In der heutigen vernetzten Welt ist ein robustes und sicheres Netzwerk zu Hause nicht mehr nur ein Luxus, sondern eine Notwendigkeit. Standard-Consumer-Router stoßen dabei oft an ihre Grenzen – sei es in puncto Funktionalität, Leistung oder vor allem Sicherheit. Für technikbegeisterte Anwender und Kleinunternehmen bietet sich eine professionelle Lösung an, die sonst nur in Rechenzentren oder Firmennetzwerken zu finden ist: OPNsense als leistungsstarke Firewall und Router, betrieben auf einer Proxmox VE Virtualisierungsumgebung. Dieser Artikel führt Sie Schritt für Schritt durch die Installation und Konfiguration dieser Kombination und zeigt, wie Sie Ihr Heimnetzwerk auf ein neues Niveau heben können.
Warum OPNsense auf Proxmox? Die Vorteile der Virtualisierung
Die Entscheidung für OPNsense auf Proxmox ist eine bewusste Abkehr von der „Black Box”-Lösung eines Consumer-Routers. Hier sind die Hauptgründe, warum diese Kombination eine ausgezeichnete Wahl ist:
- Umfassende Kontrolle und Flexibilität: OPNsense bietet eine Fülle an Funktionen, die weit über das hinausgehen, was herkömmliche Router leisten. Dazu gehören erweiterte Firewall-Regeln, VPN-Server und -Clients, Intrusion Detection/Prevention Systeme (IDS/IPS), Traffic Shaping, Multi-WAN und vieles mehr.
- Verbesserte Sicherheit: Mit Funktionen wie Suricata oder Zenarmor können Sie Ihr Netzwerk proaktiv vor Bedrohungen schützen und den Datenverkehr detailliert überwachen.
- Ressourcenschonung durch Virtualisierung: Durch den Betrieb auf Proxmox können Sie Ihre vorhandene Hardware effizienter nutzen. Statt dedizierter Hardware für den Router können Sie OPNsense als virtuelle Maschine (VM) auf einem Server laufen lassen, der gleichzeitig weitere Dienste (z.B. NAS, Home Assistant, Medien-Server) hostet. Dies spart Platz, Energie und Kosten.
- Einfaches Management: Proxmox bietet eine benutzerfreundliche Weboberfläche zur Verwaltung all Ihrer virtuellen Maschinen. Backups, Snapshots und das Verschieben von VMs sind unkompliziert.
- Skalierbarkeit und Zukunftssicherheit: Bei steigenden Anforderungen können Sie die Ressourcen der OPNsense-VM (CPU, RAM) flexibel anpassen, ohne neue Hardware kaufen zu müssen.
Was ist OPNsense? Eine kurze Einführung
OPNsense ist eine Open-Source-Firewall- und Routing-Software, die auf FreeBSD basiert. Sie ist ein Fork von pfSense und hat sich in den letzten Jahren als eigenständige, innovative und leistungsstarke Lösung etabliert. Mit einer intuitiven Weboberfläche und einer aktiven Community bietet OPNsense eine professionelle Firewall-Lösung, die für Heimnetzwerke und kleine bis mittlere Unternehmen gleichermaßen geeignet ist.
Was ist Proxmox VE? Die Virtualisierungsplattform
Proxmox Virtual Environment (VE) ist eine kostenlose Open-Source-Server-Virtualisierungsplattform, die auf Debian Linux basiert. Sie kombiniert zwei Virtualisierungstechnologien – KVM (Kernel-based Virtual Machine) für virtuelle Maschinen und LXC (Linux Containers) für Container-basierte Virtualisierung – auf einer einzigen Plattform. Über eine zentrale Weboberfläche können Sie VMs und Container erstellen, verwalten und überwachen, Backups durchführen und Hochverfügbarkeits-Cluster einrichten.
Hardware-Anforderungen: Was Ihr Server mitbringen sollte
Bevor Sie mit der Installation beginnen, ist es wichtig, die richtige Hardware für Ihr Vorhaben zu wählen. Für den Betrieb von OPNsense als Router auf Proxmox benötigen Sie einen dedizierten Server:
- CPU: Ein moderner Mehrkernprozessor (z.B. Intel Core i3/i5/i7/i9 oder AMD Ryzen) ist empfehlenswert. Achten Sie auf Unterstützung für Intel VT-d oder AMD-Vi (IOMMU), da dies für das PCI Passthrough der Netzwerkkarten essenziell ist.
