Start Lösungen Managed Firewall mit OPNsense
Managed Firewall

Managed Firewall mit OPNsense

Enterprise-Sicherheit für Ihr Netzwerk. Ohne Lizenzkosten. Ohne eigenen Firewall-Admin. Open Source Firewall, professionell betreut.

Angebot anfragen +49 9571 87314-9
Open Source
Kein Vendor Lock-in
Deutsche Rechenzentren
24/7 Monitoring
OPNsense Dashboard
Protected
Uptime 99.98%
Threats blocked
1.247
letzte 24h
Active Rules
384
Firewall + IDS
Threats filtered 94.2%
VPN Tunnels 3 active
Berlin → HQ
WireGuard
München → HQ
IPsec
Remote Access
OpenVPN
Das Problem

Ihre Firewall sollte nicht Ihr größtes Risiko sein

Viele Unternehmen investieren in teure Firewalls – und lassen sie dann veralten. Kein Update, keine Regelanpassung, kein Monitoring. Das ist gefährlicher als keine Firewall.

Wir nehmen Ihnen das ab. Sie bekommen eine professionell betriebene Managed Firewall – wir kümmern uns um den Rest.

Teure Lizenzen, die jedes Jahr steigen

Sophos, Fortinet, Cisco: Die Lizenzkosten für eine ordentliche Firewall fressen das IT-Budget. Und ohne aktive Lizenz? Keine Updates, kein Schutz.

Keiner hat Zeit, sich darum zu kümmern

Firewall-Regeln pflegen, VPN-Tunnel debuggen, IDS-Alerts prüfen, Firmware-Updates einspielen – das macht niemand nebenbei.

Die alte pfSense läuft, aber wie lange noch?

pfSense CE wird seit der Netgate-Übernahme stiefmütterlich behandelt. OPNsense ist der aktiv weiterentwickelte Fork mit besserem UI und schnelleren Security-Patches.

OPNsense Features

Was OPNsense kann

Enterprise-Features ohne Enterprise-Preise. Alles was Sie für professionelle Netzwerksicherheit brauchen.

Stateful Firewall

Volle Kontrolle über ein- und ausgehenden Netzwerkverkehr mit granularen Regeln.

VPN (WireGuard, OpenVPN, IPsec)

Sichere Standortvernetzung und Remote-Zugang für Ihr Team. Alle gängigen VPN-Protokolle.

Intrusion Detection & Prevention

Suricata IDS/IPS erkennt und blockiert Angriffe in Echtzeit mit optimierten Rulesets.

Hochverfügbarkeit

HA-Cluster mit CARP und automatischem Failover – Ihre Firewall fällt nie aus.

Web-Proxy & Content-Filter

Kontrolle über Web-Traffic, Malware-Schutz und Category-Filtering für Ihr Netzwerk.

Reporting & Logging

Detaillierte Einblicke in Ihren Netzwerkverkehr, integrierbar mit Wazuh SIEM.

Managed Service

Was wir für Sie tun

Von der Planung bis zum laufenden Betrieb – Firewall as a Service, komplett betreut.

Planung & Sizing

Wir dimensionieren die Firewall passend zu Ihrem Netzwerk – Standorte, Nutzer, Bandbreite.

Installation & Konfiguration

Auf dedizierter Hardware oder virtuell in Ihrem Proxmox-Cluster.

Regelwerk-Erstellung

Firewall-Regeln nach Ihren Anforderungen, dokumentiert und nachvollziehbar.

VPN-Einrichtung

Site-to-Site für Standortvernetzung, Remote Access für Home-Office.

IDS/IPS-Konfiguration

Suricata mit optimierten Rulesets für Ihre Umgebung.

Laufendes Management

Firmware-Updates, Regelanpassungen, Troubleshooting – alles inklusive.

24/7 Monitoring

Wir überwachen Verfügbarkeit, Performance und Security-Events rund um die Uhr.

