Fernwartung Download starten

OPNsense 26.7 Release: Was Neues kommt

OPNsenseReleaseNetzwerk
OPNsense 26.7 Release: Was Neues kommt

OPNsense folgt seit Jahren einem festen Veröffentlichungs-Rhythmus: Jeweils im Januar und Juli erscheint ein Major-Release (X.1 und X.7), zwischendurch gibt es Minor-Updates und Sicherheitspatches. Damit liegt das Sommer-Release für 2026 nach diesem Muster im Juli — entweder ist Version 26.7 zum Erscheinen dieses Artikels gerade veröffentlicht oder steht innerhalb weniger Tage bevor.

Wir verlinken am Ende dieses Artikels auf die offiziellen Release-Notes; alles Endgültige steht dort. Hier ordnen wir ein, was nach der bisherigen OPNsense-Roadmap und den vorausgegangenen Releases plausibel zu erwarten ist — und worauf Sie beim Update achten sollten.

Der OPNsense-Release-Rhythmus

Ein kurzer Rückblick auf die letzten Major-Releases zeigt die Logik dahinter:

ReleaseDatumCodenameSchwerpunkt
24.1Januar 2024Savvy SharkUI-Modernisierung, MFA, API
24.7Juli 2024Thriving TigerFreeBSD-Sprung, OpenVPN-DCO
25.1Januar 2025Ultimate UnicornPlugin-Refactoring, MVC-Migration
25.7Juli 2025(siehe Release-Notes)
26.1Januar 2026(siehe Release-Notes)
26.7Juli 2026(t.b.a.)HardenedBSD/FreeBSD-Update, Plugin-Refresh

Major-Releases bringen typischerweise:

  • Major-Upstream-Update der Basis (HardenedBSD bzw. FreeBSD)
  • Neue Kernel-Version mit Treiber-Aktualisierungen
  • Aktualisierte Plugins (Suricata, Zenarmor, HAProxy, ACME-Client)
  • GUI-Verbesserungen und API-Erweiterungen
  • Sicherheits-Patches für PHP, OpenSSL, Unbound, OpenVPN

Was die Maintainer von Deciso traditionell nicht in einem .7-Release machen: experimentelle Refactorings, die in einer Januar-LTS-Linie nochmal stabilisiert werden müssen. Die Juli-Releases sind in der Regel die “Plattform-Sprung”-Releases mit der frischeren Upstream-Basis.

Was bei 26.7 plausibel zu erwarten ist

Wir trennen ausdrücklich zwischen bestätigten Punkten aus der öffentlichen Roadmap und wahrscheinlichen Updates:

Bestätigt / öffentlich vorbereitet

  • FreeBSD- bzw. HardenedBSD-Update. Major-Releases im Juli waren historisch der Punkt, an dem auf eine neuere Upstream-Basis gehoben wurde. Welche genau es bei 26.7 wird, steht in den Release-Notes.
  • Plugin-Aktualisierungen. Insbesondere Suricata, Zenarmor, HAProxy und der ACME-Client erhalten in Major-Releases regelmäßig Funktions-Updates.
  • Sicherheitsupdates für die Kernkomponenten (PHP, OpenSSL, Unbound, OpenVPN, IPsec/strongSwan, WireGuard).

Plausibel auf Basis der bisherigen Roadmap

  • Weitere MVC-Migrationen im UI — OPNsense räumt seit mehreren Jahren ältere Legacy-Seiten in das modernere MVC-Framework um.
  • API-Erweiterungen für mehr Endpunkte, die bisher nur über die UI erreichbar waren.
  • Performance-Verbesserungen in Suricata (Multi-Threading, DPDK-Pfade je nach Plattform).
  • Verbesserte WireGuard-Integration — sowohl im UI als auch in der Reporting-Ebene.

Was wir nicht spekulieren

Welche konkreten Features in 26.7 enthalten sind und welche Bezeichnung sie tragen, lesen Sie bitte in den offiziellen Release-Notes. Wir verzichten in diesem Artikel bewusst auf erfundene Feature-Listen, die später falsch wären.

Upgrade-Pfad: So gehen Sie vor

Egal welche Features 26.7 konkret bringt — der Upgrade-Prozess folgt dem bewährten Muster:

1. Vorbereitung

  • Konfigurations-Backup über System → Configuration → Backups. Idealerweise zusätzlich verschlüsselt auf einen externen Speicher.
  • Plugin-Liste dokumentieren. Welche Plugins sind aktiv? In welcher Version?
  • Release-Notes lesen. Insbesondere den Abschnitt “Known Issues” und “Backward Incompatibility”.
  • Wartungsfenster planen. Reboot ist nach Major-Release-Upgrade Pflicht.

2. Update durchführen

Im UI über System → Firmware → Updates:

1. "Check for updates" klicken
2. Major-Release-Hinweis erscheint
3. Release-Notes verlinkt im UI lesen
4. "Click to upgrade" startet den Download
5. Nach Abschluss: Reboot

Auf der Konsole via SSH:

opnsense-update
opnsense-update -k   # Kernel
reboot

3. Nach dem Update

  • Plugins überprüfen — manche brauchen ein separates Update.
  • Suricata-Regeln neu laden (passiert in der Regel automatisch).
  • VPN-Verbindungen testen (WireGuard, OpenVPN, IPsec).
  • DHCP, DNS, Captive-Portal — die Kernfunktionen verifizieren.
  • Reporting-Daten prüfen (manche Statistik-Tabellen werden in Major-Updates migriert).

