OPNsense

Die professionelle Open-Source-Firewall für zu Hause und im Unternehmen

Seit einigen Monaten betreibe ich OPNsense auf einer dedizierten Firewall-Appliance — und ich möchte ehrlich sagen: Es war eine der besten Entscheidungen, die ich in Sachen Heimnetz- und Büronetz-Sicherheit je getroffen habe. Dieser Artikel erklärt, was OPNsense ist, was es kann, wo es an Grenzen stößt und warum es einer herkömmlichen Fritzbox in fast jeder Hinsicht überlegen ist.

Was ist OPNsense?

OPNsense ist eine auf FreeBSD basierende Open-Source-Firewall- und Router-Distribution. Das Projekt entstand 2015 als Fork von pfSense, nachdem es zwischen der Community und dem pfSense-Entwicklerunternehmen Netgate zu wachsenden Meinungsverschiedenheiten über Entwicklungsrichtung, Transparenz und Lizenzmodell kam.1 Seitdem hat sich OPNsense zu einem eigenständigen, sehr aktiven Projekt entwickelt, das heute in vielen Bereichen als die technisch modernere Alternative gilt.

OPNsense ist kostenlos herunterladbar, quelloffen und wird von einer lebhaften internationalen Community weiterentwickelt. Gleichzeitig steht hinter dem Projekt ein kommerzielles Unternehmen, das Stabilität und professionellen Support sicherstellt.

Wer steckt hinter OPNsense?

OPNsense wird von der niederländischen Firma Deciso B.V. entwickelt und gepflegt, ansässig in Middelburg, Niederlande.2 Deciso ist kein Startup, das auf Risikokapital angewiesen ist, sondern ein etabliertes Technologieunternehmen mit klarem Fokus auf Netzwerksicherheit. Das Geschäftsmodell ist gesund und nachvollziehbar: Die Software bleibt kostenlos und open source, Einnahmen werden über den Verkauf eigener Hardware-Appliances, Business-Support-Abonnements und kommerzielle Erweiterungen (Business Edition) generiert.

Das Entwicklungstempo ist bemerkenswert: OPNsense erscheint zweimal jährlich in einer Major-Version (z. B. 24.1 im Januar, 24.7 im Juli) sowie regelmäßig in kleineren Patch-Releases. Das Changelog ist öffentlich, die Roadmap transparent, und Sicherheitsupdates werden zügig eingespielt.

Das Produktportfolio von Deciso

Deciso bietet neben der freien Community-Edition mehrere ergänzende Produkte an:

OPNsense Community Edition ist die freie Basisversion, die für den Großteil der Anwender vollkommen ausreichend ist. Sie enthält alle wesentlichen Firewall-, Routing- und VPN-Funktionen und wird aktiv weiterentwickelt.

OPNsense Business Edition richtet sich an Unternehmen, die erweiterte Funktionen, stabilen Long-Term-Support und ein offizielles Support-SLA benötigen. Sie enthält zusätzliche Plugins, einen separaten Update-Kanal (der später als die Community-Edition aktualisiert wird, dafür aber gründlicher getestet ist) und kommerzielle Add-ons wie das zentrale Management-Tool OPNcentral.3

DEC-Appliances sind Deciso-eigene Hardware-Appliances, die speziell für den Betrieb von OPNsense ausgelegt sind. Sie reichen von kleinen Desktop-Geräten für den SOHO-Bereich (Small Office / Home Office) bis hin zu leistungsstarken Rack-Einheiten für Rechenzentren. Die Hardware ist in Europa gefertigt, was für viele Unternehmen im Hinblick auf Datenschutz und Lieferkettensicherheit ein echtes Argument ist.

OPNcentral ist ein zentrales Managementsystem, mit dem mehrere OPNsense-Instanzen von einer einzigen Oberfläche aus verwaltet werden können — ideal für Managed-Service-Provider oder Unternehmen mit mehreren Standorten.

