OPNsense vs. pfSense – warum OPNsense 2025?
OPNsense wurde 2015 als Fork von pfSense gestartet mit dem Ziel: vollständig open-source, transparente Entwicklung, moderne UI. 2025 sprechen diese Punkte für OPNsense:
- Wöchentliche Sicherheitsupdates (pfSense: monatlich)
- WireGuard nativ integriert (kein Plugin nötig)
- Zenarmor (Netify) für Next-Gen-DPI (App-Layer-Inspektion)
- Moderneres UI (React-basiert ab 23.x)
- Vollständig open-source (BSD-Lizenz, kein kommerzieller Lock-in)
- Plugins: Erweiterbar über das Plugin-System
Hardware und Voraussetzungen
OPNsense läuft auf identischer Hardware wie pfSense:
- Empfohlen: Protectli Vault, PC Engines APU, Intel NUC, Supermicro
- Minimum: 1 GHz CPU, 2 GB RAM, 4 GB Speicher, 2x NIC
- Proxmox VM: 2 Core, 2 GB RAM, 20 GB Disk
OPNsense installieren
ISO herunterladen
- opnsense.org/download aufrufen
- Architecture: amd64
- Image type: dvd (für USB-Installation)
- Mirror: Nähe-basiert (z. B. opnsense.org EU-Mirror)
ISO auf USB schreiben:dd if=OPNsense-24.x-dvd-amd64.iso of=/dev/sdX bs=4M status=progress
Installation
- Von USB booten → Login: installer / opnsense
- Install (UFS) oder ZFS auswählen
- Zieldisk auswählen → Installieren
- Root-Passwort setzen → Neustart ohne USB
Erste Konsolen-Konfiguration
Nach dem Neustart: Konsolen-Menü erscheint.
Option 1: Assign Interfaces:
- WAN:
em0(oder vtnet0 bei VM) - LAN:
em1
Option 2: Set interface IP address:
- LAN-IP: 192.168.1.1/24
- DHCP-Server aktivieren: Yes
- DHCP-Range: 192.168.1.100 – 192.168.1.200
Weboberfläche (WebUI)
Browser: https://192.168.1.1
Standard-Login: root / opnsense (sofort ändern!)
System → Wizard führt durch die Ersteinrichtung:
- General Information: Hostname, Domain, Zeitzone, DNS
- Time server: pool.ntp.org
- WAN: DHCP, PPPoE, oder statisch
- LAN: Standard 192.168.1.1/24 (oder anpassen)
- Passwort ändern → Apply
Firmware-Updates
System → Firmware → Updates:
Klicken Sie Check for updates → Verfügbare Updates erscheinen → Update klicken.
Update-Kanal wählen:
- Production: Stabiler Kanal (empfohlen)
- Development: Bleeding edge, für Testing
OPNsense kann Updates automatisch einspielen:
System → Firmware → Settings → Install Updates Automatically: Yes
Firewall-Regeln
Grundprinzip
OPNsense verarbeitet Regeln von oben nach unten auf dem eingehenden Interface. Die erste passende Regel gewinnt.
LAN-Regeln anzeigen
Firewall → Rules → LAN:
Standard: Default allow LAN to any rule – alle LAN-Clients dürfen überall hin.
Eigene Regel – nur bestimmte Protokolle
Neuen Block für Torrents:
- Firewall → Rules → LAN → Add
- Action: Block
- Protocol: TCP/UDP
- Destination Port: 6881–6889 (BitTorrent)
- Description: "Block BitTorrent"
Alias für mehrere IPs/Ports
Firewall → Aliases → Add:
- Name:
admin_hosts - Type: Host(s)
- Content: 192.168.1.10, 192.168.1.11
Alias in Regeln verwenden (z. B. nur admin_hosts dürfen SSH).
WireGuard VPN (nativ integriert)
OPNsense hat WireGuard seit Version 22.1 nativ integriert:
VPN → WireGuard → Local:
Add Peer (Server-Instanz):
- Enable: ✓
- Listen Port: 51820
- Tunnel Address: 10.6.0.1/24
- Schlüsselpaar: Generate klicken
Peers hinzufügen:
- VPN → WireGuard → Peers → Add:
- Public Key: Public Key des Clients
- Allowed IPs: 10.6.0.2/32
- Tunnel Address: 10.6.0.2
Interface erstellen:
Interfaces → Assignments → WireGuard → +
Interface aktivieren, IP 10.6.0.1/24 zuweisen.Firewall-Regeln für WireGuard:
WAN-Regel: UDP Port 51820 erlauben
WireGuard-Interface-Regel: Traffic ins LAN erlauben
Unbound DNS Resolver
Services → Unbound DNS:
- Enable: ✓
- DNSSEC: ✓
- DNS over TLS: Optional (sendet DNS-Anfragen verschlüsselt)
DNS over TLS konfigurieren:Services → Unbound DNS → DNS over TLS:
- Server:
1.1.1.1(Cloudflare) oder9.9.9.9(Quad9) - Port: 853
Wichtige Plugins
System → Firmware → Plugins:
| Plugin | Funktion |
|---|---|
| os-zenarmor | Deep Packet Inspection, App-Control |
| os-crowdsec | Community-basiertes IDS |
| os-acme-client | Let's-Encrypt-Zertifikate automatisch |
| os-frr | Dynamic Routing (OSPF, BGP) |
| os-wireguard | WireGuard (in älteren Versionen) |
| os-haproxy | Load Balancer und Reverse Proxy |
| os-mdnsrepeater | mDNS zwischen VLANs weiterleiten |
Plugin installieren: Plugin anklicken → Häkchen setzen → Apply
IDS/IPS mit Suricata
Services → Intrusion Detection → Administration:
- Enable: ✓
- IPS Mode: ✓ (blockiert statt nur loggt)
- Ruleset: ET Open (kostenlos) oder ET Pro (kostenpflichtig)
- Apply
Erkannte Bedrohungen:
Services → Intrusion Detection → Alerts
OPNsense High Availability (HA)
Für ausfallsichere Setups: Zwei OPNsense-Instanzen als Primary/Secondary:
System → High Availability → Settings:
- Synchronize States: ✓ (pfsync für Connection Tracking)
- Sync Config: ✓
- XMLRPC Sync: zwischen Primary und Secondary
Erfordert eine dedizierte Sync-Verbindung (Cross-Cable oder separates VLAN).
FAQ
Kann ich von pfSense zu OPNsense migrieren?
Direkte Konfigurationsmigration ist nicht möglich. Die Konfigurationen müssen manuell neu erstellt werden. Planen Sie 2–4 Stunden für eine typische KMU-Firewall.
Hat OPNsense einen grafischen Traffic-Monitor?
Ja: Reporting → Traffic – Zeigt Bandbreitennutzung pro Interface in Echtzeit und historisch.
Unterstützt OPNsense Netflow/IPFIX?
Ja: Reporting → NetFlow – Sendet Flow-Daten an Graylog, ELK, PRTG oder andere Collector.
Fazit
OPNsense kombiniert enterprise-grade Features mit vollständig freier Nutzung. Für Neuinstallationen 2025 ist OPNsense oft die bessere Wahl gegenüber pfSense.
Als Firewall-Experten in Heidelberg implementieren wir OPNsense für Unternehmen in Mannheim, Ludwigshafen und der Rhein-Neckar-Region. Jetzt Firewall-Beratung anfragen.