SIEM-Anbindung

Integration in Wazuh für zentrales Security-Monitoring (optional).

Migration

Von pfSense, Sophos, Fortinet oder anderen Systemen – wir migrieren Sie sauber.

Vergleich

Managed OPNsense vs. kommerzielle Firewalls

Was Sie bekommen – und was Sie sich sparen.

Kriterium Managed OPNsense Sophos XGS FortiGate pfSense (self-hosted)
Lizenzkosten ✓ Keine Ab ~500 €/Jahr Ab ~300 €/Jahr ✓ Keine (CE)
Managed Service ✓ Inklusive Optional (teuer) Optional (teuer) ✗ Eigenverantwortung
Open Source Eingeschränkt
IDS/IPS Suricata Proprietär Proprietär Suricata/Snort
VPN (WireGuard) Eingeschränkt
Hochverfügbarkeit ✓ CARP ✓ CARP
Web-UI Modern, intuitiv Komplex Komplex Veraltet
Vendor Lock-in ✓ Keiner Hardware-gebunden Hardware-gebunden Netgate-Abhängigkeit
Community & Updates Sehr aktiv, monatlich Herstellerabhängig Herstellerabhängig Verlangsamend

Preise sind Richtwerte für KMU-Umgebungen. Tatsächliche Kosten variieren je nach Konfiguration und Lizenzmodell.

Upgrade-Option

NextGen Firewall mit Zenarmor

OPNsense ist eine erstklassige Stateful Firewall. Aber für Application Control, Deep Packet Inspection und Cloud-basierte Threat Intelligence brauchen Sie mehr. Zenarmor macht aus Ihrer OPNsense eine vollwertige Next-Generation Firewall – direkt als Plugin, ohne zusätzliche Hardware.

Application Control (Layer 7 DPI)

Erkennen und steuern Sie über 700 Anwendungen – von Microsoft Teams bis Torrent. Richtlinien pro App, nicht nur pro Port.

Web Filtering & URL-Kategorisierung

Über 100 URL-Kategorien, auch bei HTTPS. Erzwingen Sie Nutzungsrichtlinien und blockieren Sie riskante Webseiten.

Cloud Threat Intelligence

Echtzeit-Bedrohungsdaten aus der Zenarmor Cloud. Neue Malware-Domains und C2-Server werden sofort blockiert – bevor lokale Signaturen aktualisiert sind.

Advanced Analytics & Reporting

Detaillierte Traffic-Analysen pro Benutzer, Gerät und Anwendung. Compliance-fähige Reports für Audits und NIS2-Nachweise.

TLS Inspection

Verschlüsselten Traffic analysieren, ohne Blindstellen. Erkennen Sie Bedrohungen auch in HTTPS-Verbindungen.

Zenarmor ist optional. Ihre Managed OPNsense funktioniert auch ohne Zenarmor hervorragend. Aber wenn Sie Application Control und Layer-7-Sichtbarkeit brauchen, konfigurieren und betreuen wir Zenarmor als Teil Ihres Managed Service.
Security Stack
+ Zenarmor NGFW
Application Control Layer 7 · Deep Packet Inspection
Cloud Threat Intelligence Echtzeit-Bedrohungsdaten
Web Filtering 100+ URL-Kategorien
OPNsense Basis
Suricata IDS/IPS Signatur-basierte Erkennung
Stateful Firewall VPN · HA · Proxy · NAT
Technischer Deep Dive

Unter der Haube: OPNsense-Architektur

FreeBSD-basiert, modular aufgebaut und durch bewährte Open-Source-Komponenten abgesichert – so arbeitet Ihre Managed Firewall im Detail.

FreeBSD & pf Kernel

OPNsense basiert auf FreeBSD mit dem pf-Paketfilter – dem gleichen Stack, den auch Netflix und WhatsApp einsetzen.