Empfohlene Hardware

OPNsense läuft auf nahezu jeder x86-64-Hardware — vom alten Büro-PC bis zur dedizierten Appliance. Für den ernsthaften Einsatz empfehlen sich jedoch spezialisierte Geräte:

Deciso DEC-Serien sind die offizielle Empfehlung und bieten maximale Kompatibilität. Gute Alternativen aus der Community sind Geräte von Protectli (lüfterlose Intel-NUC-ähnliche Appliances mit mehreren Netzwerkports), PC Engines APU (günstig, energieeffizient, bewährt) sowie Produktlinien von Qotom, Topton oder Fitlet. Wichtig bei der Hardware-Wahl sind ausreichend RAM (mindestens 4 GB, besser 8 GB), ein schnelles eMMC- oder SSD-Laufwerk für das Betriebssystem sowie Intel-Netzwerkkarten (Intel i210/i225/i226 gelten als bestens unterstützt unter FreeBSD).4 Realtek-Karten funktionieren inzwischen ebenfalls gut, galten aber lange als problematisch.

Der Feature-Umfang: Was OPNsense alles kann

OPNsense ist kein einfacher Router — es ist eine vollwertige Netzwerksicherheitsplattform. Hier ein strukturierter Überblick über die wichtigsten Funktionsbereiche:

Firewall und Paketfilterung

Das Herzstück ist ein zustandsbehafteter Paketfilter auf Basis von pf (Packet Filter), dem bewährten BSD-Firewall-Framework.5 Regeln können sehr granular definiert werden: nach Quell- und Ziel-IP, Port, Protokoll, Interface, Zeitplan und vielem mehr. Floating Rules erlauben interface-übergreifende Regeln. Ein integriertes Alias-System macht Regelsets übersichtlich und wartbar — statt einzelner IP-Adressen pflegt man benannte Gruppen.

Routing und Multi-WAN

OPNsense unterstützt statisches Routing ebenso wie dynamische Protokolle via das FRRouting-Plugin (OSPF, BGP, RIP). Mehrere WAN-Verbindungen lassen sich für Load Balancing oder Failover konfigurieren — wer zwei Internetanschlüsse hat (z. B. Glasfaser + LTE-Backup), kann nahtlosen Übergang ohne manuellen Eingriff realisieren.

VPN

OPNsense unterstützt gleich mehrere VPN-Technologien:

  • WireGuard — modern, schnell, einfach zu konfigurieren, inzwischen nativ im Kernel enthalten6
  • OpenVPN — der Klassiker, sehr flexibel, bestens für Client-to-Site geeignet
  • IPsec (IKEv1/IKEv2) — für Site-to-Site-Verbindungen und Kompatibilität mit anderen Firewalls und Routern
  • Tailscale — als Plugin verfügbar, für einfache Mesh-VPN-Szenarien

Intrusion Detection und Prevention (IDS/IPS)

Mit Suricata als Motor bietet OPNsense ein vollwertiges Intrusion-Detection- und Prevention-System. Es analysiert den Datenverkehr in Echtzeit auf bekannte Angriffsmuster und kann verdächtige Verbindungen aktiv blockieren. Regelsets von Emerging Threats oder ET Pro lassen sich automatisch aktualisieren. Der IPS-Modus (Inline-Modus) erfordert etwas mehr CPU-Leistung, bietet dafür aktiven Schutz statt nur Alarmierung.

DNS und DHCP

Der integrierte Unbound DNS Resolver bietet DNSSEC-Validierung, DNS-over-TLS (DoT) und DNS-over-HTTPS (DoH) sowie die Möglichkeit, DNS-Anfragen lokal aufzulösen oder gezielt an bestimmte Upstream-Server weiterzuleiten. Das ist bedeutend für Privatsphäre und Sicherheit. Dnsmasq steht als Alternative zur Verfügung. Der DHCP-Server ist vollständig konfigurierbar, unterstützt statische Zuweisungen und DHCP-Relay.

Traffic Shaping und QoS

HFSC und CAKE (via Traffic Shaper) ermöglichen präzises Bandwidth Management. Wer im Homeoffice Videokonferenzen priorisieren und gleichzeitig große Downloads bremsen möchte, findet hier professionelle Werkzeuge. Limiters können Download- und Upload-Geschwindigkeiten pro IP oder Netzwerksegment begrenzen.

