Vorbereitung: Was du brauchst
Für die Installation von OPNsense auf einer Sophos XG 135 benötigst du:
- einen USB-Stick (mind. 4 GB)
- einen PC mit Schreibzugriff auf USB
- Monitor mit HDMI-Anschluss (optional, aber empfohlen)
- USB-Tastatur
- Konsolenkabel oder seriellen Zugang (RJ45 auf USB, falls kein HDMI)
- Das aktuelle OPNsense-Image (amd64 Full Installer von opnsense.org)
Die Sophos XG 135 ist eine x86-64-basierte Hardware mit 8 Gigabit-Kupferports und 1 SFP-Port – perfekt für OPNsense geeignet.
Schritt 1: OPNsense-Image auf USB-Stick schreiben
Lade dir das aktuelle OPNsense Full Installer Image für amd64 von der offiziellen Website herunter. Nutze die VGA-USB Image für Monitor+Tastatur-Installation oder die Serial-USB Image für Konsolen-Zugang (115200 Baud, empfohlen für XG 135).
Wichtig: Die heruntergeladene Datei ist bzip2-komprimiert (.img.bz2). Diese muss erst dekomprimiert werden.
Unter Windows nutzt du Balena Etcher (liest .bz2 direkt) oder Rufus:
- Balena Etcher starten oder die .bz2-Datei vorher mit 7-Zip/WinRAR dekomprimieren
- OPNsense-Image auswählen
- USB-Stick als Ziel wählen
- „Flashen“ klicken
- Vor dem Einsatz: SHA-256-Checksum gegen opnsense.org prüfen – Datenintegrität ist kritisch
Unter Linux/macOS: Dekomprimierung + dd-Befehl:
bunzip2 OPNsense-26.1-vga-amd64.img.bz2
sudo dd if=OPNsense-26.1-vga-amd64.img of=/dev/sdX bs=1M sync
(X durch dein Device ersetzen, z. B. sdb)
Schritt 2: Sophos XG 135 vorbereiten – BIOS-Einstellungen
Verbinde Monitor und Tastatur, schalte die Sophos XG 135 an. Beim Boot-Prozess drückst du sofort und wiederholt F2, Del oder ESC, um ins BIOS zu gelangen (UEFI-System).
Wichtige Einstellungen im BIOS:
- Secure Boot deaktivieren (kritisch!) – OPNsense hat keinen Microsoft-signierten Bootloader und wird sonst blockiert
- Boot-Reihenfolge ändern: USB-Stick als erstes Boot-Device setzen (Arrow-Keys navigieren, Speichern mit F10)
- UEFI vs. Legacy: Die XG 135 nutzt UEFI mit GPT – stelle sicher, dass UEFI aktiviert bleibt
- Einstellungen speichern (üblicherweise F10) und neu starten
Schritt 3: Von USB-Stick booten und Installation starten
Stecke den USB-Stick ein, starte das Gerät neu. Es sollte direkt vom USB-Stick booten und die OPNsense Live-Umgebung anzeigen.
Login in der Live-Umgebung:
- Benutzer:
installer - Passwort:
opnsense
Du bekommst sofort das Installations-Menü. Wähle die Option zum Starten des Installers (üblicherweise Option 1: „Install (UFS)“).
Schritt 4: Sophos-Firmware löschen und OPNsense installieren
Der Installer fragt dich Schritt für Schritt:
- Keymap: Standard akzeptieren (Enter)
- Partitionierungsmethode: Wähle GPT (UEFI)
- Festplatte: Mit Arrow-Keys die interne Festplatte/SSD der Sophos auswählen (normalerweise
ada0) und mit SPACEBAR markieren [*] - Dateisystem: Wähle UFS (einfach, ressourcenschonend für die XG 135) – alternativ ZFS für erweiterte Snapshots
- Bestätige, dass die gesamte Festplatte gelöscht werden soll – damit wird auch die ursprüngliche Sophos SFOS-Firmware vollständig entfernt
Die Installation dauert 5–15 Minuten. Danach wirst du aufgefordert, das Root-Passwort zu setzen. Verwende ein starkes Passwort – das ist der Admin-Account für Web-GUI und Konsole.
Schritt 5: Erstes Boot und Konsolen-Zugang
Nach der Installation: USB-Stick entfernen, Gerät neu starten.
OPNsense startet und präsentiert das Konsolen-Menü. Mit Monitor und Tastatur oder serieller Konsole (ttyS1 bei der XG 135) erhältst du Zugriff.
