OPNsense 26.1.7: Drei Hotfixes in vier Tagen

Lapalutschi-Plate 279: OPNsense 26.1.7 — Backstein-Mauer mit diagonalem Hotfix-Tape und Versionsnummer 26.1.7 als Symbol für die Patch-Trias.

SO oft hat OPNsense JETZT gepatcht

Das OPNsense-Team hat in den ersten Mai-Tagen 2026 eine BRUTALE Patch-Welle losgelassen: drei Hotfix-Releases in nur vier Tagen. Am 1. Mai kam OPNsense 26.4_6 Business mit System-Security- und Gateway-Load-Balance-Verbesserungen, am 4. Mai folgte 26.1.7_2 mit einem fatalen Bug-Fix, und am 5. Mai schließlich 26.1.7_3 mit dem letzten Schliff.

Heißt: Wer auf OPNsense fährt, sollte JETZT Hand anlegen — und ZWAR sauber.

DAS waren die kritischen Fixes

JsonField Base64-Decode-Bug (26.1.7_2): Die Funktion base64_decode() fehlte im JsonField, weshalb User-Settings stumm verschluckt wurden. Wer Custom-User mit JSON-Properties hatte, MERKTE plötzlich, dass Einstellungen einfach verschwanden — ein Reload und alles war weg. JETZT GEFIXT.
configctl Cache Flush (26.1.7_3): Backend-Cache wurde nicht zuverlässig geflusht — Anpassungen an Firewall-Regeln liefen ins Nirvana. Auch ein Riesen-Footgun.
Gateway Load Balance (26.4_6): Multi-WAN-Setups verloren unter Last die Sticky-Sessions — Streaming-Verbindungen fielen alle paar Minuten zurück. Wer zwei Internetanschlüsse parallel fährt, kennt den Schmerz.

WAS du JETZT konkret tun musst

System → Firmware → Status in der OPNsense-WebGUI öffnen.
Backup ZIEHEN — Config-Export als XML, auf USB-Stick speichern.
„Check for updates“ klicken — die 26.1.7-Reihe sollte sofort angezeigt werden.
Update einspielen, OPNsense bootet einmal.
Nach dem Reboot: configctl filter reload in der Konsole — der Backend-Cache wird so SAUBER geleert (auch wenn 26.1.7_3 das automatisch macht).

EXTRA-TIPP: Business-Edition vs. Community

OPNsense gibt es in zwei Geschmacksrichtungen: Community (26.1.x) für Homelab und kleine KMUs, Business (26.4.x) mit verlängertem Support für Unternehmen. Wer auf der Business-Schiene ist, kriegt die Fixes oft etwas später, dafür stabiler — die Community-Variante ist quasi der Bleeding-Edge-Vorgänger.

WARUM drei Hotfixes hintereinander?

Klingt erstmal nach Chaos, ist aber GUTE Praxis: OPNsense pusht Patches schnell raus, sobald ein Bug entdeckt wird, statt zwei Wochen auf ein „großes“ Release zu warten. Das KOSTET zwar drei Update-Klicks in einer Woche, sorgt aber für viel SCHNELLERE Security-Posture. Linus Torvalds würde das gefallen.

FAZIT: Firewall-Updates sind KEIN Spielzeug

OPNsense steht am NETZWERK-PERIMETER — wenn die Firewall buggy ist, bröckelt dein ganzes Sicherheitskonzept. Drei Hotfixes in vier Tagen heißen: Das Team weiß, was es tut. Update einspielen, kurz Klick-Test durchziehen, fertig.

Häufige Fragen

Wie führe ich das Update durch?

Über die WebGUI: System → Firmware → Status → Check for updates. Die 26.1.7-Reihe wird angezeigt, einfach klicken und einspielen. OPNsense rebootet einmal, in der Regel sind 2-3 Minuten Downtime einzuplanen.

Bricht das Update meine Custom-Regeln?

Nein. Firewall-Regeln, NAT-Konfiguration und Aliases bleiben unangetastet. Im Zweifel vorher die Config exportieren — bei OPNsense ist das ein einziger Klick (System → Configuration → Backup).

Was ist der Unterschied zwischen Community und Business?

Die Community-Edition (aktuell 26.1.x) bekommt neue Features zuerst, die Business-Edition (26.4.x) ist auf Stabilität optimiert und für Unternehmen mit längeren Wartungszyklen gedacht. Beide bekommen Security-Hotfixes — Community manchmal etwas früher.

Muss ich nach dem Update etwas in der Konsole machen?

Im Normalfall nicht. Falls du sehr alte Custom-Plugins nutzt, lohnt ein `configctl filter reload`, um den Backend-Cache komplett zu leeren. Bei Standard-Setups erledigt das das Update von selbst.

Quellen: OPNsense Blog, OPNsense Announcements Forum, docs.opnsense.org.

FIREWALL-HAMMER! OPNsense 26.1.7 schiebt JETZT drei Hotfixes hinterher — DEIN Edge-Router bekommt frisches Blut, aber nur wenn du JETZT updatest