Fernwartung Download starten

OPNsense Zenarmor: L7-Blocking in der Praxis

OPNsenseZenarmorSecurityL7
OPNsense Zenarmor: L7-Blocking in der Praxis

DNS-basierte Filter waren jahrelang das Standardwerkzeug, um unerwünschte Anwendungen im Firmennetz zu blockieren. Doch mit DNS-over-HTTPS (DoH), DNS-over-TLS und immer mehr Apps, die feste IP-Pools oder eigene Resolver mitbringen, verlieren klassische Sperrlisten an Wirkung. Ein Mitarbeiter, der TikTok nutzen will, installiert in zwei Minuten einen WireGuard-Tunnel auf seinem privaten Handy — und die DNS-Sperre auf dem Pi-hole sieht davon nichts.

Genau hier setzt Zenarmor an: ein Layer-7-Sicherheits-Plugin für OPNsense, das Anwendungen anhand ihres Traffic-Verhaltens erkennt — unabhängig von DNS, Port oder TLS-SNI. In diesem Artikel zeigen wir, wie das in der Praxis aussieht, welche Lizenz für KMU sinnvoll ist und mit welcher Performance Sie auf einem symmetrischen Gigabit-Anschluss rechnen müssen.

Warum klassische Filter heute scheitern

Drei Effekte machen DNS- und portbasiertem Blocking das Leben schwer:

  1. DNS-over-HTTPS ist im Chrome, Edge und Firefox standardmäßig aktiv. Anfragen gehen an Cloudflare, Google oder NextDNS — der lokale Resolver sieht nichts.
  2. App-eigene Resolver: TikTok, WhatsApp und viele Spiele bringen hartcodierte Resolver oder Bootstrap-IPs mit.
  3. VPN-Tunnel als Bypass: WireGuard auf Port 443/UDP sieht für eine herkömmliche Firewall aus wie HTTPS-Traffic.

Zenarmor löst das, indem es Pakete nicht nach Domain oder Port klassifiziert, sondern nach Application Fingerprints — Paketgrößen, Timing, TLS-Handshake-Muster und Flow-Verhalten. So lässt sich TikTok auch dann erkennen, wenn der Nutzer einen Tunnel zu einem Hetzner-Server gebaut hat — denn die Charakteristik des TikTok-Streams bleibt sichtbar.

Installation auf OPNsense 25.7

Die Einrichtung ist auf einer aktuellen OPNsense 25.7 in wenigen Minuten erledigt:

# SSH auf die OPNsense
pkg install os-sensei

# Anschließend im Webinterface
# System -> Firmware -> Plugins -> os-sensei aktivieren
# Danach unter "Zenarmor" den Initial Setup Wizard starten

Während des Wizards wählen Sie die zu überwachenden Interfaces (in der Regel LAN, ggf. VLANs für Gast, IoT, Mitarbeiter) und legen Speicherort und Retention für Reporting-Daten fest. Wir empfehlen ein eigenes ZFS-Dataset auf SSD mit mindestens 50 GB für ein KMU mit 50 Clients und 90 Tagen Logaufbewahrung.

Lizenzmodelle: Free, Home und Business

Zenarmor wird in vier Varianten angeboten. Für KMU sind in der Praxis nur drei relevant:

EditionApp-ErkennungReportingCloud-Threat-IntelPreis (2026)
Freerund 300 Apps24 hnein0 EUR
Homerund 1.500 Apps7 Tagebegrenztrund 30 EUR/Jahr
SOHOrund 4.500 Apps90 Tagejarund 290 EUR/Jahr
Businessrund 4.500 Appsunbegrenztja, mit SLAab rund 720 EUR/Jahr

Die Free-Edition reicht für eine erste Evaluation, aber sobald Sie produktiv TikTok, Instagram-Reels oder gezielt Generative-AI-Tools blockieren wollen, brauchen Sie die SOHO- oder Business-Edition. Erst dort liegen die Fingerprints für die populären Social-Media- und KI-Plattformen.

Whitelist-Modus versus Blocklist-Modus

Zenarmor unterstützt zwei grundlegende Policy-Modelle:

Blocklist-Modus (Default): Alles ist erlaubt, ausser den gelisteten Kategorien. Praktisch für Umgebungen, in denen Mitarbeiter relativ frei surfen sollen, aber Kategorien wie “Social Networking”, “Adult Content” oder “Anonymizer” gesperrt werden. Geringer Pflegeaufwand, akzeptables Risiko.

Whitelist-Modus: Nichts ist erlaubt, ausser explizit freigegebene Anwendungen. Sinnvoll für hochsensible Subnetze — etwa eine Fertigungs-VLAN, die ausschliesslich mit dem MES und ein paar Update-Servern reden darf. Sehr restriktiv, hoher Initialaufwand, aber dafür extrem belastbar gegen Schatten-IT.

