Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Server & Netzwerk 02.06.2026 · 11 min Lesezeit

pfSense / OPNsense als Firewall – Erstkonfiguration

So gelingt die Erstkonfiguration von pfSense und OPNsense als Firewall: Interfaces zuordnen, Setup-Assistent, DHCP-Server, DNS-Resolver, Firewall-Regeln nach Default-Deny, Port-Forward und erste Härtung – Schritt für Schritt.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Schaubild zur Erstkonfiguration von pfSense oder OPNsense als Firewall, mit WAN- und LAN-Zuweisung, Webinterface, Basisregeln und grundlegenden Netzwerk-Einstellungen.

Eine richtig konfigurierte Firewall ist das Rückgrat jedes Firmennetzes. pfSense und OPNsense sind beide FreeBSD-basiert, kostenlos als Open-Source-Variante erhältlich und werden fast vollständig über eine Web-GUI konfiguriert. Diese Anleitung führt dich als Admin durch die komplette Erstkonfiguration beider Produkte parallel: von der Interface-Zuordnung über den Setup-Assistenten, DHCP und DNS-Resolver bis zu den ersten Firewall-Regeln, Port-Forwarding und einer soliden Grundhärtung. Da sich beide Distributionen im Erstkonfigurations-Schema fast identisch verhalten, deckst du mit einer Anleitung beide ab.

Kurzfassung: Nach der Installation ordnest du im Konsolen-Menü (Option 1) die Interfaces zu (WAN/LAN). Die GUI ist bei beiden unter https://192.168.1.1 erreichbar – Login pfSense admin/pfsense, OPNsense root/opnsense. Dann läuft der Setup-Assistent (Hostname, Domain, DNS, Zeitzone, WAN, LAN, neues Passwort). DHCP-Server und der DNS-Resolver Unbound sind ab Werk aktiv. Firewall-Regeln arbeiten nach Default-Deny und first-match: WAN ist dicht, LAN darf out-of-the-box ins Internet. Port-Forwards immer mit zugehöriger Pass-Regel anlegen. Zur Härtung: Default-Passwort sofort ändern, kein Management vom WAN, SSH nur per Key.Voraussetzungen

  1. Eine installierte pfSense CE oder OPNsense auf passender Hardware (Appliance, Mini-PC oder VM) mit mindestens zwei Netzwerkkarten – eine für WAN, eine für LAN.
  2. Ein Client-PC, der per Kabel am LAN-Port der Firewall hängt und seine IP per DHCP bezieht.
  3. Ein moderner Webbrowser für die Web-GUI (HTTPS).
  4. Zugang zur Konsole der Firewall (Monitor/Tastatur, serielle Konsole oder VM-Konsole) für die Interface-Zuordnung.
  5. Die Zugangsdaten deines Internetanschlusses, falls WAN nicht per DHCP läuft (z. B. PPPoE-Benutzer/Passwort).

Hinweis: Beide Produkte nutzen ab Werk das LAN-Netz 192.168.1.0/24 mit der Firewall-IP 192.168.1.1. Dieses Subnetz kollidiert häufig mit Heim-Routern und Modems. Plane gegebenenfalls ein abweichendes LAN-Subnetz wie 192.168.10.0/24 ein.

Schritt 1: Interfaces zuordnen (WAN und LAN)

Direkt nach der Installation landest du im Konsolen-Menü. Hier legst du fest, welche physische Netzwerkkarte WAN und welche LAN ist. Das ist bei beiden Produkten der erste und wichtigste Schritt, denn ohne korrekte Zuordnung erreichst du die GUI nicht.

Wähle im Konsolen-Menü die Option 1 (Assign Interfaces). Bei pfSense gibst du erst den WAN-Port an, dann den LAN-Port:

pfSense Konsole - Option 1: Assign Interfaces
  Should VLANs be set up now? -> n
  Enter the WAN interface name -> vtnet0  (bzw. em0)
  Enter the LAN interface name -> vtnet1  (bzw. em1)
  Do you want to proceed? -> y

Bei OPNsense ist die Abfrage-Reihenfolge umgekehrt: Du gibst zuerst das LAN-Interface an, dann das WAN-Interface:

OPNsense Konsole - Option 1: Assign interfaces
  Configure LAN interface -> em0
  Configure WAN interface -> em1
  bestaetigen

Welche Schnittstelle welcher Name ist (z. B. em0, vtnet0, igb0), erkennst du häufig daran, dass beim Einstecken eines Kabels der zugehörige Adapter erscheint. Über die Konsolen-Option 2 setzt du nachträglich IP-Adressen; Option 3 setzt bei pfSense das webConfigurator-Konto bzw. bei OPNsense das Root-Passwort zurück – nützlich, falls du dich aussperrst.

