OPNsense Firewalls
Das OPNsense-Modul verwaltet Ihre Firewall-Infrastruktur. Es bietet Echtzeit-Monitoring, Update-Management und Konfigurations-Backups fuer alle OPNsense-Installationen.
Uebersicht
Host-Tabelle
| Spalte | Beschreibung |
|---|---|
| Kunde | Zugeordneter Kunde |
| Hostname | Name der Firewall |
| OPNsense Version | Installierte OPNsense-Version |
| Agent Version | Version des DATAZONE Agents |
| WAN IP | Oeffentliche WAN-Adresse |
| Uptime | Betriebszeit seit letztem Neustart |
| CPU / RAM / Disk | Aktuelle Auslastung als Fortschrittsbalken |
| Letzte Antwort | Zeitpunkt des letzten Agent-Heartbeats |
| Letzte Config-Aenderung | Zeitpunkt der letzten Konfigurationsaenderung |
| Gateways | Status der konfigurierten Gateways (farbig) |
| WebUI | Direktlink zur OPNsense-Weboberflaeche |
Status-Erkennung
Eine Firewall gilt als offline, wenn innerhalb des doppelten Heartbeat-Intervalls kein Heartbeat empfangen wird. Das Heartbeat-Intervall wird vom Agent gemeldet (heartbeat_interval) und die Offline-Erkennung berechnet sich als heartbeat_interval × 2. Standard: 2x 30s = 60s.
Dynamische Erkennung
Im Gegensatz zu den anderen Modulen (fester 120s-Timeout) passt sich die OPNsense-Offline-Erkennung dynamisch an das tatsaechliche Heartbeat-Intervall des Agents an.
Host hinzufuegen
Per Agent (empfohlen)
- Installieren Sie den Agent auf der OPNsense (siehe Agent-Installation)
- Der Agent erkennt automatisch, dass es sich um ein FreeBSD/OPNsense-System handelt
- Die Firewall erscheint im OPNsense-Modul
Manuell (API-basiert)
- Klicken Sie auf Firewall hinzufuegen
- Geben Sie folgende Daten ein:
- Kunde - Zuordnung zu einem Kunden
- Hostname - Anzeigename
- Host - IP-Adresse oder FQDN
- API Key und API Secret - OPNsense API-Zugangsdaten
API-Zugang einrichten
In der OPNsense-Weboberflaeche unter System > Zugang > Benutzer koennen Sie API-Keys erstellen. Der Benutzer benoetigt Leserechte auf die gewuenschten Bereiche.
Detail-Modal
Klicken Sie auf eine Firewall in der Tabelle, um das Detail-Modal zu oeffnen.
Das Detail-Modal enthaelt 9 Haupttabs am oberen Rand. Der Tab Uebersicht enthaelt zusaetzlich 7 Subtabs fuer detaillierte Systeminformationen.
Haupttabs
| Tab | Icon | Beschreibung |
|---|---|---|
| Uebersicht | Monitor | Systeminformationen mit Subtabs (siehe unten) |
| Checks | ClipboardCheck | Health-Check-Ergebnisse und -Status |
| Jobs | ListTodo | Laufende und abgeschlossene Aufgaben |
| Shell | Terminal | Remote-Terminal zur OPNsense-Shell |
| Log | FileText | Ausfuehrungsprotokolle aller Aktionen |
| Gruppen | Tags | Gruppenzugehoerigkeit verwalten |
| Updates | RefreshCw | Update-Verlauf und Zeitplaene |
| Agent | Cpu | Agent-Status, Logs und Verwaltung |
| Loeschen | Trash2 | Firewall aus DATAZONE Control entfernen |
Tab: Uebersicht
Die Uebersicht zeigt im oberen Bereich die wichtigsten Metriken (CPU, RAM, Disk, Uptime) als Karten an. Darunter befinden sich editierbare Felder (Name, Kunde, Beschreibung) und die Subtab-Navigation.
Subtab: Hardware
- CPU-Modell, Kerne, Taktfrequenz
- RAM-Groesse und -Auslastung
- Festplatten mit Groesse und Belegung
- BIOS-Informationen
Subtab: Interfaces
- Alle Netzwerk-Interfaces mit Status (UP/DOWN)
- Interface-Name (WAN, LAN, OPT1, etc.)
