pfSense vs OPNsense: 940 Mbps, welche Firewall gewinnt? [2026]

Q: Ist OPNsense sicherer als pfSense?

OPNsense patcht Sicherheitslücken schneller: alle zwei Wochen, innerhalb von Tagen nach FreeBSD-Advisories. Der vollständige Quellcode ist unter 2-Klausel-BSD offen und unabhängig prüfbar. pfSense CE hinkt bei Patches hinter pfSense Plus her. pfSense Plus ist Closed Source, was eine unabhängige Prüfung ausschließt. Für sicherheitskritische Umgebungen ist OPNsense die transparentere und schneller gepatchte Wahl.

Q: Kann ich pfSense-Konfigurationen in OPNsense importieren?

Ja. OPNsense bietet einen eingebauten pfSense-Konfigurations-Importer für grundlegende Einstellungen: Firewall-Regeln, Interfaces, DHCP und DNS werden importiert. Pakete und komplexe Erweiterungen wie pfBlockerNG müssen manuell neu konfiguriert werden. Der umgekehrte Weg (OPNsense zu pfSense) ist ohne Importer nicht möglich und erfordert vollständige Neukonfiguration.

Q: Welche Hardware brauche ich für OPNsense oder pfSense?

Minimum für Heimgebrauch: Intel Atom oder Celeron mit AES-NI, 4 GB RAM, 2 Intel-NICs (i210/i225/i226 empfohlen). Für IDS/IPS-Betrieb mit Suricata: 8 GB RAM und ein Quad-Core-CPU. Für Durchsatz über 500 Mbps: Intel i5 der 8. Generation oder neuer. ARM-basierte Hardware läuft nur mit pfSense Plus auf offiziellen Netgate-Geräten.

Q: Was kostet pfSense Plus in Österreich?

pfSense Plus TAC Lite auf Drittanbieter-Hardware kostet $129 pro Jahr (ca. 120 Euro). Netgate-Hardware kommt mit enthaltener pfSense Plus-Lizenz. TAC Pro-Support kostet $999 pro Jahr. OPNsense ist auf beliebiger x86-Hardware vollständig kostenlos. Für OPNsense Business-Pakete mit Deciso-Hardware und Wartungsvertrag muss man direkt bei Deciso anfragen.

Q: Unterstützt OPNsense WireGuard nativ?

Ja. OPNsense integriert WireGuard nativ im FreeBSD-Kernel. Die Konfiguration ist vollständig in die GUI eingebettet, ohne zusätzliche Paketinstallation. In Benchmarks auf identischer Hardware erreicht OPNsense mit WireGuard 720 Mbps, pfSense CE (Paket-basiert) 710 Mbps. pfSense Plus bietet WireGuard ebenfalls nativ. Für VPN-Protokoll-Details: WireGuard vs OpenVPN Vergleich.

Q: Welche Firewall empfiehlt sich für NIS2-Compliance in Österreich?

OPNsense. Der vollständig offene Quellcode unter 2-Klausel-BSD ist unabhängig prüfbar. Die öffentliche Patch-Dokumentation mit CVE-Referenzen erleichtert Compliance-Nachweise gegenüber der österreichischen Regulierungsbehörde. Die bi-wöchentlichen Sicherheits-Updates entsprechen dem NIS2-Gebot zur zeitnahen Schließung bekannter Schwachstellen. pfSense Plus ist Closed Source und für Audits, die Quellcode-Transparenz erfordern, nicht geeignet.

Q: Wie oft erhält OPNsense Sicherheits-Updates?

OPNsense veröffentlicht alle zwei Wochen Sicherheits-Patches sowie zwei große Major-Releases pro Jahr (typischerweise Januar und Juli). Bei kritischen FreeBSD-Sicherheitslücken erscheinen Hotfix-Releases innerhalb weniger Tage. pfSense CE erhält Updates unregelmäßig und erst nach pfSense Plus. Für produktive Umgebungen mit hohem Sicherheitsanspruch ist OPNsenses Update-Rhythmus klar vorteilhafter.

Q: Kann pfSense oder OPNsense auf einem Raspberry Pi laufen?

pfSense Plus unterstützt ARM auf ausgewählten Netgate-Appliances, aber nicht auf dem Raspberry Pi. OPNsense hat generell keinen ARM-Support. Beide Plattformen sind auf x86-Hardware ausgelegt. Als Alternative für Low-Power-ARM-Hardware bietet sich OpenWRT an, das allerdings einen wesentlich kleineren Funktionsumfang bietet als pfSense oder OPNsense.

pfSense und OPNsense teilen dieselbe BSD-Abstammung und dieselbe Grundidee: eine leistungsstarke Open-Source-Firewall, die auf handelsüblicher Hardware läuft. Doch die Projekte haben sich seit der OPNsense-Abspaltung von pfSense im Jahr 2015 deutlich auseinanderentwickelt. Wer heute eine Entscheidung treffen muss, steht vor konkreten Fragen: Welche Plattform liefert mehr Durchsatz? Welche patcht schneller? Welche ist langfristig die sicherere Wahl für Unternehmen in Österreich? Dieser Vergleich beantwortet diese Fragen mit Benchmarks, Preistabellen und Praxisbeispielen aus dem Jahr 2026.

