opnsense geo block

OPNsense GeoIP Blocking einrichten

von

OPNsense ist ein kostenloses Firewall-System für moderne Netzwerkinfrastrukturen. Sie bietet VPN, Intrusion Detection, GeoIP-Blocking und eine benutzerfreundliche Web-Oberfläche. Ideal für Unternehmen, die zuverlässige Netzwerksicherheit mit hoher Transparenz suchen.

In diesem Blogartikel zeigen wir Schritt für Schritt, wie OPNsense auf einem Hetzner Cloud-Server installiert und konfiguriert wird und wie anschließend die GeoIP-Block-Funktion im OPNsense-Firewall-System eingerichtet wird

OPNsense in Hetzner Cloud installieren

Für dieses Tutorial genügt die günstigste verfügbare Serveroption. Die verwendete Linux-Distribution kann frei gewählt werden.

Mount ISO

Sobald der Server erstellt wurde, müssen wir über die Hetzner-Oberfläche ein passendes ISO Image einbinden dann können wir den virtuellen Server in den folgenden Pfad Power > Neu starten. 

Nach dem Neustart der Maschine wird die Installation der OPNsense-ISO automatisch gestartet. In diesem Schritt müssen die Anweisungen in der Konsole der Hetzner Cloud befolgt werden. Es kann erforderlich sein, eine kurze Pause einzulegen.

Open console

Anschließend erfolgt die Konfiguration der Netzwerkschnittstelle. Drücken Sie dazu einfach eine beliebige Taste, wenn Sie dazu aufgefordert werden, um mit der Konfiguration fortzufahren.

Configdatei importieren

Interface zuordnen

Kurz darauf erfolgt eine Abfrage, um die Interfaces manuell festzulegen, diese bestätigen wir mit einem Tastendruck.

Interface Konfiguration anstoßen

Anfragen bezüglich LAGGs (Link Aggregation Groups) und VLANs können vorerst mit „Nein“ (n) beantwortet werden. 

Da in diesem Fall vorerst nur ein WAN-Interface benötigt wird, kann das bereits vorhandene Interface als WAN festgelegt werden. Der Name des entsprechenden Interfaces lautet in diesem Fall vtnet0. 

WAN interface konfigurieren

Anfragen bezüglich des LANs sowie optionaler Interfaces können einfach mit der Eingabetaste übersprungen werden. Sobald die Konfiguration der Interfaces abgeschlossen ist, sollte nur dem WAN-Interface eine Zuweisung erfolgt sein. 

WAN interface zuweisen

Anschließend kann dies mit „Ja“ (y) bestätigt werden (Bitte beachten Sie: Wenn Sie die Hetzner-Konsole verwenden, wird möglicherweise nach dem deutschen „z“ gefragt). 

Als nächstes muss das entsprechende Tastatur-Layout ausgewählt werden. Dies kann mit den Pfeiltasten durchsucht, mit der Leertaste ausgewählt und dann mit Enter auf „>>> Continue with de.kbd keymap“ bestätigt werden 

Tastaturlayout auswählen

Jetzt beginnt die eigentliche Installation. Sie können die UFS-Option wählen, um fortzufahren.

Installation beginnen

Wichtig ist die Richtige Installationspartition auszuwählen.

Partition

Zusätzliche Abfragen wie die empfohlene Swap-Partition können mit „Ja“ (Yes) beantwortet werden. Jetzt müssen Sie nur noch die Auswahl bestätigen. 

Swap Partition bestätigen

Nach nur wenigen Minuten ist die Installation abgeschlossen. An dieser Stelle wird empfohlen, das Root-Passwort neu festzulegen. Es bietet sich an dieser Stelle an das Iso-Image über die Hetzner Oberfläche nun auszuwerfen. Sobald dies erledigt ist, kann die Installation durch Auswahl der Option „Complete Install“ abgeschlossen werden. 

OPNsense Installation beenden

Nach der Konfiguration kann das OPNsense-ISO-Image entfernt werden.

OPNsense wird anschließend gestartet, und wir können uns anmelden.

OPNsense Web konfigurieren

Die nächsten Konfigurationen erfolgen alle über die Web-Oberfläche. Um darauf zuzugreifen, kopieren wir einfach die öffentliche IP-Adresse unserer Maschine in der Hetzner Cloud und öffnen sie im Browser.

Für die Anmeldung verwenden wir den Benutzer root und das zuvor festgelegte Passwort.

