+49 8431 - 536737-0 info@datazone.de WhatsApp EN
Fernwartung Download starten

OPNsense GeoIP Blocking: Zugriffe nach Land filtern

OPNsenseFirewallSecurityNetzwerk
OPNsense GeoIP Blocking: Zugriffe nach Land filtern

Nicht jeder Zugriff auf Ihr Netzwerk ist gleichwertig. Wenn Ihr Unternehmen ausschließlich in der DACH-Region tätig ist, gibt es wenig Gründe, warum SSH-Verbindungen aus Südostasien oder SMTP-Traffic aus Südamerika Ihre OPNsense-Firewall erreichen sollten. GeoIP Blocking ermöglicht es, Netzwerkverkehr anhand des Herkunftslandes zu filtern — eine einfache, aber wirkungsvolle Maßnahme zur Reduzierung der Angriffsfläche.

Warum GeoIP-Filterung sinnvoll ist

Die Mehrzahl automatisierter Angriffe — Brute-Force-Attacken, Credential Stuffing, Exploit-Scans — stammt aus einer überschaubaren Anzahl von Ländern. Das bedeutet nicht, dass alle Zugriffe aus diesen Regionen bösartig sind. Es bedeutet aber, dass ein Großteil des unerwünschten Traffics durch geographische Filter eliminiert werden kann, bevor er überhaupt die eigentlichen Dienste erreicht.

Für KMU ergeben sich drei zentrale Vorteile:

  • Reduzierte Angriffsfläche — Weniger Quell-IPs bedeuten weniger potenzielle Angriffsvektoren. Dienste, die nur für deutsche Kunden erreichbar sein müssen, profitieren enorm von einer Länderbeschränkung.
  • Compliance-Anforderungen — Bestimmte Branchen verlangen, dass der Zugriff auf sensible Daten geographisch eingeschränkt wird. GeoIP Blocking ist ein Baustein, um solche Anforderungen umzusetzen.
  • Weniger Log-Rauschen — Wenn ein Großteil des unerwünschten Traffics bereits an der Firewall verworfen wird, werden Logs übersichtlicher und echte Bedrohungen leichter erkennbar.

Wie GeoIP-Datenbanken funktionieren

GeoIP Blocking basiert auf Datenbanken, die IP-Adressbereiche geographischen Standorten zuordnen. Die beiden gängigsten Anbieter sind MaxMind (GeoLite2) und DB-IP. Beide pflegen regelmäßig aktualisierte Datensätze, die IP-Blöcke auf Länderebene zuordnen.

Die Genauigkeit liegt auf Länderebene bei über 99 Prozent. Auf Stadt- oder Regionenebene sinkt die Zuverlässigkeit deutlich, aber für GeoIP Blocking auf Firewall-Ebene ist die Länderzuordnung völlig ausreichend.

OPNsense unterstützt GeoIP-Datenbanken nativ. Unter Firewall > Aliases können Sie eine URL zu einer GeoIP-Datenbank hinterlegen, die OPNsense regelmäßig herunterlädt und als Grundlage für Firewall-Regeln verwendet.

GeoIP-Aliases in OPNsense einrichten

Die Einrichtung erfolgt in zwei Schritten: Zunächst wird die GeoIP-Datenbank konfiguriert, dann werden Aliases für die gewünschten Länder erstellt.

1. GeoIP-Datenquelle konfigurieren

Unter Firewall > Aliases > GeoIP Settings tragen Sie die URL Ihrer GeoIP-Datenbank ein. Für MaxMind GeoLite2 benötigen Sie einen kostenlosen Account und einen Lizenzschlüssel. DB-IP bietet eine frei verfügbare Lite-Variante ohne Registrierung an.

2. Länder-Aliases erstellen

Unter Firewall > Aliases erstellen Sie einen neuen Alias vom Typ GeoIP. Hier können Sie einzelne Länder oder ganze Regionen auswählen:

Name:     GeoIP_DACH
Typ:      GeoIP
Länder:   Deutschland, Österreich, Schweiz

Für einen Blacklist-Ansatz erstellen Sie stattdessen einen Alias mit den Ländern, die Sie blockieren möchten:

Name:     GeoIP_Blocked
Typ:      GeoIP
Länder:   [Liste der zu blockierenden Länder]

Firewall-Regeln mit GeoIP-Aliases

Sobald die Aliases stehen, können Sie sie in Firewall-Regeln referenzieren — genau wie jeden anderen Alias. Die entscheidende Frage ist dabei: Whitelist oder Blacklist?