Hintergrund: Woher kommen pfSense und OPNsense?

pfSense entstand 2004 als Fork des m0n0wall-Projekts. Chris Buechler und Scott Ullrich starteten das Projekt, das sich schnell zur meistgenutzten Open-Source-Firewall-Distribution entwickelte. Netgate übernahm das Projekt und differenzierte später zwischen pfSense CE (Community Edition, Open Source unter Apache 2.0) und pfSense Plus (kommerzielle, proprietäre Version mit geschlossenem Quellcode).

OPNsense entstand 2015, als Deciso, ein niederländischer Netzwerkhardware-Hersteller, einen Fork von pfSense startete. Der Grund war Unzufriedenheit mit Netzgates zunehmender Kontrolle über das Projekt und dem schleppenden Entwicklungstempo. OPNsense wählte eine 2-Klausel-BSD-Lizenz, die noch permissiver ist als die Apache-2.0-Lizenz von pfSense CE und keinerlei Namensrechtsbeschränkungen enthält.

Heute stehen beide Projekte für unterschiedliche Philosophien: OPNsense setzt auf häufige Updates, eine moderne Benutzeroberfläche und starke API-Integration. pfSense Plus priorisiert Stabilität, Netgate-Hardware-Optimierungen und Enterprise-Support. Für österreichische Unternehmen, die unter die NIS2-Richtlinie und das neue NISG 2026 fallen, ist diese Entscheidung kein reines Hobbyisten-Thema mehr: Die Wahl der Netzwerksicherheitsplattform hat direkte Compliance-Implikationen.

Vollständiger Spezifikationsvergleich: pfSense vs OPNsense [2026]

Die folgende Tabelle zeigt alle wesentlichen Unterschiede auf einen Blick. Alle Angaben basieren auf offiziellen Vendor-Dokumentationen und verifizierten Drittquellen aus dem Jahr 2026.

Merkmal	OPNsense	pfSense CE	pfSense Plus
Lizenz	2-Klausel-BSD (vollständig offen)	Apache 2.0 (Open Source)	Proprietär (Closed Source)
Kosten auf Drittanbieter-Hardware	Kostenlos	Kostenlos	$129/Jahr (TAC Lite)
Update-Rhythmus	Alle 2 Wochen + 2 Major-Releases/Jahr	Unregelmäßig	~3 Releases/Jahr
Benutzeroberfläche	Modern, durchsuchbare Seitenleiste	Funktional, veraltetes Top-Menü	Ähnlich wie CE
WireGuard	Eingebaut (nativ)	Paket (stabile Geschichte seit 2022)	Eingebaut
Suricata-IDS/IPS	Enge Integration, grafisches Reporting	Paket, funktional	Ähnlich wie CE
Plugin-Ökosystem	80+ offizielle Plugins	Groß, pfBlockerNG bekannt	Gleich wie CE
Zenarmor/NGFW	Vollständig unterstützt	Eingeschränkt	Eingeschränkt
Kryptografische Beschleunigung	Standard FreeBSD AES-NI	Standard FreeBSD AES-NI	Intel IPC Multi-Buffer (Plus exklusiv)
ARM-Unterstützung	Nein	Nein	Ja (ausgewählte Netgate-Hardware)
VXLAN-Unterstützung	Ja	Nein (separater Tensor-Appliance)	Nein (separater Tensor-Appliance)
REST-API	Vollständige REST-API, gut dokumentiert	Begrenzt	Verbessert gegenüber CE
Dedizierter Hardware-Hersteller	Deciso (DEC-Serie)	N/A (Drittanbieter)	Netgate
Sicherheits-Patches	Innerhalb von Tagen nach FreeBSD-Advisories	CE wartet auf Plus-Patch zuerst	Priorisiert vor CE
PPPoE Multi-Core	Noch nicht (Netgate teilt Quellcode nicht)	Ja (Quellcode zurückgehalten)	Ja (if_pppoe-Treiber)

Benchmark-Ergebnisse: Routing, VPN und IDS-Durchsatz im Vergleich

Die entscheidende Frage für die meisten Administratoren lautet: Wie schnell ist die Firewall unter realen Bedingungen? Diese Benchmarks wurden auf identischer Hardware durchgeführt, um einen fairen Vergleich zu ermöglichen. Die Werte stammen aus einem 2026er Vergleich, der auf diymediaserver.com veröffentlicht wurde und auf einem i5-8500-System mit Intel i350-T4-NIC basiert.

Testumgebung: i5-8500, 16 GB RAM, Intel i350-T4 NIC

Szenario	OPNsense	pfSense CE	pfSense Plus	Differenz CE/OPN
WAN-zu-LAN-Routing	940 Mbps	938 Mbps	938 Mbps+	<1% (vernachlässigbar)
WireGuard VPN-Durchsatz	720 Mbps	710 Mbps	710 Mbps	~1,4%
OpenVPN (AES-256-GCM)	380 Mbps	375 Mbps	375 Mbps	~1,3%
IPsec (Plus IPC-MB-Beschleunigung)	~800 Mbps	~790 Mbps	>900 Mbps	Plus: bis zu +15%
Mit IDS/Suricata (3 Regelsätze)	680 Mbps (-27%)	670 Mbps (-28%)	670 Mbps (-28%)	<2%
RAM-Verbrauch (Grundlast)	~350 MB	~280 MB	~290 MB	OPNsense +25%

Das Ergebnis ist eindeutig: Im reinen Routing und bei WireGuard liegen beide Plattformen unter 2% auseinander. Auf identischer Consumer-Hardware ist die Software nicht der Flaschenhals, sondern NIC und CPU. Der einzige bedeutende Unterschied zeigt sich bei pfSense Plus mit aktivierter Intel IPC Multi-Buffer-Beschleunigung für IPsec, wo Plus bis zu 15% mehr Durchsatz liefern kann. Für Heimanwender und KMU spielt das praktisch keine Rolle. Für Unternehmen mit hohem IPsec-Aufkommen und Netgate-Hardware ist Plus der klare Gewinner bei diesem spezifischen Szenario.

