Cloudflared als Service in OPNsense einrichten: Ein praxisnahes Tutorial für mehr Sicherheit und Performance

In der heutigen vernetzten Welt gewinnt die Absicherung und Optimierung von Netzwerkinfrastrukturen zunehmend an Bedeutung. OPNsense, eine leistungsstarke Open-Source-Firewall, bietet vielfältige Möglichkeiten, Netzwerke effizient zu schützen und zu verwalten. In diesem Tutorial zeigen wir Ihnen, wie Sie cloudflared als Service in OPNsense integrieren, um DNS-Anfragen über den Cloudflare-DNS-Filter zu leiten und somit Ihre Netzwerkperformance und Sicherheit zu verbessern.

Was ist cloudflared? Cloudflared ist ein Tunnel- und DNS-Proxy-Dienst von Cloudflare, der sichere, schnelle und schutzbietende DNS-Abfragen über das 1.1.1.1 Netzwerk ermöglicht. Durch den Betrieb von cloudflared auf Ihrer Firewall können Sie DNS-Anfragen verschlüsselt und gefiltert weiterleiten, was den Schutz vor DNS-Spoofing erhöht und zusätzliche Filteroptionen bietet.

Warum cloudflared in OPNsense laufen lassen? OPNsense bringt von Haus aus DNS-Resolver mit, bietet aber keine standardmäßige Integration von aktuellen DNS-over-HTTPS-(DoH)-Clients. Durch das Einbinden von cloudflared als Service stellen Sie sicher, dass alle DNS-Anfragen Ihrer Clients verschlüsselt, gefiltert und schnell über Cloudflares Backbone geleitet werden. Dies reduziert Latenzen und erhöht die Sicherheit gegen Man-in-the-Middle-Angriffe.

Schritt 1: Vorbereitung – cloudflared herunterladen
Da OPNsense auf FreeBSD basiert, benötigen Sie die passende Version von cloudflared. Die einfachste Methode ist, das Binary direkt von Cloudflares Repository oder über den FreeBSD Ports Tree zu beziehen. Alternativ können Sie es auf einer externen Maschine kompilieren und anschließend auf OPNsense übertragen.

Beispiel zum Herunterladen und Übertragen via SCP:

scp cloudflared root@:/usr/local/bin/cloudflared
ssh root@ chmod +x /usr/local/bin/cloudflared

Schritt 2: cloudflared konfigurieren
Erstellen Sie eine YAML-Konfigurationsdatei, in der der DNS-Modus und weitere Parameter definiert sind. Beispielsweise:

proxy-dns: true
proxy-dns-port: 5053
proxy-dns-upstream:
  - https://1.1.1.1/dns-query
  - https://1.0.0.1/dns-query

Die Datei speichern Sie z.B. unter /usr/local/etc/cloudflared/config.yml.

Schritt 3: cloudflared als Service einrichten
Damit cloudflared beim Systemstart automatisch läuft, legen Sie einen FreeBSD-Service-Skript an. Erstellen Sie dazu die Datei /usr/local/etc/rc.d/cloudflared mit folgendem Inhalt:

#!/bin/sh

# PROVIDE: cloudflared
# REQUIRE: NETWORKING
# KEYWORD: shutdown

. /etc/rc.subr

name="cloudflared"
rcvar="cloudflared_enable"
command="/usr/local/bin/cloudflared"
command_args="--config /usr/local/etc/cloudflared/config.yml"

load_rc_config $name
: ${cloudflared_enable:="NO"}

run_rc_command "$1"

Setzen Sie die Ausführungsrechte:

chmod +x /usr/local/etc/rc.d/cloudflared

Aktivieren Sie den Service in der Datei /etc/rc.conf:

echo 'cloudflared_enable="YES"' >> /etc/rc.conf

Starten Sie den Service anschließend mit:

service cloudflared start

Schritt 4: OPNsense DNS-Resolver konfigurieren
Öffnen Sie die Weboberfläche von OPNsense und navigieren Sie zu Services > Unbound DNS > Allgemein. Legen Sie den Upstream DNS-Server auf 127.0.0.1 und Port 5053 fest, sodass der DNS-Resolver seine Anfragen an cloudflared weiterleitet.

Schritt 5: Testen der DNS-Abfragen
Überprüfen Sie nach der Einrichtung, ob DNS-Abfragen korrekt funktionieren und über cloudflared geleitet werden:

dig @127.0.0.1 -p 5053 example.com

Alternativ können Sie auch mit Tools wie tcpdump oder Cloudflare-Dashboard ein Monitoring durchführen, um die DNS-Traffic-Statistiken einzusehen.

Fazit: Mit der Integration von cloudflared als Service in OPNsense schaffen Sie eine moderne, sichere und performante DNS-Infrastruktur. Die Verschlüsselung und Nutzung der Cloudflare-DNS-Server bieten nicht nur eine bessere Privatsphäre, sondern helfen auch dabei, bösartige Domains effektiv zu blockieren und die Ausfallsicherheit Ihres Netzwerks zu erhöhen. Durch die Nutzung von FreeBSD-typischen Methoden zur Service-Integration bleibt Ihr Setup zudem sauber, stabil und gut wartbar.

Weiterführende Informationen und offizielle Quellen:
Cloudflared Dokumentation
OPNsense Handbuch

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Im Trend

OPNsense + ZeroTier: Sicherer Fernzugriff auf Ihr Heim- oder Büro‑Netzwerk (Schritt für Schritt)
Trump und Nvidia: Ein Blick auf den Balanceakt im KI-Zeitalter
Innovation mit Sicherheit: Desay Battery ebnet den Weg für die Zukunft der Energiespeicherung
Revolutionäre KI-Registerkarten: Ein neuer Anlauf für Mozilla Firefox