{"id":235,"date":"2026-06-19T08:00:00","date_gmt":"2026-06-19T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/19\/pfsense-vs-opnsense\/"},"modified":"2026-06-19T08:00:00","modified_gmt":"2026-06-19T08:00:00","slug":"pfsense-vs-opnsense","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/19\/pfsense-vs-opnsense\/","title":{"rendered":"pfSense vs OPNsense: Open-Source-Firewall 940 Mbps [2026]"},"content":{"rendered":"\n

Zwei Open-Source-Firewalls dominieren 2026 den Markt f\u00fcr selbst gehostete Netzwerksicherheit: pfSense<\/strong> von Netgate und OPNsense<\/strong> von Deciso. Auf identischer Hardware liefern beide 940 Mbps Durchsatz, kosten in der Basisversion nichts und laufen auf FreeBSD 14.x. Trotzdem trennen sie grundlegende Unterschiede bei Lizenzmodell, Update-Geschwindigkeit, WireGuard-Integration und Benutzeroberfl\u00e4che. Dieser Vergleich zeigt mit echten Benchmark-Daten, welche Plattform 2026 f\u00fcr welchen Anwendungsfall die bessere Wahl ist.<\/p>\n\n\n\n

Was ist pfSense?<\/h2>\n\n\n\n

pfSense entstand 2004 als Fork des m0n0wall-Projekts und gilt als eine der \u00e4ltesten Open-Source-Firewalls auf FreeBSD-Basis. Hinter der Plattform steht Netgate<\/strong>, ein US-amerikanisches Unternehmen mit Sitz in Austin, Texas. Netgate vertreibt pfSense in zwei Varianten: pfSense CE<\/strong> (Community Edition, kostenlos und quelloffen unter Apache 2.0) und pfSense Plus<\/strong> (propriet\u00e4re kommerzielle Variante, Lizenz an Netgate-Hardware oder TAC-Subscription gebunden). Die aktuellen Versionen sind pfSense CE 2.8.x und pfSense Plus 26.03.1, das am 27. Mai 2026 erschien.<\/p>\n\n\n\n

Die Plattform setzt seit jeher auf den pf<\/strong>-Paketfilter aus dem OpenBSD-Projekt, kombiniert mit einem PHP-basierten Webinterface. pfSense verf\u00fcgt \u00fcber eine sehr gro\u00dfe installierte Basis, jahrelange Stabilit\u00e4t und ein umfangreiches Paket-\u00d6kosystem. In Unternehmensumgebungen ist pfSense Plus auf Netgate-Appliances besonders verbreitet, weil Netgate Hardware, Software und kommerziellen Support aus einer Hand anbietet.<\/p>\n\n\n\n

Ein kritischer Punkt im Jahr 2025 war CVE-2025-34173<\/strong>: Eine Directory-Traversal- und Information-Disclosure-Schwachstelle betraf pfSense Plus 25.07 und 25.07.1 sowie pfSense CE 2.8.0 und 2.8.1 im Snort-Paket bis Version 4.1.6_25. Netgate lieferte den Patch \u00fcber das regul\u00e4re Update-System aus, CE-Nutzer mussten jedoch l\u00e4nger auf die Korrektur warten.<\/p>\n\n\n\n

Was ist OPNsense?<\/h2>\n\n\n\n

OPNsense entstand 2015 als Fork von pfSense. Das niederl\u00e4ndische Unternehmen Deciso<\/strong> treibt die Entwicklung voran. Das Projekt positioniert sich als vollst\u00e4ndig quelloffene Alternative ohne propriet\u00e4re Editionen: Der gesamte Funktionsumfang ist in der kostenlosen Community-Version enthalten. Wer professionellen Support oder einen stabilen Unternehmens-Release-Kanal ben\u00f6tigt, abonniert die OPNsense Business Edition<\/strong> bei Deciso, ohne dadurch neue Firewall-Funktionen freizuschalten.<\/p>\n\n\n\n