OPNsense login

Einige grundlegende Einstellungen müssen vorgenommen werden, damit das System korrekt konfiguriert ist.

Unter System > Wizard legen Sie den primären und sekundären DNS-Server entsprechend dem Bild fest.

Klicken Sie danach auf Weiter und wählen Sie die entsprechende Zeitzone aus, anschließend erneut auf Weiter.

In den folgenden Schritten können Sie einfach jeweils auf Weiter klicken, bis der Assistent abgeschlossen ist.

General configuration

GeoIP-Blocking in OPNsense aktivieren.

Um GeoIP-Block zu konfigurieren und zu aktivieren, müssen wir uns zuerst bei MaxMind registrieren und eine Lizenz generieren. Die Website lautet: https://www.maxmind.com.

MaxMind ist ein Unternehmen, das Geolokalisierungsdaten bereitstellt, mit denen IP-Adressen bestimmten Ländern oder Regionen zugeordnet werden können. Diese Daten werden häufig für GeoIP-Blocking in Firewalls verwendet.

Nach der Erstellung des Kontos muss ein License Key generiert werden.

License Key Maxmind

Sobald der License Key erstellt wurde, muss dieser im OPNsense hinterlegt werden. Dazu kopieren Sie einfach den folgenden Link und fügen den Lizenzschlüssel an der Stelle ein, wo „LICENSE_KEY“ steht.

https://download.maxmind.com/app/geoip_download?edition_id=GeoLite2-Country-CSV&license_key=LICENSE_KEY&suffix=zip

Mit dem Link in der Hand fügen Sie ihn einfach im Reiter GeoIP Settings ein dann speichern klicken.

GeoIP settings

Es kann zu einer Begrenzung der Anzahl von Table-Einträgen kommen, die das Speichern verhindert.

Um dieses Problem zu beheben, gehen Sie zu Firewall > Einstellungen > Erweitert (Advanced) und ändern Sie den Wert bei Firewall Maximum Table Entries auf z. B. 8000000. Anschließend speichern Sie die Einstellungen.

Firewall Maximum Table Entries

Zurück auf der Aliases-Seite können wir eine Regel erstellen, die auf die soeben importierte GeoIP-Tabelle verweist.

Klicken Sie einfach auf das „+“-Symbol, vergeben Sie einen Namen für die Regel, IPv4 und IPv6 im Type auswählen und dann wählen Sie die gewünschten Länder und Regionen aus, die blockiert werden sollen.

Alias GeoIP Block

Firewall-Regel zum Blocken

Um den GeoIP-Block funktionsfähig zu machen, müssen wir eine Sperrregel im Firewall-Bereich erstellen. Der Pfad lautet: Firewall > Regeln > WAN > Hinzufügen.

Dort klicken wir auf das „+“-Symbol oben rechts auf dem Bildschirm, um eine neue Regel hinzuzufügen.

Die Regel sollte den Typ „Blockieren“ haben, und als Quelle (Source) wählen wir den zuvor erstellten Alias aus. Anschließend einfach speichern.

Firewall rule

Die Regel ist nun erstellt – ab jetzt werden alle Zugriffsversuche aus den ausgewählten Ländern und Regionen blockiert.

Zum Testen können wir eine virtuelle Maschine (VM) mit einer IP-Adresse aus einem der blockierten Länder erstellen und eine Verbindung per Ping versuchen.

Eine weitere Möglichkeit ist die Nutzung der Website https://ping.pe, wo wir die IP-Adresse unseres OPNsense-Systems eingeben und den Zugriff aus verschiedenen Regionen prüfen können.

Fazit

Mit OPNsense in der Hetzner Cloud hast du eine leistungsfähige Firewall in wenigen Minuten aufgesetzt. Durch das GeoIP-Blocking kannst du gezielt ungewollten Traffic aus bestimmten Ländern blockieren – ein einfacher, aber effektiver Sicherheitsvorteil.

Benötigen Sie Unterstützung bei Ihrer OPNsense?

Gerne Unterstützen wir Sie bei der Konzeption, Installation, Betreuung, Sicherung und Wartung Ihrer OPNsense.

Lust auf mehr?

Auf unserem Blog finden Sie weitere Tutorials und nützliche Beiträge zu allerlei Themen Rund um Linux, Firewalls, Hosting, Backups, Nextcloud und mehr.

Caue Bleil
Letzte Artikel von Caue Bleil (Alle anzeigen)