Was ist pfSense?
pfSense Community Edition (CE) ist ein kostenloses, BSD-basiertes Firewall- und Router-Betriebssystem. Es basiert auf FreeBSD und bietet enterprise-grade Features:
- Stateful Firewall mit Paket-Inspektion
- VLAN-Unterstützung (802.1Q)
- VPN: OpenVPN, WireGuard, IPsec
- DHCP- und DNS-Server
- Traffic Shaping (QoS)
- Package Manager: Snort/Suricata (IDS/IPS), pfBlockerNG (DNS-Blocking), HAProxy, etc.
- Web-Interface für vollständige Konfiguration
pfSense läuft auf alter PC-Hardware (mit 2 Netzwerkkarten), Mini-PCs (Protectli, Netgate) oder als VM in Proxmox.
Hinweis: Netgate (pfSense-Hersteller) bietet seit 2023 pfSense Plus (kommerziell) und pfSense CE (kostenlos). Für KMU ist pfSense CE ausreichend, oder die Alternative OPNsense (vollständig open-source).
Hardwareempfehlungen
Mini-PC/Bare Metal:
- Protectli Vault FW4B: 4x GbE, Intel J3160, 8 GB RAM ~250 €
- PC Engines APU2: günstig, leise, energiesparend
- Intel NUC mit zusätzlicher NIC
Als VM in Proxmox:
- 2 CPU Cores
- 2 GB RAM
- 20 GB Disk
- 2 virtuelle Netzwerkadapter (WAN + LAN)
pfSense CE herunterladen und installieren
ISO herunterladen
- pfsense.org → Downloads → Community Edition
- Architecture: AMD64, Installer: CD Image (ISO)
Installation auf Bare Metal
- USB-Stick mit ISO erstellen (Rufus oder dd)
- Von USB booten
- Installer: Accept, dann Install pfSense
- Partitionsschema: Auto (ZFS) oder Auto (UFS) – ZFS für Snapshots
- Disk auswählen → Installieren → Neustart
Als Proxmox-VM
- ISO in Proxmox hochladen
- VM erstellen: 2 Core, 2 GB RAM, 20 GB Disk, q35-Chipsatz
- Zwei Netzwerkadapter hinzufügen:
- NIC1: vmbr0 (WAN – Upstream/Internet-Bridge)
- NIC2: vmbr1 (LAN – interne Clients)
- VM starten → pfSense-ISO booten
Grundkonfiguration – Setup-Wizard
Nach dem ersten Boot erscheint das Setup-Wizard-Menü:
Interface-Zuweisung
pfSense fragt: "Should VLANs be set up now?"
→ No (zunächst ohne VLANs)
WAN-Interface: vtnet0 (oder em0 auf Bare Metal)
LAN-Interface: vtnet1
Bestätigen → pfSense konfiguriert die Interfaces.
Weboberfläche (WebGUI)
Standard-IP für LAN: 192.168.1.1
Browser: https://192.168.1.1
Login: admin / pfsense (sofort ändern!)
Setup-Wizard:
- Hostname: z. B.
pfsense-hd - DNS: 8.8.8.8, 8.8.4.4 (oder eigener DNS)
- WAN: DHCP (für die meisten Heimanschlüsse) oder PPPoE (DSL)
- LAN: 192.168.1.1/24 (oder gewünschtes Netz)
- Admin-Passwort ändern
- Reload → pfSense ist konfiguriert
Firewall-Regeln
Standardverhalten
- LAN → WAN: Alles erlaubt (Default-Regel)
- WAN → LAN: Alles blockiert (kein Zugang von außen)
Eigene Regel – LAN-Traffic einschränken
Firewall → Regeln → LAN:
Klicken Sie auf Hinzufügen (Pfeil nach oben = Insert Before):
- Action: Block
- Interface: LAN
- Protocol: TCP
- Destination Port: 25 (SMTP direkt aus LAN blockieren → nur via Mailserver)
- Beschreibung: "Block direct SMTP"
Port-Weiterleitung (NAT)
Für interne Server:
Firewall → NAT → Port Forward → Hinzufügen:
- Interface: WAN
- Protocol: TCP
- Destination: WAN Address
- Destination Port Range: 443
- Redirect Target IP: 192.168.1.100 (interner Webserver)
- Redirect Target Port: 443
- NAT Reflection: Pure NAT
pfSense erstellt automatisch eine passende Firewall-Regel.
DHCP-Server
Services → DHCP Server → LAN:
- Enable: ✓
- Range: 192.168.1.100 – 192.168.1.200
- DNS Servers: 192.168.1.1 (pfSense selbst als DNS nutzen)
- Lease Time: 86400 (1 Tag)
DNS Resolver (Unbound)
pfSense hat einen eingebauten Unbound DNS Resolver der direkt die Root-DNS-Server fragt:
Services → DNS Resolver:
- Enable: ✓
- DNSSEC: ✓ (aktivieren für DNS-Sicherheit)
- DNS Query Forwarding: Optional (deaktiviert = direktes Auflösen)
Lokale Hostnamen: Host Overrides hinzufügen:
- Hostname:
server01 - Domain:
ihrefirma.de - IP: 192.168.1.50
VPN mit OpenVPN einrichten
VPN → OpenVPN → Wizards:
Der Wizard führt durch die OpenVPN-Konfiguration:
- Typ: Remote Access (SSL/TLS + Auth)
- Zertifikat-Autorität erstellen
- Server-Zertifikat erstellen
- Tunnel-Netzwerk:
10.8.0.0/24 - Lokales Netzwerk:
192.168.1.0/24(für Split-Tunnel) - Wizard abschließen → Firewall-Regeln werden automatisch erstellt
Client-Export:
VPN → OpenVPN → Client Export Utility → Installer für Windows/macOS/Linux herunterladen.
Wichtige Pakete
System → Package Manager → Available Packages:
| Paket | Funktion |
|---|---|
| pfBlockerNG | DNS-basiertes Ad- und Malware-Blocking |
| Snort oder Suricata | Intrusion Detection/Prevention System |
| HAProxy | Load Balancer und Reverse Proxy |
| OpenVPN Client Export | Einfacher VPN-Client-Export |
| WireGuard | WireGuard-VPN (ab pfSense 2.6) |
| Zeek | Netzwerk-Analyse und Logging |
pfSense aktuell halten
System → Update → System Update: Aktuelle Version prüfen und updaten.
Automatische Update-Checks: System → Update → Update Settings → Check Frequency: Daily
FAQ
pfSense oder OPNsense – was nehmen?
OPNsense ist vollständig open-source (keine kommerziellen Einschränkungen), hat eine modernere UI und häufigere Updates. pfSense CE hat mehr Community-Ressourcen und Tutorials. Beide sind exzellente Firewalls – wählen Sie nach Präferenz.
Kann pfSense auf einem Raspberry Pi laufen?
Nicht offiziell. pfSense ist für x86-Hardware optimiert. Für ARM-Plattformen: OpenWRT oder OPNsense mit ARM-Unterstützung (experimentell).
Was kostet pfSense Plus (kommerziell)?
Netgate bietet Bundles ab ~130 €/Jahr. Die CE-Version bleibt kostenlos.
Fazit
pfSense ist die bekannteste Open-Source-Firewall und eine ernsthafte Alternative zu kommerziellen Lösungen. Mit den verfügbaren Paketen erreichen Sie enterprise-grade Schutz.
Als Firewall-Spezialisten in Heidelberg installieren und konfigurieren wir pfSense und OPNsense für KMU in Mannheim, Ludwigshafen und der Rhein-Neckar-Region. Jetzt Firewall-Beratung anfragen.