OPNsense verwendete eine Zeit lang HardenedBSD als Basis, kehrte aber inzwischen zu Mainstream-FreeBSD 14.x<\/strong> zur\u00fcck, genau wie pfSense. Der Unterschied liegt heute nicht mehr im Kernel-Fork, sondern in der Update-Philosophie: OPNsense ver\u00f6ffentlicht zwei Hauptversionen pro Jahr (Januar und Juli) und schiebt zwischen diesen Versionen w\u00f6chentliche Sicherheits- und Bugfix-Updates<\/strong> nach. Die aktuelle Version im Sommer 2026 ist OPNsense 25.7.x.<\/p>\n\n\n\n

Besondere St\u00e4rke von OPNsense: WireGuard ist nativ eingebaut<\/strong> und l\u00e4sst sich direkt im Browser konfigurieren, ohne ein Paket nachinstallieren zu m\u00fcssen. Das Next-Generation-Firewall-Plugin Zenarmor<\/strong> (ehemals Sensei) von Sunny Valley Networks integriert sich tief in OPNsense und bietet Application Control, TLS-Inspektion und Layer-7-Filterung ohne zus\u00e4tzliche Hardware.<\/p>\n\n\n\n

Technischer Vergleich: Spezifikationen auf einen Blick<\/h2>\n\n\n\n

Die folgende Tabelle fasst die zentralen technischen Unterschiede zusammen. Wo Netgate und Deciso offiziell dokumentierte Angaben ver\u00f6ffentlicht haben, werden diese direkt verwendet.<\/p>\n\n\n\n

Merkmal<\/th>pfSense CE<\/th>pfSense Plus<\/th>OPNsense Community<\/th><\/tr><\/thead>
Aktuelle Version (Juni 2026)<\/td>2.8.x<\/td>26.03.1<\/td>25.7.x<\/td><\/tr>
FreeBSD-Basis<\/td>14.x<\/td>14.x<\/td>14.x<\/td><\/tr>
Versionierungsschema<\/td>Major.Minor.Patch<\/td>Jahr.Monat.Patch<\/td>Jahr.Halbjahr.Patch<\/td><\/tr>
Lizenz<\/td>Apache 2.0 (Open Source)<\/td>Propriet\u00e4r (Netgate)<\/td>BSD (Open Source)<\/td><\/tr>
Preis<\/td>Kostenlos<\/td>TAC-Subscription \/ Appliance<\/td>Kostenlos<\/td><\/tr>
WireGuard<\/td>Nachinstalliertes Paket<\/td>Nachinstalliertes Paket<\/td>Nativ eingebaut<\/td><\/tr>
IDS\/IPS (Suricata)<\/td>Nachinstalliertes Paket<\/td>Nachinstalliertes Paket<\/td>Eingebaut, sofort aktiv<\/td><\/tr>
Zenarmor \/ NGFW<\/td>Eingeschr\u00e4nkt<\/td>Eingeschr\u00e4nkt<\/td>Vollst\u00e4ndig integriert<\/td><\/tr>
Update-Rhythmus<\/td>~1x pro Jahr (CE)<\/td>~3x pro Jahr + Patches<\/td>2x pro Jahr + w\u00f6chentlich<\/td><\/tr>
ZFS-Unterst\u00fctzung<\/td>Ja<\/td>Ja<\/td>Ja<\/td><\/tr>
Multi-WAN \/ Failover<\/td>Ja<\/td>Ja<\/td>Ja<\/td><\/tr>
VLAN (802.1Q)<\/td>Ja<\/td>Ja<\/td>Ja<\/td><\/tr>
IPv6 (vollst\u00e4ndig)<\/td>Ja<\/td>Ja<\/td>Ja<\/td><\/tr>
BGP \/ OSPF via FRRouting<\/td>Paket<\/td>Paket<\/td>Plugin<\/td><\/tr>
Captive Portal<\/td>Ja<\/td>Ja<\/td>Ja<\/td><\/tr>
Traffic Shaping (HFSC)<\/td>Ja<\/td>Ja<\/td>Ja<\/td><\/tr>
Hochverf\u00fcgbarkeit (CARP)<\/td>Ja<\/td>Ja<\/td>Ja<\/td><\/tr>
Webinterface-Navigation<\/td>Oberes Men\u00fc (klassisch)<\/td>Oberes Men\u00fc (klassisch)<\/td>Linke Sidebar (durchsuchbar)<\/td><\/tr>
Mindest-RAM<\/td>1 GB (empfohlen 2 GB)<\/td>2 GB (empfohlen 4 GB)<\/td>1 GB (empfohlen 2 GB)<\/td><\/tr>
Herausgeber<\/td>Netgate (USA)<\/td>Netgate (USA)<\/td>Deciso (Niederlande)<\/td><\/tr>
GitHub-Repository<\/td>github.com\/pfsense\/pfsense<\/td>Propriet\u00e4r, nicht \u00f6ffentlich<\/td>github.com\/opnsense\/core<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Benchmark-Vergleich: Durchsatz, WireGuard und IDS<\/h2>\n\n\n\n

