Firewall

Netzwerksicherheit beginnt an der Peripherie, endet aber erst beim letzten Dienst im System.
Ich plane und betreibe Firewall- und VPN-Strukturen, die interne und externe Systeme zuverlässig voneinander trennen und gleichzeitig sicheren Zugriff ermöglichen.
Dafür setze ich auf offene, nachvollziehbare Technologien wie OPNsense, WireGuard und Ansible-gestützte Regelwerke – anpassbar, dokumentiert und langfristig wartbar.

Architektur & Segmentierung

Ich konzipiere Netzwerkarchitekturen, in denen Sicherheit und Transparenz von Anfang an integriert sind.
Ziel ist eine klare Trennung von Zonen und Diensten – ohne den Betrieb unnötig zu verkomplizieren.

  • DMZ-, Management- und interne Netztrennung
  • VLAN-Design und Routing-Regeln (L3-Segmentierung)
  • NAT, Portweiterleitungen und Lastverteilung
  • Integration physischer und virtueller Firewall-Komponenten
  • Regelwerke nach dem Prinzip „Default Deny – Explicit Allow“

Firewall-Plattformen & Technologien

Ich arbeite bevorzugt mit OPNsense – einer FreeBSD-basierten, offenen Firewall-Lösung – sowie mit Linux-basierten Komponenten für spezielle Szenarien.
So entsteht eine transparente, modulare Sicherheitsarchitektur mit modernen Features.

  • OPNsense mit IDS/IPS (Suricata) und Geo-Blocking
  • WireGuard für Site-to-Site- und Remote-VPNs
  • Failover-Cluster mit CARP und synchronisierten Regelwerken
  • OpenVPN oder IPsec für Legacy-Umgebungen
  • Automatisiertes Regel-Management mit Ansible

Standortvernetzung & VPN

Ich verbinde verteilte Standorte, Server oder Rechenzentren sicher und effizient über Open-Source-VPN-Technologien.
Dabei achte ich auf einfache Administration, moderne Kryptografie und reproduzierbare Konfiguration.

  • WireGuard für performante, verschlüsselte Tunnelverbindungen
  • OPNsense Gateway-Redundanz (CARP + Policy Routing)
  • Dynamic DNS & Multi-WAN Failover
  • Integration in zentralisierte Authentifizierung (LDAP/Kerberos)

Seminare

Passend zu den oben skizzierten Schwerpunkten bieten wir praxisnahe Seminare an. In kompakten Modulen arbeiten wir an realen Admin-Szenarien – vom sicheren Basis-Setup bis zu Automatisierung und Compliance. Die Inhalte sind distributionsspezifisch aufgebaut und lassen sich 1:1 in Ihrem Betrieb übernehmen. Termine, Formate (remote/vor Ort) und Inhouse-Optionen finden Sie in den Kursübersichten.

OPNsense HA, Multi-WAN & Policy Routing at Scale

Kurzprofil: ausfallsichere Perimeter mit reproduzierbarem Routing.

Technik: CARP-Cluster, pfsync, Policy-/PBR-Regeln, Multi-WAN (Failover/Load-Balance), FRR (BGP/OSPF) auf OPNsense, NAT-Design (Outbound/1:1), Limiters (dummynet) für Shaping.

Inhalte: Zonen-/DMZ-Design, State-sichere Failover-Strategien, Asymmetrisches Routing & Tracking, Health-Checks/Monitore, Hairpin-/NAT-Besonderheiten, Runbooks & Chaos-Drills, Automatisiertes Regel-Review mit Ansible/API.

Seminare zu HA & Policy Routing

IDS/IPS, Logging & Zero-Trust-Edge

Kurzprofil: Angriffe früh erkennen und wirksam blocken – auditierbar.

Technik: Suricata inline (AF-Packet/Netmap), ET/Abuse-Feeds, Geo-/Reputation-Lists, EVE→Loki/Elastic/SIEM, Netflow/IPFIX, TLS-/SSH-Policy, streng segmentierte East-West-Regeln.

Inhalte: Rule-Tuning & Baselines, Alert→Ticket→Page-Ketten, Inhibition/Rate-Limits, Forensik-Pfade, Mandanten-/RBAC-Konzepte, Compliance-Reports (ISO/BSI) aus Log-Pipelines, WORM/Retention-Strategien.

Seminare zu IDS/IPS & Zero-Trust

WireGuard-Fabric & VPN-Betrieb für verteilte Standorte

Kurzprofil: performante, wartbare Tunnel-Netze mit klaren Policies.

Technik: WireGuard Hub-&-Spoke/Mesh, Key-/Peer-Lifecycle, MTU/Keepalive-Tuning, Site-to-Site + Road-Warrior, OPNsense-Integration (Gateway-Failover, Policy Routing), LDAP/MFA-Anbindung, BGP über WG (FRR).

Inhalte: Adress-/Routen-Design, High-Latency/Packet-Loss-Tuning, Split-/Full-Tunnel-Policies, HA-Szenarien mit CARP, Monitoring/Alerting der Tunnel, Rollout-Automatisierung (Ansible/API), Notfall- und Rollback-Pläne.

Seminare zu WireGuard & VPN

Häufig gestellte Fragen

In dieser FAQ finden Sie die Themen, die in Beratung und Trainings am häufigsten aufkommen. Jede Antwort ist kurz gehalten und verweist bei Bedarf auf weiterführende Inhalte. Ihre Frage fehlt? Wir helfen gern persönlich.

WireGuard, IPsec oder OpenVPN – wann was?

WireGuard: schlank, schnell, ideal für Site-to-Site & Remote mit wenig Overhead. IPsec: Standardkompatibel, gut für Heterogenes (Cloud/Hardware-Gateways). OpenVPN: bewährt für Legacy/Client-Ökosysteme. Entscheidung nach Gegenstellen, Performance/MTU-Anforderungen und Betriebsaufwand.

Wie baue ich HA & Multi-WAN ohne Sitzungsabbrüche?

OPNsense-Cluster mit CARP (virtuelle IPs), pfsync für State-Sync und Policy Routing pro WAN. Health-Checks, Sticky-Connections und Outbound-NAT sauber definieren; Failover/Failback mit Runbooks testen, damit Sessions (VPN/HTTP) nicht reißen.

IDS/IPS (Suricata) – ohne Flut an False Positives?

Start als IDS (alert-only), Feeds kuratieren, Reputation/Geo-Listen und Bypass-Netze definieren, dann schrittweise IPS inline (drop). Ereignisse im EVE/JSON nach SIEM (z. B. Loki/Elastic) korrelieren, Regeln versionieren, regelmäßige Tuning-Sprints einplanen.