OPNsense Firewalls
Das OPNsense-Modul verwaltet Ihre Firewall-Infrastruktur. Es bietet Echtzeit-Monitoring, Update-Management und Konfigurations-Backups fuer alle OPNsense-Installationen.
Uebersicht
Host-Tabelle
| Spalte | Beschreibung |
|---|---|
| Kunde | Zugeordneter Kunde |
| Hostname | Name der Firewall |
| OPNsense Version | Installierte OPNsense-Version |
| Agent Version | Version des DATAZONE Agents |
| WAN IP | Oeffentliche WAN-Adresse |
| Uptime | Betriebszeit seit letztem Neustart |
| CPU / RAM / Disk | Aktuelle Auslastung als Fortschrittsbalken |
| Letzte Antwort | Zeitpunkt des letzten Agent-Heartbeats |
| Letzte Config-Aenderung | Zeitpunkt der letzten Konfigurationsaenderung |
| Gateways | Status der konfigurierten Gateways (farbig) |
| WebUI | Direktlink zur OPNsense-Weboberflaeche |
Status-Erkennung
Eine Firewall gilt als offline, wenn innerhalb des doppelten Heartbeat-Intervalls kein Heartbeat empfangen wird. Das Heartbeat-Intervall wird vom Agent gemeldet (heartbeat_interval) und die Offline-Erkennung berechnet sich als heartbeat_interval × 2. Standard: 2x 30s = 60s.
Dynamische Erkennung
Im Gegensatz zu den anderen Modulen (fester 120s-Timeout) passt sich die OPNsense-Offline-Erkennung dynamisch an das tatsaechliche Heartbeat-Intervall des Agents an.
Host hinzufuegen
Per Agent (empfohlen)
- Installieren Sie den Agent auf der OPNsense (siehe Agent-Installation)
- Der Agent erkennt automatisch, dass es sich um ein FreeBSD/OPNsense-System handelt
- Die Firewall erscheint im OPNsense-Modul
Manuell (API-basiert)
- Klicken Sie auf Firewall hinzufuegen
- Geben Sie folgende Daten ein:
- Kunde - Zuordnung zu einem Kunden
- Hostname - Anzeigename
- Host - IP-Adresse oder FQDN
- API Key und API Secret - OPNsense API-Zugangsdaten
API-Zugang einrichten
In der OPNsense-Weboberflaeche unter System > Zugang > Benutzer koennen Sie API-Keys erstellen. Der Benutzer benoetigt Leserechte auf die gewuenschten Bereiche.
Detail-Modal
Klicken Sie auf eine Firewall in der Tabelle, um das Detail-Modal zu oeffnen.
Das Detail-Modal enthaelt 9 Haupttabs am oberen Rand. Der Tab Uebersicht enthaelt zusaetzlich 7 Subtabs fuer detaillierte Systeminformationen.
Haupttabs
| Tab | Icon | Beschreibung |
|---|---|---|
| Uebersicht | Monitor | Systeminformationen mit Subtabs (siehe unten) |
| Checks | ClipboardCheck | Health-Check-Ergebnisse und -Status |
| Jobs | ListTodo | Laufende und abgeschlossene Aufgaben |
| Shell | Terminal | Remote-Terminal zur OPNsense-Shell |
| Log | FileText | Ausfuehrungsprotokolle aller Aktionen |
| Gruppen | Tags | Gruppenzugehoerigkeit verwalten |
| Updates | RefreshCw | Update-Verlauf und Zeitplaene |
| Agent | Cpu | Agent-Status, Logs und Verwaltung |
| Loeschen | Trash2 | Firewall aus DATAZONE Control entfernen |
Tab: Uebersicht
Die Uebersicht zeigt im oberen Bereich die wichtigsten Metriken (CPU, RAM, Disk, Uptime) als Karten an. Darunter befinden sich editierbare Felder (Name, Kunde, Beschreibung) und die Subtab-Navigation.
Subtab: Hardware
- CPU-Modell, Kerne, Taktfrequenz
- RAM-Groesse und -Auslastung
- Festplatten mit Groesse und Belegung
- BIOS-Informationen
Subtab: Interfaces
- Alle Netzwerk-Interfaces mit Status (UP/DOWN)
- Interface-Name (WAN, LAN, OPT1, etc.)
