🛡️ Baremetal Firewall: OPNsense auf Fujitsu Futro S930
Geplantes Projekt: Dedizierte High-Performance-Firewall und Router-Integration.
1. Zielsetzung und Hardware
Die OPNsense-Instanz soll die AVM FritzBox in ihrer Funktion als Router, DNS-Server und DHCP-Server vollständig ablösen und das erarbeitete Subnetting-Schema implementieren.
Vorderansicht des Fujitsu Futro S930 (Firewall-Host)
Rückansicht mit 4-Port Intel Gigabit NIC für die Zonentrennung
Hardware-Spezifikationen (S930)
- **CPU:** AMD GX-424CC Quad-Core (2.4 GHz)
- **RAM:** 8 GB DDR3
- **Netzwerk:** 4-Port Intel Gigabit NIC (zusätzlich zur internen NIC)
- **Speicher:** 128 GB mSATA SSD
2. OPNsense Basis-Installation
Die Installation erfolgt im Bare-Metal-Modus als ZFS auf der internen mSATA SSD. Die Konfiguration wird über Webgui und SSH durchgeführt.
Installationsschritte
- **Image:** Aktuelles OPNsense-Nano-Image verwendet.
- **Medien:** Installation über einen USB-Stick.
- **Konsole:** Initiales Setup der Interfaces und des WAN-Zugangs über die Kommandozeile.
3. Interface-Zuweisung und Firewall-Zonen
Interface-Planung (4-Port NIC + Onboard NIC)
Alle Interfaces werden als VLAN Tagged betrieben.
- **Port 0:** WAN (Anbindung an das DSL-Modem/FritzBox)
- **Port 1:** LAGG Trunk zum Switch
- **Port 2:** LAGG Trunk zum Switch
- **Port 3:** Trunk zur DMZ
- **Port 4:** War zu Beginn mein Untagged Management und Recovery Port
Firewall-Strategie
Die zentrale Aufgabe ist die Einrichtung von **Firewall-Regeln** möglichst sinnvolles SPI, Zero Trust, eine komplett geschlossene DMZ, die den Datenverkehr Inbound/Outbound zwischen diesen Interfaces und Vlans strikt kontrollieren.
4. Zusätzliche Services und Performance-Überlegungen
Wichtige Services (Plugins)
Die Quad-Core CPU des GX-424CC ist leistungsstark genug, um auch anspruchsvollere Firewall-Dienste zu betreiben:
- **Intrusion Detection/Prevention (IDS/IPS):** Installation und Konfiguration von **Suricata** oder **Snort**.
- **VPN:** Einrichtung eines VPN-Servers (z.B. **WireGuard** oder **OpenVPN**) für den sicheren externen Zugriff.
- **Ad-Blocking:** DNS-basierte Filterung auf der Firewall-Ebene.
Fazit zur Performance
Dank der dedizierten Hardware und der Intel NIC wird erwartet, dass dieser Router auch bei aktivierten Zusatzdiensten (wie VPN und IDS/IPS) volle Gigabit-Geschwindigkeit beim Routing erreicht. Dies ist ein hochperformanter, stromsparender Bare-Metal-Ansatz.
- Test der CPU-Performance ohne IDS/IPS mit Plugins Wireguard, Radius, Zabbix, Netdata, WoL, Git: bei normalen Traffic ca 50% CPU Peaks alle 5s, 46 Grad.
- Test der CPU-Performance mit Suricata IDS/IPS + Plugins: Peaks + 3-10% mehr CPU, 48 Grad .
- Test der CPU-Performence zusaetzlich mit anhaltendem max Traffic Iperf3 & -P 20: stabile 940 Mbit/s auf allen Interfaces, ca 78% CPU, 65 Grad.
- Test der CPU-Performence mit Zenarmor Layer7 IDS/IPS + Plugins: bei anhaltendem hohen Traffic fast permanent 100% CPU, 73 Grad.
Zenarmor als Layer7 NextGen Firewall ist zwar sehr mächtig, aber zu leistungshungrig für mein Setup.