🛡️ Baremetal Firewall: OPNsense auf Fujitsu Futro S930

Geplantes Projekt: Dedizierte High-Performance-Firewall und Router-Integration.

1. Zielsetzung und Hardware

Die OPNsense-Instanz soll die AVM FritzBox in ihrer Funktion als Router, DNS-Server und DHCP-Server vollständig ablösen und das erarbeitete Subnetting-Schema implementieren.

Vorderansicht des Fujitsu Futro S930 (Firewall-Host)

Rückansicht des Fujitsu Futro S930 mit 4-Port Intel Gigabit NIC

Rückansicht mit 4-Port Intel Gigabit NIC für die Zonentrennung

Hardware-Spezifikationen (S930)

**CPU:** AMD GX-424CC Quad-Core (1.9 GHz)
**RAM:** 8 GB DDR3L
**Netzwerk:** 4-Port Intel Gigabit NIC (zusätzlich zur internen NIC)
**Speicher:** 16 GB mSATA SSD

2. OPNsense Basis-Installation

Die Installation erfolgt im Bare-Metal-Modus auf der internen mSATA SSD. Die Konfiguration wird über die serielle Konsole durchgeführt.

Installationsschritte

**Image:** Aktuelles OPNsense-Nano-Image verwendet.
**Medien:** Installation über einen USB-Stick.
**Konsole:** Initiales Setup der Interfaces und des WAN-Zugangs über die Kommandozeile.

3. Interface-Zuweisung und Firewall-Zonen

Interface-Planung (4-Port NIC)

Die 4-Port Intel NIC wird zur strikten Trennung der Netzwerkzonen genutzt.

**WAN:** Port 1 (Anbindung an das DSL-Modem/FritzBox im Bridged Mode)
**LAN\_PRIVAT:** Port 2 (Vertrauenswürdiges privates Netz)
**DMZ:** Port 3 (Netzwerk für externe Dienste)
**GUEST/IoT:** Port 4 (Netzwerk für unvertrauenswürdige Clients)

Firewall-Strategie

Die zentrale Aufgabe ist die Einrichtung von **Firewall-Regeln**, die den Datenverkehr zwischen diesen Zonen strikt kontrollieren. Standardmäßig sollte nur der Verkehr von LAN nach WAN erlaubt sein; alle anderen Richtungen müssen explizit freigegeben werden.

4. Zusätzliche Services und Performance-Überlegungen

Wichtige Services (Plugins)

Die Quad-Core CPU des GX-424CC ist leistungsstark genug, um auch anspruchsvollere Firewall-Dienste zu betreiben:

**Intrusion Detection/Prevention (IDS/IPS):** Installation und Konfiguration von **Suricata** oder **Snort**.
**VPN:** Einrichtung eines VPN-Servers (z.B. **WireGuard** oder **OpenVPN**) für den sicheren externen Zugriff.
**Ad-Blocking:** DNS-basierte Filterung auf der Firewall-Ebene.

Fazit zur Performance

Dank der dedizierten Hardware und der Intel NIC wird erwartet, dass dieser Router auch bei aktivierten Zusatzdiensten (wie VPN und IDS/IPS) volle Gigabit-Geschwindigkeit beim Routing erreicht. Dies ist ein hochperformanter, stromsparender Bare-Metal-Ansatz.