Schritt 2: Web-GUI öffnen und einloggen

Verbinde deinen Client per Kabel mit dem LAN-Port. Der DHCP-Server der Firewall ist ab Werk aktiv und vergibt dir eine IP aus dem Bereich 192.168.1.100 aufwärts. Öffne dann im Browser:

https://192.168.1.1

Die GUI läuft auf HTTPS; HTTP wird automatisch auf HTTPS umgeleitet. Da das Zertifikat selbstsigniert ist, musst du die Browser-Warnung einmalig bestätigen. Melde dich mit den Standard-Zugangsdaten an:

ProduktBenutzerPasswortAssistent

pfSense CE

admin

pfsense

startet automatisch

OPNsense

root

opnsense

unter System > Wizard

Bei pfSense startet der Setup-Assistent direkt beim ersten Login; der Passwortwechsel ist seit Version 24.03 verpflichtend. Bei OPNsense rufst du den Assistenten anschließend manuell unter System > Wizard auf.

Schritt 3: Setup-Assistent durchlaufen

Der Assistent führt dich durch die Grundeinstellungen. Die Reihenfolge ist bei beiden Produkten sehr ähnlich. Bei pfSense arbeitest du folgende Seiten ab:

  1. Welcome: Startseite, einfach Next.
  2. General Information: Hostname (z. B. fw01), Domain (z. B. company.home.arpa), optional Primary/Secondary DNS-Server. Lass die DNS-Felder leer, wenn du den lokalen Resolver nutzen willst.
  3. NTP / Zeitzone: Zeitzone wählen (z. B. Europe/Berlin); der NTP-Server steht standardmäßig auf 2.pfsense.pool.ntp.org.
  4. WAN: Typ wählen – DHCP (Standard), Static, PPPoE oder PPTP. Die Checkboxen Block RFC1918 Private Networks und Block Bogon Networks bleiben für echten Internet-Betrieb aktiv.
  5. LAN: LAN-IP und Maske, Standard 192.168.1.1/24. Hier ändern, falls dein Netz kollidiert.
  6. Admin-Passwort: Neues, starkes Passwort setzen – es darf nicht der Default sein und nicht dem Benutzernamen entsprechen.
  7. Reload: Konfiguration neu laden, fertig.

Bei OPNsense klickst du dich unter System > Wizard durch analoge Schritte: General (Hostname, Domain, DNS z. B. 9.9.9.9), Timezone, WAN (Standard DHCP), LAN (192.168.1.1/24), Root-Passwort ändern und Reload.

Wichtig: Hängt deine Firewall in einem Testlabor hinter einem anderen NAT-Router mit privater WAN-IP, dann verhindern Block RFC1918 und Block Bogon Networks die WAN-Funktion. Entferne diese Haken in einem solchen Doppel-NAT-Szenario temporär.

Schritt 4: DHCP-Server einrichten

Der DHCP-Server ist auf dem LAN ab Werk aktiv. Du solltest den Adressbereich aber bewusst festlegen. Ein wichtiger Hinweis vorab: Der alte ISC DHCP ist abgekündigt (End-of-Life). In neuen Installationen nutzt OPNsense standardmäßig Dnsmasq DNS & DHCP (Alternative Kea für große Umgebungen), pfSense empfiehlt Kea statt ISC (umschaltbar unter System > Advanced > Networking).

Bei pfSense richtest du den Pool so ein:

Services > DHCP Server > Tab LAN
  [x] Enable DHCP server on LAN interface
  Range: 192.168.1.100  -  192.168.1.199
  DNS servers: (leer lassen)
  Save  ->  Apply Changes

Bei OPNsense (Standard Dnsmasq) definierst du den Bereich unter Services > Dnsmasq DNS & DHCP; ein typischer Bereich ist 192.168.1.100 – 192.168.1.200 mit Gateway 192.168.1.1. Für sehr große Umgebungen mit mehr als rund 1000 Clients wechselst du zu Services > Kea DHCP.

Lass das DNS-Feld bewusst leer: Dann verteilt die Firewall ihre eigene IP als DNS-Server, sodass die Clients auf den lokalen Resolver zeigen. Trägst du dort feste Fremd-DNS-Server ein, scheitert die Auflösung lokaler Hostnamen. Die pfSense-Lease-Zeiten stehen standardmäßig auf 7200 Sekunden (Default, 2 Stunden) und maximal 86400 Sekunden (1 Tag).

