Open-Source-Software

Routing und Sicherheit, ohne Blackbox.

OPNsense und pfSense bündeln Firewall, Routing, VPN, IDS/IPS und mehr auf einer offenen Plattform, die Sie auf eigener Hardware betreiben, einsehen und selbst beherrschen. Mit Zenarmor lässt sich bei Bedarf eine NGFW-Schicht ergänzen.

Firewall-Projekt besprechen Plattformen ansehen
ZUGÄNGE FIREWALL SEGMENTE Internet Standorte Remote-VPN LAN DMZ Gäste Firewall Open Source OPNsense pfSense Zenarmor

Routing und Sicherheit in einem

  • Firewall, VPN, IDS/IPS und Routing auf einer Plattform
  • Eine Box statt vieler Einzelgeräte

Transparent und auditierbar

  • Regeln und Logik sind einsehbar, keine Blackbox
  • Updates und Konfiguration in eigener Hand

Eigene Hardware, planbare Kosten

  • Läuft auf Appliance, Standard-x86 oder VM
  • Keine Lizenz je Durchsatz oder Nutzer

Die zwei Plattformen

OPNsense und pfSense, ehrlich gegenübergestellt.

Beide sind ausgereifte Open-Source-Firewalls auf FreeBSD-Basis. Welche passt, hängt von Souveränitätsanspruch, vorhandener Erfahrung und Funktionsbedarf ab.

OPNsense

Open Source, BSD 2-Clause

Deciso B.V., Niederlande (EU)

Projektseite

Die moderne, europäische Open-Source-Firewall. API-first, mit klarer Oberfläche und festem Takt von zwei Hauptversionen pro Jahr.

Passt, wenn

Wer eine aktuelle, souveräne Firewall mit schnellem Funktionsfluss und EU-Hersteller will.

Stärken

  • Hersteller in der EU, BSD-lizenziert, neue Funktionen erscheinen direkt in der freien Version
  • Modernes Web-UI mit API und sauberem Plugin-System
  • WireGuard, OpenVPN und IPsec im Kern, Suricata als Inline-IPS
  • Dynamisches Routing über FRR (OSPF, BGP), Multi-WAN und Policy-Routing
  • Hochverfügbarkeit über CARP, ACME-Zertifikate, GeoIP und Traffic Shaping integriert
FreeBSD 14 WireGuard Suricata IPS FRR (OSPF/BGP) CARP-HA

pfSense CE

Open Source, Apache 2.0

Netgate, USA

Projektseite

Der langjährige Firewall-Klassiker auf FreeBSD, breit erprobt und mit großem Paket-Ökosystem. Die Community Edition ist quelloffen.

Passt, wenn

Wer auf die etablierte, bewährte Plattform mit großem Ökosystem setzt.

Stärken

  • Sehr ausgereift und weit verbreitet, riesiger Wissens- und Paket-Fundus
  • Snort und Suricata als IDS/IPS, dazu WireGuard, OpenVPN und IPsec
  • pfBlockerNG für DNS-, IP- und GeoIP-Sperren, HAProxy- und ACME-Paket
  • CARP-Hochverfügbarkeit, ALTQ-Traffic-Shaping und dynamisches Routing über das FRR-Paket
FreeBSD Snort/Suricata pfBlockerNG WireGuard CARP-HA

Ehrlich eingeordnet: Quelloffen ist nur die Community Edition, sie bleibt frei verfügbar. pfSense Plus ist proprietär, der frühere kostenlose Plus-Download für Heimnutzer wurde 2023 eingestellt, und neue CE-Releases kommen seltener. Für reine Open-Source-Souveränität bevorzugen wir OPNsense.

Funktionen im Detail

Eine Plattform, viele Aufgaben.

Vom Routing bis zur Anwendungssicherheit: Was bei vielen Herstellern auf mehrere Lizenzen verteilt ist, läuft hier auf einer offenen Box.

Routing

Statisches und dynamisches Routing über FRR (OSPF, BGP), Multi-WAN und Policy-Based Routing.

Firewall & Sicherheit

Stateful Packet Inspection, Aliase, NAT und feingranulare Regeln je Schnittstelle.

IDS/IPS

Suricata als Inline-IPS, bei pfSense zusätzlich Snort, mit Regelsätzen wie Emerging Threats.

VPN

WireGuard, OpenVPN und IPsec für Remote-Access und die Kopplung von Standorten.

