OpenWrt vs. pfSense: Wer macht das Rennen?

Es gibt einige populäre Open-Source-Firewalls am Markt. OpenWrt und pfSense sind seit jeher äußerst beliebt und dadurch in der Welt der Netzwerkinfrastruktur nicht mehr wegzudenken. Beide Lösungen bieten moderne Funktionen und Dienste zur Verwaltung und Sicherung von Netzwerken. Allerdings zielen beide Produkte auf unterschiedliche Anwendungsfälle und damit Benutzergruppen ab.

Beim Redesign meines Homelabs stand ich vor der Frage OpenWrt nutzen oder lieber pfSense als Betriebssystem meiner künftigen Firewall einsetzen? Deshalb habe ich in den letzten Wochen einen genaueren Blick auf die Features der beiden Firewalls geworfen. Dabei sind mir einige Stärken wie auch Schwächen aufgefallen. Im Folgenden möchte ich über meine Erkenntnisse berichten.

Alles Wichtige auf einen Blick:

Am Markt existieren einige beeindruckende Open-Source-Firewalls, die man sogar in Rechenzentren und größeren Firmen zu Gesicht bekommt. Das Duell OpenWrt vs. pfSense zielt aber eher auf ambitionierte Heimanwender und kleinere Firmen ab. Wann sich der Einsatz welcher Lösung anbietet und worin sie sich eigentlich unterscheiden, soll dir die folgende Tabelle veranschaulichen:

OpenWrt:pfSense:
Ressourcenschonendes Betriebssystem für Embedded Devices wie Router, Switches oder Access Points. Unterstützt werden alle gängigen CPU-Architekturen am Markt.Hier wird eine x86_64-CPU vorausgesetzt. Des Weiteren benötigt man eine deutlich stärkere Hardware mit ordentlich RAM und Kernen. Wie meine Erfahrung zeigt, läuft pfSense virtualisiert auch sehr gut.
Das OS basiert auf einem Linux-Kernel, wodurch es auf vielen Geräten läuft. Allerdings gibt es keine fertigen Appliances zu kaufen und auch einen Hersteller-Support sucht man vergebens.FreeBSD war die Wahl der pfSense-Entwickler. Dadurch ist der Hardware-Support deutlich eingeschränkter. Man kann allerdings fertige Appliances von Netgate samt Support erwerben.
Konzentriert sich auf die Anpassung und Erweiterung von Router-Firmware.Der Schwerpunkt liegt hier ganz klar auf Firewalling inklusive einfachem Unified-Thread-Management (UTM).
Bietet umfangreiche Paketverwaltung und Erweiterungsmöglichkeiten.Enthält fortschrittliche Firewall-Funktionen, VPN-Unterstützung und Intrusion Detection.
Geeignet für komplexe Heimnetzwerke und kleinere Unternehmensnetzwerke.Ideal für den Einsatz in simplen wie auch diffizilen Netzwerkumgebungen.

Die Wahl zwischen OpenWrt und pfSense hängt von deinen spezifischen Anforderungen ab. OpenWrt ist bestens für Anwender geeignet, die den Funktionsumfang ihrer Embedded Devices erweitern möchten. Ideal für den Einsatz in Unternehmensumgebungen geeignet ist hingegen pfSense. Nicht zuletzt, da man hiermit auch hochverfügbare Setups realisieren kann.

Ebenfalls sollte man noch bedenken, dass pfSense eine weit verbreite Lösung ist. Es gibt also massig Artikel und Videos im Netz zu allen möglichen Fragestellungen. Weiterhin ist die hauseigene Doku ein top Nachschlagewerk. Hier wird nämlich nicht nur auf die eigentliche Bedienung eingegangen, sondern es werden auch technische Zusammenhänge & Details ausführlich erklärt.

Was ist OpenWrt?