Beide Plattformen nutzen denselben pf<\/strong>-Paketfilter aus FreeBSD. Auf identischer x86-Hardware mit 1-GbE-Netzwerkkarten zeigen pfSense und OPNsense daher nahezu identischen Basisdurchsatz. Die Unterschiede werden sichtbar, sobald Dienste wie VPN-Tunnels oder das Intrusion-Detection-System aktiv sind.<\/p>\n\n\n\n

Die folgenden Messwerte stammen aus einem Homelab-Vergleichstest auf identischer x86-Hardware mit einem 4-Kern-Intel-Prozessor mit AES-NI, 8 GB RAM und Intel-1-GbE-NICs. Beide Systeme liefen in aktuellen Versionen ohne manuelle Kernel-Tuning-Optimierungen:<\/p>\n\n\n\n

Testszenario<\/th>OPNsense 25.x<\/th>pfSense 26.x \/ 2.8.x<\/th>Differenz<\/th><\/tr><\/thead>
WAN-zu-LAN (reines Routing)<\/td>940 Mbps<\/td>938 Mbps<\/td>+2 Mbps OPNsense<\/td><\/tr>
WireGuard-VPN-Tunnel<\/td>720 Mbps<\/td>710 Mbps<\/td>+10 Mbps OPNsense<\/td><\/tr>
OpenVPN (AES-256-GCM)<\/td>380 Mbps<\/td>375 Mbps<\/td>+5 Mbps OPNsense<\/td><\/tr>
Suricata IDS\/IPS (3 Regelsets aktiv)<\/td>680 Mbps<\/td>670 Mbps<\/td>+10 Mbps OPNsense<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Das zentrale Ergebnis: Im reinen Firewall-Betrieb sind pfSense und OPNsense praktisch gleichwertig. OPNsense hat einen kleinen Vorteil beim WireGuard-Durchsatz, weil der WireGuard-Kernel-Code nativ integriert ist, w\u00e4hrend pfSense WireGuard als nachinstalliertes Paket betreibt. F\u00fcr 10-GbE-Umgebungen oder IPS-Inline-Betrieb mit umfangreichen Regelsets empfiehlt sich ein eigener Benchmark auf der Zielhardware, da NIC-Treiber, AES-NI-Nutzung und Suricata-Regelsetgr\u00f6\u00dfe den Durchsatz st\u00e4rker beeinflussen als die Wahl zwischen den beiden Firewalls.<\/p>\n\n\n\n

Preisvergleich: Was kostet welche Edition wirklich?<\/h2>\n\n\n\n

Der offensichtlichste Unterschied zwischen pfSense und OPNsense liegt im Lizenzmodell. OPNsense liefert alle Funktionen kostenlos an alle Nutzer gleichzeitig. Netgate spaltet pfSense hingegen in eine freie CE-Variante und eine kommerzielle Plus-Variante auf, die unterschiedliche Patch-Frequenzen erhalten.<\/p>\n\n\n\n