- IP-Adressen (IPv4 und IPv6)
- Durchsatz und Paketstatistiken
- VLAN-Konfigurationen
Subtab: VPN
Uebersicht aller VPN-Verbindungen, aufgeteilt in drei Bereiche:
OpenVPN:
- Server- und Client-Instanzen mit Status (up/down)
- Verbundene Clients pro Server
- Durchsatz und Verbindungsdauer
- Beschreibungen aus der OPNsense config.xml
IPsec:
- Phase-1- und Phase-2-Tunnel
- Verbindungsstatus und Uptime
- Remote-Gateway und lokale/remote Subnetze
WireGuard:
- Peers mit Status und letztem Handshake
- Erlaubte IPs und Endpoint-Informationen
- Uebertragene Daten pro Peer
Subtab: Routen (seit v1.3.0)
- Komplette Routing-Tabelle der Firewall
- Ziel-Netzwerk, Gateway, Interface
- Metrik und Flags
- Statische und dynamische Routen
Subtab: Zertifikate (seit v1.3.0)
- ACME-Zertifikate (Let's Encrypt) und selbstsignierte SSL-Zertifikate
- Ablaufdatum mit farblicher Hervorhebung (rot wenn bald ablaufend)
- Zertifikats-Details: Common Name, Aussteller, Seriennummer
- Cache-Intervall: 6 Stunden
Subtab: Dienste (seit v1.3.0)
Zwei Bereiche:
OPNsense-Dienste:
- Alle konfigurierten OPNsense-Dienste mit Status (Running/Stopped)
- Dienste starten und stoppen direkt aus der Oberflaeche
Nginx Virtual Hosts (falls Nginx-Plugin installiert):
- Konfigurierte Nginx-Server-Eintraege
- Server-Name, Port, SSL-Status
- Upstream-Konfigurationen
- Cache-Intervall: 1 Stunde
Subtab: Backups
- Liste der Konfigurations-Backups (config.xml)
- Backup-Zeitpunkte
- Aenderungsbeschreibungen
- Backup-Groesse
Unbound DNS Statistiken (seit v1.3.0)
In der Uebersicht werden Unbound DNS-Statistiken als Karten angezeigt (falls Unbound aktiv):
- Gesamtanzahl Abfragen
- Cache-Hit-Rate
- Top angefragte Domains
Tab: Checks
Zeigt alle der Firewall zugewiesenen Health-Checks mit ihrem aktuellen Status:
- OK (gruen), Warning (gelb), Critical (rot), Unknown (grau)
- Letztes Pruefungsergebnis und Zeitstempel
- Direktlink zur Check-Konfiguration
Siehe Health-Checks fuer Details.
Tab: Jobs
Uebersicht aller laufenden und abgeschlossenen Aufgaben:
- Task-Typ (Update, Script, Backup, etc.)
- Status (Pending, Running, Completed, Failed)
- Startzeit und Dauer
- Ergebnis-Details aufklappbar
Tab: Shell
Remote-Terminal zur OPNsense-Shell direkt im Browser. Nutzt den Agent fuer eine sichere WebSocket-Verbindung.
- Volles interaktives Terminal
- FreeBSD-Shell (csh/sh)
- Root-Zugriff
Tab: Log
Chronologische Ausfuehrungsprotokolle aller Aktionen auf dieser Firewall:
- Zeitstempel, Aktion, Benutzer
- Ergebnis (Erfolg/Fehler)
- Detail-Ausgabe aufklappbar
Tab: Gruppen
Verwalten der Gruppenzugehoerigkeit dieser Firewall:
- Aktuelle Gruppen mit farbigen Badges
- Gruppen hinzufuegen/entfernen
Siehe Gruppen.
Tab: Updates
- Update-Verlauf mit Datum, Typ und Ergebnis
- Konfigurierte Update-Zeitplaene
- Naechster geplanter Update-Termin
Tab: Agent
- Agent-Status (Online/Offline) und Version
- Agent-Konfiguration anzeigen
- Agent-Logs einsehen
- Agent neustarten
Tab: Loeschen
Firewall dauerhaft aus DATAZONE Control entfernen.