- IP-Adressen (IPv4 und IPv6)
- Durchsatz und Paketstatistiken
- VLAN-Konfigurationen
Subtab: VPN
Uebersicht aller VPN-Verbindungen, aufgeteilt in drei Bereiche:
OpenVPN:
- Server- und Client-Instanzen mit Status (up/down)
- Verbundene Clients pro Server
- Durchsatz und Verbindungsdauer
- Beschreibungen aus der OPNsense config.xml
IPsec:
- Phase-1- und Phase-2-Tunnel
- Verbindungsstatus und Uptime
- Remote-Gateway und lokale/remote Subnetze
WireGuard:
- Peers mit Status und letztem Handshake
- Erlaubte IPs und Endpoint-Informationen
- Uebertragene Daten pro Peer
Subtab: Routen (seit v1.3.0)
- Komplette Routing-Tabelle der Firewall
- Ziel-Netzwerk, Gateway, Interface
- Metrik und Flags
- Statische und dynamische Routen
Subtab: Zertifikate (seit v1.3.0)
- ACME-Zertifikate (Let's Encrypt) und selbstsignierte SSL-Zertifikate
- Ablaufdatum mit farblicher Hervorhebung (rot wenn bald ablaufend)
- Zertifikats-Details: Common Name, Aussteller, Seriennummer
- Cache-Intervall: 6 Stunden
Subtab: Dienste (seit v1.3.0)
Zwei Bereiche:
OPNsense-Dienste:
- Alle konfigurierten OPNsense-Dienste mit Status (Running/Stopped)
- Dienste starten und stoppen direkt aus der Oberflaeche
Nginx Virtual Hosts (falls Nginx-Plugin installiert):
- Konfigurierte Nginx-Server-Eintraege
- Server-Name, Port, SSL-Status
- Upstream-Konfigurationen
- Cache-Intervall: 1 Stunde
Subtab: Backups
- Liste der Konfigurations-Backups (config.xml)
- Backup-Zeitpunkte
- Aenderungsbeschreibungen
- Backup-Groesse
Unbound DNS Statistiken (seit v1.3.0)
In der Uebersicht werden Unbound DNS-Statistiken als Karten angezeigt (falls Unbound aktiv):
- Gesamtanzahl Abfragen
- Cache-Hit-Rate
- Top angefragte Domains
Tab: Checks
Zeigt alle der Firewall zugewiesenen Health-Checks mit ihrem aktuellen Status:
- OK (gruen), Warning (gelb), Critical (rot), Unknown (grau)
- Letztes Pruefungsergebnis und Zeitstempel
- Direktlink zur Check-Konfiguration
Siehe Health-Checks fuer Details.
Tab: Jobs
Uebersicht aller laufenden und abgeschlossenen Aufgaben:
- Task-Typ (Update, Script, Backup, etc.)
- Status (Pending, Running, Completed, Failed)
- Startzeit und Dauer
- Ergebnis-Details aufklappbar
Tab: Shell
Remote-Terminal zur OPNsense-Shell direkt im Browser. Nutzt den Agent fuer eine sichere WebSocket-Verbindung.
- Volles interaktives Terminal
- FreeBSD-Shell (csh/sh)
- Root-Zugriff
Tab: Log
Chronologische Ausfuehrungsprotokolle aller Aktionen auf dieser Firewall:
- Zeitstempel, Aktion, Benutzer
- Ergebnis (Erfolg/Fehler)
- Detail-Ausgabe aufklappbar
Tab: Gruppen
Verwalten der Gruppenzugehoerigkeit dieser Firewall:
- Aktuelle Gruppen mit farbigen Badges
- Gruppen hinzufuegen/entfernen
Siehe Gruppen.
Tab: Updates
- Update-Verlauf mit Datum, Typ und Ergebnis
- Konfigurierte Update-Zeitplaene
- Naechster geplanter Update-Termin
Tab: Agent
- Agent-Status (Online/Offline) und Version
- Agent-Konfiguration anzeigen
- Agent-Logs einsehen
- Agent neustarten
Tab: Loeschen
Firewall dauerhaft aus DATAZONE Control entfernen.
Achtung
Diese Aktion kann nicht rueckgaengig gemacht werden. Der Agent auf der Firewall wird dadurch nicht deinstalliert.
Kontextmenue
Rechtsklick auf eine Firewall in der Tabelle bietet Schnellaktionen:
- Details oeffnen - Detail-Modal anzeigen
- WebUI oeffnen - OPNsense-Weboberflaeche im neuen Tab
- Shell oeffnen - Remote-Terminal starten
- Tunnel starten - Schnellzugriff auf Tunnel-Vorlagen
- Update starten - Firmware-Update ausloesen
- Script ausfuehren - Script aus der Bibliothek ausfuehren
Tunnel-Vorlagen
| Vorlage | Zielport | Beschreibung |
|---|---|---|
| OPNsense WebUI | 443 | Zugriff auf die Weboberflaeche |
| Agent SSH | 22 | SSH ueber den Agent |
| SSH | 22 | Direkter SSH-Zugriff |
| VNC | 5900 | VNC-Fernzugriff |
| HTTP | 80 | HTTP-Weiterleitung |
| Custom | Frei | Beliebiger Port |
Update-Zeitplaene
| Typ | Beschreibung |
|---|---|
| System Update | OPNsense-Firmware-Update ohne Neustart |
| Update + Reboot | Update mit anschliessendem Neustart und optionalem Health-Check |
Health-Check nach Reboot
Bei Update-Zeitplaenen mit Neustart koennen zusaetzliche Optionen konfiguriert werden:
| Option | Beschreibung | Standard |
|---|---|---|
| Health-Check aktiviert | Nach Neustart pruefen, ob die Firewall wieder erreichbar ist | Ja |
| Health-Check Timeout | Maximale Wartezeit auf den Agent-Heartbeat nach Neustart | 600 Sekunden |
| Auto-Reboot | Automatischer Neustart nach dem Update | Nein |
Zeitplaene koennen einmalig oder wiederkehrend (taeglich, woechentlich, monatlich, Cron) konfiguriert werden. Siehe Update-Zeitplaene.
Weitere Aktionen
| Aktion | Beschreibung |
|---|---|
| Backup | Konfigurations-Backup (config.xml) erstellen |
| Config-Sync | Konfiguration zwischen HA-Firewalls synchronisieren |