun, die zwar mit einem Router von Asus beispielsweise auch möglich wären, aber dort wirklich kompliziert sind.

Es gibt eine Reihe von Betriebssystemen zur Auswahl: Openwrt, das auch auf Consumer-Routern installiert werden kann, verschiedene Linux-basierte Systeme wie Clear OS und IP Fire bis hin zu Unix-Systemen wie PF Sense und Opnsense.

Die beiden letztgenannten scheinen die beliebtesten Systeme zu sein. Ich selbst habe seit einigen Jahren einen Router mit Opnsense in Betrieb. Daher habe ich für diesen Leitfaden ebendieses System gewählt.

Lesen Sie weiter:

• Raspberry Pi als WLAN-Router einsetzen – so geht’s
• Die besten Gaming-Router im Test
• Router und WLAN optimal für Spiele einstellen
• Wi-Fi 7: Endlich starkes WLAN und schnelle Pings?

Warum überhaupt selbst bauen?

Für viele reicht die Antwort: Weil es möglich, interessant und lehrreich ist. Aber Sie werden nicht nur durch Ihre Neugier motiviert. Es gibt auch einige praktische und technische Vorteile.

Wenn Sie erst einmal angefangen und die Grundlagen gelernt haben, wird es sofort viel einfacher: Die Einrichtung mehrerer VLANs mit unterschiedlichen Firewall-Regeln (um zum Beispiel zu verhindern, dass Smart Home-Geräte auf das Internet zugreifen), die Verwendung von dynamischem DNS, der Betrieb Ihres eigenen rekursiven DNS-Servers, die Anzeige einer Willkommensnachricht, wenn sich Gäste mit dem drahtlosen Netzwerk verbinden, und vieles mehr warten auf Sie.

Der vielleicht größte Vorteil ist jedoch die Sicherheit: Anstatt sich darauf zu verlassen, dass der Hersteller Updates herausgibt und den Router sicher hält, erhalten Sie fast wöchentlich neue Updates. Dadurch verfügen alle Teile des Systems über die neuesten Absicherungen. Außerdem gibt es Add-ons, die dem Netzwerk einen fortschrittlicheren Schutz bieten, als es bei Routern für Endkunden üblich ist.

Ebenfalls interessant: Router absichern: So schließen Sie offene Sicherheitslücken

Wählen Sie die richtige Hardware

Sie können einen alten Computer für Opnsense einspannen. In diesem Fall müssen Sie normalerweise nur eine oder zwei Netzwerkkarten kaufen. Aber ein solcher Computer ist in der Regel sehr stromhungrig und zu groß, um hinter einem Schrank versteckt werden zu können.

Opnsense basiert auf dem Unix-System Freebsd. Das bedeutet, dass es im Vergleich zu Linux etwas anspruchsvoller ist, wenn es um die genutzte Hardware geht. Vor allem die Netzwerkkarten können ein Problem darstellen. Das System arbeitet am besten mit Intel-basierten Karten. Wenn Sie also einen neuen Computer kaufen, sollten Sie sich vergewissern, dass dieser über Intel-Netzwerkchips verfügt.

Ein Mini-PC mit zwei Ethernet-Anschlüssen könnte die bessere Wahl sein. Es gibt sogar Rechner zu kaufen, die speziell für die Verwendung mit Opnsense oder PF Sense entwickelt wurden. Amazon verkauft zum Beispiel dieses Modell von Hunsn, das etwa 300 Euro kostet und über Intel-Netzwerkchips verfügt. Da Arbeitsspeicher billig ist, empfehle ich 16 Gigabyte für den Anfang und eine mindestens 128 Gigabyte große SSD.

Zusätzlich zum Router-PC empfehle ich dringend einen Managed Switch, an den Sie beispielsweise Ihren alten Router anschließen können. Diesen können Sie so einstellen, dass er als Access Point arbeitet und sich somit nur um das WLAN kümmert. Ein solcher Switch wird zudem nötig, wenn Sie mit virtuellen Netzwerken (VLAN) arbeiten möchten.

Lesen Sie weiter: Was ist was im Netzwerk – Router, Switch, Hub und Co.