Whitelist-Ansatz (empfohlen): Sie erlauben Traffic nur aus bestimmten Ländern und blockieren alles andere. Das ist restriktiver, aber deutlich sicherer. Eine typische Regel auf dem WAN-Interface:

Action:      Pass
Interface:   WAN
Source:      GeoIP_DACH
Destination: This Firewall
Dest. Port:  443 (HTTPS)

Gefolgt von einer Block-Regel für alle anderen Quellen auf demselben Port.

Blacklist-Ansatz: Sie blockieren Traffic aus bekannten Hochrisikoländern und lassen den Rest passieren. Das ist einfacher umzusetzen, aber weniger konsequent. Neue Bedrohungsquellen werden erst erkannt, wenn sie in die Blacklist aufgenommen werden.

Für die meisten KMU ist der Whitelist-Ansatz die bessere Wahl — insbesondere für Dienste, die nur für eine bekannte Zielgruppe erreichbar sein müssen.

GeoIP mit anderen Regeln kombinieren

GeoIP Blocking entfaltet seine volle Wirkung in Kombination mit weiteren Sicherheitsmaßnahmen:

  • IDS/IPS (Suricata) — GeoIP reduziert die Menge an Traffic, die Suricata analysieren muss. Das spart Ressourcen und senkt die False-Positive-Rate.
  • Blocklisten — Ergänzend zu GeoIP können IP-basierte Blocklisten (Spamhaus, Abuse.ch) bekannte Angreifer-IPs unabhängig vom Standort blockieren.
  • Rate Limiting — Für Länder, die erlaubt sind, kann zusätzliches Rate Limiting übermäßige Zugriffe von einzelnen IPs eindämmen.
  • Port-spezifische Regeln — GeoIP lässt sich granular pro Dienst einsetzen. Beispielsweise könnten Sie HTTPS weltweit erlauben, SSH aber auf die DACH-Region beschränken.

Automatische Datenbank-Updates

IP-Zuordnungen ändern sich ständig. Neue IP-Blöcke werden vergeben, bestehende werden umverteilt. Eine veraltete GeoIP-Datenbank führt zu Fehlzuordnungen — entweder werden legitime Zugriffe blockiert oder unerwünschte durchgelassen.

OPNsense aktualisiert GeoIP-Datenbanken automatisch über den konfigurierten Alias-Update-Mechanismus. Stellen Sie sicher, dass die Updates tatsächlich durchlaufen, indem Sie das Alias-Update-Log regelmäßig prüfen. Ein typischer Update-Intervall ist einmal pro Woche.

Grenzen und Umgehungsmöglichkeiten

GeoIP Blocking ist keine Wunderwaffe. Es gibt legitime Szenarien, in denen die Filterung versagt:

  • VPN und Proxies — Ein Angreifer aus einem blockierten Land kann über einen VPN-Server in einem erlaubten Land zugreifen. Kommerzielle VPN-Dienste machen das trivial.
  • CDN und Cloud-Provider — Große Dienste wie Cloudflare oder AWS verteilen Traffic über weltweit verteilte Knoten. Eine IP, die einem Land zugeordnet ist, kann Traffic aus einem völlig anderen Land ausliefern.
  • Tor-Exit-Nodes — Tor-Traffic erscheint mit der IP des Exit-Nodes, nicht des tatsächlichen Nutzers. Exit-Nodes befinden sich häufig in erlaubten Ländern.
  • IP-Fehlzuordnungen — Trotz hoher Genauigkeit gibt es Randfälle, in denen IPs falsch zugeordnet werden — besonders bei kürzlich umverteilten Adressblöcken.

GeoIP Blocking ist daher immer eine zusätzliche Schutzschicht, niemals die einzige.