Web-Proxy und Content-Filterung

OPNsense kann als transparenter oder expliziter Squid-Proxy fungieren. In Kombination mit SquidGuard oder C-ICAP lässt sich Webinhalt nach Kategorien filtern. Das ist vor allem für Schulen, Unternehmen oder Familien mit Kindern interessant. Alternativ kann HAVP (HTTP Antivirus Proxy) mit ClamAV-Integration den Web-Traffic auf Schadsoftware prüfen.

Captive Portal

Für Gast-WLANs in Hotels, Cafés oder auf Veranstaltungen bietet OPNsense ein integriertes Captive Portal, das Nutzer vor dem Internetzugang zur Authentifizierung oder Annahme von Nutzungsbedingungen zwingt.

High Availability und CARP

Zwei OPNsense-Instanzen lassen sich zu einem Hochverfügbarkeits-Cluster zusammenschalten. Über CARP (Common Address Redundancy Protocol) übernimmt die Backup-Firewall automatisch, wenn die primäre ausfällt — ohne dass Verbindungen unterbrochen werden. Konfigurationen werden per XML-Sync (pfsync) zwischen beiden Knoten abgeglichen.

Netzwerksegmentierung und VLANs

VLANs (IEEE 802.1Q) sind vollständig unterstützt. Wer sein Netzwerk in Segmente aufteilen möchte — IoT-Geräte isoliert, Gäste getrennt, Server in einer DMZ — hat alle nötigen Werkzeuge an der Hand. Kombiniert mit den Firewall-Regeln lässt sich sehr präzise steuern, wer mit wem kommunizieren darf.

Plugins und Erweiterbarkeit

Das Plugin-System ist einer der größten Stärken von OPNsense. Über das integrierte Paketmanagement lassen sich Erweiterungen mit wenigen Klicks installieren:

  • Zenarmor (ehemals Sensei): Next-Generation-Firewall mit Application-Layer-Filterung, sehr mächtig
  • WireGuard, Tailscale, ZeroTier für moderne VPN-Szenarien
  • CrowdSec: Kollaborative Threat Intelligence als Alternative/Ergänzung zu Suricata
  • Telegraf + InfluxDB + Grafana: Für detailliertes Performance-Monitoring
  • Siproxd: SIP-Proxy für VoIP
  • Netdata: Echtzeit-Systemüberwachung

OPNsense vs. pfSense: Die wichtigsten Unterschiede

Die Frage „OPNsense oder pfSense?” taucht in jeder Firewall-Diskussion auf. Beide stammen vom gleichen Vorläufer (m0n0wall), beide sind open source, beide sind leistungsfähig. Die Unterschiede liegen im Detail — und zunehmend auch in der Entwicklungsphilosophie:

Update-Kadenz und Sicherheitspatches: OPNsense ist bekannt für sehr schnelle Sicherheitsupdates. Wenn eine kritische Schwachstelle in einer abhängigen Komponente bekannt wird, erscheint oft innerhalb von Stunden ein Patch-Release. pfSense gilt hier als etwas träger.

Benutzeroberfläche: OPNsense hat sein Web-UI von Grund auf neu entwickelt und auf ein modernes MVC-Framework (Phalcon) umgestellt. Das macht die Oberfläche konsistenter, übersichtlicher und ermöglicht eine sauberere API. pfSense’s UI basiert noch auf dem alten PHP-Code von m0n0wall und wirkt entsprechend altbacken.7

REST-API: OPNsense bietet eine umfassende REST-API, mit der sich nahezu alle Konfigurationsaufgaben automatisieren lassen. Ansible-Rollen, Terraform-Provider und ähnliche Werkzeuge existieren in der Community. pfSense hat in diesem Bereich deutlich weniger zu bieten.

Transparenz und Lizenz: OPNsense ist vollständig unter der BSD 2-Clause-Lizenz veröffentlicht. Alle Entwicklung findet öffentlich auf GitHub statt. pfSense hatte in der Vergangenheit Phasen, in denen Teile des Codes nicht öffentlich zugänglich waren — ein Hauptgrund für den Fork.8

WireGuard: OPNsense integrierte WireGuard früh und native. pfSense hat WireGuard ebenfalls, aber die Implementierung verlief holpriger.