  • pf Paketfilter mit Stateful Inspection
  • ALTQ Traffic Shaping im Kernel
  • ZFS-Dateisystem für Konfigurationssicherheit
  • Jails-Isolation für Plugins

Suricata IDS/IPS Engine

Multi-Threaded Deep Packet Inspection mit automatischen Ruleset-Updates und GeoIP-Blocking.

  • ET Open & ET Pro Rulesets
  • TLS/SSL Inspection (optional)
  • Protocol Detection (HTTP, DNS, SMB, …)
  • EVE JSON Logging für SIEM-Integration

VPN-Subsystem

Drei VPN-Technologien parallel – für Site-to-Site, Remote Access und Zero-Trust-Szenarien.

  • WireGuard (Kernel-Modul, <1ms Latenz)
  • IPsec IKEv2 mit strongSwan
  • OpenVPN mit MFA-Integration
  • Split-Tunneling & Policy-based Routing

High Availability (CARP)

Active/Passive Failover mit CARP-Protokoll – automatisches Umschalten in unter 2 Sekunden.

  • CARP Virtual IPs für nahtloses Failover
  • pfsync State-Table-Synchronisation
  • XMLRPC Config-Sync zwischen Nodes
  • Kein Session-Verlust bei Failover

Logging & Monitoring

Zentrale Protokollierung mit Syslog, Netflow und optionaler Wazuh-SIEM-Anbindung.

  • Syslog-ng mit Remote-Logging
  • NetFlow/IPFIX Traffic-Analyse
  • Wazuh Agent für SIEM-Korrelation
  • Echtzeit-Dashboard im Web-UI

API & Automation

Vollständige REST-API für Infrastructure-as-Code und automatisierte Firewall-Verwaltung.

  • REST-API mit Key-Authentifizierung
  • Ansible Collection für OPNsense
  • Konfigurations-Backup via API
  • Webhook-Alerts für Incidents
Für wen?

Ist Managed OPNsense das Richtige für Sie?

„Wir zahlen zu viel für Sophos/Fortinet"

Sie bekommen Enterprise-Features ohne Lizenzkosten. Die Hardware bleibt Ihre. OPNsense als Sophos Alternative oder Fortinet Alternative spart Ihnen tausende Euro pro Jahr.

„Unsere pfSense läuft, aber niemand pflegt sie"

Wir migrieren auf OPNsense und übernehmen den laufenden Betrieb. Die pfSense Migration auf OPNsense ist unkompliziert – die Systeme sind verwandt.

„Wir brauchen VPN für drei Standorte und Home-Office"

Site-to-Site und Remote Access – sauber konfiguriert, dokumentiert, betreut. VPN Firewall mit WireGuard, OpenVPN und IPsec.

„Unser Netz muss segmentiert werden – KRITIS/NIS2"

VLANs, Zonen-Konzept, IDS/IPS, Logging – compliant und nachweisbar. Netzwerksicherheit für KMU mit Compliance-Anforderungen.

So starten wir

In 4 Schritten zur Managed Firewall

Vom ersten Gespräch bis zum laufenden Betrieb – strukturiert und transparent.

1

Netzwerk-Assessment

Wir verstehen Ihre Infrastruktur: Standorte, VLANs, VPN-Bedarf, bestehende Firewall.

30 Min. · Kostenlos
2

Konzept & Hardware

Wir empfehlen die passende Hardware oder virtuelles Deployment und erstellen das Firewall-Konzept.

3

Migration & Go-Live

Wir migrieren Regeln, VPN-Tunnel und Konfiguration. Umstellung mit minimaler Downtime.

4

Laufender Betrieb

Updates, Monitoring, Regelanpassungen – alles inklusive. Ihre Firewall ist unser Job.

FAQ

Häufige Fragen

Die wichtigsten Fragen zu OPNsense als Managed Firewall Service – kurz und direkt beantwortet.

