OPNsense bei Hetzner: Öffentliche IPs sparen durch private Netzwerke

Über
Letzte Artikel

CTO | technischer Leiter bei ADMIN INTELLIGENCE GmbH

schnelle Problemlösung durch langjährige Erfahrung

Letzte Artikel von Sascha Jelinek (Alle anzeigen)

OPNsense bei Hetzner: Öffentliche IPs sparen durch private Netzwerke - 29. August 2025
LocalSend: Schneller und sicherer Dateitransfer im lokalen Netzwerk - 14. Juli 2025
Checkmk Basics: Borg Backups überwachen - 26. Juni 2025

Wenn man Server bei Hetzner betreibt, sind öffentliche IP-Adressen oft begrenzt und kostenpflichtig. Eine effiziente Lösung ist die Nutzung einer Firewall und Router-Software kombiniert mit privaten IP-Adressen, um den Verbrauch öffentlicher IPs zu minimieren. In diesem Beitrag wird gezeigt, wie man mit Hilfe von OPNsense bei Hetzner mehrere Server mit nur einer öffentlichen IP-Adresse sicher ins Internet bringt.

Dazu wird ein Server mit öffentlicher und privater IP sowie ein privates Netzwerk benötigt.

OPNsense installieren: Das Herzstück der Konfiguration

OPNsense ist eine freie Open-Source-Plattform für Firewall- und Routingaufgaben. Zunächst erfolgt die Installation im Hetzner-Server, der sowohl eine öffentliche als auch eine private IP erhält.

Schritte zur Installation:

Bestellen Sie einen Server mit einer öffentlichen IP, der gleichzeitig an ein Hetzner-Privatnetz mit privater IP angeschlossen ist. Empfohlen wird als Basis z.B. Ubuntu, da das System später durch die OPNsense-Installation ersetzt wird.
Das OPNsense-ISO-Image wird über die Cloud Console eingebunden und der Server neu gestartet. Falls das Image nicht verfügbar ist, bietet der Hetzner-Support schnelle Hilfe.
Im Setup wird das System so konfiguriert, dass zwei Interfaces entstehen:
- WAN: Verbunden mit der öffentlichen IP.
- LAN: Verbunden mit der privaten IP innerhalb des Hetzner-Netzwerks.
Das WAN-Interface bezieht seine IP per DHCP, das LAN bleibt zu Beginn unkonfiguriert.
Firewall- und NAT-Regeln werden eingerichtet, um den Internetzugang zu ermöglichen.

Zunächst wird nur das WAN Interface verbunden, um Zugriff auf die Web-Oberfläche zu ermöglichen. Temporär erlaubt man den Traffic auf das WAN Interface durch eine Firewallregel, die später wieder entfernbar oder eingeschränkt wird. Danach wird das LAN Interface per DHCP konfiguriert.

Für das private Netzwerk wird eine Route und ein Gateway definiert, die als Basis für das interne Routing dienen. So übernimmt die Firewall das NAT und schützt das interne Netz vor unberechtigtem Zugriff.

Dieses Gateway wird dann im Anschluss einer statischen Route zugewiesen.

OPNsense bildet damit das Gateway für alle weiteren privaten Server. Es sorgt für NAT (Network Address Translation) und schützt das private Netzwerk vor unberechtigtem Zugriff.

Einrichtung des Privatservers

Der zweite Server erhält ausschließlich eine private IP und kommuniziert über das interne Netzwerk. Um öffentliche IPs zu sparen, erhält er keinen eigenen öffentlichen Zugang.

Wichtige Punkte bei der Konfiguration:

Der Server bekommt seine private IP per DHCP im Hetzner Cloud-Netz.
Das Standard-Gateway zeigt auf die private IP des Hetzner Routers (z.B. 10.155.155.1).
DNS kann über öffentliche Server (z.B. 1.1.1.1) oder den Resolver der Firewall laufen.
Internetverkehr verlässt den Server über das NAT-Gateway.

Die entsprechend Konfiguration für netplan kann wie folgt aussehen:

network:
    version: 2
    ethernets:
        enp7s0:
            dhcp4: true
            routes:
              - to: default
                via: 10.155.155.1
            nameservers:
                addresses:
                - 185.12.64.2
                - 185.12.64.1

Damit bleibt der Server intern erreichbar und nutzt das Gateway für den Internetzugang, ohne eine eigene öffentliche IP zu benötigen.

NAT und Firewall auf OPNsense richtig einrichten

Der wichtigste Bestandteil ist die NAT-Konfiguration auf OPNsense. Hier wird festgelegt, dass der gesamte ausgehende Traffic der privaten Server mit der öffentlichen IP des WAN-Interfaces von OPNsense maskiert wird.

Grundkonfiguration:

Outbound NAT-Modus auf „Hybrid“ schalten.
Eine Regel erstellen, die alle privaten Netzwerkquellen (z.B. 10.155.155.0/24) auf die WAN-IP übersetzt.
Die Firewallregeln anpassen, um ausgehenden Traffic vom LAN (privates Netz) ins WAN zu erlauben.

Die Regeln sollten dann so ähnlich wie hier aussehen:

Dies schützt das interne Netz und ermöglicht den privaten Servern sicheren Zugang zum Internet.

Vorteile von OPNsense bei Hetzner mit privatem Netzwerk

Öffentliche IPs sparen: Nur der OPNsense Server benötigt eine öffentliche IP, die privaten Server nutzen NAT.
Zentrale Sicherheitskontrolle: Alle Zugriffe werden gefiltert und überwacht.
Kosteneffizienz: Weniger öffentliche IPs senken Kosten.
Flexibilität: Einfach weitere private Server hinzufügen, ohne neue öffentliche IPs buchen zu müssen.
granulare Firewallregeln: Sie können Zugriff von extern granular auf der OPNsense steuern, z.B. auch mit GeoFilter

OPNsense im Hetzner-Umfeld ist eine leistungsfähige Lösung, um öffentliche IP-Adressen effizient einzusetzen und gleichzeitig ein sicheres privates Netzwerk zu betreiben. Mit dem richtigen Setup aus OPNsense, privatem Netzwerk und Routing können mehrere Server kostengünstig und geschützt ins Internet verbunden werden.

Bei weiteren Fragen schauen Sie sich gerne unseren anderen Blogartikel zum Thema OPNsense an oder besuchen Sie unserer Webseite unter www.admin-intelligence.de/opnsense. Gerne können Sie uns auch über unser Kontaktformular erreichen.
Wir unterstützen Sie gern bei Ihrem OPNsense-Projekt.