Suricata vs. Snort: Beide Plattformen unterstützen IDS/IPS, aber OPNsense setzt vollständig auf Suricata, während pfSense historisch Snort bevorzugte. Suricata gilt als moderner und performanter.

Zenarmor: Das mächtige Next-Generation-Firewall-Plugin Zenarmor ist für OPNsense optimiert und offiziell unterstützt. Für pfSense ist es nicht verfügbar.

OPNsense vs. Fritzbox: Warum das ein fairer Vergleich ist — und warum die Fritzbox verliert

Zugegeben: Die Fritzbox und OPNsense spielen in verschiedenen Kategorien. Die Fritzbox ist ein Consumer-Gerät, das für maximale Benutzerfreundlichkeit und minimalen Einrichtungsaufwand optimiert ist. OPNsense ist eine professionelle Plattform für Anwender, die Kontrolle über ihr Netzwerk wollen. Dennoch ist der Vergleich sinnvoll, weil viele Anwender genau diese Entscheidung treffen müssen.

Sicherheit: Die Fritzbox erhält Sicherheitsupdates, aber mit deutlicher Verzögerung — und nur so lange, wie AVM das Gerät noch im Support hat. OPNsense wird kontinuierlich gepatcht, und die Update-Kontrolle liegt vollständig beim Betreiber. Kritischer: Die Fritzbox ist eine Black Box. Niemand außerhalb von AVM kann prüfen, was sie wirklich tut. OPNsense ist vollständig transparent.9

Firewall-Regeln: Die Fritzbox kennt rudimentäre Port-Weiterleitungen und eine einfache Kindersicherung. OPNsense erlaubt granulare Regeln auf Basis von Quell-IP, Ziel, Port, Zeit, Protokoll und vielem mehr — mit vollem Logging jeder Verbindungsentscheidung.

VPN: Die Fritzbox bietet WireGuard, OpenVPN in einfacher Form und einen eigenen FRITZ!VPN-Client. OPNsense unterstützt alle genannten Protokolle plus IPsec in vollem Umfang, mit Site-to-Site-Konfigurationen, Zertifikatsverwaltung und mehreren gleichzeitigen VPN-Servern.

Netzwerksegmentierung: Gastnetz und Heimnetz — das ist das Maximum, was die Fritzbox bietet. Mit OPNsense lassen sich beliebig viele VLANs konfigurieren: IoT-Netz, Arbeitsnetz, Servernetz, Gästenetz — alle mit individuellen Firewall-Regeln.

IDS/IPS: Fritzbox: nicht vorhanden. OPNsense: vollwertiges Suricata-IPS mit tagesaktuellen Regelsets.

DNS-Privatsphäre: Die Fritzbox leitet DNS-Anfragen standardmäßig an den Provider weiter. OPNsense kann DNS-over-TLS zu vertrauenswürdigen Resolvern nutzen, DNSSEC validieren und lokale DNS-Einträge pflegen.

Multi-WAN: Fritzbox kennt keine native Multi-WAN-Unterstützung. OPNsense kann zwei oder mehr Internetzugänge für Failover oder Lastverteilung nutzen.

Langlebigkeit: Eine Fritzbox wird 5–8 Jahre mit Updates versorgt, dann endet der Support. OPNsense läuft, solange die Hardware funktioniert, und erhält weiterhin Updates — völlig unabhängig vom Gerätealter.

Welches Grundwissen muss man mitbringen?

OPNsense ist kein Plug-and-Play-Gerät. Wer ernsthaft einsteigen möchte, sollte folgende Kenntnisse mitbringen oder bereit sein, sie sich anzueignen:

Netzwerkgrundlagen sind unverzichtbar. Man sollte verstehen, was IP-Adressen, Subnetzmasken, Gateways und DNS bedeuten. Ohne dieses Fundament wird die Einrichtung schnell frustrierend. Begriffe wie RFC 1918 (private IP-Bereiche), NAT (Network Address Translation) und ARP (Address Resolution Protocol) sollten keine Fremdwörter sein.10

Firewall-Konzepte — insbesondere das Prinzip „Default Deny” (was nicht explizit erlaubt ist, wird blockiert) und das Konzept zustandsbehafteter Verbindungen — helfen dabei, Regelwerke korrekt aufzubauen und Probleme zu diagnostizieren.

