BEKOM OPEN PROOPNsenseOpen-Source-Firewall evaluieren

OPNsense wurde 2015 als eigenständiger Fork angekündigt, um die BSD-basierte Firewall-Linie um modernisierte Oberfläche, schnellere Release-Zyklen und klarere API-Struktur zu ergänzen. Die Weiterentwicklung liegt bei Deciso B.V. in Middelharnis, Niederlande – die Firma baut auch eigene Appliance-Hardware und bietet kommerzielle Business-Edition-Subscriptions an. Das europäische Entwicklungs- und Vertriebsumfeld ist für Kunden mit DSGVO- oder Datensouveränitäts-Anforderungen ein relevanter Faktor.

OPNsense steht im Feld der Open-Source-Firewalls neben pfSense als zweiter starker Option mit klar unterscheidbarem Profil: kürzere Release-Zyklen, stärkere europäische Basis, moderne Web-Oberfläche, konsequentere API-Orientierung. Gegenüber kommerziellen NGFW-Plattformen (Sophos Firewall, FortiGate, Palo Alto, Check Point) fokussiert OPNsense auf Kernfunktionen mit offener Konfiguration statt auf umfassende Subscription-Bundles.

OPNsense ist unter der BSD-2-Clause-Lizenz verfügbar und kostenfrei nutzbar. Die kommerzielle Business Edition von Deciso liefert kuratierte Updates aus einem stabileren Release-Kanal sowie kommerzielle Support-Verträge. Zusätzlich gibt es in der OPNsense-Marktumgebung Plugins und Erweiterungen, die als kommerzielle Produkte angeboten werden (z. B. Zenarmor NGFW-Plugin, Suricata IDS/IPS, Business-Edition Threat-Feeds).

BEKOM prüft, ob OPNsense zum technischen und organisatorischen Bedarf passt – ergebnisoffen, ohne Lizenz-Vertriebsinteresse. Geprüft werden Netzwerk-Topologie, Regelwerk-Komplexität, VPN-Anforderungen, SOC-Integration und Betriebsfähigkeit. Das Ergebnis ist eine dokumentierte Empfehlung mit Vergleich zu Alternativen (pfSense, kommerzielle NGFW) und einem Architekturvorschlag für das konkrete Einsatzszenario.

Für Neu-Einführungen plant BEKOM Hardware-Dimensionierung, Segmentierungs-Konzept, Regelwerk-Struktur und Integration in Identity- und Monitoring-Landschaft. Bei Migrationen von bestehenden Firewall-Produkten (Sophos UTM, Palo Alto, FortiGate) übernimmt BEKOM das Regelwerk-Mapping, den Pilot-Aufbau und den stufenweisen Rollout mit Parallelbetrieb.

Im Managed-Service-Modus übernimmt BEKOM den produktiven Betrieb: dokumentierter Change-Prozess für Regelwerke, Release-Zyklen (OPNsense Business Edition), Patch-Management, 24/7-Incident-Reaktion, SOC/SIEM-Integration, regelmäßige Policy-Reviews. Die strategische Hoheit bleibt beim Kunden, operative Verantwortung wird vertraglich geregelt.

Basis ist der BSD-Paketfilter (pf) mit zustandsbehafteter Verbindungsverfolgung. Regelwerke werden in Alias-basierter Struktur gepflegt, mit Kategorisierung, Zonen-Modell und ausführlichem Logging. Floating Rules, Inbound-/Outbound-Policies und Zeit-gesteuerte Regeln sind im Kern enthalten. → Netzwerksicherheit & Firewall

OPNsense bietet drei VPN-Technologien nativ: IPsec für Site-to-Site- und Road-Warrior-Szenarien mit IKEv2/EAP; WireGuard als moderner, schlanker Tunneldienst mit geringer Konfigurationslast; OpenVPN für klassische Client-VPN-Szenarien mit TLS-basierter Authentifizierung. Alle drei Technologien lassen sich parallel betreiben, abhängig von Einsatzprofil und Client-Landschaft.