Schritt 5: DNS-Resolver (Unbound) prüfen

Als DNS-Resolver kommt bei beiden Produkten Unbound zum Einsatz – validierend, rekursiv und cachend. Er ist ab Werk aktiv, du solltest das aber kurz kontrollieren. Bei OPNsense findest du die Einstellung unter:

Services > Unbound DNS > General
  [x] Enable Unbound

Bei pfSense ist der DNS Resolver (Unbound) unter Services > DNS Resolver standardmäßig eingeschaltet. In Kombination mit Schritt 4 (DNS-Feld im DHCP leer) lösen deine Clients damit direkt über die Firewall auf, ohne dass du externe DNS-Server zwingend brauchst.

Schritt 6: Firewall-Regeln und das Default-Deny-Prinzip

Beide Firewalls arbeiten nach dem Default-Deny-Prinzip: Am Ende jeder Regelkette steht eine implizite Block-Regel. Was nicht ausdrücklich erlaubt ist, wird verworfen. Die Regeln sind stateful und werden top-down nach first-match auf dem Interface ausgewertet, auf dem die Pakete eingehen (Ingress-Filterung).

Ab Werk gibt es zwei wichtige automatische LAN-Regeln:

  1. Eine Anti-Lockout-Regel, die den Zugriff auf GUI und SSH aus dem LAN sicherstellt – damit du dich nicht versehentlich aussperrst.
  2. Eine Allow-LAN-to-any-Regel (IPv4 und IPv6), durch die LAN-Clients sofort ins Internet dürfen.

Das WAN hat im Gegensatz dazu keine Allow-Regel: Alles unaufgefordert von außen Eingehende wird geblockt. Eine neue Regel legst du so an:

pfSense:   Firewall > Rules > Tab LAN (bzw. WAN) > Add
OPNsense:  Firewall > Rules > LAN (bzw. WAN) > +  Add
  Action:      Pass / Block / Reject
  Interface:   LAN bzw. WAN
  Protocol:    z. B. TCP
  Source / Destination / Destination Port
  Save  ->  Apply Changes

Die drei Aktionen unterscheiden sich klar:

AktionVerhaltenEmpfehlung

Pass

Paket wird erlaubt.

für gewünschten Verkehr

Block

Paket wird still verworfen, keine Antwort.

für nicht vertrauenswürdige Netze

Reject

Paket wird verworfen, mit Antwort (TCP RST bzw. ICMP unreachable).

für interne Netze, schnelleres Feedback

Achte auf die Reihenfolge: Eine zu weit oben stehende Allow- oder Block-Regel übersteuert spätere Regeln, weil der erste Treffer gewinnt. Ganz unten greift immer das implizite Default-Deny.

Schritt 7: NAT und Port-Forward einrichten

Willst du einen internen Dienst (z. B. einen Webserver) aus dem Internet erreichbar machen, brauchst du einen Port-Forward. Wichtig: Ein Port-Forward allein reicht nicht – der NAT-Eintrag mappt das Paket zwar, aber das Default-Deny auf dem WAN blockt es weiterhin. Du brauchst zusätzlich eine passende Pass-Regel auf dem WAN.

Genau dafür gibt es die Option Add associated filter rule, die die Pass-Regel automatisch miterzeugt. Bei pfSense:

Firewall > NAT > Tab Port Forward > Add
  Interface:              WAN
  Protocol:               TCP
  Destination:            WAN Address
  Destination Port:       443
  Redirect Target IP:     192.168.1.10  (interner Host)
  Redirect Target Port:   443
  Filter rule association: Add associated filter rule
  Save  ->  Apply Changes
# Danach pruefen: Firewall > Rules > WAN  ->  Pass-Regel vorhanden?

Bei OPNsense ist der Weg analog: Firewall > NAT > Port Forward > + Add mit Interface WAN, Protocol TCP, Destination WAN address, Destination port range = Ziel-Port, Redirect target IP = interner Host, Redirect target port, und ebenfalls Filter rule association = Add associated filter rule. Speichern und Apply.

Schritt 8: Erste Härtung

Eine Firewall am Internet ist ein attraktives Ziel. Mit diesen Maßnahmen senkst du das Risiko deutlich:

  1. Default-Passwort sofort ändern: Belasse niemals admin/pfsense bzw. root/opnsense – auch nicht im Labor. Nutze laut NIST mindestens 15 Zeichen und einen Passwort-Manager.
  2. Kein Management vom WAN: Die Login-Seite darf nie aus dem Internet erreichbar sein. Lege auf dem WAN keine Allow-Regel auf die GUI/SSH an.
  3. Eigenen Admin-User anlegen: Verwende admin bzw. root nicht für den Alltag. Lege einen eigenen Admin-Benutzer mit minimalen Rechten (Least Privilege) an.
  4. SSH nur per Key: Aktiviere Secure Shell und erzwinge Key-Login.
  5. Admin-Zugriff einschränken: Erlaube die Administration nur aus einem Management-Interface oder -VLAN.
  6. Updates: Spiele regelmäßig Updates ein – auch wegen der ISC-DHCP-Abkündigung.