Installation von Opnsense

Beginnen Sie mit dem Download der neuesten Version von Opnsense. Klicken Sie auf der Seite auf die Schaltfläche “Download” mit den vorgewählten Optionen. Laden Sie sich auch Balena Etcher herunter und installieren Sie es. Dabei handelt es sich um ein einfaches Programm zum Schreiben von .iso und .img Dateien auf USB-Sticks.

Entpacken Sie die heruntergeladene .bz2-Datei, sodass Sie eine .img-Datei erhalten. Stecken Sie einen USB-Stick in Ihren PC, starten Sie Etcher, klicken Sie auf “Flash from file” und wählen Sie die heruntergeladene IMG-Datei aus. Wählen Sie dann Ihren USB-Stick als Ziel und klicken Sie dann auf “Flash!”.

Danach können Sie den USB-Stick auswerfen und an den neuen Router-PC anschließen, an den Sie zunächst einen Monitor und eine Tastatur anschließen müssen. Starten Sie den Computer vom USB-Stick über das Boot-Menü oder das BIOS.

Das System startet nur mit einer Textausgabe. Wenn der Start abgeschlossen ist, werden Sie zu einer Anmeldeaufforderung weitergeleitet. Geben Sie den Benutzernamen installer und das Passwort opnsense ein. Das Installationsprogramm wird nun gestartet.

Wählen Sie die Sprache auf der Tastatur aus und fahren Sie fort. Wählen Sie “Installieren (ZFS)”, dann “Stripe” und betätigen Sie danach dann die Leertaste, um die Ziel-SSD auszuwählen. Bestätigen Sie die Auswahl, und der Datenträger wird formatiert und alle Dateien werden kopiert. Sobald das erledigt ist, können Sie “Complete Install” wählen (das Root-Passwort können Sie im nächsten Schritt einfach ändern).

Grundlegende Einstellungen

Wenn der Router-PC neu startet, können Sie den USB-Stick abziehen und das System von der SSD starten. Wie zuvor werden während des Bootvorgangs endlose Codezeilen eingeblendet, bis Sie die Anmeldeaufforderung erreichen.

Ich empfehle Ihnen, zunächst die Adresse der LAN-Schnittstelle zu ändern. Dies ist hilfreich, damit Opnsense nicht mit Ihrem alten Router in Konflikt gerät, wenn Sie mit beiden gleichzeitig verbunden sein wollen, bevor Sie die Internetverbindung auf Opnsense umstellen können.

Melden Sie sich mit dem Benutzernamen root und dem Kennwort opnsense an. Drücken Sie “2”, um die IP-Adresse zu ändern. Drücken Sie dann die Nummer für LAN (normalerweise 1). Betätigen Sie die Eingabetaste, wenn Sie DHCP nicht verwenden möchten. Geben Sie eine geeignete Adresse ein, zum Beispiel 10.1.1.1 und dann 24, um bei Adressen im Format 10.1.1.x zu bleiben. Bei den restlichen Fragen können Sie die Eingabetaste drücken, um die vorgewählte Option zu akzeptieren.

Bevor Sie etwas anderes tun können, müssen Sie den Opnsense-Rechner und Ihren normalen Computer mit einem Netzwerkkabel verbinden, entweder direkt oder über einen Switch.

Öffnen Sie auf Ihrem Computer die “Einstellungen” und gehen Sie zu “Netzwerk und Internet -> Ethernet”. Sie sollten eine Adresse im gleichen Format wie Opnsense verwenden (etwa 10.1.1.2), mit der Adresse, die Sie gerade als Gateway gewählt haben, und der Maske 255.255.255.0. Wenn die Adresse nicht von selbst erscheint, können Sie rechts neben der IP-Zuweisung auf “Bearbeiten” klicken und sie selbst eingeben.

Öffnen Sie dann einen Browser und geben Sie “10.1.1.1” ein. Sie sollten dann hoffentlich eine Sicherheitswarnung über ein ungültiges Zertifikat erhalten. Diese Warnung können Sie ignorieren, um auf die Opnsense-Webschnittstelle zu gelangen. Der Benutzername ist root und das Standardpasswort ist opnsense.

