Überblick
| Kriterium | pfSense CE | OPNsense |
|---|---|---|
| Basis | FreeBSD | FreeBSD (HardenedBSD) |
| Lizenz | Apache 2.0 | BSD |
| Oberfläche | Älteres Bootstrap-UI | Modernes, aufgeräumtes UI |
| API | Begrenzt | Vollständige REST API |
| Update-Häufigkeit | Quartalsweise | Alle 2 Wochen |
| Plugin-Ökosystem | pfSense Packages | OPNsense Plugins |
| Hinter Firma | Netgate | Deciso |
| Intrusion Detection | Snort/Suricata | Suricata (Zenarmor optional) |
| HW-Appliances | pfSense Plus (kostenpflichtig) | OPNsense DEC (kostenpflichtig) |
pfSense – der Klassiker
Stärken:
✅ Sehr große Community (seit 2004)
✅ Umfangreiche Dokumentation
✅ Viele pfSense-Tutorials und Bücher
✅ Stabiles, bewährtes System
Schwächen:
❌ Netgate hat Open-Source-Engagement reduziert
❌ Älteres UI, weniger intuitiv
❌ pfSense Plus (kostenpflichtig) bekommt mehr Features
❌ Langsamere Update-Zyklen
OPNsense – der moderne Aufsteiger
Stärken:
✅ Modernes UI mit übersichtlichem Dashboard
✅ Sehr häufige Updates (alle 2 Wochen)
✅ Vollständige REST API
✅ Inline Intrusion Prevention (Suricata)
✅ Hardened FreeBSD Basis (mehr Sicherheit)
✅ Plugin-System gut strukturiert (os-*)
Schwächen:
❌ Kleinere Community als pfSense
❌ Manche pfSense-Tutorials nicht direkt übertragbar
Installation (beide)
# Anforderungen (Minimum)
CPU: Intel/AMD Dual-Core
RAM: 2 GB (4 GB empfohlen)
Disk: 4 GB SSD
NICs: 2x (WAN + LAN), besser 3x (+ DMZ)
# Empfohlene Hardware (Homelab):
Protectli Vault FW4B: 4 Ports, Intel Atom, ~300 €
Intel N100 Mini-PC: 2-4 Ports, energieeffizient, ~150-200 €
# Download
pfSense CE: pfsense.org/download
OPNsense: opnsense.org/download (amd64, dvd)
Gemeinsame Features
Beide bieten:
- NAT / Port-Forwarding
- VLAN-Unterstützung (802.1Q)
- OpenVPN und WireGuard
- DHCP-Server
- DNS-Resolver (Unbound)
- Firewall-Regeln (Stateful)
- Traffic Shaping / QoS
- HA (High Availability / CARP)
- Suricata IDS/IPS
Wann welches wählen?
pfSense wählen wenn:
+ Bereits vertraut mit pfSense
+ Spezifisches pfSense-Package benötigt
+ Ältere Anleitungen/Doku nutzen
+ Netgate-Hardware gekauft
OPNsense wählen wenn:
+ Neue Installation ohne Vorgeschichte
+ REST API für Automatisierung benötigt
+ Schnellere Security-Patches wichtig
+ Modernes UI bevorzugt
+ ZFS-Support gewünscht
FAQ
Kann ich von pfSense zu OPNsense migrieren?
Nicht direkt (unterschiedliche Config-Formate). Empfehlung: OPNsense neu installieren und Einstellungen manuell übertragen.
Welches ist sicherer?
OPNsense basiert auf HardenedBSD mit zusätzlichen Sicherheitsmechanismen (ASLR, Stack Canary). Beide sind jedoch sehr sicher für Enterprise-Einsatz.
Fazit
Für Neuinstallationen empfehlen wir OPNsense wegen der modernen Entwicklung, häufigen Updates und vollständigen REST API.
Firewall und Netzwerk für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Beratung anfragen.