Achtung
Diese Aktion kann nicht rueckgaengig gemacht werden. Der Agent auf der Firewall wird dadurch nicht deinstalliert.
VPN-Management (seit v2.2.3)
Das OPNsense-Modul bietet eine zentrale Verwaltungsoberflaeche fuer WireGuard-VPN direkt in DATAZONE Control. Erreichbar ueber den VPN-Tab in der OPNsense-Modulansicht (neben der Host-Tabelle).
VPN-Uebersicht
Die VPN-Tabelle zeigt alle VPN-Instanzen ueber alle Firewalls hinweg. Die Ansicht aggregiert WireGuard, OpenVPN und IPsec-Tunnel zentral in einer Tabelle.
| Spalte | Beschreibung |
|---|---|
| Kunde | Zugeordneter Kunde |
| Firewall | Name der Firewall |
| Instanz | Name der VPN-Instanz |
| Typ | WG RW (Road Warrior), WG S2S (Site-to-Site), OpenVPN, IPsec |
| Interface | WireGuard-Interface (wg0, wg1, etc.) |
| Port | Listening-Port |
| Tunnel-Netzwerk | IP-Bereich des Tunnels |
| Peers | Anzahl konfigurierter Peers |
| Aktive Peers | Anzahl aktuell verbundener Peers |
| Status | Online/Offline |
Typ-Filter: Filtern Sie nach VPN-Typ (Alle, WireGuard, OpenVPN, IPsec) mit Zaehler-Badges.
WireGuard-Instanzen
Neue Instanz erstellen
Klicken Sie auf Neue Instanz, um eine WireGuard-Instanz auf einer Firewall anzulegen:
| Feld | Beschreibung |
|---|---|
| Firewall | Ziel-Firewall (nur online + API-ready) |
| Name | Name der WireGuard-Instanz |
| Port | Listening-Port (Standard: 51820) |
| Tunnel-Netzwerk | IP-Adresse und Subnetz (z.B. 10.10.10.1/24) |
| DNS fuer Clients | DNS-Server fuer Client-Konfigurationen |
| WAN-Regel erstellen | Erstellt eine UDP-Firewall-Regel auf dem WAN-Interface |
| Allow-All auf WireGuard-Interface | Erlaubt allen Traffic durch den Tunnel |
Firewall-Regeln getrennt
Die WAN-Regel (Port oeffnen) und die Allow-All-Regel (Traffic erlauben) sind getrennt steuerbar. So koennen Sie den Port oeffnen, aber den Traffic auf dem WireGuard-Interface manuell in OPNsense einschraenken.
Peer hinzufuegen
Klicken Sie auf eine Instanz und waehlen Sie Peer hinzufuegen:
| Feld | Beschreibung |
|---|---|
| Name | Name des Peers (z.B. Mitarbeiter-Name) |
| Tunnel-IP | IP-Adresse des Peers im Tunnel-Netzwerk |
| DNS | DNS-Server fuer den Peer |
| MTU | Nur wenn abweichend von 1420 |
| Split Tunnel | Nur bestimmte Netze durch den Tunnel routen (LAN-Subnetze automatisch erkannt) |
Nach dem Erstellen wird eine Client-Konfiguration mit QR-Code angezeigt, die direkt in WireGuard-Apps importiert werden kann.
Private Key
Der private Schluessel des Peers wird nur einmalig nach dem Erstellen angezeigt. Er kann nicht erneut abgerufen werden. Speichern Sie die Konfiguration oder scannen Sie den QR-Code sofort.
Tunnel-Modus
| Modus | Beschreibung |
|---|---|
| Full Tunnel | Gesamter Traffic wird durch den VPN-Tunnel geleitet (0.0.0.0/0, ::/0) |
| Split Tunnel | Nur bestimmte Netzwerke werden geroutet. LAN-Subnetze der Firewall werden automatisch als Vorschlaege angezeigt und koennen per Klick hinzugefuegt werden. |
Instanz-Detail
Klicken Sie auf eine VPN-Instanz, um das Detail-Modal zu oeffnen.