Der höhere RAM-Verbrauch von OPNsense (rund 25% mehr als pfSense CE) erklärt sich durch die modernere GUI-Architektur und die vielen eingebetteten Monitoring-Funktionen. Auf Hardware mit weniger als 4 GB RAM kann das ein relevanter Faktor sein. Für alle anderen Setups ist er vernachlässigbar.

Sicherheitsarchitektur: Wer patcht schneller?

Für österreichische Unternehmen, die unter NIS2 fallen, ist die Patch-Geschwindigkeit keine akademische Frage. Das NISG 2026 verpflichtet betroffene Betreiber zu zeitnahen Sicherheitsupdates. Hier trennen sich die Wege der beiden Plattformen deutlich.

OPNsenses Patch-Strategie: Bi-wöchentlich und transparent

OPNsense veröffentlicht alle zwei Wochen Sicherheits-Updates. Wenn das FreeBSD-Sicherheitsteam eine Schwachstelle veröffentlicht, sind Patches typischerweise innerhalb weniger Tage verfügbar. Zusätzlich gibt es zwei große Major-Releases pro Jahr. Diese Frequenz ist für sicherheitskritische Umgebungen ein klarer Vorteil.

Das OPNsense-Entwicklungsteam bei Deciso betreibt ein öffentliches Changelog mit CVE-Referenzen, was die Nachvollziehbarkeit für Compliance-Audits erheblich erleichtert. Die vollständige BSD-Lizenz bedeutet außerdem, dass keine Vendor-Abhängigkeit bei der Code-Transparenz besteht: Jede Organisation kann den Quellcode unabhängig prüfen lassen.

pfSense CE vs Plus: Die zweistufige Update-Falle

pfSense CE-Nutzer erhalten Sicherheits-Updates erst nach pfSense Plus. Netgate priorisiert seine kommerzielle Version, was bedeutet, dass CE-Installationen in der Praxis Wochen hinter dem aktuellen Patch-Stand liegen können. Für Unternehmen, die pfSense CE kostenlos einsetzen und dabei ein hohes Sicherheitsniveau benötigen, ist das ein erhebliches strukturelles Risiko.

pfSense Plus bietet mit dem TAC Lite-Support für $129 pro Jahr priorisierten Zugang zu Updates und professionellem Support. Die proprietäre Natur von Plus macht jedoch eine unabhängige Sicherheitsprüfung des Quellcodes unmöglich. Für Organisationen, die Lieferkettensicherheit und Code-Audits als Compliance-Anforderung haben, ist das ein Ausschlusskriterium.

Preisvergleich: Gesamtkosten über 3 Jahre (TCO)

Die Lizenzkosten sind nur ein Teil des Gesamtbildes. Hardware, Support und Betriebsaufwand bestimmen die tatsächlichen TCO (Total Cost of Ownership). Die folgende Tabelle vergleicht typische Szenarien für Kleinunternehmen in Österreich.

Kostenfaktor	OPNsense	pfSense CE	pfSense Plus TAC Lite
Softwarelizenz/Jahr	$0	$0	$129
Softwarekosten über 3 Jahre	$0	$0	$387
Hardware (Protectli VP2420)	~$300	~$300	~$300 oder Netgate 4100 ab ~$400
Community-Support	Kostenlos (Forum, GitHub)	Kostenlos (Forum)	Im TAC Lite enthalten
Enterprise-Support (Pro)	Deciso Business: auf Anfrage	N/A	Netgate TAC Pro: $999/Jahr
Geschätzte TCO (3 Jahre, KMU)	~$300–800	~$300	~$700–1.700

Für Heimanwender und kleine Unternehmen ist OPNsense die wirtschaftlichste Option mit vollem Funktionsumfang ohne Lizenzkosten. pfSense CE ist zwar ebenfalls kostenlos, leidet aber unter dem beschriebenen Update-Lag. pfSense Plus lohnt sich primär für Unternehmen, die Netgate-spezifische Hardware, kryptografische Beschleunigung und SLA-gestützten Enterprise-Support benötigen.

Feature-Vergleich im Detail: Was jede Plattform besser macht

Jenseits der Benchmarks und Preise entscheiden Funktionsunterschiede über den optimalen Einsatzbereich. Hier eine detaillierte Analyse der wichtigsten Bereiche.

VPN-Protokolle: OpenVPN, WireGuard, IPsec

Beide Plattformen unterstützen OpenVPN und IPsec (IKEv1/IKEv2). Der entscheidende Unterschied liegt bei WireGuard: OPNsense integriert WireGuard nativ im Betriebssystem-Kernel, was eine reibungslosere Performance und einfachere Konfiguration bietet. pfSense CE bietet WireGuard als installierbares Paket. pfSense Plus enthält WireGuard ebenfalls nativ, was diesen Vorteil von OPNsense gegenüber Plus nivelliert.

Wer Site-to-Site-VPN mit WireGuard betreibt, ist mit OPNsense besser bedient als mit pfSense CE: Die Konfiguration ist vollständig in die GUI integriert, die Performance auf Höhe von pfSense Plus. Für einen ausführlichen Protokoll-Vergleich empfehlen wir unseren Artikel WireGuard vs OpenVPN: 3-4x schneller.