Mit Suricata bringt OPNsense eine aktive Intrusion-Detection- und -Prevention-Schicht mit. Signaturen werden über ET-Open, ET-Pro und weitere Feeds eingebunden. Inline-Modus (IPS) und Out-of-Band-Modus (IDS) sind konfigurierbar. Die Erkennung lässt sich pro Interface aktivieren und mit Logging-Pfaden in SIEM-Systeme koppeln. Weiterführend: Intrusion Detection & Prevention.

Der Web-Proxy (Squid) unterstützt Kategorien-basiertes Filtering, ICAP-Integration für Virenschutz und transparentes Proxying. Der Reverse-Proxy (HAProxy) übernimmt die kontrollierte Veröffentlichung interner Dienste mit SSL-Offloading, URL-Rewriting, Session-Persistenz und Load-Balancing. Beide Proxies werden häufig kombiniert für vollständige Gateway-Rollen.

Zwei (oder mehr) OPNsense-Instanzen bilden einen HA-Cluster mit CARP für die Interface-IP-Übernahme, pfsync für Zustandsabgleich und Konfigurations-Synchronisation. Bei Ausfall einer Instanz übernimmt die andere ohne manuelles Eingreifen. Typisches Setup für produktive Standorte und Rechenzentren.

Unbound DNS und ISC DHCP sind eingebunden, ebenso Dynamic DNS und statische Zuweisungen. Die REST-API erlaubt konfigurationsbasierte Automatisierung – OPNsense ist damit gut in Ansible-, Terraform- und CI/CD-gestützte Infrastruktur-Pipelines einbindbar.

Tagesbetrieb, Change-Management und Incident-Reaktion verbleiben vollständig beim internen Team. BEKOM unterstützt definierte Phasen oder Themen mit Architektur-Beratung, Reviews und gezielter Wissensvermittlung – etwa vor produktivem Rollout, in Migrations-Etappen oder bei sicherheitsrelevanten Major-Releases.

Internes Team und BEKOM teilen sich den Betrieb entlang einer vertraglich festgelegten Aufgabenmatrix. Change-Hoheit und Policy-Verantwortung verbleiben dokumentiert beim Kunden, BEKOM übernimmt definierte operative Bereiche und 24/7-Bereitschaft. Die Aufteilung kann in beide Richtungen verschoben werden – mehr intern, wenn Kompetenz wächst; mehr extern, wenn Kapazitäten anderweitig gebunden sind.

BEKOM betreibt die OPNsense-Appliances als vollständigen Managed Service mit dokumentiertem Change-Prozess, definierten Reaktionspfaden und revisionssicherer Audit-Spur. Strategische Architektur-Entscheidungen, Policy-Vorgaben und Investitions-Freigaben werden vertraglich beim Kunden verankert; BEKOM handelt nach diesen Vorgaben und legt jede Änderung vor Umsetzung dokumentiert zur Freigabe vor.

OPNsense und pfSense teilen sich die pf-Basis und decken ähnliche Funktionen ab. Unterschiede liegen in Entwicklungsstruktur (Deciso in Europa vs. Netgate in den USA), Release-Kadenz (OPNsense: halbjährliche Major-Releases vs. pfSense: unregelmäßiger), Paket-Ökosystem und Support-Angeboten. Für deutschsprachige Mittelstandsorganisationen ist OPNsense organisatorisch häufig näher. pfSense Plus (proprietär) läuft exklusiv auf Netgate-Hardware mit TAC-Support – ein Vorteil bei globaler Standort-Struktur mit Hardware-Support-Anspruch.