Falls das Gerät beim Boot hängt: Im Boot-Menü (kurz nach dem Start) drücke 3 für „Escape to loader prompt“ und gib ein:
set kern.vty=sc
boot
Nach erfolgreichem Boot ergänze permanent in /boot/loader.conf.local:
kern.vty=sc
Schritt 6: Netzwerk-Konfiguration – Gateway zum Modem (Fritzbox)
Nach dem ersten Boot zeigt OPNsense sein Konsolen-Menü. Wähle Option 2 (Set interface IP address).
Die Sophos XG 135 hat mehrere Ports. Typische Zuordnung:
- em0–em3: X553-NICs (Ports 1–4)
- em4–em7: I211-NICs (Ports 5–8)
- em8: I210-Fiber-Interface (SFP-Port)
Konfiguriere Schritt für Schritt:
- WAN-Interface (z. B. em0): Verbindung zum Modem (Fritzbox) – DHCP oder statische IP, je nach deinem Setup
- LAN-Interface (z. B. em1): Interne IP wie
192.168.1.1mit Netzmaske255.255.255.0 - IPv6 optional (Enter zum Überspringen, falls nicht benötigt)
Nach der IP-Konfiguration startest du die Netzwerk-Services neu (Menü-Option 7 oder einfach reboot).
Schritt 7: Web-Interface aufrufen
Verbinde einen Client mit dem LAN-Port der XG 135 oder nutze DHCP im Subnet. Öffne im Browser:
https://192.168.1.1
Login mit root und dem Passwort, das du während der Installation gesetzt hast.
Schritt 8: DHCP einrichten – ISC DHCPd verwenden
Gehe zu Services → DHCP Server. OPNsense nutzt standardmäßig ISC DHCPd.
Wichtig: KEA (die neue DHCP-Engine in neueren Versionen) kann bei älteren Hardware-Konfigurationen Probleme bereiten. Verwende daher ISC DHCPd:
- Interface: dein LAN-Interface (z. B. em1)
- Range: z. B.
192.168.1.100 – 192.168.1.200 - Gateway:
192.168.1.1 - DNS: z. B.
1.1.1.1oder dein ISP-DNS - Speichern und „Apply“ klicken
Schritt 9: VLAN-Konfiguration – Zwei VLANs einrichten
Für Netzwerk-Segmentierung (z. B. Gäste-Netz vs. IoT) erstelle VLANs. Beispiel: VLAN 10 für Gäste (192.168.10.0/24) und VLAN 20 für IoT (192.168.20.0/24).
9.1: VLAN-Tags erstellen
Gehe zu Interfaces → Other Types → VLAN:
- Parent Interface: Wähle em1 (dein LAN-Port)
- VLAN Tag: 10 eingeben
- Description: „Guest VLAN“
- Speichern
Wiederhole für VLAN 20:
- Parent Interface: em1
- VLAN Tag: 20
- Description: „IoT VLAN“
- Speichern
9.2: VLAN-Interfaces zuweisen
Gehe zu Interfaces → Assignments:
- Klicke auf das grüne Plus-Symbol, um eine neue Interface-Zuordnung hinzuzufügen
- Wähle
em1.10aus der Dropdown und klicke „Add“ - Wiederhole mit
em1.20
Du siehst jetzt neue Einträge, z. B. OPT1 (em1.10) und OPT2 (em1.20).
9.3: IP-Adressen für VLANs konfigurieren
Gehe zu Interfaces → OPT1 (Guest VLAN):
- Enable Interface: Haken setzen
- IPv4 Configuration Type: Static IPv4
- IPv4 Address: 192.168.10.1
- Subnet Mask: 24
- Speichern
Wiederhole für Interfaces → OPT2 (IoT VLAN):
- Enable Interface: Haken setzen
- IPv4 Configuration Type: Static IPv4
- IPv4 Address: 192.168.20.1
- Subnet Mask: 24
- Speichern
9.4: DHCP für VLANs aktivieren
Gehe zu Services → DHCP Server und füge neue Ranges hinzu:
Für OPT1 (Guest VLAN):
- Interface: OPT1
- Enable DHCP: Haken setzen
- Range: 192.168.10.100 – 192.168.10.200
- Gateway: 192.168.10.1
- DNS: 1.1.1.1
Für OPT2 (IoT VLAN):
- Interface: OPT2
- Enable DHCP: Haken setzen
- Range: 192.168.20.100 – 192.168.20.200
- Gateway: 192.168.20.1
- DNS: 1.1.1.1
Speichern und „Apply“ klicken.
Schritt 10: Firewall-Regeln für VLAN-Isolation
Um Netzwerk-Segmentierung durchzusetzen, musst du Firewall-Regeln definieren. Standardmäßig sperrt OPNsense Traffic zwischen VLANs.
