OPNsense 26.1 auf Mini-PC: Hardware-Auswahl und Erstinstallation

Netzwerk
OPNsense 26.1 Serie · Teil 1 von 6

OPNsense 26.1 auf Mini-PC: Hardware-Auswahl und Erstinstallation

Intel N150, i226-V NICs und der saubere Weg zur produktiven Firewall

Wer heute eine kleine bis mittelgroße Firewall-Appliance aufbauen will, kommt an Mini-PCs mit modernen Intel-Plattformen kaum noch vorbei. Sie liefern für unter 300 Euro mehr Leistung als so mancher 1U-Server vor fünf Jahren, sind lüfterlos, brauchen wenig Strom und passen in jeden Schaltschrank. In diesem ersten Teil der Serie zeige ich die Hardware-Auswahl für eine produktive OPNsense 26.1, die BIOS-Vorbereitung und die Erstinstallation bis zur einsatzbereiten GUI.

Warum Intel N150 und i226-V?

Der Intel N150 (Twin Lake, 6 W TDP, 4 Kerne) ist der direkte Nachfolger des N100 und für Firewall-Workloads ideal: AES-NI in Hardware, genügend Single-Thread-Leistung für IDS/IPS, ausreichend für mehrere Gigabit-Verbindungen gleichzeitig. Entscheidend ist aber nicht die CPU allein, sondern die Netzwerkkarten. Hier scheiden sich die Geister.

Intel i226-V
Stabiler 2,5-GbE-Chip mit ausgereiftem FreeBSD-Treiber (igc). Läuft unter OPNsense out of the box, kein Tuning nötig.
Realtek RTL8125
2,5-GbE-Chip, aber FreeBSD-Treiber sind historisch zickig. Paketverluste unter Last und Probleme mit Hardware-Offloading sind häufig.
Empfehlung aus der Praxis
Mini-PCs mit 4× Intel i226-V NICs (oft als „CWWK“, „Topton“ oder „Protectli“-Klone gehandelt) sind die saubere Wahl. Finger weg von Boards mit gemischten Realtek/Intel-Karten – das spart 30 Euro und kostet später zehnmal so viel an Fehlersuche.

Mindestempfehlung für produktive Umgebungen

  • CPU: Intel N150 oder besser (N305 für größere IDS-Workloads)
  • RAM: 16 GB DDR5 SODIMM (8 GB reichen technisch, 16 sind die Versicherung für Suricata, CrowdSec und Caching-Resolver)
  • Storage: NVMe SSD 256 GB, idealerweise mit DRAM-Cache (Crucial P3 Plus, WD SN580)
  • NICs: 4× Intel i226-V (WAN, LAN, OPT1 für DMZ/Gast, OPT2 für Management)
  • Sonstiges: Lüfterloses Gehäuse, HDMI/DP für die Erstinstallation, USB-Tastatur

BIOS-Vorbereitung

Bevor das OPNsense-Image überhaupt gebootet wird, sollten folgende BIOS-Einstellungen kontrolliert werden. Bei chinesischen Mini-PCs ist das BIOS oft auf maximale Kompatibilität getrimmt – das ist für eine Firewall meist suboptimal.

Empfohlene BIOS-Settings
  • Secure Boot: Disabled (OPNsense unterstützt es nicht)
  • CSM: Disabled (reines UEFI-Boot)
  • Intel VT-d / VT-x: Enabled (später für KVM/VMs, falls nötig)
  • Power After Power Loss: Always On (Firewall muss nach Stromausfall automatisch hochfahren)
  • Hyper-Threading: Enabled
  • C-States: Enabled (spart Strom, OPNsense kommt gut damit klar)
  • Watchdog Timer: Enabled, falls verfügbar

OPNsense 26.1 Image herunterladen

Für die Installation auf einem Mini-PC mit Display und Tastatur ist das VGA-Image die richtige Wahl. Für reine Headless-Installationen via serieller Konsole das Serial-Image. Heruntergeladen wird von einem deutschen Mirror, anschließend mit BalenaEtcher oder Rufus auf einen USB-Stick geschrieben.

# Image-Typ auswählen

OPNsense-26.1-dvd-amd64.iso.bz2 ← für VGA-Konsole (Empfehlung)
OPNsense-26.1-serial-amd64.img.bz2 ← für serielle Konsole
OPNsense-26.1-nano-amd64.img.bz2 ← für kleine Flash-Medien

Hash-Prüfung nicht vergessen
Auf der Downloadseite stehen SHA-256-Hashes. Diese vor dem Schreiben auf den Stick verifizieren – eine korrupte ISO erkennt man später erst, wenn die Firewall im laufenden Betrieb seltsame Fehler wirft.