SSH härtest du bei pfSense unter System > Advanced > Admin Access:

System > Advanced > Admin Access
  [x] Enable Secure Shell
  [x] Disable password login for Secure Shell (RSA/DSA/ECDSA key only)
# Oeffentlichen Schluessel beim User hinterlegen:
#   System > User Manager > (Benutzer bearbeiten) > Authorized SSH Keys

Die Anti-Lockout-Regel solltest du als Sicherheitsnetz zunächst aktiv lassen. In gehärteten Setups kannst du sie deaktivieren – aber nur, wenn du vorher eine eigene Admin-Zugriffsregel angelegt hast, sonst sperrst du dich sofort aus. Bei pfSense findest du den Schalter unter System > Advanced > Admin Access als Disable webConfigurator anti-lockout rule, bei OPNsense unter Firewall > Settings > Advanced als Disable anti-lockout.

Typische Fehler

  1. Subnetz-Kollision: Beide Produkte nutzen ab Werk 192.168.1.1/24 – das kollidiert mit vielen Heim-Routern. Bei Doppel-NAT oder gleichem Subnetz vor und hinter der Firewall das LAN auf z. B. 192.168.10.0/24 ändern.
  2. Block RFC1918 / Bogon im Labor: Hängt die Firewall hinter einem NAT-Router mit privater WAN-IP, blockieren diese Haken die WAN-Funktion. Im Lab temporär entfernen.
  3. Port-Forward ohne Pass-Regel: Der NAT-Eintrag mappt das Paket, aber Default-Deny auf WAN blockt es. Immer Add associated filter rule nutzen oder die Regel manuell anlegen.
  4. Anti-Lockout voreilig deaktiviert: Ohne vorherige eigene Admin-Allow-Regel sperrst du dich sofort aus GUI/SSH aus. Reihenfolge: erst Zugriffsregel, dann Anti-Lockout aus.
  5. Default-Credentials belassen: Standard-Login niemals behalten, Login-Seite nie vom WAN erreichbar machen.
  6. ISC DHCP weiterverwenden: ISC DHCP ist End-of-Life und bekommt keine Sicherheitsupdates mehr. OPNsense auf Dnsmasq oder Kea, pfSense auf Kea migrieren.
  7. Regel-Reihenfolge übersehen: Regeln greifen top-down (first-match) auf dem Eingangs-Interface. Eine zu weit oben stehende Regel übersteuert spätere – Reihenfolge prüfen.
  8. Falsche DNS im DHCP: Verteilt der DHCP feste Fremd-DNS, scheitern lokale Hostnamen. DNS-Feld leer lassen, damit die Firewall ihre eigene IP (Unbound) verteilt.

Häufige Fragen

Soll ich pfSense oder OPNsense nehmen?

Beide sind FreeBSD-basiert, kostenlos in der Open-Source-Variante und haben ein nahezu identisches Erstkonfigurations-Schema. Die Entscheidung ist eher Geschmackssache und hängt von gewünschten Plugins, GUI-Vorlieben und Support-Optionen ab. Für die hier beschriebenen Grundfunktionen kannst du beide gleichwertig einsetzen.

Warum erreiche ich die Web-GUI nach der Installation nicht?

Prüfe zuerst, ob deine Interfaces im Konsolen-Menü (Option 1) korrekt zugeordnet sind und dein Client am LAN-Port hängt. Dein Rechner sollte per DHCP eine IP aus 192.168.1.100 aufwärts beziehen. Die GUI erreichst du dann unter https://192.168.1.1 – HTTP wird auf HTTPS umgeleitet, die Zertifikatswarnung musst du einmalig bestätigen.

Muss ich nach dem Setup-Assistenten noch Regeln für LAN-Internetzugang anlegen?

Nein. Out-of-the-box existiert auf dem LAN bereits eine Allow-LAN-to-any-Regel sowie die Anti-Lockout-Regel. Damit funktioniert LAN nach WAN (Internet) sofort. Eigene Regeln brauchst du erst, wenn du den Zugriff einschränken oder zusätzliche Dienste freigeben willst.

Mein Port-Forward funktioniert nicht – woran liegt das?