Logging und Monitoring blockierter Zugriffe

Aktivieren Sie das Logging für Ihre GeoIP-Regeln, um zu sehen, welcher Traffic tatsächlich blockiert wird. Die OPNsense-Firewall-Logs zeigen Quell-IP, Zielport und Zeitstempel für jeden blockierten Zugriff.

Durch die Auswertung der Logs lassen sich Muster erkennen: Welche Länder verursachen den meisten blockierten Traffic? Welche Ports werden am häufigsten angegriffen? Diese Daten helfen, die GeoIP-Regeln kontinuierlich zu verfeinern.

Überwachung mit DATAZONE Control

Mit DATAZONE Control lässt sich der GeoIP-Blocking-Status systematisch überwachen. Relevante Metriken umfassen:

  • Alias-Update-Status — Werden die GeoIP-Datenbanken regelmäßig aktualisiert?
  • Blockierte Verbindungen pro Land — Welche Regionen erzeugen den meisten abgewiesenen Traffic?
  • False Positives — Melden sich Kunden oder Partner, die fälschlicherweise blockiert werden?
  • Regelauslastung — Wie viel Traffic wird insgesamt durch GeoIP-Regeln verarbeitet?

Dashboards mit diesen Kennzahlen geben dem IT-Team einen schnellen Überblick und ermöglichen datenbasierte Anpassungen der Länderlisten.

Praxisbeispiele

DACH-only für Verwaltungsportale: Ein Unternehmen beschränkt den Zugriff auf interne Webportale und VPN-Gateways auf Deutschland, Österreich und die Schweiz. Das reduziert Brute-Force-Versuche auf das VPN-Gateway um über 90 Prozent.

Top-Angreiferländer blockieren: Ein E-Commerce-Unternehmen muss weltweit erreichbar sein, blockiert aber die zehn Länder mit dem höchsten Anteil an automatisierten Angriffen auf seiner Infrastruktur. Die Auswahl basiert auf der Auswertung eigener Firewall-Logs über mehrere Monate.

Fazit

GeoIP Blocking in OPNsense ist eine pragmatische Maßnahme, die mit geringem Aufwand eine spürbare Verbesserung der Sicherheitslage bewirkt. Es ersetzt keine Intrusion Detection, keine Patch-Strategie und keine Authentifizierung — aber es reduziert die Angriffsfläche und das Log-Rauschen erheblich. In Kombination mit weiteren Schutzmaßnahmen entsteht ein mehrschichtiges Sicherheitskonzept, das automatisierte Angriffe effektiv ausfiltert.

Sie möchten GeoIP Blocking auf Ihrer OPNsense-Firewall einrichten oder Ihre bestehende Firewall-Konfiguration optimieren? Wir unterstützen Sie bei der Planung und Umsetzung — erfahren Sie mehr über unsere OPNsense-Services oder kontaktieren Sie uns direkt.

Mehr zu diesen Themen:

OPNsense Firewall

Weitere Artikel

Backup-Strategie für KMU: Proxmox PBS + TrueNAS als zuverlässiges Backup-Konzept

Backup-Strategie für KMU mit Proxmox PBS und TrueNAS: 3-2-1-Regel umsetzen, PBS als primäres Backup-Target, TrueNAS-Replikation als Offsite-Kopie, Retention Policies und automatisierte Restore-Tests.

OPNsense Suricata Custom Rules: Eigene IDS/IPS-Signaturen schreiben und optimieren

Suricata Custom Rules auf OPNsense: Rule-Syntax, eigene Signaturen für interne Services, Performance-Tuning, Suppress-Lists und EVE-JSON-Logging.

Proxmox Cluster-Netzwerk richtig planen: Corosync, Migration, Storage und Management

Proxmox Cluster-Netzwerk designen: Corosync-Ring, Migration-Network, Storage-Network für Ceph/iSCSI, Management-VLAN, Bonding/LACP und MTU 9000 — mit Beispiel-Topologien.

Zurück zur Übersicht

IT-Beratung gewünscht?

Kontaktieren Sie uns für eine unverbindliche Beratung zu Proxmox, OPNsense, TrueNAS und mehr.

Jetzt Kontakt aufnehmen