CLOUDFLARE — 23:18 UHR
GITHUB — 23:18 UHR
OPENAI — 23:18 UHR
NETZWERK UND SO · #045

OPNsense auf Sophos XG 135 installieren – Schritt-für-Schritt-Anleitung

Vorbereitung: Was du brauchst

Für die Installation von OPNsense auf einer Sophos XG 135 benötigst du:

  • einen USB-Stick (mind. 4 GB)
  • einen PC mit Schreibzugriff auf USB
  • Monitor mit HDMI-Anschluss (optional, aber empfohlen)
  • USB-Tastatur
  • Konsolenkabel oder seriellen Zugang (RJ45 auf USB, falls kein HDMI)
  • Das aktuelle OPNsense-Image (amd64 Full Installer von opnsense.org)

Die Sophos XG 135 ist eine x86-64-basierte Hardware mit 8 Gigabit-Kupferports und 1 SFP-Port – perfekt für OPNsense geeignet.

Schritt 1: OPNsense-Image auf USB-Stick schreiben

Lade dir das aktuelle OPNsense Full Installer Image für amd64 von der offiziellen Website herunter. Nutze die VGA-USB Image für Monitor+Tastatur-Installation oder die Serial-USB Image für Konsolen-Zugang (115200 Baud, empfohlen für XG 135).

Wichtig: Die heruntergeladene Datei ist bzip2-komprimiert (.img.bz2). Diese muss erst dekomprimiert werden.

Unter Windows nutzt du Balena Etcher (liest .bz2 direkt) oder Rufus:

  1. Balena Etcher starten oder die .bz2-Datei vorher mit 7-Zip/WinRAR dekomprimieren
  2. OPNsense-Image auswählen
  3. USB-Stick als Ziel wählen
  4. „Flashen“ klicken
  5. Vor dem Einsatz: SHA-256-Checksum gegen opnsense.org prüfen – Datenintegrität ist kritisch

Unter Linux/macOS: Dekomprimierung + dd-Befehl:

bunzip2 OPNsense-26.1-vga-amd64.img.bz2
sudo dd if=OPNsense-26.1-vga-amd64.img of=/dev/sdX bs=1M sync

(X durch dein Device ersetzen, z. B. sdb)

Schritt 2: Sophos XG 135 vorbereiten – BIOS-Einstellungen

Verbinde Monitor und Tastatur, schalte die Sophos XG 135 an. Beim Boot-Prozess drückst du sofort und wiederholt F2, Del oder ESC, um ins BIOS zu gelangen (UEFI-System).

Wichtige Einstellungen im BIOS:

  • Secure Boot deaktivieren (kritisch!) – OPNsense hat keinen Microsoft-signierten Bootloader und wird sonst blockiert
  • Boot-Reihenfolge ändern: USB-Stick als erstes Boot-Device setzen (Arrow-Keys navigieren, Speichern mit F10)
  • UEFI vs. Legacy: Die XG 135 nutzt UEFI mit GPT – stelle sicher, dass UEFI aktiviert bleibt
  • Einstellungen speichern (üblicherweise F10) und neu starten

Schritt 3: Von USB-Stick booten und Installation starten

Stecke den USB-Stick ein, starte das Gerät neu. Es sollte direkt vom USB-Stick booten und die OPNsense Live-Umgebung anzeigen.

Login in der Live-Umgebung:

  • Benutzer: installer
  • Passwort: opnsense

Du bekommst sofort das Installations-Menü. Wähle die Option zum Starten des Installers (üblicherweise Option 1: „Install (UFS)“).

Schritt 4: Sophos-Firmware löschen und OPNsense installieren

Der Installer fragt dich Schritt für Schritt:

  1. Keymap: Standard akzeptieren (Enter)
  2. Partitionierungsmethode: Wähle GPT (UEFI)
  3. Festplatte: Mit Arrow-Keys die interne Festplatte/SSD der Sophos auswählen (normalerweise ada0) und mit SPACEBAR markieren [*]
  4. Dateisystem: Wähle UFS (einfach, ressourcenschonend für die XG 135) – alternativ ZFS für erweiterte Snapshots
  5. Bestätige, dass die gesamte Festplatte gelöscht werden soll – damit wird auch die ursprüngliche Sophos SFOS-Firmware vollständig entfernt

Die Installation dauert 5–15 Minuten. Danach wirst du aufgefordert, das Root-Passwort zu setzen. Verwende ein starkes Passwort – das ist der Admin-Account für Web-GUI und Konsole.

Schritt 5: Erstes Boot und Konsolen-Zugang

Nach der Installation: USB-Stick entfernen, Gerät neu starten.

OPNsense startet und präsentiert das Konsolen-Menü. Mit Monitor und Tastatur oder serieller Konsole (ttyS1 bei der XG 135) erhältst du Zugriff.