- RAM: Mindestens 8 GB RAM für den Proxmox-Host. Die OPNsense-VM selbst benötigt 2-4 GB RAM, je nach aktivierten Diensten. Mehr RAM ist immer besser, wenn Sie weitere VMs betreiben möchten.
- Speicher: Eine SSD (Solid State Drive) für das Proxmox-Betriebssystem und die VMs ist dringend zu empfehlen, um eine schnelle Performance zu gewährleisten. 120 GB sind das absolute Minimum, 250 GB oder mehr bieten mehr Spielraum.
- Netzwerkkarten (NICs): Dies ist der kritischste Punkt. Sie benötigen mindestens zwei physische Netzwerkkarten im Server, besser drei oder mehr:
- Eine NIC für den Proxmox-Host (Management).
- Eine NIC für das WAN (Internetverbindung) der OPNsense-VM.
- Eine NIC für das LAN (lokales Netzwerk) der OPNsense-VM.
Ideal sind Intel-basierte Netzwerkkarten, da diese eine hervorragende Kompatibilität und Leistung bieten. Für PCI Passthrough müssen die Netzwerkkarten als separate IOMMU-Gruppen erkannt werden können.
- Gehäuse & Kühlung: Achten Sie auf ein kompaktes, leises Gehäuse und eine effiziente Kühlung, da der Server 24/7 laufen wird.
Vorbereitung auf Proxmox: Der erste Schritt
Dieser Leitfaden setzt voraus, dass Proxmox VE bereits auf Ihrem Server installiert ist und Sie über die Weboberfläche (Standard-Port 8006, z.B. https://<IP_Ihres_Proxmox_Servers>:8006) darauf zugreifen können. Falls nicht, finden Sie zahlreiche Anleitungen zur Installation von Proxmox online.
1. IOMMU und PCI Passthrough aktivieren
Damit OPNsense direkten Zugriff auf physische Netzwerkkarten erhält (was für WAN und LAN dringend empfohlen wird, um Performance und Isolation zu maximieren), müssen Sie PCI Passthrough (auch bekannt als VT-d bei Intel oder AMD-Vi bei AMD) im BIOS/UEFI Ihres Servers und in Proxmox aktivieren.
- BIOS/UEFI: Aktivieren Sie „Intel VT-d” oder „AMD-Vi” sowie „SR-IOV” (falls verfügbar) und „Above 4G Decoding” (manchmal erforderlich) in den Einstellungen Ihres Mainboards.
- Proxmox Host: Melden Sie sich via SSH oder über die Proxmox-Shell als Root an und bearbeiten Sie die GRUB-Konfiguration:
nano /etc/default/grubFügen Sie je nach CPU folgende Parameter zur Zeile
GRUB_CMDLINE_LINUX_DEFAULThinzu:- Intel:
intel_iommu=on iommu=pt - AMD:
amd_iommu=on iommu=pt
Die Zeile könnte dann z.B. so aussehen:
GRUB_CMDLINE_LINUX_DEFAULT="quiet intel_iommu=on iommu=pt"Speichern Sie die Änderungen (Strg+O, Enter, Strg+X).
- Intel:
- Kernel-Module laden: Bearbeiten Sie die Datei
/etc/modulesund fügen Sie folgende Zeilen hinzu:vfio vfio_iommu_type1 vfio_pci vfio_virqfdSpeichern Sie die Änderungen.
- GRUB aktualisieren und neustarten:
update-grub update-initramfs -u -k all reboot - Überprüfung: Nach dem Neustart können Sie prüfen, ob IOMMU aktiv ist:
dmesg | grep -e DMAR -e IOMMUSie sollten Ausgaben sehen, die auf die Aktivierung von IOMMU hinweisen.
2. OPNsense ISO herunterladen
Laden Sie die aktuelle OPNsense ISO-Datei von der offiziellen Website (opnsense.org/download/) herunter. Wählen Sie die „DVD”-Version für die Installation auf einer VM. Laden Sie die ISO-Datei anschließend in den ISO-Speicher Ihres Proxmox-Hosts hoch (Datacenter -> Storage -> `Ihr_Storage` -> ISO Images -> Upload).
