Firewall

Netzwerksicherheit beginnt an der Peripherie, endet aber erst beim letzten Dienst im System.
Ich plane und betreibe Firewall- und VPN-Strukturen, die interne und externe Systeme zuverlässig voneinander trennen und gleichzeitig sicheren Zugriff ermöglichen.
Dafür setze ich auf offene, nachvollziehbare Technologien wie OPNsense, WireGuard und Ansible-gestützte Regelwerke – anpassbar, dokumentiert und langfristig wartbar.

Feuerwehr-Drache Comeli vor einer Firewall-Mauer – Symbol für Netzwerksicherheit.

Architektur & Segmentierung

Ich konzipiere Netzwerkarchitekturen, in denen Sicherheit und Transparenz von Anfang an integriert sind.
Ziel ist eine klare Trennung von Zonen und Diensten – ohne den Betrieb unnötig zu verkomplizieren.

  • DMZ-, Management- und interne Netztrennung
  • VLAN-Design und Routing-Regeln (L3-Segmentierung)
  • NAT, Portweiterleitungen und Lastverteilung
  • Integration physischer und virtueller Firewall-Komponenten
  • Regelwerke nach dem Prinzip „Default Deny – Explicit Allow“

Firewall-Plattformen & Technologien

Ich arbeite bevorzugt mit OPNsense – einer FreeBSD-basierten, offenen Firewall-Lösung – sowie mit Linux-basierten Komponenten für spezielle Szenarien.
So entsteht eine transparente, modulare Sicherheitsarchitektur mit modernen Features.

  • OPNsense mit IDS/IPS (Suricata) und Geo-Blocking
  • WireGuard für Site-to-Site- und Remote-VPNs
  • Failover-Cluster mit CARP und synchronisierten Regelwerken
  • OpenVPN oder IPsec für Legacy-Umgebungen
  • Automatisiertes Regel-Management mit Ansible

Standortvernetzung & VPN

Ich verbinde verteilte Standorte, Server oder Rechenzentren sicher und effizient über Open-Source-VPN-Technologien.
Dabei achte ich auf einfache Administration, moderne Kryptografie und reproduzierbare Konfiguration.

  • WireGuard für performante, verschlüsselte Tunnelverbindungen
  • OPNsense Gateway-Redundanz (CARP + Policy Routing)
  • Dynamic DNS & Multi-WAN Failover
  • Integration in zentralisierte Authentifizierung (LDAP/Kerberos)

Seminare

Konkrete Seminare und aktuelle Schwerpunkte finden Sie in unserem Seminarkatalog.

Ob Inhouse bei Ihnen im Unternehmen, als Webinar oder als offener Termin – die Formate sind flexibel auf unterschiedliche Anforderungen zugeschnitten.

Zu den Seminaren

Häufig gestellte Fragen zu Firewall

In dieser FAQ finden Sie die Themen, die in Beratung und Trainings am häufigsten aufkommen. Jede Antwort ist kurz gehalten und verweist bei Bedarf auf weiterführende Inhalte. Ihre Frage fehlt? Nehmen Sie gern Kontakt mit mir auf.

Drache Comeli steht an einem FAQ-Schild und beantwortet Fragen zu Firewall.

WireGuard, IPsec oder OpenVPN – wann was?

WireGuard: schlank, schnell, ideal für Site-to-Site & Remote mit wenig Overhead. IPsec: Standardkompatibel, gut für Heterogenes (Cloud/Hardware-Gateways). OpenVPN: bewährt für Legacy/Client-Ökosysteme. Entscheidung nach Gegenstellen, Performance/MTU-Anforderungen und Betriebsaufwand.

Wie baue ich HA & Multi-WAN ohne Sitzungsabbrüche?

OPNsense-Cluster mit CARP (virtuelle IPs), pfsync für State-Sync und Policy Routing pro WAN. Health-Checks, Sticky-Connections und Outbound-NAT sauber definieren; Failover/Failback mit Runbooks testen, damit Sessions (VPN/HTTP) nicht reißen.

IDS/IPS (Suricata) – ohne Flut an False Positives?

Start als IDS (alert-only), Feeds kuratieren, Reputation/Geo-Listen und Bypass-Netze definieren, dann schrittweise IPS inline (drop). Ereignisse im EVE/JSON nach SIEM (z. B. Loki/Elastic) korrelieren, Regeln versionieren, regelmäßige Tuning-Sprints einplanen.