Falls das Gerät beim Boot hängt: Im Boot-Menü (kurz nach dem Start) drücke 3 für „Escape to loader prompt“ und gib ein:

set kern.vty=sc
boot

Nach erfolgreichem Boot ergänze permanent in /boot/loader.conf.local:

kern.vty=sc

Schritt 6: Netzwerk-Konfiguration – Gateway zum Modem (Fritzbox)

Nach dem ersten Boot zeigt OPNsense sein Konsolen-Menü. Wähle Option 2 (Set interface IP address).

Die Sophos XG 135 hat mehrere Ports. Typische Zuordnung:

  • em0–em3: X553-NICs (Ports 1–4)
  • em4–em7: I211-NICs (Ports 5–8)
  • em8: I210-Fiber-Interface (SFP-Port)

Konfiguriere Schritt für Schritt:

  • WAN-Interface (z. B. em0): Verbindung zum Modem (Fritzbox) – DHCP oder statische IP, je nach deinem Setup
  • LAN-Interface (z. B. em1): Interne IP wie 192.168.1.1 mit Netzmaske 255.255.255.0
  • IPv6 optional (Enter zum Überspringen, falls nicht benötigt)

Nach der IP-Konfiguration startest du die Netzwerk-Services neu (Menü-Option 7 oder einfach reboot).

Schritt 7: Web-Interface aufrufen

Verbinde einen Client mit dem LAN-Port der XG 135 oder nutze DHCP im Subnet. Öffne im Browser:

https://192.168.1.1

Login mit root und dem Passwort, das du während der Installation gesetzt hast.

Schritt 8: DHCP einrichten – ISC DHCPd verwenden

Gehe zu Services → DHCP Server. OPNsense nutzt standardmäßig ISC DHCPd.

Wichtig: KEA (die neue DHCP-Engine in neueren Versionen) kann bei älteren Hardware-Konfigurationen Probleme bereiten. Verwende daher ISC DHCPd:

  • Interface: dein LAN-Interface (z. B. em1)
  • Range: z. B. 192.168.1.100 – 192.168.1.200
  • Gateway: 192.168.1.1
  • DNS: z. B. 1.1.1.1 oder dein ISP-DNS
  • Speichern und „Apply“ klicken

Schritt 9: VLAN-Konfiguration – Zwei VLANs einrichten

Für Netzwerk-Segmentierung (z. B. Gäste-Netz vs. IoT) erstelle VLANs. Beispiel: VLAN 10 für Gäste (192.168.10.0/24) und VLAN 20 für IoT (192.168.20.0/24).

9.1: VLAN-Tags erstellen

Gehe zu Interfaces → Other Types → VLAN:

  1. Parent Interface: Wähle em1 (dein LAN-Port)
  2. VLAN Tag: 10 eingeben
  3. Description: „Guest VLAN“
  4. Speichern

Wiederhole für VLAN 20:

  1. Parent Interface: em1
  2. VLAN Tag: 20
  3. Description: „IoT VLAN“
  4. Speichern

9.2: VLAN-Interfaces zuweisen

Gehe zu Interfaces → Assignments:

  1. Klicke auf das grüne Plus-Symbol, um eine neue Interface-Zuordnung hinzuzufügen
  2. Wähle em1.10 aus der Dropdown und klicke „Add“
  3. Wiederhole mit em1.20

Du siehst jetzt neue Einträge, z. B. OPT1 (em1.10) und OPT2 (em1.20).

9.3: IP-Adressen für VLANs konfigurieren

Gehe zu Interfaces → OPT1 (Guest VLAN):

  • Enable Interface: Haken setzen
  • IPv4 Configuration Type: Static IPv4
  • IPv4 Address: 192.168.10.1
  • Subnet Mask: 24
  • Speichern

Wiederhole für Interfaces → OPT2 (IoT VLAN):

  • Enable Interface: Haken setzen
  • IPv4 Configuration Type: Static IPv4
  • IPv4 Address: 192.168.20.1
  • Subnet Mask: 24
  • Speichern

9.4: DHCP für VLANs aktivieren

Gehe zu Services → DHCP Server und füge neue Ranges hinzu:

Für OPT1 (Guest VLAN):

  • Interface: OPT1
  • Enable DHCP: Haken setzen
  • Range: 192.168.10.100 – 192.168.10.200
  • Gateway: 192.168.10.1
  • DNS: 1.1.1.1

Für OPT2 (IoT VLAN):

  • Interface: OPT2
  • Enable DHCP: Haken setzen
  • Range: 192.168.20.100 – 192.168.20.200
  • Gateway: 192.168.20.1
  • DNS: 1.1.1.1

Speichern und „Apply“ klicken.

Schritt 10: Firewall-Regeln für VLAN-Isolation

Um Netzwerk-Segmentierung durchzusetzen, musst du Firewall-Regeln definieren. Standardmäßig sperrt OPNsense Traffic zwischen VLANs.