OPNsense VM erstellen und Netzwerkkarten zuweisen
Nun erstellen wir die virtuelle Maschine für OPNsense in Proxmox.
1. Neue VM erstellen
- Klicken Sie in der Proxmox-Weboberfläche oben rechts auf „VM erstellen”.
- General: Vergeben Sie einen Namen (z.B. „OPNsense-Router”) und optional eine VM-ID.
- OS:
- „Do not use any media” oder „Use CD/DVD disc image file”.
- Wählen Sie Ihr hochgeladenes OPNsense ISO aus.
- „Guest OS Type”: „Other”, „Version”: „Other”.
- System:
- „Graphic card”: „Standard VGA”.
- „SCSI Controller”: „VirtIO SCSI Single” (empfohlen).
- „Qemu Agent”: Nicht aktivieren.
- Disks:
- „Bus/Device”: „SCSI”.
- „Storage”: Wählen Sie Ihren SSD-Speicher aus.
- „Disk size”: Mindestens 20 GB (OPNsense benötigt nicht viel).
- „Cache”: „Write back” oder „No cache” (je nach Präferenz, Write back ist schneller, birgt aber bei Stromausfall ein Risiko).
- CPU:
- „Cores”: 2-4 Kerne (reichen in der Regel für Heimnetzwerke).
- „Type”: „host” oder „kvm64” (host ist performanter, kvm64 kompatibler).
- Memory: 2-4 GB RAM (z.B. 4096 MB).
- Network: Hier ist Vorsicht geboten!
- Zunächst erstellen Sie keine oder nur eine temporäre Netzwerkkarte (z.B. „VirtIO” und „Bridge” `vmbr0`). Diese wird später entfernt oder nur für Managementzwecke genutzt, falls Sie kein PCI Passthrough nutzen.
- Klicken Sie auf „Fertigstellen”.
2. Netzwerkkarten via PCI Passthrough zuweisen
Dies ist der entscheidende Schritt für eine performante und sichere Router-VM. Sie geben die physischen Netzwerkkarten direkt an die OPNsense-VM weiter.
- Wählen Sie die soeben erstellte OPNsense-VM aus.
- Gehen Sie zu „Hardware” -> „Hinzufügen” -> „PCI Gerät”.
- Im Dropdown-Menü „PCI Device” sehen Sie nun eine Liste der verfügbaren PCI-Geräte. Identifizieren Sie Ihre physischen Netzwerkkarten (meist anhand des Namens oder der Vendor-ID, z.B. „Intel Corporation I210 Gigabit Network Connection”).
- Wählen Sie die erste NIC für Ihr WAN und aktivieren Sie „All Functions”. Deaktivieren Sie „Primary GPU”, falls angeboten.
- Wiederholen Sie den Vorgang für die zweite NIC, die als LAN dienen soll.
- Überprüfen Sie, ob unter „Hardware” nun zwei „PCI Device” Einträge für Ihre Netzwerkkarten sichtbar sind.
- Entfernen Sie die anfänglich erstellte „Network Device” (
net0), es sei denn, Sie möchten sie für spezielle Proxmox-Brücken-Anwendungsfälle behalten (was für den Router-Einsatz eher nicht empfohlen wird).
Hinweis bei Problemen mit PCI Passthrough: Manchmal verhindern Konflikte oder fehlerhafte IOMMU-Gruppen ein erfolgreiches Passthrough. Stellen Sie sicher, dass keine anderen wichtigen Geräte in derselben IOMMU-Gruppe sind. Weitere Informationen finden Sie in der Proxmox-Dokumentation.
OPNsense Installation in der VM
Starten Sie die OPNsense-VM und folgen Sie dem Installationsprozess:
- Wählen Sie Ihre OPNsense-VM in Proxmox aus und klicken Sie auf „Starten”.
- Öffnen Sie die „Konsole” der VM.
- Der OPNsense-Bootloader startet. Drücken Sie Enter, um den Standard zu wählen.
- Wählen Sie im Installations-Menü „Install”.
