Rexoma IT· Rexoma IT Team · Netzwerk · 3 min read
OPNsense als Unternehmens-Firewall: Warum wir es unseren KMU-Kunden empfehlen
Warum nutzen wir OPNsense statt Cisco, Fortinet oder der Fritzbox? Und was kann die Open-Source-Firewall wirklich für euren Betrieb leisten?
“Wir haben doch eine Fritzbox” — den Satz hören wir regelmäßig. Eine Fritzbox ist für zu Hause gut. Für ein Unternehmen mit mehreren Mitarbeitern, Kundendaten und Compliance-Anforderungen reicht sie nicht. Wir erklären, warum wir OPNsense empfehlen — und wo die Grenzen liegen.
Was ist OPNsense?
OPNsense ist eine Open-Source-Firewall-Distribution, basierend auf FreeBSD. Sie wird von Deciso B.V. entwickelt und aktiv gepflegt. OPNsense entstand 2015 als Fork von pfSense und hat sich seitdem zur bevorzugten Lösung für Unternehmen entwickelt, die Kontrolle, Transparenz und keine Lizenzkosten wollen.
OPNsense läuft auf dedizierter Hardware (z. B. Protectli, PC Engines APU) oder als virtuelle Maschine — und bietet ein professionelles Web-Interface für die Konfiguration.
Was kann OPNsense?
Firewall und Paketfilterung
Das Kernstück: stateful Paketfilterung mit detaillierten Regeln. Ihr bestimmt, welcher Netzwerkverkehr erlaubt ist — nach IP, Port, Protokoll, Interface. Keine Blackbox, alles nachvollziehbar.
VPN: WireGuard und OpenVPN
OPNsense bringt WireGuard nativ mit — für schnelle, moderne VPN-Verbindungen. Mitarbeiter im Homeoffice verbinden sich sicher mit dem Firmennetz. Site-to-Site-VPNs zwischen Standorten sind ebenfalls problemlos möglich.
Intrusion Detection (Suricata)
Das optionale IDS/IPS-Plugin Suricata erkennt und blockt bekannte Angriffsmuster. Ideal für Unternehmen mit erhöhten Sicherheitsanforderungen (NIS2, KRITIS).
Netzwerksegmentierung (VLANs)
Trennung von Gäste-WLAN, Mitarbeiternetz und Servern auf VLAN-Ebene. Infizierte Geräte können sich nicht im Netz ausbreiten. Standard für jeden professionellen Aufbau.
DNS-Filter und Webfilter
Blockierung von bekannten Malware-Domains, Phishing-Seiten und unerwünschten Inhalten direkt auf Netzwerkebene — ohne Software auf jedem Rechner.
Hochverfügbarkeit (CARP)
Zwei OPNsense-Einheiten im Cluster: fällt eine aus, übernimmt die andere automatisch. Für Unternehmen, bei denen Ausfall keine Option ist.
OPNsense vs. die Alternativen
| OPNsense | Fritzbox | Fortinet FortiGate | Cisco ASA | |
|---|---|---|---|---|
| Lizenzkosten | 0 € | 0 € | 500–5.000 €/Jahr | 1.000–10.000 €/Jahr |
| Transparenz | Open Source | Closed Source | Closed Source | Closed Source |
| Funktionsumfang | Sehr hoch | Gering | Sehr hoch | Sehr hoch |
| Lernkurve | Mittel | Niedrig | Hoch | Sehr hoch |
| Für KMU geeignet | Ja | Nur Kleinstbetrieb | Ab ~50 MA | Enterprise |
| Community/Doku | Sehr gut | Gut | Gut (proprietär) | Gut (proprietär) |
| Hardware-Kosten | 300–800 € | 100–200 € | 1.000–5.000 € | 3.000–20.000 € |
Was OPNsense nicht kann
Ehrlichkeit ist uns wichtig. OPNsense hat Einschränkungen:
- Kein Support ohne Vertrag: Wer professionellen Hersteller-Support braucht, zahlt bei Deciso für eine Business-Edition oder kauft Hardware mit Support-Paket
- Einrichtung braucht Expertise: Eine Fritzbox ist in 20 Minuten konfiguriert. Eine OPNsense richtig einzurichten dauert länger und erfordert Netzwerkwissen
- Hardware muss beschafft werden: OPNsense läuft nicht auf der vorhandenen Fritzbox — ihr braucht eine x86-Appliance
Für wen ist OPNsense das Richtige?
OPNsense empfehlen wir Unternehmen, die:
- mehr als 5 Mitarbeiter haben
- mit Kundendaten arbeiten (DSGVO-relevant)
- Homeoffice-Zugang brauchen
- unter NIS2 fallen oder vorbereitend handeln wollen
- klare Kontrolle über ihren Netzwerkverkehr haben wollen
- kein Budget für teure proprietäre Lizenzen haben
Wie wir OPNsense bei euch einrichten
Wir liefern und konfigurieren die Hardware, setzen die Firewall-Regeln nach eurem Bedarf auf und dokumentieren alles nachvollziehbar:
- Bedarfsanalyse: Wie viele Standorte, Mitarbeiter, Sicherheitsanforderungen?
- Hardware-Auswahl: Appliance nach Performance und Budget
- Grundkonfiguration: WAN, LAN, VLANs, Firewall-Regeln
- VPN: WireGuard für Homeoffice und Standortverbindungen
- Optionales IDS: Suricata für erhöhten Schutz
- Dokumentation und Übergabe: Ihr wisst, was läuft und warum
FAQ
Kann ich OPNsense als VM betreiben? Ja, OPNsense läuft hervorragend als VM unter Proxmox, VMware oder Hyper-V. Für kleine Umgebungen ist das eine kostengünstige Option.
Was kostet eine OPNsense-Einrichtung bei Rexoma IT? Die Hardware kostet je nach Modell zwischen 300 und 800 €. Die Einrichtung dauert typischerweise einen halben bis ganzen Tag. Sprecht uns für ein konkretes Angebot an.
Kann OPNsense mit meiner bestehenden Fritzbox zusammenarbeiten? Ja. OPNsense kann hinter der Fritzbox betrieben werden (Double-NAT) oder die Fritzbox ersetzen. Wir empfehlen je nach Setup die jeweils sinnvollere Variante.
Wie oft muss OPNsense aktualisiert werden? OPNsense veröffentlicht regelmäßig Updates. Wir empfehlen, größere Versionen quartalsweise einzuspielen und Sicherheits-Patches zeitnah zu installieren — das übernehmen wir im Rahmen unserer IT-Betreuung.
Quellen: OPNsense Dokumentation (opnsense.org), Deciso B.V. Release Notes, BSI IT-Grundschutz Kompendium