WAF

Web Application Firewall über den Nginx-Reverse-Proxy mit NAXSI-Modul, vorgeschaltet vor sensible Web-Dienste.

Proxy & Webfilter

Kategorie-basierte Web- und DNS-Filterung, etwa über pfBlockerNG oder Blocklisten. Wo klassische Proxys veraltet sind, nutzen wir die gepflegte Alternative.

GeoIP-Blocking

Länder- und IP-Reputationssperren auf Basis von MaxMind-GeoLite2-Daten.

Zertifikate (ACME)

Automatische Let's-Encrypt-Zertifikate für veröffentlichte Dienste und das Web-UI.

Hochverfügbarkeit

CARP-Failover mit pfsync-State-Sync, damit ein einzelner Geräteausfall den Betrieb in der Regel nicht unterbricht.

HAProxy / Reverse Proxy

Lastverteilung und die sichere Veröffentlichung interner Web-Dienste, mit SSL-Terminierung.

Traffic Shaping & QoS

Bandbreite priorisieren und begrenzen, etwa für VoIP oder geschäftskritische Anwendungen.

Erweiterung

Zenarmor: eine NGFW-Schicht obendrauf.

Zenarmor, früher Sensei, erweitert OPNsense und pfSense um Next-Generation-Funktionen: Anwendungserkennung auf Layer 7, Web-Kategorien und aussagekräftige Dashboards.

Ehrlich eingeordnet: Zenarmor ist kein Open Source, sondern ein kommerzielles Plugin (Freemium) von Zenarmor, USA. Die kostenlose Free Edition deckt Grundschutz und Monitoring ab, ist aber nur für den privaten Gebrauch. Layer-7-App-Control, Web-Kategorien, TLS-Inspektion und der geschäftliche Einsatz erfordern eine kostenpflichtige Edition.

App-Control & DPI

Anwendungen und Protokolle auf Layer 7 erkennen und gezielt steuern.

Web-Kategorien

Inhalte nach Kategorien filtern, feiner als reine Domain- oder IP-Listen.

Dashboards & Reporting

Detaillierte Auswertungen, wer und was im Netz Bandbreite und Risiko erzeugt.

OPNsense vs. pfSense

Die Unterschiede auf einen Blick.

Beide sind solide. Die Wahl entscheidet sich an Herkunft, Lizenzmodell, Tempo und Ökosystem.

Merkmal OPNsensepfSense CE
Hersteller Deciso, Niederlande (EU)Netgate, USA
Lizenz BSD 2-ClauseApache 2.0
Basis FreeBSDFreeBSD
Release-Takt zwei Hauptversionen pro Jahrunregelmäßig, größere Lücke 2023–2025
Oberfläche modern, API-firstbewährt, ältere Codebasis
IDS/IPS SuricataSnort und Suricata
WireGuard-VPN im Kern integriertals Paket
Automatisierung umfassende REST-APIREST über Community-Paket
Kommerzielle Variante Business Edition (folgt der CE)pfSense Plus, proprietär
Neue Features zuerst in der Community Editionoft zuerst in Plus

Angaben nach Herstellerstand, Stand der Recherche 2025/2026.

Und gegen Fortinet, Cisco, Juniper oder WatchGuard?

Diese Hersteller bauen sehr gute Appliances. Open Source spielt ein anderes Spiel, vor allem bei Kosten, Transparenz und Unabhängigkeit. Ehrlich, wo beide Seiten ihre Stärken haben:

Wo OPNsense und pfSense überzeugen

  • Keine Lizenz je Durchsatz, Nutzer oder Funktion, kein Zwang zum UTM-Abo
  • Volle Transparenz: Regeln und Code sind einsehbar und auditierbar
  • Hardware frei wählbar, von der kleinen Appliance bis zur VM
  • Kein Vendor-Lock-in und kein erzwungenes End-of-Life der Hardware
  • Kein Feature-Gating nach Modell oder Durchsatz, alle Funktionen auf jeder unterstützten Hardware aktivierbar
  • Datenhoheit, bei OPNsense zudem ein Hersteller aus der EU