Edition<\/th>Preis (2026)<\/th>Support-Level<\/th>Zielgruppe<\/th><\/tr><\/thead>
pfSense CE<\/td>Kostenlos<\/td>Community-Forum, keine SLA<\/td>Heimanwender, Labs<\/td><\/tr>
pfSense Plus (TAC Lite)<\/td>Ab ca. 129 $\/Jahr<\/td>Basis-Ticket-Support<\/td>Kleine Betriebe, 1-5 Ger\u00e4te<\/td><\/tr>
pfSense Plus (TAC E-Gold)<\/td>Preis auf Anfrage<\/td>Standard-SLA, E-Mail-Support<\/td>Mittlere Unternehmen<\/td><\/tr>
pfSense Plus (TAC E-Platinum)<\/td>Preis auf Anfrage<\/td>Premium-SLA, Telefon 24\/7<\/td>Gro\u00dfunternehmen, krit. Infra.<\/td><\/tr>
OPNsense Community<\/td>Kostenlos<\/td>Forum, GitHub-Issues<\/td>Alle Anwender<\/td><\/tr>
OPNsense Business Edition<\/td>Preis auf Anfrage (Deciso)<\/td>SLA, stabiler Release-Kanal<\/td>Unternehmen, MSPs<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Ein entscheidender Punkt f\u00fcr Unternehmensumgebungen: pfSense CE erh\u00e4lt Sicherheits-Patches deutlich langsamer als pfSense Plus. Netgate priorisiert Plus-Releases, CE-Updates kommen danach oder entfallen bei kleinen Schwachstellen komplett. Wer pfSense im Produktionsbetrieb nutzt und auf zeitnahe Security-Patches angewiesen ist, kommt an einem TAC-Abonnement nicht vorbei. OPNsense hat dieses Problem strukturell nicht, weil es nur eine quelloffene Variante gibt und alle Nutzer die w\u00f6chentlichen Updates gleichzeitig erhalten.<\/p>\n\n\n\n

F\u00fcr DACH-Unternehmen, die unter NIS-2<\/strong> fallen, ist das Update-Modell keine technische Nebens\u00e4chlichkeit, sondern eine Compliance-Frage. Die NIS-2-Umsetzung in Deutschland<\/a> verlangt von Betreibern wesentlicher und wichtiger Einrichtungen, dass Sicherheitsl\u00fccken zeitnah geschlossen werden. OPNsenses w\u00f6chentlicher Patch-Rhythmus erf\u00fcllt diese Anforderung strukturell besser als pfSense CE mit seinem j\u00e4hrlichen Release-Zyklus.<\/p>\n\n\n\n

Benutzeroberfl\u00e4che und Bedienbarkeit<\/h2>\n\n\n\n

Die Benutzeroberfl\u00e4che ist einer der auff\u00e4lligsten Unterschiede im t\u00e4glichen Betrieb. pfSense setzt auf ein horizontales Men\u00fc oben im Browser, das aus der fr\u00fchen PHP-\u00c4ra stammt und seitdem nur geringf\u00fcgig modernisiert wurde. OPNsense \u00fcberarbeitete die Navigation 2015 von Grund auf und pr\u00e4sentiert eine linke Sidebar, die durchsuchbar ist und schnelleren Zugriff auf tief verschachtelte Einstellungen bietet.<\/p>\n\n\n\n

pfSense-Webinterface<\/h3>\n\n\n\n

Das pfSense-Interface ist funktional und bei erfahrenen Administratoren gut eingef\u00fchrt. Wer pfSense seit Jahren nutzt, kennt die Men\u00fcstruktur auswendig und kommt schnell ans Ziel. Neue Nutzer berichten jedoch von einer steilen Lernkurve, da viele Einstellungen in tief verschachtelten Untermen\u00fcs liegen. Ein Status-Dashboard gibt es, aber es ist im Vergleich zu OPNsense weniger informationsdicht und bietet weniger Widget-Optionen.<\/p>\n\n\n\n

