OPNsense folgt seit Jahren einem festen Veröffentlichungs-Rhythmus: Jeweils im Januar und Juli erscheint ein Major-Release (X.1 und X.7), zwischendurch gibt es Minor-Updates und Sicherheitspatches. Damit liegt das Sommer-Release für 2026 nach diesem Muster im Juli — entweder ist Version 26.7 zum Erscheinen dieses Artikels gerade veröffentlicht oder steht innerhalb weniger Tage bevor.
Wir verlinken am Ende dieses Artikels auf die offiziellen Release-Notes; alles Endgültige steht dort. Hier ordnen wir ein, was nach der bisherigen OPNsense-Roadmap und den vorausgegangenen Releases plausibel zu erwarten ist — und worauf Sie beim Update achten sollten.
Der OPNsense-Release-Rhythmus
Ein kurzer Rückblick auf die letzten Major-Releases zeigt die Logik dahinter:
| Release | Datum | Codename | Schwerpunkt |
|---|---|---|---|
| 24.1 | Januar 2024 | Savvy Shark | UI-Modernisierung, MFA, API |
| 24.7 | Juli 2024 | Thriving Tiger | FreeBSD-Sprung, OpenVPN-DCO |
| 25.1 | Januar 2025 | Ultimate Unicorn | Plugin-Refactoring, MVC-Migration |
| 25.7 | Juli 2025 | – | (siehe Release-Notes) |
| 26.1 | Januar 2026 | – | (siehe Release-Notes) |
| 26.7 | Juli 2026 | (t.b.a.) | HardenedBSD/FreeBSD-Update, Plugin-Refresh |
Major-Releases bringen typischerweise:
- Major-Upstream-Update der Basis (HardenedBSD bzw. FreeBSD)
- Neue Kernel-Version mit Treiber-Aktualisierungen
- Aktualisierte Plugins (Suricata, Zenarmor, HAProxy, ACME-Client)
- GUI-Verbesserungen und API-Erweiterungen
- Sicherheits-Patches für PHP, OpenSSL, Unbound, OpenVPN
Was die Maintainer von Deciso traditionell nicht in einem .7-Release machen: experimentelle Refactorings, die in einer Januar-LTS-Linie nochmal stabilisiert werden müssen. Die Juli-Releases sind in der Regel die “Plattform-Sprung”-Releases mit der frischeren Upstream-Basis.
Was bei 26.7 plausibel zu erwarten ist
Wir trennen ausdrücklich zwischen bestätigten Punkten aus der öffentlichen Roadmap und wahrscheinlichen Updates:
Bestätigt / öffentlich vorbereitet
- FreeBSD- bzw. HardenedBSD-Update. Major-Releases im Juli waren historisch der Punkt, an dem auf eine neuere Upstream-Basis gehoben wurde. Welche genau es bei 26.7 wird, steht in den Release-Notes.
- Plugin-Aktualisierungen. Insbesondere Suricata, Zenarmor, HAProxy und der ACME-Client erhalten in Major-Releases regelmäßig Funktions-Updates.
- Sicherheitsupdates für die Kernkomponenten (PHP, OpenSSL, Unbound, OpenVPN, IPsec/strongSwan, WireGuard).
Plausibel auf Basis der bisherigen Roadmap
- Weitere MVC-Migrationen im UI — OPNsense räumt seit mehreren Jahren ältere Legacy-Seiten in das modernere MVC-Framework um.
- API-Erweiterungen für mehr Endpunkte, die bisher nur über die UI erreichbar waren.
- Performance-Verbesserungen in Suricata (Multi-Threading, DPDK-Pfade je nach Plattform).
- Verbesserte WireGuard-Integration — sowohl im UI als auch in der Reporting-Ebene.
Was wir nicht spekulieren
Welche konkreten Features in 26.7 enthalten sind und welche Bezeichnung sie tragen, lesen Sie bitte in den offiziellen Release-Notes. Wir verzichten in diesem Artikel bewusst auf erfundene Feature-Listen, die später falsch wären.
Upgrade-Pfad: So gehen Sie vor
Egal welche Features 26.7 konkret bringt — der Upgrade-Prozess folgt dem bewährten Muster:
1. Vorbereitung
- Konfigurations-Backup über System → Configuration → Backups. Idealerweise zusätzlich verschlüsselt auf einen externen Speicher.
- Plugin-Liste dokumentieren. Welche Plugins sind aktiv? In welcher Version?
- Release-Notes lesen. Insbesondere den Abschnitt “Known Issues” und “Backward Incompatibility”.
- Wartungsfenster planen. Reboot ist nach Major-Release-Upgrade Pflicht.
2. Update durchführen
Im UI über System → Firmware → Updates:
1. "Check for updates" klicken
2. Major-Release-Hinweis erscheint
3. Release-Notes verlinkt im UI lesen
4. "Click to upgrade" startet den Download
5. Nach Abschluss: Reboot
Auf der Konsole via SSH:
opnsense-update
opnsense-update -k # Kernel
reboot
3. Nach dem Update
- Plugins überprüfen — manche brauchen ein separates Update.
- Suricata-Regeln neu laden (passiert in der Regel automatisch).
- VPN-Verbindungen testen (WireGuard, OpenVPN, IPsec).
- DHCP, DNS, Captive-Portal — die Kernfunktionen verifizieren.
- Reporting-Daten prüfen (manche Statistik-Tabellen werden in Major-Updates migriert).
Rollback-Strategie
OPNsense unterstützt boot environments (BE) für ZFS-Installationen. Vor dem Update sollte automatisch ein BE-Snapshot erstellt werden — über das Boot-Menü lässt sich dann zur vorherigen Version zurückkehren.