IDS/IPS und Next-Generation-Firewall-Funktionen

OPNsense liefert Intrusion Detection und Prevention mit Suricata direkt nach der Installation, ohne zusätzliche Paketinstallation. Die grafische Oberfläche für Regelsets, Alerting und Traffic-Reporting ist direkt in die GUI eingebettet. Zenarmor, eine Deep-Packet-Inspection-Engine mit Application-Layer-Filtering auf Enterprise-Niveau, ist vollständig mit OPNsense kompatibel.

pfSense CE bietet Suricata und Snort als Pakete, die funktional und gut dokumentiert sind, aber weniger tief in die GUI integriert sind. Das bekannte pfBlockerNG-Paket, das DNS-Sinkholing und IP-Blocking kombiniert, ist ein echtes Alleinstellungsmerkmal für pfSense und hat im OPNsense-Ökosystem keine vollständig gleichwertige, ebenso komfortable Alternative.

Benutzeroberfläche und API: Moderne Verwaltung vs. bewährtes Design

Die GUI-Unterschiede sind größer als die Leistungsunterschiede. OPNsense hat in den letzten Jahren massiv in die Benutzeroberfläche investiert. Das Ergebnis ist eine moderne, responsive Oberfläche mit durchsuchbarer Seitenleiste, integriertem Monit-Service-Monitoring, Echtzeit-Dashboards für CPU, RAM und Netzwerk-Traffic und einem klar strukturierten Plugin-System.

pfSense CE verwendet noch immer das klassische Top-Menü, das seit Jahren nahezu unverändert geblieben ist. Es ist funktional und von erfahrenen Administratoren schnell zu bedienen, wirkt aber neben OPNsense veraltet. Wer eine Konfigurationsoption in OPNsense sucht, tippt den Begriff in die Seitenleiste und findet sie in Sekunden. In pfSense CE muss man wissen, unter welchem Menüpunkt eine Funktion versteckt ist.

Die REST-API von OPNsense ist vollständig dokumentiert und ermöglicht Automatisierung über Ansible, Terraform oder eigene Skripte. pfSense CE bietet nur eine begrenzte API. Für DevSecOps-Workflows und Infrastructure-as-Code-Setups ist OPNsense die deutlich reifere Plattform. Für MSPs, die Dutzende Kundeninstallationen verwalten, ist dieser Unterschied kaufentscheidend.

5 Praxisbeispiele: Welche Plattform für welchen Einsatz?

Theorie ist gut, Praxis entscheidet. Diese fünf Szenarien zeigen, welche Plattform in welchem Umfeld die bessere Wahl ist, basierend auf den Benchmark-Daten und Funktionsunterschieden.

Szenario 1: Homelab und Heimnetzwerk (OPNsense)

Ein Wiener IT-Student betreibt ein Heimnetzwerk mit mehreren VLANs, einem WireGuard-Server für Remote-Zugriff und Pi-hole für DNS-Sinkholing. OPNsense auf einem Protectli VP2420 (4 LAN-Ports, Intel i5-1235U, ~$300) bietet dafür alle Werkzeuge kostenlos: WireGuard nativ, Suricata für IDS, Monit für Service-Monitoring und eine übersichtliche GUI mit Auto-Updates. Fazit: OPNsense ist für diesen Use Case die erste Wahl, ohne Einschränkungen.

Szenario 2: KMU mit Site-to-Site-VPN (OPNsense oder pfSense Plus)

Ein Grazer Handelsunternehmen verbindet drei Standorte über IPsec Site-to-Site-VPN. Der Traffic-Bedarf liegt bei 200-400 Mbps. Beide Plattformen liefern ausreichend Durchsatz. Entscheidend: Braucht das Unternehmen Enterprise-Support mit SLA? Dann pfSense Plus TAC Lite ($129/Jahr). Ist der interne IT-Administrator erfahren und bevorzugt offenen Quellcode und schnelle Patches? Dann OPNsense, kostenlos.

Szenario 3: MSP mit Flottenmanagement (OPNsense)

Ein Tiroler Managed Service Provider verwaltet Firewalls für 50 Kundenbetriebe. OPNsenses vollständige REST-API ermöglicht die Automatisierung von Regeländerungen, Backup-Exporten und Update-Rollouts über Ansible. pfSense CE bietet diese API-Tiefe nicht. pfSense Plus hat aufgeholt, bleibt aber hinter OPNsense. Für skaliertes Flottenmanagement ist OPNsense die wirtschaftlichere und technisch überlegene Lösung.

Szenario 4: Hochverfügbarkeits-Cluster mit CARP-Failover (Beide)

Ein Salzburger Rechenzentrum benötigt einen aktiv-passiven Firewall-Cluster mit unter 1 Sekunde Failover-Zeit. Beide Plattformen unterstützen CARP (Common Address Redundancy Protocol) für Hochverfügbarkeit. Die Konfiguration unterscheidet sich, aber das Ergebnis ist in der Praxis gleichwertig. Hier gewinnt keine Plattform klar: Beide erfüllen die Anforderungen für HA-Setups in produktiven Umgebungen zuverlässig.