Gehe zu Firewall → Rules und klicke auf den Tab deines VLAN-Interfaces (z. B. OPT1 – Guest):
Beispiel: Guest-VLAN darf ins Internet, aber nicht ins Heimnetz
- Klicke auf das grüne Plus (+), um eine Regel hinzuzufügen
- Action: Pass
- Interface: OPT1
- Protocol: any
- Destination: WAN (oder spezifische externe IPs)
- Description: „Guest to Internet“
- Speichern
Füge eine zweite Regel hinzu (standardmäßig sperren alles andere):
- Action: Block
- Interface: OPT1
- Protocol: any
- Destination: LAN (192.168.1.0/24)
- Description: „Block Guest to LAN“
- Speichern
Beispiel: IoT-VLAN (OPT2) nur zu bestimmten Servern erlauben
- Füge eine Regel hinzu (im OPT2-Tab):
- Action: Pass
- Interface: OPT2
- Protocol: TCP/UDP
- Destination Port: 53 (DNS)
- Destination: any
- Description: „IoT DNS“
- Speichern
Alle anderen Traffic-Richtungen (zwischen OPT2 und LAN, etc.) werden von der Firewall standardmäßig geblockt.
Schritt 11: Backup – Standard und LTE-Failover
11.1: Lokales Backup über Web-Interface
Gehe zu System → Backup & Restore:
- Klicke „Download configuration as XML“
- Speichere die Datei auf einem sicheren Ort (USB, NAS, Cloud)
- Wiederhole regelmäßig (z. B. monatlich nach Konfigurationsänderungen)
11.2: Backup via SFTP auf Remote-Server (empfohlen)
Gehe zu System → Configuration Management:
- Konfiguriere einen SFTP-Server (z. B. auf deinem NAS oder Cloud-VPS)
- Nutze OpenSSH-Keys für sichere Authentifizierung
- Automatisiere tägliche Backups via Cron (unter System → Cron)
11.3: LTE-Failover-Setup via externer LTE-Router
Falls deine Sophos XG 135 kein integriertes LTE-Modul hat (aktuelle Rev. haben keines mehr), nutze einen externen LTE-Router als WAN-Backup:
Netzwerk-Topologie:
Fritzbox (DSL/Fiber) → em0 (WAN1, Sophos XG 135)
LTE-Router (mobil) → em2 (WAN2, Sophos XG 135)
Konfiguration in OPNsense:
- Gehe zu Interfaces → Assignments, füge em2 als neue WAN-Interface (WAN2) hinzu
- Konfiguriere Interfaces → WAN2 mit DHCP (LTE-Router vergibt IP)
- Gehe zu System → Gateways und erstelle zwei Gateway-Einträge: GW_WAN (Fritzbox) und GW_WAN2 (LTE-Router)
- Unter System → Gateways → Monitoring aktiviere „Monitor remote hosts“ für beide Gateways (z. B. 8.8.8.8 für Ping)
Failover-Regel in Firewall:
Gehe zu Firewall → Rules → WAN und erstelle eine Regel mit Failover:
- Action: Pass
- Interface: WAN
- Protocol: any
- Gateway: GW_WAN (mit Failover zu GW_WAN2)
- Speichern
Oder nutze Policy Based Routing (PBR):
Gehe zu Firewall → NAT → Outbound und erstelle eine Regel, die bestimmte Geräte über WAN2 routet.
Tipp: Mit diesem Setup schaltet OPNsense automatisch zum LTE-Router um, wenn die Fritzbox ausfällt. Das funktioniert aber nur, wenn der LTE-Router eine beliebige IPv4-Adresse (z. B. 10.0.0.0/8) vergibt und nicht auf 192.168.x.x beschränkt ist. Teste vorher!
Fazit
Die Sophos XG 135 eignet sich hervorragend für OPNsense – solide Hardware, genug RAM und Ports für komplexe Netzwerk-Setups. Mit dieser Anleitung klappen BIOS-Setup, Installation, Netzwerk-Konfiguration, VLAN-Segmentierung und Failover-Backup problemlos. Wichtigste Punkte zusammengefasst:
- Secure Boot im BIOS deaktivieren (kritisch!)
- USB-Boot priorisieren
- Sophos SFOS-Firmware vollständig löschen (UFS-Installation)
- WAN+LAN über Konsolen-Menü konfigurieren
- DHCP mit ISC DHCPd (nicht KEA) starten
- VLANs erstellen und mit Firewall-Regeln segmentieren
- Backups lokal + Remote (SFTP) + optionales LTE-Failover einrichten