- Tastaturlayout: Wählen Sie „German” oder Ihr bevorzugtes Layout.
- Partitionierung: Wählen Sie „UFS” (Standard), meistens „Auto (UFS)” oder „GPT”. Bestätigen Sie die Festplatte (z.B.
ada0). - Der Installationsprozess startet und kann einige Minuten dauern.
- Nach der Installation werden Sie gefragt, ob Sie in die Shell wechseln möchten. Wählen Sie „No”.
- Entfernen Sie das OPNsense ISO aus der VM (Proxmox Weboberfläche -> VM -> Hardware -> CD/DVD Drive -> Bearbeiten -> „No media”) und starten Sie die VM neu.
Erste Konfiguration von OPNsense
Nach dem Neustart bootet OPNsense von der virtuellen Festplatte. Sie werden auf der Konsole begrüßt:
*** OPNsense.router.localdomain ***
LAN (lagg0) -> v4: 192.168.1.1/24
WAN (lagg1) -> v4: dhcp
Type 1 for Interfaces assignments
Type 2 for Set interface IP address
Type ...1. Interface Zuweisung
Dies ist der wichtigste Schritt. OPNsense erkennt Ihre via PCI Passthrough zugewiesenen Netzwerkkarten als physische Schnittstellen (z.B. igb0, igb1, em0, em1 je nach Hardware). Sie müssen zuweisen, welche Karte WAN und welche LAN ist.
- Geben Sie auf der Konsole „1” ein, um die Interface-Zuweisung zu starten.
- Configure VLANs now? „n” (es sei denn, Sie nutzen VLANs auf Ihren physischen WAN/LAN-Schnittstellen).
- Enter the WAN interface name: Geben Sie den Namen der NIC ein, die an Ihr Modem/Internet angeschlossen ist (z.B.
igb0). Achten Sie darauf, welche Netzwerkkarte es ist, oft hilft es, die MAC-Adressen in Proxmox und der OPNsense-Konsole abzugleichen. - Enter the LAN interface name: Geben Sie den Namen der NIC ein, die an Ihr internes Netzwerk/Switch angeschlossen ist (z.B.
igb1). - Enter the Optional 1 interface name: Einfach Enter drücken.
- Do you want to proceed? „y”.
OPNsense lädt nun die neuen Einstellungen. Sobald dies geschehen ist, sollte die Konsole die neuen Interface-Namen und eventuell bereits zugewiesene IPs anzeigen (z.B. WAN via DHCP, LAN mit Standard-IP 192.168.1.1).
2. Zugriff auf die Weboberfläche
Verbinden Sie einen Computer mit dem LAN-Port Ihres Proxmox-Servers (dem physischen Port, der OPNsense als LAN-NIC zugewiesen wurde). Ihr Computer sollte eine IP-Adresse von OPNsense (standardmäßig DHCP aktiviert) erhalten. Öffnen Sie einen Webbrowser und navigieren Sie zu:
https://192.168.1.1Möglicherweise erhalten Sie eine Zertifikatswarnung – diese können Sie vorerst ignorieren und als Ausnahme hinzufügen.
Melden Sie sich mit den Standard-Zugangsdaten an:
- User:
root - Password:
opnsense
3. Der Initial-Setup-Assistent
Nach dem ersten Login startet der Setup-Assistent. Folgen Sie den Schritten:
- General Information: Hostname (z.B. „OPNsense-Router”), Domain (z.B. „local”), DNS-Server (Standardmäßig die vom WAN-DHCP zugewiesenen oder eigene, z.B. Cloudflare/Google).
- Time Server: NTP-Server (Standard ist oft in Ordnung).
- Configure WAN Interface:
- „Type”: Meist „DHCP” (für Kabelmodem) oder „PPPoE” (für DSL).
- Wenn DHCP: Keine weiteren Einstellungen.
- Wenn PPPoE: Benutzername und Passwort Ihres ISP eingeben.
- „Block bogon networks”: Aktiviert lassen.
- „Block private networks”: Deaktivieren, wenn Ihr ISP private IPs vergibt oder Sie ein Double-NAT haben.