Szenario 5: Hochdurchsatz-IPsec auf Netgate-Hardware (pfSense Plus)

Ein Wiener ISP verarbeitet mehrere Gbps IPsec-Traffic und betreibt Netgate-Appliances. Hier lohnt sich pfSense Plus: Die Intel IPC Multi-Buffer-Kryptobeschleunigung bietet bis zu 15% mehr IPsec-Durchsatz als OPNsense oder pfSense CE auf identischer Hardware. Kombiniert mit Netgate TAC Pro-Support ($999/Jahr) ist das für IPsec-intensive Umgebungen auf Netgate-Hardware der richtige Weg.

Expertenmeinungen aus der Security-Community

Die Debatte pfSense vs OPNsense wird in der Security-Community intensiv geführt. Hier sind die meistzitierten Standpunkte aus der Netzwerksicherheits-Community.

Tom Lawrence, Betreiber des YouTube-Kanals Lawrence Systems mit über 200.000 Abonnenten und einer der bekanntesten Stimmen im Bereich Netzwerk- und Firewall-Administration, veröffentlichte ein vielbeachtetes Video mit dem Titel “Why I don’t use OPNsense”. Sein Hauptargument: pfSense CE hat eine größere Wissensbasis, mehr Forum-Beiträge und bessere Dokumentation für komplexe Setups. Gleichzeitig räumte er ein, dass OPNsense in puncto Update-Frequenz und UI-Modernität klar vorne liegt.

Die Antwort der OPNsense-Community war sachlich und datengetrieben: OPNsense patcht FreeBSD-CVEs typischerweise innerhalb von Tagen, während pfSense CE auf die Plus-Freigabe wartet. Für sicherheitskritische Umgebungen sei das ein ausschlaggebendes Argument. Das Gegenvideo von OPNsense-Entwicklern analysierte mehrere konkrete CVE-Timelines und zeigte, dass pfSense CE im Schnitt länger auf Patches wartet.

Patrick Kennedy von ServeTheHome, einem der führenden Medien für Enterprise-Hardware-Tests, betonte in einem 2025 erschienenen Vergleich: “Für reine Leistung auf identischer Consumer-Hardware gibt es keinen signifikanten Unterschied zwischen OPNsense und pfSense CE. Die Entscheidung fällt auf Basis von Lizenzphilosophie, Update-Frequenz und API-Reifegrad.” Diese Einschätzung deckt sich mit den vorliegenden Benchmark-Daten.

In der deutschsprachigen DACH-Community ist die Präferenz für OPNsense besonders stark ausgeprägt. In Foren wie administrator.de und der Community r/selfhosted überwiegen OPNsense-Empfehlungen, insbesondere für NIS2-Compliance-Szenarien, wo transparente Patch-Historien und offener Quellcode rechtlich relevant sind. Bei öffentlichen Einrichtungen in Österreich und Deutschland, die Ausschreibungen für Netzwerk-Security-Lösungen durchführen, wird offener Quellcode als Wertungskriterium immer häufiger explizit gefordert.

Hardware-Empfehlungen: Was läuft am besten unter OPNsense und pfSense?

Beide Plattformen laufen auf nahezu identischer x86-Hardware. Die wichtigsten Faktoren bei der Hardware-Auswahl sind: Intel-NICs (i210/i350/i225/i226), AES-NI-Unterstützung im CPU (heute in allen modernen Intel/AMD-Prozessoren vorhanden) und ausreichend RAM für IDS-Betrieb (mindestens 8 GB für produktive Umgebungen mit Suricata).

Empfohlene Hardware für OPNsense:

Protectli VP2420: Intel Celeron J6413, 4x Intel i226-V NICs, 8 GB RAM, ~$300. Ideal für Heimnetz und KMU bis 1 Gbps.
Deciso DEC675: AMD Ryzen Embedded V1500B, 4x Intel i225 NICs, 8 GB RAM, offiziell von Deciso für OPNsense zertifiziert und getestet, ~$700.
PC Engines APU2e4: AMD GX-412TC, 4 GB RAM, 3x Intel i211 NICs, ~$180. Budget-Option für einfache Setups bis 400 Mbps.

Empfohlene Hardware für pfSense Plus:

Netgate 4100: NXP Layerscape LS1046A (ARM), 10-GbE-Ports, 4 GB RAM, ab ~$400 inkl. pfSense Plus-Lizenz. Optimiert für Netgates kryptografische Beschleunigung.
Netgate 6100: Intel Atom C3558R, 10 GbE SFP+, 8 GB RAM, ab ~$800. Für mittlere Unternehmensumgebungen geeignet.

Auf Drittanbieter-Hardware wie Protectli oder PC Engines ist der Durchsatz von OPNsense und pfSense CE nahezu identisch. Netzgates Leistungsvorteil durch IPC-MB-Beschleunigung ist ausschließlich auf optimierter Netgate-Hardware mit pfSense Plus reproduzierbar.

Migrationsleitfaden: Von pfSense zu OPNsense wechseln

Die Migration von pfSense zu OPNsense ist in den meisten Setups ohne vollständige Neukonfiguration möglich. OPNsense bietet einen eingebauten pfSense-Konfigurations-Importer für grundlegende Einstellungen. Die folgenden Schritte beschreiben den Prozess für ein Standard-KMU-Setup.