Installation Schritt für Schritt

Den Mini-PC mit gestecktem USB-Stick einschalten und im Bootmenü den Stick auswählen. Das Live-System bootet als root mit Passwort opnsense. Anschließend:

  1. Login als installer / opnsense – startet den Installer
  2. Keymap: German.kbd auswählen
  3. Installationsmodus: „Install (UFS)“ für Standardsysteme, „Install (ZFS)“ für Snapshots und Boot Environments
  4. Zieldisk: Die interne NVMe auswählen (Vorsicht: USB-Stick erscheint auch in der Liste!)
  5. Root-Passwort setzen – sicheres, eindeutiges Passwort, nicht das spätere Admin-Passwort der GUI
  6. Reboot und USB-Stick entfernen
ZFS oder UFS?
Für Produktivsysteme klar ZFS: Boot Environments erlauben Rollback nach fehlgeschlagenen Updates, Snapshots vor Konfigurationsänderungen sind Gold wert. Der RAM-Mehrbedarf von ZFS ist mit 16 GB komplett unkritisch.

Interface-Zuordnung

Nach dem ersten Boot meldet sich OPNsense an der Konsole mit einer Liste verfügbarer NICs. Bei vier i226-V Karten typischerweise igc0 bis igc3. Die Zuordnung erfolgt am einfachsten über den Auto-Detection-Modus:

# An der Konsole Option 1 wählen: Assign interfaces

Should VLANs be set up now [y|N]? N
Enter the WAN interface name: a ← Auto-Detect, dann Kabel in WAN-Port stecken
Enter the LAN interface name: a ← Auto-Detect, dann Kabel in LAN-Port stecken
Optional interface 1: igc2 ← OPT1 / DMZ
Optional interface 2: igc3 ← OPT2 / Management

Sobald LAN konfiguriert ist, ist die WebGUI unter https://192.168.1.1 erreichbar – Login mit root und dem während der Installation gesetzten Passwort.

Erstkonfiguration im Setup-Wizard

Beim ersten Login startet der Setup-Wizard. Folgende Punkte sollten bewusst gesetzt werden:

  • Hostname & Domain: Sprechender Name, z. B. fw01.kunde.local
  • DNS-Server: Vorerst 9.9.9.9 und 1.1.1.1 – später wird Unbound übernehmen
  • NTP-Server: de.pool.ntp.org
  • Zeitzone: Europe/Berlin
  • WAN: Je nach Anschluss – PPPoE für DSL, DHCP für Kabel, Static für Business-Leitungen
  • Root-Passwort ändern: Pflicht. Lang, einmalig, im Passwortmanager
Sicherheitshinweis
Im Setup-Wizard wird gefragt, ob die WebGUI über WAN erreichbar sein soll. Niemals zustimmen. Management-Zugriff erfolgt ausschließlich über LAN oder ein dediziertes Management-Interface, idealerweise zusätzlich abgesichert über WireGuard (Teil 2 dieser Serie).

Erste Härtungsmaßnahmen

Bevor produktiver Traffic durch die Firewall geht, sollten ein paar Grundlagen sitzen:

  • Lokalen Admin-Benutzer anlegen, root-Login für WebGUI deaktivieren
  • SSH abschalten oder auf nicht-Standardport mit Schlüsselauthentifizierung umstellen
  • WebGUI auf HTTPS-only mit selbstsigniertem Zertifikat (später ACME)
  • Automatische Updates für Sicherheitspatches aktivieren (System → Firmware)
  • Konfigurationsbackup einrichten (System → Configuration → Backups), idealerweise mit verschlüsseltem Cloud-Sync
Fazit Teil 1
Mit einem Mini-PC auf Intel N150-Basis und vier i226-V NICs steht eine produktive OPNsense 26.1-Plattform für unter 300 Euro. Die richtige Hardware-Wahl ist die wichtigste Entscheidung – sie spart später Stunden an Treiberproblemen und Performance-Tuning. Im nächsten Teil geht es ans Eingemachte: WireGuard Site-to-Site VPN mit korrekten Allowed IPs, Keepalive und der richtigen Regel-Reihenfolge auf der WAN-Schnittstelle.
Nächster Teil
Teil 2: WireGuard Site-to-Site VPN richtig konfigurieren
Allowed IPs als /32, Keepalive=25, GeoIP-Regel-Reihenfolge auf WAN
© IT-Service Walter · Der Windows Papst · der-windows-papst.de