VLANs und Switching — wer sein Netzwerk segmentieren möchte, benötigt einen managed Switch und Grundkenntnisse darüber, wie Tagged und Untagged Ports funktionieren.

Linux/BSD-Grundkenntnisse sind hilfreich, aber nicht zwingend. Die meisten Aufgaben lassen sich über das Web-GUI erledigen. Für fortgeschrittene Szenarien oder Fehlersuche ist ein grundlegendes Verständnis der Kommandozeile vorteilhaft.

Geduld und Lesebereitschaft — die OPNsense-Dokumentation ist gut, aber nicht immer vollständig. Die Community-Foren (Netgate-Forum, Reddit r/opnsense, deutschsprachige Boards) sind sehr aktiv und hilfreich.11

Meine persönliche Erfahrung: Stable, Reliable, Empfehlenswert

Seit mehreren Monaten betreibe ich OPNsense auf einer dedizierten Firewall-Appliance — einem kompakten, lüfterlosen x86-Gerät mit mehreren Intel-Netzwerkports, das speziell für diesen Zweck ausgelegt ist. Die Erfahrung ist überwiegend hervorragend.

Die Stabilität ist beeindruckend. Das System läuft durch, der Uptime-Zähler klettert unaufhörlich, ohne dass ich eingreifen müsste. Durchsatz, Latenz, VPN-Verbindungen — alles verhält sich erwartungsgemäß zuverlässig.

Die Updates verlaufen in der überwältigenden Mehrheit der Fälle reibungslos und sind mit wenigen Klicks erledigt. Gelegentlich — und das ist fair zu erwähnen — kann es nach einem Update zu kleinen Unregelmäßigkeiten kommen, bei denen ein Neustart die Situation sofort bereinigt. Das ist kein Showstopper, aber es empfiehlt sich, Updates nicht mitten in einem wichtigen Arbeitstag einzuspielen, sondern zu einem ruhigen Zeitpunkt.

Die Oberfläche ist nach einer kurzen Eingewöhnungsphase sehr intuitiv. Das Dashboard gibt auf einen Blick Auskunft über Systemzustand, Interfaces, Gateways und aktive VPN-Verbindungen. Die Menüstruktur ist logisch aufgebaut.

Fazit: Wer bereit ist, ein paar Stunden in Einrichtung und Einarbeitung zu investieren, bekommt ein Netzwerk-Sicherheitssystem, das in der Leistungsklasse weit über dem liegt, was Consumer-Router bieten — und das zu einem Bruchteil der Kosten professioneller Unternehmens-Firewalls.

Wo gibt es Grenzen?

Ehrlichkeit ist wichtig: OPNsense ist nicht für jeden geeignet und nicht in jedem Bereich ohne Einschränkungen.

Kein zentrales WLAN-Management. OPNsense ist eine Firewall und kein WLAN-Controller. Wer mehrere Access Points verwalten möchte, braucht eine separate Lösung — etwa UniFi, OpenWRT-basierte APs oder einen dedizierten WLAN-Controller. OPNsense kann zwar als DHCP- und DNS-Server für WLAN-Clients fungieren, aber Access Points steuern kann es nicht.12

Eingeschränkte Unterstützung für bestimmte Highspeed-Interfaces. Bei sehr hohem Durchsatz (10 GbE und darüber) stoßen manche Konfigurationen an Grenzen, die stark von der eingesetzten Hardware abhängen. Das betrifft Heimanwender selten, kann aber für professionelle Umgebungen relevant sein.

Lernkurve. Wer nie eine Firewall konfiguriert hat, wird anfangs Zeit investieren müssen. Ein falsch gesetztes Default-Deny kann das gesamte Netzwerk lahmlegen — und die Fehlersuche erfordert Methodenkenntnis.

Kein offizieller deutscher Support in der Community Edition. Wer auf bezahlten deutschen Support angewiesen ist, muss zur Business Edition greifen oder auf Drittanbieter zurückgreifen.

Hardware-Ausfallrisiko. Im Gegensatz zu einer Fritzbox, die im Defektfall vom Provider einfach ausgetauscht wird, ist man bei einer selbst betriebenen Appliance für Hardware-Redundanz selbst verantwortlich. Wer einen Single Point of Failure vermeiden möchte, benötigt ein HA-Setup mit zwei Geräten.