# SCHRITT 1: pfSense-Backup exportieren
# pfSense GUI: Diagnostics → Backup & Restore → Download Configuration as XML
# Ergebnis: config-router.localdomain-YYYY-MM-DD.xml

# SCHRITT 2: OPNsense-Installation
# Aktuelle ISO von opnsense.org herunterladen (aktuelle Version: 25.x)
# USB-Stick erstellen (Linux):
# dd if=OPNsense-25.x-dvd-amd64.iso of=/dev/sdX bs=4M status=progress

# SCHRITT 3: pfSense-Backup in OPNsense importieren
# OPNsense GUI: System → Configuration → Restore
# → Option: "Import from pfSense config XML" auswählen

# HINWEIS: Folgende Einstellungen werden NICHT migriert:
# - Installierte Pakete (müssen manuell neu installiert werden)
# - pfBlockerNG (OPNsense-Alternative: os-sensei oder Alias-Listen)
# - Komplexe NAT-Regeln (manuell überprüfen)

# SCHRITT 4: VPN-Konfiguration prüfen
# WireGuard: VPN → WireGuard → Instances
# IPsec: VPN → IPsec → Tunnel Settings
# OpenVPN: VPN → OpenVPN → Servers

# SCHRITT 5: DHCP und DNS validieren
# Services → DHCPv4 → Leases prüfen
# Services → Unbound DNS → Einstellungen vergleichen

# SCHRITT 6: Firewall-Regeln testen
# Firewall → Rules → Alle Interfaces durchgehen
# Firewall → Log Files → Live View aktivieren und Traffic beobachten

Erfahrungsberichte aus der Community zeigen: Eine pfSense-zu-OPNsense-Migration für ein Standard-KMU-Setup (Firewall-Regeln, VPN, DHCP, DNS) dauert typischerweise 2-4 Stunden. Komplexe Setups mit vielen Paketen oder pfBlockerNG-Konfigurationen können deutlich länger dauern. Der umgekehrte Weg (OPNsense zu pfSense) ist schwieriger, da pfSense keinen OPNsense-Konfigurations-Importer anbietet und eine vollständige Neukonfiguration erfordert.

Pro und Contra im Überblick

OPNsense: Stärken und Schwächen

Vorteile:

Vollständig offen: 2-Klausel-BSD, alle Komponenten auditierbar
Bi-wöchentliche Sicherheits-Updates, schnelle Reaktion auf FreeBSD-CVEs
Moderne, durchsuchbare GUI mit vollständiger REST-API-Abdeckung
WireGuard nativ im Kernel integriert
Zenarmor/NGFW vollständig unterstützt
VXLAN-Support für komplexe Overlay-Netzwerke
80+ offizielle Plugins im Repository
Kostenlos auf beliebiger x86-Hardware
Aktive DACH-Community, wachsende deutschsprachige Dokumentation

Nachteile:

Höherer RAM-Verbrauch (~25% mehr als pfSense CE)
Kein ARM-Support auf Drittanbieter-Hardware
Weniger englischsprachige Forum-Beiträge und Tutorials als pfSense (historisch)
pfBlockerNG-Äquivalent fehlt (Workaround möglich, aber aufwändiger)
PPPoE Multi-Core noch nicht implementiert

pfSense CE und Plus: Stärken und Schwächen

Vorteile pfSense CE:

Größte Community, über 20 Jahre angesammeltes Forum-Wissen
pfBlockerNG: einzigartiges kombiniertes DNS/IP-Blocking-Tool
Niedriger RAM-Verbrauch
PPPoE Multi-Core für Glasfaser- und DSL-Setups

Zusätzliche Vorteile pfSense Plus:

Intel IPC Multi-Buffer: bis zu 15% mehr IPsec-Durchsatz auf Netgate-Hardware
ARM-Support auf Netgate-Appliances
Professioneller Netgate-Support mit SLA (TAC Lite und TAC Pro)
WireGuard nativ eingebaut

Nachteile pfSense CE:

Unregelmäßiger Update-Rhythmus, CE-Patches kommen nach Plus
Ältere GUI, keine Suche, begrenzte REST-API
WireGuard nur als Paket, nicht nativ
Keine VXLAN-Unterstützung

Nachteile pfSense Plus:

Proprietärer Closed-Source-Code (keine unabhängige Prüfung möglich)
$129/Jahr Lizenzkosten auf Drittanbieter-Hardware
Volle Leistungsvorteile nur auf Netgate-Hardware
Vendor-Lock-in bei Netgate-Ökosystem

5 konkrete Empfehlungen: Welche Firewall für welchen Typ?

Basierend auf Benchmarks, Preisvergleich, Lizenzmodell und Praxisszenarien ergeben sich klare Empfehlungen für verschiedene Nutzertypen:

Heimanwender und Homelabber: OPNsense ohne Vorbehalt. Kostenlos, bi-wöchentliche Updates, WireGuard nativ, moderne GUI. Kein Grund mehr für pfSense CE in diesem Szenario.
KMU ohne dedizierten Enterprise-Support-Bedarf: OPNsense. Offener Code, NIS2-kompatible Patch-Dokumentation, REST-API für Automatisierung.
KMU mit Wunsch nach Enterprise-Support-SLA: pfSense Plus TAC Lite ($129/Jahr). SLA-gesteuerter Support, geeignet für Unternehmen ohne vollständig besetztes IT-Team.
MSPs und DevSecOps-Teams mit mehreren Standorten: OPNsense. Vollständige REST-API, Ansible-Integration, automatisiertes Flottenmanagement.
Hochdurchsatz-IPsec auf Netgate-Hardware: pfSense Plus. Intel IPC Multi-Buffer-Beschleunigung liefert messbaren Vorteil bei intensivem IPsec-Traffic.

