#Linux & Open Source · 4 Min. Lesezeit · Tim Rinkel

FIREWALL-HAMMER! OPNsense 26.4 mischt Suricata DURCHEINANDER – SOFORT updaten!

FIREWALL-HAMMER! OPNsense 26.4 mischt Suricata DURCHEINANDER – SOFORT updaten!

Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalte ich eine kleine Provision — für dich ändert sich der Preis nicht.

HAMMER! Am 15. April 2026 ist OPNsense 26.4 Business Edition erschienen – und es ist mehr als nur ein Wartungsupdate. Die neue Version krempelt die Regel-Engine, die Intrusion-Detection und die API-Welt kräftig um. Wer seine eigene Firewall pflegt oder mit dem Gedanken spielt, sollte JETZT genau hinschauen.

UNGLAUBLICH: Diese drei Neuerungen verändern alles

Drei Features sticken wir aus der langen Liste heraus:

  • Komplette MVC/API-Erfahrung: Die Automation-Regeln sind in die neue Rules-GUI gezogen. Damit ist OPNsense vollständig API-fähig – perfekt für Ansible, Terraform und Eigenbau-Skripte.
  • Suricata jetzt INLINE per „divert“: Der IDS/IPS-Wächter scannt deinen Verkehr nicht mehr nur passiv, sondern blockt direkt im Datenstrom. Mehr Schutz, weniger Latenz.
  • IPv6-Reliability: Das oft stiefmütterlich behandelte v6-Stack hat einen ordentlichen Polish bekommen.

SCHOCK: Was bringt dir die „divert“-Magie?

Die alte Suricata-Methode war Inline IPS klassisch – mit teils nervigen Latenzen und doppeltem Paket-Pfad. Mit der neuen divert-Methode nutzt OPNsense den FreeBSD-divert-Mechanismus: Pakete werden direkt aus dem Kernel an Suricata abgegeben und blitzschnell wieder zurück gegeben. Ergebnis:

  • weniger Latenz
  • geringere Paketverlust-Raten
  • stabilere Performance auf Mid-Range-Hardware

Wer sich seine eigene Firewall-Hardware bastelt, ist mit einem Minisforum UM790 Pro Mini-PC* (AMD Ryzen 9, 32 GB RAM, viele USB-Ports für 2,5G-Adapter) bestens bedient.

HAMMER-Roadmap: Hotfixes, die du kennen musst

Falls du auf der Vorgängerversion 26.1 stehst, hat OPNsense im April mehrere Hotfixes nachgeschoben:

  • 26.1.6 am 9. April
  • 26.1.6_2 Hotfix am 23. April

Wer noch auf 25.10.2 sitzt, hat ebenfalls mehrere kleine Korrekturen bekommen. Heißt: Erst Hotfixes installieren, dann auf 26.4 hochheben – in dieser Reihenfolge.

EXTRA-TIPP: Wem reicht eine Fertig-Lösung?

Nicht jeder will sich seinen eigenen Router zusammenbauen. Wer einen solide vorkonfigurierten Router für Heimnetz oder kleines Büro sucht, ist mit dem TP-Link Omada ER605* gut bedient. Klein, günstig, ohne Suricata-Stress. OPNsense lohnt sich vor allem dann, wenn du echte Filter-Regeln, IPS und VLAN-Power brauchst.

So upgradest du sauber in 15 MINUTEN

  1. Komplettes Backup der Konfig – im UI unter System > Konfiguration > Backups.
  2. Auf der Konsole oder im UI System > Firmware > Status – „Updates suchen“.
  3. Die Hotfixes erst einspielen, dann das Major-Upgrade auf 26.4.
  4. Nach dem Reboot Suricata-Profile prüfen und ggf. auf „Inline (Netmap/divert)“ umstellen.
  5. Logs eine Woche lang im Auge behalten – bei Auffälligkeiten Regeln gezielt anpassen.

GEFAHR: Wo es haken kann

  • Wer eigene Plugins aus der Community fährt: vor dem Update Kompatibilität prüfen.
  • Suricata-Regeln (Emerging Threats) frisch ziehen, sonst schlägt das IPS auf alten Mustern an.
  • API-Skripte gegen die neuen MVC-Endpoints testen – Pfade können sich geändert haben.

FAZIT: Das beste OPNsense aller Zeiten

Mit 26.4 wird OPNsense zum echten Schweizer Taschenmesser: Eine Firewall, die per API zu automatisieren ist, eine IPS-Engine, die endlich vernünftig inline läuft, und eine v6-Welt, die nicht mehr stolpert. Pflicht-Update für jeden Selbstbau-Admin.

BLICK NACH VORN: Was steht noch an?

OPNsense fährt zwei große Releases pro Jahr – das nächste Major (26.7) ist für Juli geplant. Die Roadmap deutet auf verbesserte Cluster-Funktionen und Ausbauten beim Reverse-Proxy hin. Wer Multi-WAN, HA-Setups oder Lastverteilung plant, sollte 26.4 als Sprungbrett nutzen.

SO findest du heraus, ob 26.4 wirklich was für dich ist

  • Bist du Power-User, der seine Firewall per API automatisieren will? Dann ja.
  • Brauchst du echtes Inline-IPS ohne nervige Latenz? Dann ja.
  • Hast du nur eine WLAN-Box und ein paar Gäste? Dann reicht weiterhin der Kabel-Modem-Router oder ein einfacher TP-Link.

HARDWARE-CHECK: Was packt OPNsense 26.4?

Auch alte Boxen bleiben mit 26.4 lauffähig – aber wirklich Spaß macht die Suricata-Inline-Engine erst auf moderner Hardware:

  • Mindestens 4 Kerne für 1-Gbit-Inline-IPS.
  • Für 2,5-Gbit oder 10-Gbit-WAN-Verbindungen: Multi-Queue-fähige NICs (z.B. Intel i225, i226, X550).
  • RAM-Empfehlung: mindestens 8 GB, eher 16 GB, wenn du viele IPS-Regeln aktivierst.

EXTRA: Plugins, die du JETZT testen solltest

  • os-acme-client – automatische Let’s-Encrypt-Zertifikate.
  • os-wireguard – modernes VPN out of the box.
  • os-zenarmor – kommerzieller, aber leistungsstarker NGFW-Layer.

Quelle: OPNsense-Release-Documentation, Forum-Announcement, OPNsense-Blog-Eintrag zur 26.4 Business Edition.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert