Lukas Stein 
Heise online meldet es am 27. Mai 2026 knapp: IPFire wird deutlich schneller. Für alle, die sich fragen, ob eine selbst betriebene Open Source Firewall wirklich mit einem Cloud-Security-Abo mithalten kann, ist das ein guter Moment zum Durchatmen und Einordnen.
Die Meldung klingt unspektakulär. Ein freies Linux-Projekt wird schneller. Aber dahinter steckt eine Frage, die im Self-Hosting-Umfeld seit Jahren brodelt: Sind IPFire, OPNsense oder pfSense in der Lage, das zu leisten, was Cloud-Security-Abos versprechen – und das ohne monatliche Gebühren, ohne Vendor-Lock-in, ohne dass die eigenen Logs auf fremden Servern landen?
Meine klare Einschätzung vorab: Ja, freie Firewalls können für Heimserver, kleine Büros und Self-Hosting-Setups echte Alternativen zu teuren Managed-Security-Diensten sein. Aber nur, wenn man die Grenzen kennt und nicht erwartet, dass ein ISO-Image die Betriebsverantwortung übernimmt.
Der aktuelle IPFire-Entwicklungsschub betrifft vor allem den Durchsatz auf moderner x86-Hardware. IPFire gibt selbst an, auf geeigneter Hardware „mehrere zehn Gigabit pro Sekunde“ zu erreichen. Das ist kein Laborwert für Hobbyisten mehr. In der Praxis hängt der nutzbare Durchsatz stark von der Aktivierung von IPS, VPN und dem eingesetzten NIC-Treiber ab – aber die Richtung stimmt.
Beide Projekte basieren auf unterschiedlichen Fundamenten. IPFire ist eine Linux-basierte Firewall-Distribution mit Stateful Packet Inspection, einem eigenen Paketmanager namens Pakfire, OpenVPN als Gateway, einem IPS auf Suricata-Basis, einem Web-Proxy mit URL-Filter und DNS-Proxy mit DNSSEC und DNS-over-TLS. Die Oberfläche ist funktional, wirkt aber konservativ. Wer IPFire in Schulen oder kleinen Büros einsetzt, schätzt genau das: wenig Überraschungen, schlankes System.
OPNsense basiert auf HardenedBSD, bringt eine moderne, responsive Web-GUI mit, liefert wöchentliche Sicherheitsupdates und deckt mit IPsec, OpenVPN und WireGuard (via Plugin) ein breiteres VPN-Spektrum ab. Dazu kommen Suricata IDS/IPS tief integriert, High-Availability via CARP für Hardware-Failover, NetFlow-Monitoring, ein Captive Portal mit Voucher-Support und ein Plugin-System, über das sich Tools wie Zenarmor für Application-Layer-Filterung nachrüsten lassen. Konfigurationsbackups lassen sich auch zu Cloud-Speicherdiensten exportieren.
Der Vergleich zwischen beiden ist in der Thomas-Krenn-Analyse zu pfSense, OPNsense und IPFire gut aufgearbeitet: Alle drei liefern eine vollständige Stateful-Firewall mit VPN und IDS/IPS. Die Unterschiede liegen im Ökosystem, im Komfort und in der Tiefe der Integrationen.
Auf einem Raspberry Pi läuft das nicht sinnvoll. Wer IDS/IPS dauerhaft aktiv haben will, braucht eine CPU mit AES-NI, Intel-NICs für stabile Treiber und genug RAM für die Suricata-Regelbasis. Landitec, ein OPNsense-Distributor, empfiehlt für 2026 explizit dedizierte x86-Appliances mit diesen Merkmalen – plus definierte Supportoptionen und langfristige Ersatzteilverfügbarkeit.
In der Praxis bedeutet das: Ein ausgemusterter Business-Desktop mit einem Intel i3 oder Celeron J-Serie, zwei Netzwerkkarten und 8 GB RAM reicht für ein kleines Büro mit aktivem IPS und OpenVPN-Betrieb. Für Multi-WAN, aktives WireGuard mit 10-Gbit-Anbindungen und vollständiges NetFlow-Logging wird die Karte enger. Speziell für OPNsense in produkivem Betrieb mit mehr als 25 gleichzeitigen VPN-Tunneln empfiehlt sich Hardware mit mindestens vier physischen Kernen.
IPFires Performance-Update macht es attraktiver, ältere Hardware länger zu nutzen – aber das ist kein Freifahrtschein für übertaktete Minimalsetups unter Produktionslast.
VLAN-Segmentierung ist einer der wichtigsten Gründe, im Homelab oder kleinen Büro auf eine echte Firewall-Distribution zu setzen statt auf den Consumer-Router vom Internetanbieter. Sowohl IPFire als auch OPNsense unterstützen VLANs vollständig. OPNsense hat den komfortableren Weg dorthin mit klarer GUI-Führung; bei IPFire braucht man etwas mehr Lektüre der Dokumentation, kommt aber zum selben Ergebnis.
Bei VPN sieht das Bild differenzierter aus. OPNsense integriert IPsec, OpenVPN und WireGuard direkt im Kern, kombiniert mit systemweiter 2-Faktor-Authentifizierung auch für VPN-Zugänge. IPFire liefert OpenVPN fest eingebaut; WireGuard ist über Add-ons verfügbar. Der oft zu lesende Vorwurf, IPFire könne kein modernes VPN, ist veraltet – aber die Tiefe der Integration ist bei OPNsense erkennbar größer.
Das IDS/IPS auf Suricata-Basis ist bei beiden vorhanden. OPNsense hat die tiefere Integration: Emerging-Threats-Regelwerke lassen sich direkt aus der Weboberfläche abonnieren und aktualisieren. Mit aktivem IPS fällt der Durchsatz je nach Regelmenge spürbar, aber das gilt für jede Firewall mit Deep-Packet-Inspection. Wer hier sparen will, sollte zwischen IDS-Modus (nur Logging) und echtem IPS-Modus (Blocking) differenzieren und letzteres nur auf kritischen Interfaces aktiv halten.
Eine Open Source Firewall ohne konsequentes Backup-Konzept ist ein Betriebsrisiko. OPNsense exportiert die gesamte Konfiguration als XML-Datei, die sich auf externe Speicher oder Cloud-Dienste sichern lässt. IPFire bietet ebenfalls Konfigurations-Backups, primär lokal. In beiden Fällen gilt: Vor jedem Update eine Konfigurationssicherung anlegen, Restore-Prozess einmal im Quartal testen.
Update-Disziplin ist bei freien Firewalls keine optionale Empfehlung, sondern eine Betriebsvoraussetzung. OPNsense liefert wöchentliche Sicherheitsupdates. IPFire folgt einem konservativeren Zyklus mit Fokus auf Stabilität. Wer den Patch-Stand sechs Monate ignoriert, betreibt keine sichere Firewall mehr – egal ob Open Source oder proprietär. Bei Cloud-Security-Abos übernimmt das der Anbieter, beim Self-Hosting liegt es allein beim Betreiber.
Automatisierte Update-Benachrichtigungen per E-Mail oder Monitoring-Alert sind in beiden Systemen konfigurierbar. Das sollte von Tag eins an eingerichtet sein, nicht nach dem ersten Vorfall.
Es wäre unehrlich, das zu verschweigen. Cloud-Security-Abos wie SASE- oder ZTNA-Dienste haben echte Stärken, die man mit einer selbst betriebenen Firewall am Standort nicht oder nur schwer nachbaut. Erstens: Schutz für mobile und remote arbeitende Nutzer, die nie im eigenen Netz sind. Zweitens: globale Threat-Intelligence mit Echtzeit-Updates auf Millionen von Endpunkten. Drittens: SaaS-Integration und CASB-Funktionen für Dienste wie Microsoft 365 oder Google Workspace. Viertens: 24/7-Monitoring durch den Anbieter ohne eigenen Operationsbetrieb.
Wer ein dezentrales Team mit zehn Remote-Mitarbeitern schützen will, die ausschließlich SaaS-Dienste nutzen, bekommt mit OPNsense am Hauptstandort nur einen Teil der Antwort. Die VPN-Verbindung zum Büro deckt den Standort ab, aber nicht den Laptop-Verkehr zu Cloud-Diensten außerhalb des Tunnels.
Die Einordnung von Security-Insider zu OPNsense als professioneller Open-Source-Firewall trifft es gut: Am Standort ist OPNsense vollwertig, für verteilte Architekturen bleibt es eine Komponente, kein Komplettpaket.
Für Heimserver, Self-Hosting-Setups mit Nextcloud statt Microsoft 365, Gitea, Vaultwarden oder ähnliche Dienste und für kleine Büros mit zentralem Standort und lokalem Serverbetrieb ist eine freie Firewall-Distribution der sauberere Weg. Kein monatliches Abo, keine Log-Daten bei einem US-Cloud-Anbieter, volle Kontrolle über Regelwerk und Routing-Entscheidungen. Wer eigene VPN-Verbindungen betreiben will, ohne einem Drittanbieter-VPN zu vertrauen, findet bei OPNsense und IPFire ausgereifte Implementierungen – ein Aspekt, der im Kontext von VPN-Diensten und deren tatsächlicher Datenschutzpraxis zunehmend relevant wird.
OPNsense passt in kleine Büros mit 10 bis 50 Nutzern, wenn jemand im Team die Konfiguration versteht und pflegt. IPFire ist die richtige Wahl, wenn Schlankheit, einfache Proxy-Konfiguration und ein übersichtlicheres Setup das entscheidende Kriterium sind – etwa in Schulnetzen oder experimentellen Homelabs. Für professionellere Setups mit HA-Anforderungen, mehrstufiger Authentifizierung und Plugin-Ökosystem liegt OPNsense klar vorn.
Ein vollständiger Direktvergleich beider Distributionen mit konkreten Feature-Listen hilft bei der Entscheidung, welche der beiden Plattformen besser zum eigenen Szenario passt.
Abstrakte Feature-Listen helfen nur begrenzt. Hilfreich sind dagegen konkrete Szenarien, an denen sich die Wahl der richtigen Plattform orientieren lässt.
Szenario 1 – Homelab mit mehreren Self-Hosting-Diensten: Ein einzelner Betreiber hostet Nextcloud, ein Passwort-Manager-Backend und einen privaten Mailserver auf einem dedizierten Rechner. Das Heimnetz soll in ein IoT-VLAN, ein Gäste-WLAN und ein Server-VLAN aufgeteilt werden. Hier ist IPFire eine solide Wahl: schlanke Installation, stabiler DNS-Proxy mit DNSSEC, Web-Proxy für ausgehenden Verkehr und überschaubares Regelwerk. Die Einrichtung ist in ein bis zwei Abenden machbar, wenn die Netzwerktopologie vorher klar auf Papier skizziert wurde.
Szenario 2 – Kleines Büro mit gemischtem On-Premise- und Remote-Betrieb: Ein Büro mit 15 Mitarbeitern, davon fünf dauerhaft im Homeoffice, betreibt einen lokalen NAS, ein internes Wiki und einen dedizierten Drucker-Server. Alle Remote-Mitarbeiter sollen per VPN ins Büronetz eingebunden werden. OPNsense mit WireGuard-Plugin und aktiviertem 2FA für VPN-Zugänge ist hier die sinnvollere Wahl. Der Komfort der GUI, das klar strukturierte Benutzer- und Zertifikatmanagement und die HA-Option für einen zweiten Router als Standby machen den Unterschied gegenüber IPFire in diesem Szenario aus.
Szenario 3 – Schule oder gemeinnützige Einrichtung mit begrenztem IT-Budget: Eine mittelgroße Schule benötigt Internetzugang mit Jugendschutz-Filter, WLAN-Trennung zwischen Lehrern und Schülern und einfacher Bandbreitenbegrenzung für bestimmte Dienste. IPFire mit aktivem Web-Proxy und URL-Filter-Addon passt hier gut: Die Konfiguration ist ohne tiefes Netzwerkwissen wartbar, das System läuft stabil auf älteren Schulrechnern, und es entstehen keine Lizenzkosten. Wichtig ist auch hier: Jemand muss Updates einpflegen. Eine freie Firewall, die sich selbst überlassen wird, ist keine Firewall mehr.
Wer zum ersten Mal von einem FRITZ!Box- oder vergleichbaren Consumer-Setup auf OPNsense oder IPFire wechselt, unterschätzt häufig einen konkreten Schritt: die saubere Trennung von Modem und Firewall. Viele Internetanbieter liefern Kombinations-Geräte, die Modem und Router in einem Gehäuse vereinen. Für den Betrieb einer dedizierten Firewall-Distribution muss das Anbieter-Gerät entweder in einen Brücken-Modus versetzt werden oder durch ein separates Modem ersetzt werden. Das ist nicht immer trivial und hängt stark vom Anbieter und Vertrag ab.
Ein weiterer häufiger Stolperstein ist das DNS-Setup. Consumer-Router übernehmen DNS-Auflösung automatisch vom Anbieter. OPNsense und IPFire lassen sich mit Unbound als lokalen Resolver betreiben, der DNS-over-TLS zu externen Resolvern nutzt. Das ist datenschutzfreundlicher, erfordert aber eine bewusste Konfigurationsentscheidung und den Test, ob alle lokalen Hostnamen korrekt aufgelöst werden.
Schließlich unterschätzen viele den initialen Zeitaufwand für die Firewall-Regelstruktur. Ein Consumer-Router erlaubt standardmäßig alles ausgehend und blockt alles eingehend. Eine professionell konfigurierte OPNsense- oder IPFire-Installation definiert ausgehenden Verkehr explizit pro Interface und VLAN. Das ist sicherer, bedeutet aber beim Einrichten, dass einzelne Dienste zunächst nicht funktionieren und schrittweise freigeschaltet werden müssen. Wer das als Fehler interpretiert statt als erwartetes Verhalten, verliert schnell den Überblick.
Open Source bedeutet Transparenz und Auditierbarkeit, nicht automatisch höhere Sicherheit. Das ist ein wichtiger Unterschied. Eine OPNsense-Installation, die seit acht Monaten kein Update bekommen hat, ist kein sicheres System. Ein Cloud-Security-Abo ohne ordentliche Konfiguration der Policies ist es ebenfalls nicht. Sicherheit ist in beiden Fällen Betriebsergebnis, nicht Produktmerkmal.
Was freie Firewalls nicht liefern: automatische Haftungsübernahme, 24/7-SOC, globale Threat-Feeds ohne eigene Integration und den Komfort, dass jemand anderes das Regelwerk pflegt. Wer das intern nicht stemmen kann oder will, sollte ehrlich abwägen, ob Self-Hosting der richtige Ansatz ist – oder ob ein Managed-Service als Ergänzung nötig ist.
Was sie liefern: vollständige Datenhoheit, kein Vendor-Lock-in, keine per-User-Lizenzgebühren, nachvollziehbares Regelwerk, Community-Dokumentation in einer Tiefe, die kein Closed-Source-Produkt bietet. Und seit dem IPFire-Performance-Update auch auf günstigerer Hardware belastbaren Durchsatz.
Die Frage ist nicht, ob OPNsense oder IPFire „gut genug“ sind. Die Frage ist, ob die eigene Organisation gut genug ist, sie ordentlich zu betreiben. Wer das bejahen kann, spart Geld, gewinnt Kontrolle und verzichtet auf nichts, was im eigenen Szenario wirklich fehlen würde.