Sie werden nun zu den Grundeinstellungen von Opnsense weitergeleitet. Das erste, was Sie tun müssen, sind die DNS-Einstellungen. Hier empfehle ich, die Felder für die DNS-Server leer zu lassen und “Override DNS” anzuklicken. Auch die drei Häkchen darunter sollten angehakt werden.

Die restlichen Schritte können Sie überspringen, bis Sie zu der Frage kommen, ob Sie das Passwort für das Root-Konto ändern möchten. Wählen Sie ein neues sicheres Passwort und notieren Sie dieses.

Gehen Sie ins Internet

Damit Opnsense auf das Internet zugreifen und als Router und Firewall arbeiten kann, müssen Sie ein LAN-Kabel anschließen. Sie können entweder das Kabel aus der Buchse Ihres alten Routers weiterverwenden und es stattdessen an den Opnsense-PC anschließen. Oder Sie schließen das Kabel auch an eine Buchse am alten Router oder an einen Switch an, wenn Sie einen solchen haben.

Wenn Sie einen regulären Breitbandanschluss über Glasfaser nutzen, der mit DHCP arbeitet, sollte Opnsense automatisch eine Verbindung herstellen und eine externe IP-Adresse erhalten. Sie können dies überprüfen, indem Sie in der Weboberfläche “Interfaces -> Overwiew” wählen.

Wenn das WAN eine Adresse erhalten hat, können Sie testen, ob alles funktioniert, indem Sie nach Updates suchen. Wählen Sie “System -> Firmware -> Status” und klicken Sie auf “Search for updates”. Wenn es funktioniert, ist dies ein guter Zeitpunkt, um das erste von vielen kommenden Updates zu installieren.

Versuchen Sie dann, eine beliebige Website auf Ihrem normalen PC aufzurufen. Wenn auch das funktioniert, haben Sie einen funktionierenden Opnsense-Router erzeugt. Andere Einstellungen im System können Sie vorerst so belassen – das System hat keine unsicheren Standardoptionen.

Lernen Sie die Oberfläche kennen und verstehen Sie die Firewall

Die Opnsense-Weboberfläche ist etwas anders aufgebaut als bei den meisten Routern. Auf der linken Seite befindet sich ein hierarchisches Menü, in dem Sie alle Einstellungen finden, die in verschiedene Kategorien unterteilt sind. Oben rechts befindet sich außerdem eine Suchleiste, mit der Sie Einstellungen weit unten in den Hierarchien finden können.

Das Menü “System” enthält hauptsächlich Einstellungen für Opnsense selbst, aber auch Updates und die Installation von Plug-ins – eine wichtige Funktion, wenn Sie den Router mit intelligenten Funktionen ausstatten möchten.

Bei “Schnittstellen” geht es um die verschiedenen Netzwerkschnittstellen, normalerweise LAN und WAN. Aber hier finden Sie auch VLAN oder PPPOE, wenn der Internetbetreiber eine Anmeldung verlangt, und Schnittstellen für VPN-Server.

Bei “Firewall” geht es um Regeln zum Blockieren und Zulassen von Datenverkehr, aber auch um Portweiterleitung. Unter Aliase können Sie eigene Namen für einzelne Geräte vergeben, um diese leichter in Firewall-Regeln einbeziehen zu können.

Im Menü “VPN” finden Sie sowohl VPN-Server für die Verbindung von außen mit Ihrem lokalen Netzwerk als auch für die Verbindung des gesamten Netzwerks mit einem externen VPN-Dienst.

Die besten VPN-Dienste im Test

“Services” ist ein Sammelmenü für andere integrierte Funktionen wie DHCP und DNS (Unbound) sowie Funktionen für installierte Plug-ins.

VLAN ohne Internet für das Smart Home

Ein häufiger Anwendungsfall für einen fortschrittlicheren Router wie Opnsense ist es, einige angeschlossene Geräte in einem separaten Netzwerk mit unterschiedlichen Firewall-Regeln unterzubringen. Zum Beispiel ein Netzwerk für Smart Home-Geräte, die keinen Zugang zum Internet und nur begrenzten Zugang zum restlichen Netzwerk haben sollen.