- Configure LAN Interface:
- Standard-IP
192.168.1.1/24ist ein guter Startpunkt. Ändern Sie dies bei Bedarf. - Achten Sie darauf, dass diese IP nicht mit dem Subnetz Ihres Proxmox-Managements kollidiert!
- Standard-IP
- Root Password: Ändern Sie unbedingt das Standardpasswort für den
root-Benutzer! - Reload Configuration: OPNsense übernimmt die neuen Einstellungen.
Herzlichen Glückwunsch! Ihr OPNsense-Router auf Proxmox sollte jetzt grundlegend konfiguriert sein und Internetzugriff bereitstellen.
Erweiterte Konfiguration und Nutzung von OPNsense
Nach der Grundkonfiguration können Sie die Stärken von OPNsense nutzen, um Ihr Netzwerk weiter zu optimieren und zu sichern:
- Firewall-Regeln: Erstellen Sie detaillierte Regeln, um den Datenverkehr zu steuern, Ports zu öffnen oder zu schließen und den Zugriff auf bestimmte Dienste zu beschränken.
- DHCP-Server: Konfigurieren Sie den DHCP-Server, um IP-Adressen in Ihrem LAN zu verteilen.
- DNS Resolver/Forwarder: Nutzen Sie den integrierten Unbound DNS Resolver für schnellere und sicherere Namensauflösung oder binden Sie externe DNS-Server ein.
- VPN: Richten Sie einen OpenVPN oder WireGuard VPN-Server ein, um von unterwegs sicher auf Ihr Heimnetzwerk zuzugreifen, oder nutzen Sie einen VPN-Client, um Ihren gesamten Traffic über einen VPN-Anbieter zu routen.
- IDS/IPS (Intrusion Detection/Prevention System): Aktivieren Sie Suricata oder Zenarmor, um schädlichen Datenverkehr zu erkennen und zu blockieren.
- Traffic Shaping: Priorisieren Sie wichtigen Datenverkehr (z.B. VoIP oder Gaming) gegenüber weniger kritischen Anwendungen.
- VLANs: Segmentieren Sie Ihr Netzwerk in verschiedene virtuelle Netze (z.B. für IoT-Geräte, Gäste, Server), um die Sicherheit und Übersicht zu erhöhen.
- Monitoring: OPNsense bietet umfassende Logging- und Monitoring-Funktionen, um den Netzwerkstatus und eventuelle Probleme zu überwachen.
- Plugins: Installieren Sie weitere Plugins für zusätzliche Funktionen wie einen Proxy-Server (Squid), einen Captive Portal oder erweiterte Reporting-Tools.
Betrieb und Wartung
- Regelmäßige Updates: Halten Sie OPNsense und Proxmox stets aktuell, um von den neuesten Funktionen und Sicherheitskorrekturen zu profitieren.
- Backups: Erstellen Sie regelmäßig Backups der OPNsense-Konfiguration (System -> Configuration -> Backups) und nutzen Sie die Proxmox-Backup-Funktion für die gesamte VM.
- Snapshots: Vor größeren Änderungen an der OPNsense-VM oder -Konfiguration empfiehlt es sich, einen Proxmox-Snapshot zu erstellen, um bei Problemen schnell zum vorherigen Zustand zurückkehren zu können.
- Monitoring: Überwachen Sie die Ressourcen-Nutzung der OPNsense-VM in Proxmox, um Engpässe frühzeitig zu erkennen.
Fazit: Die Profi-Lösung für Ihr Zuhause
Die Installation und der Betrieb von OPNsense als Router auf Proxmox mag anfangs etwas komplexer erscheinen als das Anschließen eines Consumer-Routers. Doch der Aufwand lohnt sich immens. Sie erhalten eine professionelle, flexible und hochgradig sichere Netzwerklösung, die exakt auf Ihre Bedürfnisse zugeschnitten ist.
Diese Kombination bietet Ihnen nicht nur volle Kontrolle über Ihr Heimnetzwerk, sondern auch ein enormes Potenzial für Lernkurven und Experimente. Verabschieden Sie sich von den Einschränkungen der Standard-Hardware und treten Sie ein in die Welt der Netzwerk-Virtualisierung und professionellen Firewall-Lösungen. Ihr Heimnetzwerk wird es Ihnen danken!