Gehe zu Firewall → Rules und klicke auf den Tab deines VLAN-Interfaces (z. B. OPT1 – Guest):

Beispiel: Guest-VLAN darf ins Internet, aber nicht ins Heimnetz

  1. Klicke auf das grüne Plus (+), um eine Regel hinzuzufügen
  2. Action: Pass
  3. Interface: OPT1
  4. Protocol: any
  5. Destination: WAN (oder spezifische externe IPs)
  6. Description: „Guest to Internet“
  7. Speichern

Füge eine zweite Regel hinzu (standardmäßig sperren alles andere):

  1. Action: Block
  2. Interface: OPT1
  3. Protocol: any
  4. Destination: LAN (192.168.1.0/24)
  5. Description: „Block Guest to LAN“
  6. Speichern

Beispiel: IoT-VLAN (OPT2) nur zu bestimmten Servern erlauben

  1. Füge eine Regel hinzu (im OPT2-Tab):
  2. Action: Pass
  3. Interface: OPT2
  4. Protocol: TCP/UDP
  5. Destination Port: 53 (DNS)
  6. Destination: any
  7. Description: „IoT DNS“
  8. Speichern

Alle anderen Traffic-Richtungen (zwischen OPT2 und LAN, etc.) werden von der Firewall standardmäßig geblockt.

Schritt 11: Backup – Standard und LTE-Failover

11.1: Lokales Backup über Web-Interface

Gehe zu System → Backup & Restore:

  1. Klicke „Download configuration as XML“
  2. Speichere die Datei auf einem sicheren Ort (USB, NAS, Cloud)
  3. Wiederhole regelmäßig (z. B. monatlich nach Konfigurationsänderungen)

11.2: Backup via SFTP auf Remote-Server (empfohlen)

Gehe zu System → Configuration Management:

  1. Konfiguriere einen SFTP-Server (z. B. auf deinem NAS oder Cloud-VPS)
  2. Nutze OpenSSH-Keys für sichere Authentifizierung
  3. Automatisiere tägliche Backups via Cron (unter System → Cron)

11.3: LTE-Failover-Setup via externer LTE-Router

Falls deine Sophos XG 135 kein integriertes LTE-Modul hat (aktuelle Rev. haben keines mehr), nutze einen externen LTE-Router als WAN-Backup:

Netzwerk-Topologie:

Fritzbox (DSL/Fiber) → em0 (WAN1, Sophos XG 135)
LTE-Router (mobil)  → em2 (WAN2, Sophos XG 135)

Konfiguration in OPNsense:

  1. Gehe zu Interfaces → Assignments, füge em2 als neue WAN-Interface (WAN2) hinzu
  2. Konfiguriere Interfaces → WAN2 mit DHCP (LTE-Router vergibt IP)
  3. Gehe zu System → Gateways und erstelle zwei Gateway-Einträge: GW_WAN (Fritzbox) und GW_WAN2 (LTE-Router)
  4. Unter System → Gateways → Monitoring aktiviere „Monitor remote hosts“ für beide Gateways (z. B. 8.8.8.8 für Ping)

Failover-Regel in Firewall:

Gehe zu Firewall → Rules → WAN und erstelle eine Regel mit Failover:

  1. Action: Pass
  2. Interface: WAN
  3. Protocol: any
  4. Gateway: GW_WAN (mit Failover zu GW_WAN2)
  5. Speichern

Oder nutze Policy Based Routing (PBR):

Gehe zu Firewall → NAT → Outbound und erstelle eine Regel, die bestimmte Geräte über WAN2 routet.

Tipp: Mit diesem Setup schaltet OPNsense automatisch zum LTE-Router um, wenn die Fritzbox ausfällt. Das funktioniert aber nur, wenn der LTE-Router eine beliebige IPv4-Adresse (z. B. 10.0.0.0/8) vergibt und nicht auf 192.168.x.x beschränkt ist. Teste vorher!

Fazit

Die Sophos XG 135 eignet sich hervorragend für OPNsense – solide Hardware, genug RAM und Ports für komplexe Netzwerk-Setups. Mit dieser Anleitung klappen BIOS-Setup, Installation, Netzwerk-Konfiguration, VLAN-Segmentierung und Failover-Backup problemlos. Wichtigste Punkte zusammengefasst:

  • Secure Boot im BIOS deaktivieren (kritisch!)
  • USB-Boot priorisieren
  • Sophos SFOS-Firmware vollständig löschen (UFS-Installation)
  • WAN+LAN über Konsolen-Menü konfigurieren
  • DHCP mit ISC DHCPd (nicht KEA) starten
  • VLANs erstellen und mit Firewall-Regeln segmentieren
  • Backups lokal + Remote (SFTP) + optionales LTE-Failover einrichten