WireGuard-Instanzen:
- Instanz-Name, Interface, Typ-Badge und Status
- Zugehoerige Firewall mit Direktlink
- Peer-Tabelle mit Status, Name, Allowed IPs, Endpoint, letztem Handshake und Traffic (RX/TX)
- Instanz aktivieren/deaktivieren
- Einstellungen anzeigen (Name, Interface, Port, Tunnel-Netzwerk, UUIDs)
IPsec-Instanzen:
- Phase-2/Child-SA Tabelle mit lokalen und Remote-Netzwerken
- Verschluesselungs- und Hash-Details
- Remote-Gateway, IKE-Version, DH-Gruppe, Lifetime, NAT-T Status
Peer-Aktionen
Fuer jeden WireGuard-Peer stehen folgende Aktionen zur Verfuegung:
| Aktion | Beschreibung |
|---|---|
| Aktivieren/Deaktivieren | Peer voruebergehend deaktivieren ohne ihn zu loeschen |
| Allowed IPs bearbeiten | Die erlaubten IP-Bereiche des Peers aendern |
| Konfiguration/QR-Code | Client-Konfiguration anzeigen (nur direkt nach Erstellung) |
| Loeschen | Peer dauerhaft entfernen |
Allowed IPs bearbeiten:
- Chips-basierte Verwaltung mit Hinzufuegen/Entfernen
- Schnell-Buttons fuer gaengige Bereiche:
0.0.0.0/0,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 - Freie Eingabe beliebiger IP-Bereiche
Site-to-Site Wizard (seit v2.2.3)
Der Site-to-Site Wizard erstellt automatisch einen WireGuard-Tunnel zwischen zwei OPNsense-Firewalls in drei Schritten:
Schritt 1: Firewalls waehlen
- Zwei Online-Firewalls mit API-Bereitschaft auswaehlen
- Erkannte LAN-Subnetze werden automatisch angezeigt
Schritt 2: Konfiguration
| Feld | Beschreibung |
|---|---|
| Tunnel-Subnetz | Point-to-Point Netzwerk (Standard: 10.10.99.0/30) |
| Port | WireGuard-Port auf beiden Seiten (Standard: 51821) |
| Verbindungsmodus | Gleichberechtigt, A=Primaer oder B=Primaer |
| Endpoints | IP oder DNS-Name (abhaengig vom Verbindungsmodus) |
| Netze A → B / B → A | Welche lokalen Subnetze durch den Tunnel geroutet werden |
| WAN-Regel | UDP-Port auf beiden Firewalls oeffnen |
| Allow-All | Allen Tunnel-Traffic erlauben |
Schritt 3: Zusammenfassung und Ausfuehrung
Der Wizard fuehrt automatisch aus:
- Schluesselgenerierung auf beiden Firewalls
- WireGuard-Instanzen mit den generierten Schluesseln erstellen
- Peers auf beiden Seiten mit PSK (Pre-Shared Key) anlegen
- Firewall-Regeln erstellen (falls aktiviert)
Verbindungsmodus (seit v2.2.10)
| Modus | Beschreibung |
|---|---|
| Gleichberechtigt | Beide Firewalls haben feste IPs. Beide koennen die Verbindung initiieren. Beide bekommen Endpoint + Keepalive konfiguriert. |
| A = Primaer | Firewall A hat eine feste IP (Zentrale). Firewall B (Aussenstelle, dynamische IP) verbindet sich zu A. Nur A braucht einen Endpoint. B bekommt PersistentKeepalive=25. |
| B = Primaer | Umgekehrt: B hat feste IP, A verbindet sich zu B. |
Dynamische IP
Waehlen Sie den Primaer-Modus, wenn ein Standort keine feste IP hat. Der sekundaere Standort verbindet sich immer zum primaeren und haelt den Tunnel mit PersistentKeepalive offen.
Site-to-Site Verbindung loeschen
Im Instanz-Detail-Modal einer S2S-Verbindung kann der gesamte Site-to-Site Link geloescht werden. Dabei werden automatisch:
- WireGuard-Instanzen auf beiden Firewalls entfernt
- Peers auf beiden Seiten geloescht
- Zugehoerige Firewall-Regeln (WAN + Allow-All) entfernt
Firewall-Regeln (seit v2.3.0)
Das OPNsense-Modul bietet eine zentrale Verwaltung fuer Firewall-Regeln, Aliase, Kategorien und NAT-Regeln direkt in DATAZONE Control. Erreichbar ueber den Rules-Tab in der OPNsense-Modulansicht.