NIS2 und NISG 2026: Compliance-Aspekte für Österreich

Österreich hat mit dem NISG 2026 (Netz- und Informationssystemsicherheitsgesetz) die NIS2-Richtlinie der EU umgesetzt. Der Entwurf wurde am 13. November 2025 veröffentlicht. Betroffene Betreiber wesentlicher Dienste, kritischer Infrastrukturen und digitaler Anbieter sind verpflichtet, angemessene technische Maßnahmen zum Schutz ihrer Netzwerke zu implementieren und Sicherheitsvorfälle zu melden.

Für die Firewall-Auswahl im NIS2-Kontext sind folgende Punkte relevant:

Audit-Trail und Patch-Dokumentation: OPNsense führt ein öffentliches Changelog mit CVE-Referenzen. Das erleichtert den Nachweis zeitnaher Sicherheitsmaßnahmen bei Behörden-Audits erheblich.
Quellcode-Transparenz: pfSense Plus ist Closed Source. Für Organisationen, die einen unabhängigen Code-Audit als Compliance-Anforderung haben, scheidet Plus aus. OPNsense unter 2-Klausel-BSD ist vollständig prüfbar.
Update-Frequenz: NIS2 verlangt zeitnahe Reaktion auf bekannte Schwachstellen. OPNsenses bi-wöchentliche Patches und die schnelle Reaktion auf FreeBSD-CVEs entsprechen dieser Anforderung besser als pfSense CE mit seinem unregelmäßigen Rhythmus.
Hochverfügbarkeit: Beide Plattformen unterstützen HA-Setups über CARP, die für kritische Infrastrukturen nach NIS2 empfohlen werden.

Community und Dokumentation im Vergleich

pfSense existiert seit 2004 und hat über 20 Jahre Community-Wissen angesammelt. Die offizielle Dokumentation auf docs.netgate.com ist umfangreich und enthält zahlreiche Step-by-Step-Anleitungen. Das pfSense-Forum ist aktiv und enthält Lösungen für nahezu jedes Konfigurationsproblem. Für komplexe Enterprise-Setups mit exotischen Hardware-Konfigurationen ist die pfSense-Wissensbasis nach wie vor umfangreicher.

OPNsense hat seit 2015 deutlich aufgeholt. Die offizielle Dokumentation auf docs.opnsense.org wächst kontinuierlich. Das OPNsense-Forum und die GitHub-Issues sind aktiv und qualitativ hochwertig. Ein praktischer Vorteil für österreichische Nutzer: OPNsense wächst in der DACH-Community besonders stark, getrieben durch NIS2-Compliance-Interesse und die Präferenz für offene Software bei öffentlichen Einrichtungen.

Netzwerkverwaltung und Monitoring: Wo unterscheiden sich die Plattformen?

Jenseits der reinen Firewall-Funktion unterscheiden sich OPNsense und pfSense in der Art, wie sie Netzwerkaktivitäten darstellen und analysierbar machen. Das betrifft Traffic-Reporting, Alerting und die Integration externer Log-Systeme.

OPNsense Netflow und Reporting: OPNsense enthält standardmäßig Netflow-Export-Unterstützung und ein eingebautes Traffic-Reporting-Dashboard. Administratoren sehen auf einen Blick, welche Hosts am meisten Bandbreite verbrauchen, welche Protokolle dominieren und wo Anomalien auftreten. Die Integration von Monit ermöglicht automatisierte Service-Überwachung: Fällt ein Dienst aus, wird er automatisch neugestartet und eine Benachrichtigung verschickt.

pfSense CE und ntopng: pfSense CE bietet das ntopng-Paket für detaillierte Traffic-Analyse. ntopng ist ein mächtiges Werkzeug, erfordert aber eine separate Installation und Konfiguration. Die Darstellung ist weniger direkt in die pfSense-GUI integriert. pfSense Plus hat das Monitoring verbessert, bleibt aber hinter OPNsenses nahtloser Integration zurück.

Syslog und SIEM-Integration: Beide Plattformen unterstützen Syslog-Forwarding zu externen SIEM-Lösungen (Security Information and Event Management) wie Graylog, Splunk oder ELK Stack. OPNsenses strukturierte Log-Ausgabe erleichtert das Parsing in SIEM-Systemen. Für Unternehmen, die Firewall-Logs zentral erfassen und korrelieren müssen (NIS2-Anforderung), ist OPNsense einfacher in bestehende SOC-Infrastrukturen integrierbar.

SNMP und Netzwerkmanagement: Beide Plattformen unterstützen SNMP v1/v2c/v3 für die Integration in Netzwerkmanagement-Systeme wie Zabbix, PRTG oder Nagios. Die Konfiguration in OPNsense ist über die GUI zugänglich, in pfSense CE ebenfalls, aber weniger intuitiv platziert.

IPv6-Unterstützung und moderne Netzwerkprotokolle

IPv6 ist in Österreich durch die Glasfaser-Ausbaupläne von Magenta, A1 und anderen Providern zunehmend relevant. Beide Plattformen bieten vollständige IPv6-Unterstützung, unterscheiden sich aber in Details.

OPNsense unterstützt IPv6 mit DHCPv6, SLAAC (Stateless Address Autoconfiguration), Prefix-Delegation für Heimnetzwerke und vollständiger Firewall-Regelunterstützung für IPv6-Traffic. Die Konfiguration ist direkt in die GUI integriert und erfordert kein separates Paket. Dual-Stack-Setups (IPv4 und IPv6 parallel) sind gut dokumentiert und in der DACH-Community weit verbreitet.

pfSense CE bietet ebenfalls vollständige IPv6-Unterstützung mit DHCPv6 und SLAAC. Die Konfigurationstiefe ist vergleichbar. Für reine IPv6-Funktionalität gibt es keinen signifikanten Unterschied zwischen den Plattformen.