Mit hoher Wahrscheinlichkeit fehlt die zugehörige Firewall-Pass-Regel auf dem WAN. Der NAT-Eintrag mappt das Paket zwar, aber Default-Deny blockt es. Lege den Forward mit der Option Add associated filter rule an oder erstelle die Pass-Regel manuell und prüfe sie unter Firewall > Rules > WAN.

Welche DHCP-Backend-Variante soll ich wählen?

Den abgekündigten ISC DHCP solltest du nicht mehr verwenden. OPNsense nutzt standardmäßig Dnsmasq DNS & DHCP, für sehr große Umgebungen (über rund 1000 Clients) bietet sich Kea an. Bei pfSense empfiehlt sich der Wechsel von ISC auf Kea unter System > Advanced > Networking.

Wie verhindere ich, dass ich mich selbst aussperre?

Lass die Anti-Lockout-Regel als Sicherheitsnetz aktiv, solange du keine eigene Admin-Zugriffsregel hast. Möchtest du sie in einem gehärteten Setup deaktivieren, lege zuerst eine eigene Pass-Regel für deine vertrauenswürdigen Admin-Hosts (idealerweise per Alias) an und erst danach deaktivierst du die Anti-Lockout-Regel.

Fazit

pfSense und OPNsense lassen sich in wenigen, klar definierten Schritten als Firewall und Router in Betrieb nehmen: Interfaces zuordnen, Setup-Assistent durchlaufen, DHCP-Server und den DNS-Resolver Unbound prüfen, Firewall-Regeln nach dem Default-Deny-Prinzip verstehen und bei Bedarf Port-Forwards mit zugehöriger Pass-Regel anlegen. Weil beide Produkte das gleiche Schema verwenden, ist der Umstieg zwischen ihnen einfach. Entscheidend für den sicheren Betrieb ist die Grundhärtung: Default-Passwort sofort ändern, niemals Management vom WAN zulassen, SSH nur per Key, eigene Admin-Konten mit minimalen Rechten und regelmäßige Updates. So steht deinem produktiven Firewall-Betrieb nichts im Weg.

Weiterführende Anleitungen und Quellen

  1. Netze sauber segmentieren als Ergänzung zur Firewall: VLANs verstehen und einen Managed Switch einrichten
  2. Sicherer Fernzugriff auf das Firmennetz: WireGuard-VPN für Homeoffice und Standortkopplung einrichten
  3. Grundlagen zur IP-Konfiguration der Clients: Feste IP, Gateway und DNS unter Windows und Linux setzen
  4. Weitere Anleitungen rund um Netzwerk: Kategorie Netzwerk

Quellen: Offizielle pfSense-Dokumentation von Netgate (Setup Wizard, Default Username and Password, NAT Port Forwards, DHCPv4) sowie die offizielle OPNsense-Dokumentation (Initial Installation & Configuration, Firewall Rules, DHCP mit Dnsmasq/Kea und Unbound DNS), geprüft für Stand 2025/2026.

Verwandt

Weiter lesen

Alle Artikel →
Proxmox VE Installation und Grundkonfiguration
02.06.2026 ·10 min

Proxmox VE installieren und Grundkonfiguration

Schritt für Schritt zur ersten Virtualisierung: Diese Anleitung zeigt dir, wie du Proxmox VE installieren und die Grundkonfiguration für KMU und Homelab sauber aufsetzt – von der ISO über das No-Subscription-Repo bis zur ersten VM, dem ersten LXC-Container und einfachen Backups.
Illustration, die Subnetting und CIDR einfach erklärt, mit IP-Bereichen, Präfixen und der Aufteilung von Netzwerken in Subnetz
02.06.2026 ·9 min

Subnetting und CIDR verständlich erklärt

Subnetting und CIDR ohne Mathe-Schock: Diese Anleitung zeigt dir mit Tabellen und klaren Rechenwegen, wie du aus einem CIDR-Präfix Netzmaske, Netz-, Broadcast- und Host-Adressen ableitest und ein Netz sauber in Subnetze teilst.
Schaubild zur Konfiguration einer festen IP-Adresse sowie von Gateway und DNS unter Windows und Linux, mit IPv4-Einstellungen, Netzwerkadapter und Beispielwerten.
02.06.2026 ·9 min

Feste IP, Gateway und DNS unter Windows und Linux setzen

Server, Drucker und Switches brauchen feste Adressen. So setzt du eine statische IP mit Gateway und DNS sauber unter Windows (netsh, PowerShell) und Linux (netplan, nmcli) - inklusive Verifikation und der häufigsten Stolperfallen.