Uebersicht
Die Rules-Uebersicht zeigt alle Firewalls mit der Anzahl ihrer Regeln, aufgeschluesselt nach Typ (Pass, Block, Reject).
Klicken Sie auf eine Firewall, um den Regel-Editor zu oeffnen. Dieser enthaelt 5 Tabs:
| Tab | Beschreibung |
|---|---|
| Rules | Filter-Regeln (Hauptregeln) |
| Aliases | Aliase verwalten |
| Categories | Kategorien verwalten |
| NAT Source | Outbound-NAT-Regeln (Source NAT) |
| NAT Port Forward | Port-Weiterleitungen |
Commit-Workflow
Alle Aenderungen an Regeln, Aliasen und NAT-Regeln werden zunaechst lokal gespeichert. Erst durch Klick auf Commit werden die Aenderungen auf die Firewall uebertragen. Mit Discard koennen nicht-commitete Aenderungen verworfen werden.
Filter-Regeln (Rules)
Der Rules-Tab zeigt alle Firewall-Regeln der ausgewaehlten Firewall mit visuellen Statusindikatoren.
Filtern und Suchen
- Action-Filter: Alle, Pass, Block, Reject
- Interface-Filter: Dropdown mit allen verfuegbaren Interfaces
- Kategorie-Filter: Dropdown mit allen konfigurierten Kategorien
- Freitextsuche: Durchsucht alle sichtbaren Spalten
Regel-Anzeige
Jede Regel zeigt folgende Informationen:
| Feld | Beschreibung |
|---|---|
| # | Sequenz-Nummer (Reihenfolge) |
| Aktiv | Aktiviert/Deaktiviert (Toggle) |
| Action | Pass (gruen), Block (rot) oder Reject (orange) |
| Richtung | In oder Out |
| Interface | Netzwerk-Interface (WAN, LAN, etc.) |
| Protokoll | TCP, UDP, ICMP, etc. |
| Quelle | Quell-Adresse oder Alias (mit NOT-Indikator) |
| Ziel | Ziel-Adresse oder Alias (mit NOT-Indikator) |
| Gateway | Zugewiesenes Gateway |
| Log | Ob die Regel protokolliert wird |
| Kategorien | Zugewiesene Kategorien als farbige Chips |
| Beschreibung | Freitext-Beschreibung |
Regeln erstellen
Klicken Sie auf Regel hinzufuegen, um eine neue Regel zu erstellen. Waehlen Sie optional eine Vorlage:
| Vorlage | Beschreibung |
|---|---|
| Leer | Leere Regel zum manuellen Ausfuellen |
| Allow HTTP/HTTPS | Web-Traffic erlauben (Port 80/443) |
| Allow SSH | SSH-Zugriff erlauben (Port 22) |
| Allow DNS | DNS-Abfragen erlauben (Port 53) |
| Allow ICMP | Ping erlauben |
| Allow SMTP | E-Mail-Versand erlauben (Port 25/587) |
| Allow WireGuard | WireGuard-VPN erlauben |
| Allow OpenVPN | OpenVPN-VPN erlauben |
| Allow IPsec | IPsec-VPN erlauben |
| Block All | Allen Traffic blockieren |
Regel bearbeiten
Das Bearbeitungsformular ist in Abschnitte gegliedert:
Organisation:
- Aktiviert/Deaktiviert
- Kategorien zuweisen
- Beschreibung
Interface:
- Interface-Auswahl (inkl. "Floating (all)" fuer alle Interfaces)
- Interface invertieren (NOT)
Filter:
- Quick-Regel (optimierte Verarbeitung)
- Action: Pass, Block, Reject
- Richtung: In, Out
- IP-Version: IPv4, IPv6, IPv4+IPv6
- Protokoll: Any, TCP, UDP, TCP/UDP, ICMP, ESP, AH, GRE, IGMP, PIM, OSPF
Quelle:
- Quell-Adresse ueber Netzwerk-Selektor (siehe unten)
- Quelle invertieren (NOT)
- Quell-Port
Ziel:
- Ziel-Adresse ueber Netzwerk-Selektor
- Ziel invertieren (NOT)
- Ziel-Port
Erweitert:
- Gateway-Auswahl
- Protokollierung aktivieren
Netzwerk-Selektor
Der Netzwerk-Selektor ist ein intelligentes Dropdown, das verschiedene Adress-Typen gruppiert:
| Gruppe | Optionen |
|---|---|
| Allgemein | any (beliebig), (self) (Firewall selbst) |
| Interface-Adressen | IP-Adresse jedes Interfaces (z.B. LAN address, WAN address) |
| Interface-Netzwerke | Subnetz jedes Interfaces (z.B. LAN net, WAN net) |
| Aliase | Alle konfigurierten Aliase |
| Einzelner Host oder Netzwerk | Manuelle Eingabe einer IP/Subnetz |
Regeln sortieren
Die Reihenfolge der Regeln bestimmt die Verarbeitungsprioriaet. Verwenden Sie die Pfeil-Buttons (hoch/runter), um Regeln neu zu ordnen.