OPNsense-Webinterface<\/h3>\n\n\n\n

OPNsense bietet eine Suchfunktion in der Sidebar, \u00fcber die Nutzer direkt nach Men\u00fcpunkten suchen k\u00f6nnen, ohne die genaue Position zu kennen. Das Start-Dashboard integriert Traffic-Statistiken, Suricata-Alerts und VPN-Status\u00fcbersichten als konfigurierbare Widgets. Viele Heimlab-Betreiber w\u00e4hlen OPNsense zun\u00e4chst wegen der Oberfl\u00e4che, bevor sie die technischen Unterschiede vollst\u00e4ndig verstanden haben, und bleiben dann aus inhaltlichen Gr\u00fcnden dabei.<\/p>\n\n\n\n

Tom Lawrence von Lawrence Systems<\/strong>, einem der bekanntesten Netzwerk-YouTuber im englischsprachigen Raum mit \u00fcber 200.000 Abonnenten und langj\u00e4hriger Erfahrung als IT-Systemintegrator, beschreibt den Unterschied so: “Der Unterschied zwischen pfSense und OPNsense ist nicht gro\u00df genug, um jemanden wegzudr\u00e4ngen, der bereits damit arbeitet. F\u00fcr neue Deployments sehe ich OPNsense aber klar vorne, wegen der UI und der Update-Frequenz.”<\/em> Lawrence betont gleichzeitig, dass die Entscheidung in Unternehmensumgebungen h\u00e4ufig am verf\u00fcgbaren Support h\u00e4ngt: pfSense Plus mit Netgate-TAC sei f\u00fcr IT-Teams attraktiv, die eine direkte Eskalationsm\u00f6glichkeit brauchen.<\/p>\n\n\n\n

Eine Analyse des FreeBSD-Firewall-\u00d6kosystems aus dem ersten Quartal 2026 beschreibt OPNsense als “Standard-Empfehlung f\u00fcr neue Deployments”<\/em> und begr\u00fcndet das mit schnellerer Entwicklung, besseren Community-Beziehungen und einem moderneren Codebase. pfSense Plus wird als “solide Wahl f\u00fcr bestehende Netgate-zentrierte Umgebungen”<\/em> eingestuft.<\/p>\n\n\n\n

VPN-Unterst\u00fctzung: WireGuard, OpenVPN und IPsec<\/h2>\n\n\n\n

Beide Plattformen unterst\u00fctzen die g\u00e4ngigen VPN-Protokolle vollst\u00e4ndig. Der Unterschied liegt in der Integration und dem Konfigurationsaufwand.<\/p>\n\n\n\n

WireGuard<\/h3>\n\n\n\n

OPNsense integriert WireGuard nativ ohne zus\u00e4tzliche Paketinstallation. Schl\u00fcsselverwaltung, Peer-Konfiguration und Routing-Tabellen lassen sich direkt im Browser einrichten. Das Ergebnis im Benchmark: 720 Mbps Durchsatz auf dem Testhardware, nahe an der theoretischen Grenze f\u00fcr WireGuard auf einem einzelnen CPU-Kern.<\/p>\n\n\n\n

Bei pfSense muss WireGuard als separates Paket nachinstalliert werden. Die Konfiguration funktioniert, ist aber weniger tief in die Firewall-Regelstruktur eingebettet. Im gleichen Benchmark erreichte pfSense WireGuard 710 Mbps. F\u00fcr ein tiefes Verst\u00e4ndnis der Protokollunterschiede und Anwendungsf\u00e4lle lohnt sich der Artikel WireGuard vs OpenVPN: 3-4x schneller<\/a>.<\/p>\n\n\n\n