Öffnen Sie dazu zunächst “Interfaces -> Other Types -> VLAN”. Klicken Sie auf das Pluszeichen, um ein neues VLAN zu erstellen. Geben Sie ihm einen kurzen Namen, etwa SMART, und geben Sie eine Nummer für das VLAN-Tag zwischen 1 und 4094 ein.

Gehen Sie nun zu “Interfaces -> Assignments” und geben Sie unter “Description” denselben Namen für die neue Schnittstelle ein. Klicken Sie auf “Add”.

Klicken Sie nun auf “Interfaces -> [SMART]” und markieren Sie “Enable Interface” und “Prevent Interface Removal”. Wählen Sie unter “IPv4 Configuration Type” die Option “Static IPv4”. Scrollen Sie nach unten und geben Sie eine geeignete IP-Adresse ein und wählen Sie 24 statt 32 rechts neben der Adresse. Wenn Sie für das reguläre Netzwerk die Adresse 10.1.1.1 gewählt haben, können Sie für das VLAN-Netzwerk 10.1.10.1 wählen. Speichern und übernehmen Sie die Änderungen.

Gehen Sie zu “Services -> ISC DHCPv4 -> [SMART]”. Markieren Sie Enable “DHCP server in the smart interface” und geben Sie einen Adressbereich ein, zum Beispiel 10.1.10.100-10.1.10.254 (ich verzichte normalerweise auf Adressen unter 100 für Geräte, die eine feste IP-Adresse haben sollten). Speichern und übernehmen Sie die Änderungen.

Wenn Sie unter “Firewall -> Rules -> SMART” nachsehen, sehen Sie, dass es keine Regeln gibt. Das bedeutet, dass der gesamte Datenverkehr gestoppt ist. Wenn Sie sich die Regeln für das LAN ansehen, werden Sie feststellen, dass Opnsense automatisch Regeln hinzugefügt hat, um den gesamten Datenverkehr, der aus diesem Netzwerk stammt, durchzuleiten. Wenn Sie also Internet für Smart Home-Geräte zulassen möchten, müssen Sie dafür eine Regel erstellen.

Um die Geräte tatsächlich nutzen und mit dem VLAN-Netzwerk verbinden zu können, benötigen Sie einen Managed Switch. In dessen Einstellungen können Sie das VLAN Tagging für einen oder mehrere Ethernet-Anschlüsse aktivieren, sodass die Geräte, die Sie an diese Anschlüsse anschließen, nur das VLAN-Netzwerk sehen. Auf dem oberen Bild sehen Sie, wie das bei einem Switch von Unifi aussieht – andere Hersteller wie D-Link und TP-Link haben ähnliche Einstellungen. Wenn Ihr Opnsense-Gerät über mehr Netzwerkanschlüsse verfügt, können Sie diese markieren und stattdessen verwenden.

Benötigen Sie Hilfe?

Wenn Sie irgendwo nicht weiterkommen, gibt es viele Ressourcen, die Ihnen helfen können. Der Home Network Guy Blog hat mehrere Anleitungen zu Opnsense verfasst, von der Installation bis zu fortgeschrittenen Themen wie VLAN. Der Autor hat auch einen sehr guten Youtube-Kanal, den ich sehr empfehlen kann. Auf Reddit finden Sie ebenfalls Hilfe in verschiedenen Gruppen, wie r/opnsense und r/homelab.

Tipp: Virtueller Router

Wenn Sie Opnsense ausprobieren und sehen möchten, wie sich die Oberfläche anfühlt, können Sie dies zuerst in einer virtuellen Maschine statt auf einem echten Computer tun. Sie können das Router-Betriebssystem etwa mit Virtualbox direkt in Windows ausprobieren, um sich mit der Oberfläche und der Einrichtung vertraut zu machen.

Sie können das System auch dauerhaft auf einem Servercomputer mit Linux betreiben, in der Regel wird hier die Proxmox-Variante empfohlen. Auch hierfür hat der Home Network Guy eine gute Anleitung parat.

Lesen Sie weiter: Wi-Fi 7: Alles über den neuen WLAN-Standard