Kommerzielle NGFW-Plattformen wie Sophos Firewall, Fortinet FortiGate, Palo Alto Networks und Check Point bieten tiefere Integration mit Hersteller-eigenem Security-Ökosystem (Synchronized Security bei Sophos, Security Fabric bei Fortinet, Cortex bei Palo Alto) sowie dedizierte Hardware-Beschleunigung (ASICs). OPNsense fokussiert auf offene Architektur, freie Hardware-Wahl und lizenzfreie Nutzung. Die Entscheidung hängt vom Schutzbedarf-Profil, Standortgröße, vorhandenem Security-Stack und der gewünschten Lieferantenbindung ab.

Cloud-native Firewall-Services wie AWS Network Firewall, Azure Firewall oder NGFW-as-a-Service (z. B. Cloud-NGFW von Palo Alto, Zscaler Internet Access) verlagern die Perimeter-Schicht in die Cloud-Plattform des Hyperscalers. OPNsense bleibt eine selbst betriebene Plattform mit voller Kontrolle über Standort, Datenflüsse und Konfiguration. Die Entscheidung folgt der Workload-Verteilung: bei überwiegender Cloud-Last liegen Cloud-Firewalls näher am Datenpfad, bei Hybrid- oder On-Premise-Lasten bleibt OPNsense konsistent.

OPNsense basiert auf HardenedBSD (einer sicherheitsorientierten FreeBSD-Variante) mit Paketfilter pf, Unbound DNS-Resolver, ISC DHCP-Server und einer Sammlung integrierter Services. Konfiguration liegt in einer zentralen XML-Datei, die versionierbar und automatisiert verwaltet werden kann. Updates und Plugins werden über eigene Release-Kanäle verteilt.

Unterstützt werden amd64/x86-64-Systeme. OPNsense läuft auf Appliances von Deciso, auf Drittanbieter-Hardware (Protectli, Sophos-HW, HPE, Dell) oder als VM (KVM, Proxmox, ESXi). Hardware-Dimensionierung folgt erwartetem Durchsatz, aktiven Features (IDS/IPS, TLS-Inspection, Proxy) und Session-Anzahl. Für typische Mittelstands-Szenarien sind moderne Multi-Core-x86-Systeme ausreichend; bei sehr hohem Durchsatz (10 Gbit/s+) wird die Dimensionierung in einem technischen Assessment ausgelegt.

Die REST-API deckt Konfigurations-Management, Status-Abfragen und Automatisierung ab. Ansible-Module, Terraform-Provider und Monitoring-Integrationen (Zabbix, Nagios, Prometheus) sind etabliert. Plugins erweitern den Kern um spezialisierte Funktionen (z. B. Zenarmor NGFW, Nginx, Telegraf, Let's-Encrypt-Integration). Alle Änderungen sind in der XML-Konfiguration nachvollziehbar und in CI/CD-Pipelines verwendbar.

Jede OPNsense-Installation wird einem festen Ansprechpartner mit Netzwerk- und Firewall-Erfahrung zugeordnet, der Regelwerks-Änderungen, VPN-Konfiguration und IDS/IPS-Themen direkt bearbeitet. Reaktionspfade und Eskalationsstufen sind je Installation im Service-Vertrag dokumentiert — statt anonymer Ticket-Queues oder rotierender Bereitschaft.

BEKOM nutzt für OPNsense-Installationen zertifizierte Rechenzentren in Deutschland. Konfigurations- und Wartungs-Tätigkeiten erfolgen durch deutschsprachige Firewall-Techniker; die Konfiguration bleibt nahe am OPNsense-Standard, sodass ein Wechsel zu anderen OPNsense-Partnern jederzeit möglich bleibt.

Im Eigenbetrieb fallen Kostentreiber an, die in der internen Kalkulation oft unterschätzt werden — von der Suricata-Regelpflege bis zum CARP-Cluster-Betrieb. BEKOM überführt diese Aufwände in eine monatliche Pauschale; ein vorgelagertes Assessment klärt den konkreten Betriebsumfang und die zugehörige Kostenstruktur.