Wo kommerzielle Appliances Stärken haben

  • Bei höheren Modellreihen spezialisierte Hardware-Beschleunigung (ASIC/NPU) für sehr hohen Durchsatz mit IPS und SSL-Inspektion
  • Ausgereifte SD-WAN- und SASE-Ökosysteme mit zentraler Cloud-Verwaltung über viele Standorte
  • Hersteller-Support mit SLA, TAC und Hardware-Austausch aus einer Hand
  • Gebündelte, kuratierte Threat-Intelligence-Feeds direkt ab Werk
  • Zertifizierungen, die manche Branchen oder Ausschreibungen verlangen

Preis-Leistung: Für die meisten Mittelstands-Standorte liefert eine OPNsense- oder pfSense-Box auf passender Hardware den nötigen Durchsatz zu einem Bruchteil der laufenden Kosten, ohne Abo je Funktion oder Durchsatz. Bei sehr hohem Durchsatz mit voller SSL-Inspektion oder großen, zentral verwalteten SD-WAN- und SASE-Landschaften mit Hersteller-SLA kann eine kommerzielle Plattform die bessere Wahl sein. Wir sagen Ihnen das ehrlich, statt jede Anforderung in Open Source zu pressen.

Vorgehen

Von der Topologie zum gehärteten Dauerbetrieb.

01

Anforderungen & Topologie

Schutzbedarf, Standorte, Segmente, Durchsatz und VPN-Bedarf erfassen.

02

Plattform & Hardware

OPNsense oder pfSense und passende Appliance, x86-Hardware oder VM festlegen.

03

Regelwerk & Dienste

Firewall-Regeln, NAT, VPN, IDS/IPS und Proxy sauber aufsetzen.

04

Härtung & HA

Updates, Backups, GeoIP, Zertifikate und CARP-Failover einrichten.

05

Betrieb & Monitoring

Logging, Alarme und Pflege übernehmen und das Regelwerk nachschärfen.

Bevor die Lizenz der Appliance fällig wird

Fragen zu OPNsense & pfSense.

Antworten auf typische Fragen zur Plattformwahl, zu pfSense CE und Plus, Zenarmor, Hardware und Hochverfügbarkeit.

Firewall-Projekt besprechen

Tendenziell OPNsense: ein EU-Hersteller, BSD-Lizenz, modernes UI und neue Funktionen direkt in der freien Version. pfSense bleibt eine starke, sehr ausgereifte Wahl mit riesigem Ökosystem, gerade wo bereits Erfahrung damit besteht. Wir entscheiden anhand Ihrer Anforderungen, nicht nach Geschmack.

Die pfSense Community Edition ja, unter Apache 2.0. pfSense Plus dagegen ist proprietär; der frühere kostenlose Home-Download wurde 2023 eingestellt und Plus ist heute an Netgate-Hardware oder Subscriptions gebunden. Wenn echte Open-Source-Unabhängigkeit das Ziel ist, ist die CE oder OPNsense der Weg.

Nein. Zenarmor ist ein kommerzielles Plugin mit Freemium-Modell, das auf OPNsense oder pfSense aufsetzt. Die kostenlose Free Edition bietet Grundschutz, ist aber nur für den privaten Gebrauch; für den geschäftlichen Einsatz und Funktionen wie Layer-7-App-Control oder Web-Kategorien ist eine kostenpflichtige Edition nötig. Wir sagen das offen.

Nein. Die Firewalls laufen auf einer fertigen Appliance, auf Standard-x86-Hardware oder als virtuelle Maschine. Wir dimensionieren nach Durchsatz, Zahl der VPN-Tunnel und ob IDS/IPS aktiv sein soll.

Für viele Mittelstands-Szenarien ja, funktional vergleichbar und auditierbar. Sehr spezielle Anforderungen, etwa tief integrierte Cloud-SASE-Konzepte, prüfen wir im Einzelfall, statt pauschale Gleichwertigkeit zu versprechen.

Ja. Über CARP betreiben wir zwei Geräte als Failover-Paar, die Firewall-Zustände werden per pfsync synchronisiert. Fällt ein Gerät aus, übernimmt das zweite, ohne dass Verbindungen abreißen.

Der nächste Schritt

Klären wir, welche offene Firewall zu Ihnen passt.

Wir nehmen Ihre Topologie und Anforderungen auf, wählen zwischen OPNsense und pfSense, richten Regelwerk, VPN, IDS/IPS und Hochverfügbarkeit ein und übernehmen den Betrieb.

Anfrage per E-Mail senden oder Formular ausfüllen