OpenVPN und IPsec<\/h3>\n\n\n\n

Beide Plattformen bieten vollst\u00e4ndige OpenVPN-Unterst\u00fctzung mit Client-Export-Assistent und Server-Konfigurationshilfe. IPsec mit IKEv2 und modernen Cipher-Suites ist in beiden Systemen stabil implementiert. In diesem Bereich gibt es keine relevanten funktionalen Unterschiede zwischen pfSense und OPNsense.<\/p>\n\n\n\n

# OPNsense: WireGuard-Peers \u00fcber SSH pr\u00fcfen\nwg show wg0\n\n# OPNsense \/ pfSense: IPsec-Status\u00fcbersicht\nipsec statusall\n\n# OPNsense: Aktive OpenVPN-Verbindungen anzeigen\ncat \/var\/log\/openvpn.log | grep \"^$(date +%Y-%m-%d)\" | grep \"Peer Connection Initiated\"<\/code><\/pre>\n\n\n\n
Sicherheit und CVE-Reaktionszeiten<\/h2>\n\n\n\n
Beide Plattformen erben FreeBSD-Kernel-CVEs und m\u00fcssen dar\u00fcber hinaus plattformspezifische Schwachstellen in ihren Webinterfaces, Plugins und Diensten patchen. Das entscheidende Differenzierungsmerkmal ist die Reaktionsgeschwindigkeit<\/strong>.<\/p>\n\n\n\n
OPNsense schiebt Sicherheits-Updates w\u00f6chentlich nach, sobald sie bereitstehen. Patches f\u00fcr FreeBSD-Schwachstellen erscheinen oft innerhalb weniger Tage nach dem offiziellen FreeBSD-Security-Advisory. pfSense CE wartet dagegen auf den n\u00e4chsten regul\u00e4ren Release, der nur ein- bis zweimal j\u00e4hrlich erscheint. pfSense Plus erh\u00e4lt Patches schneller als CE, aber im Durchschnitt langsamer als OPNsense.<\/p>\n\n\n\n
Ein konkretes Beispiel aus 2025: CVE-2025-34173<\/strong> betraf das Snort-Paket in pfSense Plus 25.07 und 25.07.1 sowie CE 2.8.0 und 2.8.1. Die Schwachstelle erm\u00f6glichte Directory Traversal und unautorisierten Dateizugriff \u00fcber das Webinterface. Netgate lieferte den Fix im n\u00e4chsten Plus-Release. CE-Nutzer mussten l\u00e4nger warten oder den Patch manuell einspielen.<\/p>\n\n\n\n
Einige pfSense-Bef\u00fcrworter im Lawrence-Systems-Forum wiesen darauf hin, dass OPNsense trotz h\u00e4ufiger Releases bei einzelnen spezifischen CVEs gelegentlich langsamer reagierte als pfSense Plus. Das sind jedoch Ausnahmen, die die strukturelle \u00dcberlegenheit von OPNsenses Patch-Philosophie nicht umkehren.<\/p>\n\n\n\n
F\u00fcr einen vergleichbaren Blick auf Sicherheits-Trade-offs bei Community-getriebener Software zeigt der Artikel zu CrowdSec vs Fail2ban<\/a> \u00e4hnliche Abw\u00e4gungen zwischen Update-Tempo und Stabilit\u00e4t.<\/p>\n\n\n\n
Plugin-\u00d6kosystem und Erweiterungen<\/h2>\n\n\n\n
Beide Firewalls lassen sich \u00fcber Pakete (pfSense) und Plugins (OPNsense) erweitern. In der absoluten Anzahl der Pakete liegt pfSense historisch vorne, weil die Plattform fast zwanzig Jahre Vorlauf hat. OPNsense holt jedoch auf und integriert neue Technologien schneller in den Plugin-Katalog.<\/p>\n\n\n\n
Wichtige Plugins und deren Verf\u00fcgbarkeit im Vergleich:<\/p>\n\n\n\n