In typischen KMU-Setups kombinieren wir beide Ansätze: Mitarbeiter-VLAN im Blocklist-Modus, IoT- und Server-VLANs strikt im Whitelist-Modus. Das lässt sich pro Policy in Zenarmor sauber trennen.

Konkretes Beispiel: Social-Media-Block trotz DoH und VPN

Ein typisches Szenario aus unseren Projekten: Der Geschäftsführer möchte Social Media während der Arbeitszeit gesperrt haben, das WLAN für Mitarbeiterhandys ist aber im selben SSID wie die Firmen-Notebooks (eine schlechte Praxis, die wir bei der OPNsense-Beratung regelmässig korrigieren).

Konfiguration:

  • Policy “Mitarbeiter-LAN”
  • Application Control aktivieren
  • Kategorie “Social Networking” -> Block
  • Kategorie “Anonymizer & Proxy” -> Block (sperrt Tor, einige Consumer-VPNs)
  • Anwendung “WireGuard” und “OpenVPN” -> Allow nur für Source-IP des Firmen-VPN-Servers, sonst Block
  • TLS-Fingerprinting aktivieren

Das Ergebnis im Test: Selbst wenn ein Mitarbeiter einen privaten Cloud-VPN-Anbieter mit Port 443/TCP nutzt, erkennt Zenarmor das WireGuard- oder OpenVPN-typische Handshake-Muster und blockt den Tunnel-Aufbau. Der Nutzer sieht lediglich, dass “die Verbindung nicht zustande kommt” — ohne dass im Browser ein klassisches Blockierungs-Banner erscheint.

Reporting und Dashboard

Das Zenarmor-Dashboard ist einer der grossen Vorteile gegenüber reinen Suricata- oder ntopng-Setups. Sie sehen pro Host, Nutzer (mit AD-Integration), Anwendung und Kategorie:

  • Top-Apps nach Bytes und Sessions
  • Blocked Hits pro Policy
  • Verlauf einzelner Endpoints (forensische Sicht)
  • Threat-Events aus Cloud-Threat-Intel
  • Bandwidth-Heatmap pro Stunde

Für die DSGVO-Konformität wichtig: Sie können das User-Tracking deaktivieren oder pseudonymisieren und Logs nach X Tagen automatisch löschen lassen. Wir konfigurieren in KMU-Projekten meist 30 Tage Detail-Logs und 12 Monate aggregierte Statistik.

Performance bei 1 GBit symmetrisch

Die häufigste Frage in der Praxis: “Bremst das meinen Internetanschluss aus?” Unsere Messwerte auf einer Standard-Hardware — ein 4-Core Intel N305 mit 16 GB RAM, 2.5G-NICs — bei einem 1 GBit symmetrischen Anschluss:

KonfigurationDurchsatz (iperf3)CPU-Last
OPNsense pur, keine IDS940 MBit/s12 %
OPNsense + Suricata IPS680 MBit/s55 %
OPNsense + Zenarmor (Free)920 MBit/s22 %
OPNsense + Zenarmor (SOHO, alle Features)880 MBit/s38 %
OPNsense + Zenarmor + Suricata parallel620 MBit/s71 %

Zenarmor allein bremst also kaum — der grosse Unterschied entsteht, wenn Sie zusätzlich Suricata-Signaturen laufen lassen. Für die meisten KMU empfehlen wir Zenarmor als L7-Layer und punktuell Suricata für CVE-Schutz an exponierten Servern, statt beides flächendeckend zu aktivieren.

Fazit und Empfehlung

Zenarmor schliesst die Lücke, die DNS-Filter und klassische Firewall-Regeln durch DoH, App-eigene Resolver und private VPN-Tunnel hinterlassen. Die SOHO-Lizenz ist für einen Bruchteil der Kosten kommerzieller NGFW-Subscriptions zu haben und liefert ein Reporting, das selbst Geschäftsführer ohne IT-Background verstehen. Wichtig ist eine saubere Policy-Architektur — pauschal alles zu blocken bringt Frust, ein durchdachter Mix aus Whitelist- und Blocklist-Modus dagegen Ruhe ins Netz.

DATAZONE unterstützt Sie bei der Auswahl der passenden Lizenz, beim Aufbau der Policy-Struktur und bei der Integration in bestehende Active-Directory- und Backup-Landschaften. Wir betreuen OPNsense-Installationen vom Einzelstandort bis zur Multi-Site-Umgebung mit zentralem Reporting. Sprechen Sie uns an unter Kontakt — wir liefern Ihnen eine realistische Einschätzung für Ihr Netz und übernehmen auf Wunsch die komplette Implementierung.

Mehr zu diesen Themen:

IT-Beratung gewünscht?

Kontaktieren Sie uns für eine unverbindliche Beratung zu Proxmox, OPNsense, TrueNAS und mehr.

Jetzt Kontakt aufnehmen