Geschuetzte Regeln
Regeln mit DATAZONE-PROTECT in der Beschreibung sind geschuetzt und koennen nicht bearbeitet oder geloescht werden. Diese werden von DATAZONE Control automatisch erstellt (z.B. WireGuard WAN-Regeln).
Aliase
Aliase sind benannte Gruppen von IP-Adressen, Netzwerken oder URLs, die in Firewall-Regeln verwendet werden koennen. Sie vereinfachen die Regelverwaltung erheblich.
Alias-Typen
| Typ | Beschreibung | Beispiel |
|---|---|---|
| Host(s) | Einzelne IP-Adressen oder Hostnamen | 192.168.1.100, server.example.com |
| Network(s) | IP-Subnetze in CIDR-Notation | 192.168.1.0/24, 10.0.0.0/8 |
| URL Table (IPs) | URL die eine IP-Liste liefert | Blocklisten-URLs |
| URL Table | URL die eine gemischte Liste liefert | Externe Filterlisten |
| GeoIP | Laender-basierte IP-Bereiche | Laendercodes |
| External | Extern verwaltete Aliase | Externe Quellen |
Alias erstellen/bearbeiten
| Feld | Beschreibung |
|---|---|
| Name | Eindeutiger Name (nur Buchstaben, Zahlen, Unterstrich) |
| Typ | Alias-Typ (siehe oben) |
| Beschreibung | Optionale Beschreibung |
| Inhalt | IP-Adressen, Netzwerke oder URLs (eine pro Zeile) |
| Kategorien | Optionale Kategorie-Zuordnung |
| Protokoll-Filter | Any, IPv4 oder IPv6 (bei URL-Typen) |
| Update-Intervall | Aktualisierungsfrequenz fuer URL-basierte Aliase |
Aliase in Regeln verwenden
Erstellte Aliase erscheinen automatisch im Netzwerk-Selektor der Firewall-Regeln unter der Gruppe "Aliase".
Kategorien
Kategorien dienen zur Organisation von Firewall-Regeln und Aliasen. Sie koennen farblich markiert werden.
- Erstellen: Name und Farbe festlegen
- Bearbeiten: Name und Farbe aendern
- Loeschen: Kategorie entfernen (Zuweisungen werden aufgeloest)
Kategorien werden als farbige Chips in der Regel- und Alias-Uebersicht angezeigt.
NAT Source (Outbound NAT)
Outbound-NAT-Regeln steuern die Quell-Adressenuebersetzung fuer ausgehenden Traffic.
Vorlagen
| Vorlage | Beschreibung |
|---|---|
| Leer | Leere Regel |
| Outbound LAN | Standard-NAT fuer LAN-Traffic |
| Outbound All Interfaces | NAT fuer alle Interfaces |
Regel-Felder
| Feld | Beschreibung |
|---|---|
| Aktiviert | Regel aktivieren/deaktivieren |
| Interface | Ausgehendes Interface |
| IP-Version | IPv4, IPv6 oder beide |
| Protokoll | Netzwerk-Protokoll |
| Quelle | Quell-Netzwerk (mit NOT und Netzwerk-Selektor) |
| Ziel | Ziel-Netzwerk (mit NOT und Netzwerk-Selektor) |
| Ziel-Port | Ziel-Port |
| Ziel-IP (Translation) | Uebersetzte Quell-Adresse |
| Ziel-Port (Translation) | Uebersetzter Quell-Port |
| Log | Protokollierung aktivieren |
| Beschreibung | Freitext-Beschreibung |
NAT Port Forward
Port-Forward-Regeln leiten eingehenden Traffic an interne Server weiter.