Kann OPNsense unsere Sophos oder Fortinet ersetzen?
In den meisten KMU-Szenarien ja. OPNsense bietet vergleichbare Features – Stateful Firewall, VPN, IDS/IPS, Proxy, Hochverfügbarkeit – ohne Lizenzkosten. Bei sehr speziellen Anforderungen wie SASE oder globalem SD-WAN kann es Einschränkungen geben. Das klären wir im Erstgespräch.
Wir nutzen pfSense – warum sollten wir wechseln?
OPNsense ist ein Fork von pfSense mit moderner Codebasis, besserem Web-Interface, schnelleren Security-Patches und einer aktiveren Community. Die pfSense Migration ist unkompliziert, da die Systeme verwandt sind. Mehr dazu in unserem pfSense vs. OPNsense Vergleich.
Brauchen wir neue Hardware?
Nicht unbedingt. OPNsense läuft auf Standard-x86-Hardware, in VMs (z.B. in Ihrem Proxmox-Cluster) oder auf dedizierter Firewall-Hardware. Wenn Ihre bestehende Hardware passt, nutzen wir sie weiter. Wir beraten Sie zur optimalen Lösung.
Wie funktioniert das Monitoring?
Wir überwachen Ihre Firewall 24/7 auf Verfügbarkeit, Performance und Security-Events. Kritische Alerts werden sofort bearbeitet. Optional integrieren wir die Logs in unser SIEM (Wazuh) für ein ganzheitliches Security-Monitoring.
Was kostet das?
Das hängt von Ihrer Umgebung ab – Standorte, Komplexität, HA-Anforderung. Im Erstgespräch klären wir den Umfang und erstellen ein transparentes Angebot mit fester monatlicher Pauschale. Keine versteckten Kosten, keine Lizenzgebühren.
Können wir die Firewall auch selbst administrieren?
Ja. Sie erhalten vollen Zugang zum Web-Interface. Im Managed Service übernehmen wir die Pflege, aber Sie können jederzeit selbst Regeln einsehen oder Änderungen beauftragen. Kein Vendor Lock-in.
Ist OPNsense für Compliance geeignet (NIS2, KRITIS)?
Ja. OPNsense unterstützt Netzwerksegmentierung, IDS/IPS, umfassendes Logging und VPN – alles Anforderungen die bei NIS2 und KRITIS relevant sind. Die Logs können an ein SIEM weitergeleitet werden, um Compliance-Nachweise zu führen. Mehr dazu unter Compliance & KRITIS.
Was ist Zenarmor und brauchen wir das?
Zenarmor ist ein Plugin für OPNsense, das Ihre Firewall zur NextGen Firewall erweitert – mit Application Control (Layer 7), Cloud Threat Intelligence, Web Filtering und TLS Inspection. Sie brauchen Zenarmor, wenn Sie Anwendungen wie Teams, Zoom oder Torrent gezielt steuern und verschlüsselten Traffic analysieren wollen. Für klassische Firewall-Anforderungen reicht OPNsense allein aus.

Ihre Firewall. Professionell betreut. Ohne Lizenzkosten.

In 30 Minuten klären wir, ob Managed OPNsense zu Ihrer Infrastruktur passt. Kostenlos und unverbindlich.

Netzwerk-Assessment anfragen
+49 9571 87314-9 info@hostspezial.de
Verwandte Lösungen

Passt dazu

SIEM

SIEM mit Wazuh

Firewall-Logs ins SIEM integrieren – für ganzheitliches Security-Monitoring.
Security

Cyber Security & SOC

Die Firewall als Baustein Ihrer ganzheitlichen Security-Strategie.
Managed IT

Managed IT Services

Firewall-Management als Teil Ihres IT-Outsourcings.
Infrastruktur

Virtualisierung mit Proxmox

OPNsense virtuell in Ihrem Proxmox-Cluster betreiben.
Blog

pfSense vs. OPNsense

Der ausführliche Vergleich – Features, Security, Community.