Fazit

OPNsense ist heute eine der besten Open-Source-Firewall-Lösungen, die es gibt — ausgereift, aktiv gepflegt, transparent und mächtig. Es ersetzt nicht nur eine Fritzbox, sondern auch teure kommerzielle Firewalls der Mittelklasse. Wer Netzwerksicherheit ernst nimmt und bereit ist, sich ein Minimum an Grundwissen anzueignen, wird mit OPNsense ein Werkzeug finden, das mitwächst und keine Kompromisse verlangt.

Für Heimanwender mit technischem Interesse, kleine Unternehmen, Homeoffice-Nutzer mit erhöhten Sicherheitsanforderungen und alle, die ihre Daten nicht einer Consumer-Black-Box anvertrauen wollen — OPNsense ist die Empfehlung.

Weitere Informationen: opnsense.org | docs.opnsense.org | github.com/opnsense

  1. Der Fork wurde am 2. Januar 2015 angekündigt. Hauptkritikpunkte an pfSense waren fehlende Code-Transparenz, das Entfernen von Community-Beiträgen und die zunehmende Kommerzialisierung unter Netgate. 

  2. Deciso B.V., Nieuwe Burg 22, 4331 AA Middelburg, Niederlande. Website: https://www.deciso.com 

  3. Die Business Edition kostet je nach Gerätezahl und Laufzeit zwischen einigen Hundert und mehreren Tausend Euro jährlich. Für Privatanwender und kleine Organisationen ist die Community-Edition in aller Regel ausreichend. 

  4. Realtek-Karten haben unter FreeBSD historisch Treiberprobleme gehabt, insbesondere bei hohem Durchsatz. Für Gigabit-Heimnetz meist kein Problem, bei 2,5-GbE- oder 10-GbE-Anforderungen besser auf Intel-Chips setzen. 

  5. pf wurde ursprünglich für OpenBSD entwickelt und gilt als einer der zuverlässigsten und durchdachtesten Paketfilter überhaupt. FreeBSD übernahm eine gepatchte Version, die OPNsense nutzt. 

  6. WireGuard wurde in OPNsense 21.1 eingeführt und läuft seit FreeBSD 13 als Kernel-Modul. Es erreicht deutlich höhere Durchsatzraten als OpenVPN bei deutlich geringerer CPU-Last. 

  7. Das Rewriting der OPNsense-Oberfläche auf Phalcon/MVC begann kurz nach dem Fork und ist inzwischen weitgehend abgeschlossen. Es erlaubt konsistente Validierung, sauberere Trennung von Logik und Darstellung und eine stabile API-Grundlage. 

  8. Netgate, der Betreiber von pfSense, hat in der Vergangenheit auch Markenrechtsstreitigkeiten mit der Community geführt und Dokumentation hinter Login-Schranken versteckt, was das Vertrauen vieler Nutzer beschädigt hat. 

  9. Closed-Source-Router-Firmware wurde in der Vergangenheit mehrfach mit versteckten Backdoors oder undokumentierten Fernwartungszugängen in Verbindung gebracht. Open-Source-Software bietet hier fundamentale Transparenzvorteile, auch wenn sie keine absolute Garantie darstellt. 

  10. RFC 1918 definiert die privaten IP-Adressbereiche 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 — also genau die Adressen, die in Heimnetzwerken und Firmennetzwerken intern verwendet werden. 

  11. Die offizielle Dokumentation findet sich unter https://docs.opnsense.org. Für deutschsprachige Hilfe empfiehlt sich u. a. das Forum auf administrator.de oder der Subreddit r/opnsense. 

  12. OPNsense kann theoretisch auf einem Gerät mit WLAN-Karte als Access Point fungieren, aber das ist selten eine sinnvolle Architektur. Die empfohlene Lösung ist die Kombination aus OPNsense als Firewall/Router und separaten Access Points. 

Share

🍪 Cookie Settings

We utilize third-party cookies only to enhance your browsing experience and for analytical insights.
Privacy Policy

Accept All Reject All Save