Vorlagen
| Vorlage | Beschreibung |
|---|---|
| Leer | Leere Regel |
| Port Forward HTTP | HTTP-Weiterleitung (Port 80) |
| Port Forward HTTPS | HTTPS-Weiterleitung (Port 443) |
| Port Forward RDP | RDP-Weiterleitung (Port 3389) |
| Port Forward SSH | SSH-Weiterleitung (Port 22) |
Regel-Felder
| Feld | Beschreibung |
|---|---|
| Aktiviert | Regel aktivieren/deaktivieren |
| Interface | Eingehendes Interface (typisch: WAN) |
| IP-Version | IPv4, IPv6 oder beide |
| Protokoll | Netzwerk-Protokoll |
| Quelle | Quell-Adresse (mit NOT und Netzwerk-Selektor) |
| Quell-Port | Quell-Port |
| Ziel | Externe Ziel-Adresse (mit NOT und Netzwerk-Selektor) |
| Externer Port | Port auf dem Interface (oeffentlicher Port) |
| Ziel-IP (Redirect) | Interner Server (IP-Adresse) |
| Interner Port | Port auf dem internen Server |
| Log | Protokollierung aktivieren |
| Beschreibung | Freitext-Beschreibung |
Beispiel: Webserver weiterleiten
Um einen internen Webserver (192.168.1.100:443) oeffentlich erreichbar zu machen, erstellen Sie eine Port-Forward-Regel auf dem WAN-Interface mit externem Port 443 und Ziel-IP 192.168.1.100, interner Port 443.
Kontextmenue
Rechtsklick auf eine Firewall in der Tabelle bietet Schnellaktionen:
- Details oeffnen - Detail-Modal anzeigen
- WebUI oeffnen - OPNsense-Weboberflaeche im neuen Tab
- Shell oeffnen - Remote-Terminal starten
- Tunnel starten - Schnellzugriff auf Tunnel-Vorlagen
- Update starten - Firmware-Update ausloesen
- Script ausfuehren - Script aus der Bibliothek ausfuehren
Tunnel-Vorlagen
| Vorlage | Zielport | Beschreibung |
|---|---|---|
| OPNsense WebUI | 443 | Zugriff auf die Weboberflaeche |
| Agent SSH | 22 | SSH ueber den Agent |
| SSH | 22 | Direkter SSH-Zugriff |
| VNC | 5900 | VNC-Fernzugriff |
| HTTP | 80 | HTTP-Weiterleitung |
| Custom | Frei | Beliebiger Port |
Update-Zeitplaene
| Typ | Beschreibung |
|---|---|
| System Update | OPNsense-Firmware-Update ohne Neustart |
| Update + Reboot | Update mit anschliessendem Neustart und optionalem Health-Check |
Health-Check nach Reboot
Bei Update-Zeitplaenen mit Neustart koennen zusaetzliche Optionen konfiguriert werden:
| Option | Beschreibung | Standard |
|---|---|---|
| Health-Check aktiviert | Nach Neustart pruefen, ob die Firewall wieder erreichbar ist | Ja |
| Health-Check Timeout | Maximale Wartezeit auf den Agent-Heartbeat nach Neustart | 600 Sekunden |
| Auto-Reboot | Automatischer Neustart nach dem Update | Nein |
Zeitplaene koennen einmalig oder wiederkehrend (taeglich, woechentlich, monatlich, Cron) konfiguriert werden. Siehe Update-Zeitplaene.
Weitere Aktionen
| Aktion | Beschreibung |
|---|---|
| Backup | Konfigurations-Backup (config.xml) erstellen |
| Config-Sync | Konfiguration zwischen HA-Firewalls synchronisieren |