Relevanter für österreichische Unternehmen: SD-WAN-Funktionalität. OPNsense unterstützt SD-WAN über ZeroTier-Integration (Plugin os-zerotier) direkt aus dem Repository. pfSense bietet ZeroTier über ein Community-Paket, die Integration ist weniger direkt. Für Unternehmen, die verteilte Standorte ohne klassische VPN-Komplexität verbinden wollen, ist OPNsenses SD-WAN-Option attraktiver.

Sicherheits-Härtung nach der Installation: Best Practices

Unabhängig von der gewählten Plattform gibt es Grundkonfigurationen, die jede Firewall nach der Installation durchlaufen sollte. Diese Schritte gelten für beide Plattformen.

Standard-Passwort ändern: Sofort nach der Installation das Admin-Passwort auf ein starkes, einzigartiges Passwort setzen. Mindestens 16 Zeichen mit Sonderzeichen. Für Verwaltung von Passwörtern empfehlen wir KeePassXC oder Bitwarden.
HTTPS-only für GUI: Zugriff auf die Verwaltungsoberfläche ausschließlich über HTTPS. HTTP-Zugriff deaktivieren. Eigenes selbstsigniertes Zertifikat generieren oder Let’s-Encrypt-Zertifikat einbinden.
Zugriff auf GUI auf internes VLAN beschränken: Die Firewall-GUI sollte nie aus dem WAN erreichbar sein. Zugriff auf ein dediziertes Management-VLAN oder VPN-Segment beschränken.
Zwei-Faktor-Authentifizierung aktivieren: OPNsense und pfSense unterstützen TOTP-basierte 2FA für den Admin-Login. Für das Setup von 2FA-Apps empfehlen wir unseren Artikel Google Authenticator vs Authy vs 2FAS.
Default-Deny-Regeln prüfen: Beide Plattformen haben Default-Deny für eingehenden WAN-Traffic. Outbound-Regeln sind oft zu permissiv. Alle ausgehenden Verbindungen auf Notwendigkeit prüfen.
SSH-Zugang absichern: Falls SSH auf der Firewall aktiviert ist, ausschließlich SSH-Keys verwenden. Passwort-Authentifizierung deaktivieren. Für SSH-Key-Setup: SSH-Key einrichten in 10 Schritten.
Automatische Updates aktivieren: In OPNsense können Firmware-Updates automatisch eingespielt werden. Für produktive Umgebungen empfiehlt sich ein Wartungsfenster, aber automatisches Herunterladen und Vorbereiten beschleunigt den Prozess.

WireGuard vs OpenVPN: 3-4x schneller [2026] – Detaillierter VPN-Protokollvergleich mit Benchmarks
Mullvad vs ProtonVPN: €5 vs. Gratis [2026] – Consumer-VPN-Dienste im Vergleich für österreichische Nutzer
SSH-Key einrichten: Server härten in 10 Schritten [2026] – Sicherer Remote-Zugriff auf Firewall-Systeme
Festplatte verschlüsseln: LUKS in 12 Schritten [2026] – Datenverschlüsselung als Ergänzung zur Netzwerksicherheit
KeePassXC vs Bitwarden: Gratis vs. 19,80 € [2026] – Passwort-Manager für Netzwerkadministratoren
Google Authenticator vs Authy vs 2FAS: 4 Gratis-Apps [2026] – Zwei-Faktor-Authentifizierung für Firewall-Zugänge

Das Urteil: pfSense vs OPNsense [2026]

Nach dem Vergleich von Benchmarks, Preisen, Sicherheitsarchitektur und Praxisszenarien ist das Ergebnis klar:

OPNsense gewinnt in 4 von 5 typischen Szenarien. Für Homelab-Nutzer, KMU, MSPs und DevSecOps-Teams ist OPNsense die überlegene Wahl: vollständig offen, bi-wöchentliche Sicherheits-Updates, moderne REST-API, WireGuard nativ, VXLAN-Support, alles kostenlos auf beliebiger x86-Hardware. Im NIS2-Compliance-Kontext ist OPNsense dank Quellcode-Transparenz und dokumentierter Patch-Historien die rechtlich sicherere Wahl für österreichische Betreiber wesentlicher Dienste.

pfSense Plus gewinnt in einem spezifischen Szenario: Hochdurchsatz-IPsec auf Netgate-eigener Hardware. Die Intel IPC Multi-Buffer-Kryptobeschleunigung liefert messbar mehr Leistung und rechtfertigt die $129/Jahr Lizenzkosten für diesen Einsatz. Betriebe ohne eigenes IT-Team profitieren zudem vom Netgate-Enterprise-Support mit SLA.

pfSense CE empfiehlt sich kaum noch für Neuinstallationen. Wer an bestehenden Setups festhält oder auf pfBlockerNG angewiesen ist, bleibt dabei. Neue Deployments sollten OPNsense wählen: bessere Sicherheitsarchitektur, mehr Transparenz und ein moderneres Entwicklungsmodell sprechen eine klare Sprache.

Häufig gestellte Fragen (FAQ)

Ist OPNsense sicherer als pfSense?