Bei UFS-Installationen (älteres Setup) ist der Rollback aufwendiger: Reinstallation aus einer aktuellen Sicherung. Wer noch nicht auf ZFS umgestellt hat, sollte das spätestens vor einem Major-Release tun — der Aufwand zahlt sich bei jedem Update aus.
Wann sollte man warten?
Manche Administratoren installieren Major-Releases bewusst nicht am Erscheinungstag. Sinnvolle Wartezeit:
- Production-Firewall in kritischer Infrastruktur: 2–4 Wochen warten, das erste Patch-Release (z.B. 26.7.1) abwarten. Erfahrungsgemäß werden in den ersten Wochen nach einem Major-Release noch kleinere Korrekturen nachgeliefert.
- Standby-Cluster mit CARP: Erst den Backup-Knoten upgraden, einen Lasttest fahren, dann den Master. Siehe auch OPNsense High Availability mit CARP.
- Test-Umgebungen: Sofort. Hier wollen Sie ja gerade die neue Version sehen.
Sicherheits-Updates parallel beachten
Major-Releases sind nicht der einzige Update-Pfad. OPNsense liefert zwischen den Major-Versionen regelmäßig Sicherheitsupdates. Wer aus Vorsicht ein Major-Update verzögert, sollte trotzdem die laufenden Security-Patches auf der älteren Linie einspielen — ein 26.1, das auf dem letzten Patch-Stand ist, ist sicherer als ein nicht gepflegtes 26.7.
Was hat sich bei OPNsense strategisch geändert?
Aus Sicht eines Beratungshauses fällt vor allem auf: OPNsense ist in den letzten Jahren enterprise-tauglicher geworden. Konkrete Beobachtungen aus DATAZONE-Projekten:
- HA via CARP funktioniert in der Praxis stabil und ohne exotische Hardware-Anforderungen.
- WireGuard-Integration ist nicht mehr Plugin, sondern Erstklasse-Bürger im UI.
- API-First-Tendenz macht Automatisierung (Ansible, Terraform) machbar.
- Zenarmor-NGFW-Plugin schließt die Lücke zu kommerziellen NGFW-Anbietern auf der Application-Layer-Ebene.
- Reporting ist deutlich besser als noch vor zwei Jahren — Grafana-Anbindung ist Standard.
Diese Reife ist der Grund, warum wir bei DATAZONE auch im professionellen Mittelstand OPNsense als ernsthafte Alternative zu Sophos, Fortinet und WatchGuard ansehen — siehe Sophos / Fortinet — Wechsel auf OPNsense.
Plugin-Status zum Release
Eine erfahrungsbasierte Beobachtung zu Major-Releases: Nicht jedes Plugin ist am Tag-1 nach einem Major-Release fertig. Insbesondere Zenarmor und einige Community-Plugins brauchen oft ein paar Tage Nachzieharbeit. Wer auf bestimmte Plugins angewiesen ist, sollte vor dem Update kurz im OPNsense-Forum prüfen, ob das Plugin für die neue Major-Version markiert ist.
Für Plugins, die in der Major-Version-Kompatibilitätsmatrix noch nicht aufgeführt sind, gilt: warten oder im Testsetup probieren — nicht produktiv ohne Validierung.
Was bedeutet 26.7 für laufende Projekte?
Aus DATAZONE-Sicht bei aktuellen Kunden-Projekten:
- Neue OPNsense-Installationen ab heute: Mit 26.7 starten (oder dem ersten Patch-Release 26.7.1 abwarten).
- Bestehende 26.1-Installationen: Innerhalb der nächsten 4–8 Wochen auf 26.7 heben — vorher das Wartungsfenster planen.
- Ältere Installationen (25.x oder älter): Erst auf 26.1 heben, dann auf 26.7. Nicht zwei Major-Versionen überspringen.
Fazit
OPNsense 26.7 fügt sich in das etablierte Veröffentlichungs-Muster ein — Major-Upstream-Update, Plugin-Refresh, GUI-Verbesserungen. Die genauen Feature-Highlights stehen in den offiziellen Release-Notes; wir spekulieren nicht.
Was bleibt zeitlos: Der Upgrade-Prozess selbst. Wer Backup, Wartungsfenster und Rollback-Strategie ernst nimmt, hat auch bei einem überraschend großen Sprung wenig zu befürchten.
Quellen und weiterführende Artikel
Mehr zu diesen Themen:
Weitere Artikel
100 GbE ist das neue 10 GbE: Warum Mid-Market jetzt umdenken muss
25 GbE und 100 GbE sind im Mid-Market angekommen. SFP28 ist abwärtskompatibel zu SFP+, NVMe sättigt 10 GbE trivial, MikroTik CRS520 macht 100 GbE bezahlbar. Drei klare Empfehlungen pro Netzwerk-Klasse — KMU-Backbone, Storage, High-End.
WireGuard Site-to-Site VPN in 30 Minuten
Konkretes Tutorial — zwei Standorte (Hauptbüro und Filiale) per WireGuard auf OPNsense verbinden. Schlüsselpaare erzeugen, Peers konfigurieren, Allowed-IPs richtig setzen, Persistent-Keepalive für NAT-Traversal, Firewall- und Routing-Regeln. Praxistauglich in 30 Minuten.
OPNsense Multi-WAN: Failover für KMU richtig einrichten
Zwei WAN-Verbindungen in OPNsense — Glasfaser und LTE-Backup — als Failover für den Mittelstand richtig konfigurieren. Gateway-Groups, Tier 1/2, Health-Checks via Monitor-IP, Sticky-Connections für VoIP, Outbound-NAT pro WAN. Warum echtes Failover für die meisten KMU besser ist als Load-Balancing.