Rollback-Strategie

OPNsense unterstützt boot environments (BE) für ZFS-Installationen. Vor dem Update sollte automatisch ein BE-Snapshot erstellt werden — über das Boot-Menü lässt sich dann zur vorherigen Version zurückkehren.

Bei UFS-Installationen (älteres Setup) ist der Rollback aufwendiger: Reinstallation aus einer aktuellen Sicherung. Wer noch nicht auf ZFS umgestellt hat, sollte das spätestens vor einem Major-Release tun — der Aufwand zahlt sich bei jedem Update aus.

Wann sollte man warten?

Manche Administratoren installieren Major-Releases bewusst nicht am Erscheinungstag. Sinnvolle Wartezeit:

  • Production-Firewall in kritischer Infrastruktur: 2–4 Wochen warten, das erste Patch-Release (z.B. 26.7.1) abwarten. Erfahrungsgemäß werden in den ersten Wochen nach einem Major-Release noch kleinere Korrekturen nachgeliefert.
  • Standby-Cluster mit CARP: Erst den Backup-Knoten upgraden, einen Lasttest fahren, dann den Master. Siehe auch OPNsense High Availability mit CARP.
  • Test-Umgebungen: Sofort. Hier wollen Sie ja gerade die neue Version sehen.

Sicherheits-Updates parallel beachten

Major-Releases sind nicht der einzige Update-Pfad. OPNsense liefert zwischen den Major-Versionen regelmäßig Sicherheitsupdates. Wer aus Vorsicht ein Major-Update verzögert, sollte trotzdem die laufenden Security-Patches auf der älteren Linie einspielen — ein 26.1, das auf dem letzten Patch-Stand ist, ist sicherer als ein nicht gepflegtes 26.7.

Was hat sich bei OPNsense strategisch geändert?

Aus Sicht eines Beratungshauses fällt vor allem auf: OPNsense ist in den letzten Jahren enterprise-tauglicher geworden. Konkrete Beobachtungen aus DATAZONE-Projekten:

  • HA via CARP funktioniert in der Praxis stabil und ohne exotische Hardware-Anforderungen.
  • WireGuard-Integration ist nicht mehr Plugin, sondern Erstklasse-Bürger im UI.
  • API-First-Tendenz macht Automatisierung (Ansible, Terraform) machbar.
  • Zenarmor-NGFW-Plugin schließt die Lücke zu kommerziellen NGFW-Anbietern auf der Application-Layer-Ebene.
  • Reporting ist deutlich besser als noch vor zwei Jahren — Grafana-Anbindung ist Standard.

Diese Reife ist der Grund, warum wir bei DATAZONE auch im professionellen Mittelstand OPNsense als ernsthafte Alternative zu Sophos, Fortinet und WatchGuard ansehen — siehe Sophos / Fortinet — Wechsel auf OPNsense.

Plugin-Status zum Release

Eine erfahrungsbasierte Beobachtung zu Major-Releases: Nicht jedes Plugin ist am Tag-1 nach einem Major-Release fertig. Insbesondere Zenarmor und einige Community-Plugins brauchen oft ein paar Tage Nachzieharbeit. Wer auf bestimmte Plugins angewiesen ist, sollte vor dem Update kurz im OPNsense-Forum prüfen, ob das Plugin für die neue Major-Version markiert ist.

Für Plugins, die in der Major-Version-Kompatibilitätsmatrix noch nicht aufgeführt sind, gilt: warten oder im Testsetup probieren — nicht produktiv ohne Validierung.

Was bedeutet 26.7 für laufende Projekte?

Aus DATAZONE-Sicht bei aktuellen Kunden-Projekten:

  • Neue OPNsense-Installationen ab heute: Mit 26.7 starten (oder dem ersten Patch-Release 26.7.1 abwarten).
  • Bestehende 26.1-Installationen: Innerhalb der nächsten 4–8 Wochen auf 26.7 heben — vorher das Wartungsfenster planen.
  • Ältere Installationen (25.x oder älter): Erst auf 26.1 heben, dann auf 26.7. Nicht zwei Major-Versionen überspringen.

Fazit

OPNsense 26.7 fügt sich in das etablierte Veröffentlichungs-Muster ein — Major-Upstream-Update, Plugin-Refresh, GUI-Verbesserungen. Die genauen Feature-Highlights stehen in den offiziellen Release-Notes; wir spekulieren nicht.

Was bleibt zeitlos: Der Upgrade-Prozess selbst. Wer Backup, Wartungsfenster und Rollback-Strategie ernst nimmt, hat auch bei einem überraschend großen Sprung wenig zu befürchten.

Quellen und weiterführende Artikel

Mehr zu diesen Themen:

IT-Beratung gewünscht?

Kontaktieren Sie uns für eine unverbindliche Beratung zu Proxmox, OPNsense, TrueNAS und mehr.

Jetzt Kontakt aufnehmen