OpenWrt Logo

Hierbei handelt es sich um ein Open-Source-Betriebssystem, das auf dem Linux-Kernel basiert. Es wurde speziell für das Installieren auf schwachbrüstigen Provider-Routern oder reinen Wireless Access Points konzipiert. Die Hardware-Anforderungen sind also sehr gering und selbst eine in die Jahre gekommene Fritz!Box kann daher eine gute Wahl darstellen.

Das ist besonders dann interessant, wenn das Gerät aus dem Hersteller-Support entfernt wurde, aber die Hardware noch tadellos funktioniert und man nur geringe Performance-Ansprüche an seine Firewall stellt. Davon abgesehen, lässt sich OpenWrt sogar auf Switches installieren, solange mindestens 8 MB Speicher und 64 MB RAM vorhanden sind. Ziel der Bemühungen sind dann L3-Fähigkeiten.

Das Projekt OpenWrt existiert seit 2004 und ist unter der GPL-Lizenz verfügbar. Es kann auf nahezu jeder Hardware betrieben werden und ist in Bezug auf die CPU-Architektur nicht besonders wählerisch. Letztendlich spielt es keine Rolle, ob im Inneren eine x86_64-CPU, eine MIPS- oder eine ARM-CPU arbeitet. Kompatibel sollen mehr als 1100 verschiedene Netzwerkgeräte sein.

Sollte dich nun das OpenWrt-Fieber gepackt haben, kann ich dir diese äußerst günstigen Embedded Devices ans Herz legen:

  • Zyxel Armor Z2
  • Netgear R7800
  • Linksys EA7500 V1
  • TP-Link Archer C2600
  • Xiaomi Mi Router 3

Wer stattdessen lieber erweiterbare Hardware sucht, kann sich im Bereich der ausrangierten Thin Clients näher umsehen. Da man aber mindestens 2 Netzwerk-Interfaces für eine Firewall benötigt, darf man den Kauf einer Low-Profile-NIC nicht vergessen. Fast immer ist für den Einbau auch noch eine Risercard erforderlich. Ein schönes YouTube-Video zum Thema gibt es hier:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

© Wolfgang’s Channel

Über den Bereich Hardwarekompatibilität habe ich sehr ausführlich gesprochen, da es sich hier um den wohl größten Pluspunkt handelt. Doch was kann OpenWrt jetzt eigentlich genau? Die Antwort darauf lautet Layer 4 Firewall samt VPN und anderen praktischen Dingen. Natürlich kann man auch noch Pakete nachinstallieren, um den Funktionsumfang zu vergrößern.

An eine Next-Generation-Firewall kommt man aber selbst dann nicht im Ansatz heran. Das ist aber auch nicht weiter schlimm. Die oft stark begrenzten Ressourcen der günstigen Embedded Devices könnten diese aufwändige Arbeit sowieso nicht verrichten. Die Administration kann sowohl in der CLI als auch in einem Web-User-Interface durchgeführt werden. Der Bedienung geht also leicht von der Hand.

Zusammenfassend lässt sich sagen, dass OpenWrt für folgende Personen oder Einsatzbereiche empfehlenswert ist:

  • Heimnetzwerknutzer, die eine hochgradig anpassbare Router-Firmware suchen. Dinge wie VPN-Unterstützung, Quality of Service (QoS) und Bandbreitenkontrolle lassen sich rasch konfigurieren.
  • Netzwerkadministratoren, die erweiterte Konfigurationsmöglichkeiten für bestehende Embedded Devices suchen oder Router und Netzwerkgeräte weiter benutzen möchten, die aus dem Hersteller-Support gefallen sind.
  • Kleinere Unternehmen, die maßgeschneiderte Netzwerklösungen für spezifische Anforderungen benötigen, aber kein großes Budget haben.

Was ist pfSense?

pfSense Logo

Im Gegensatz zu OpenWRT läuft pfSense und dessen bekannter Fork OPNsense nicht auf schwacher Hardware. Am liebsten hat die Open-Source-Firewall eine Standard-x86_64-Architektur, wie man sie von handelsüblichen Servern oder PCs kennt. Allerdings gibt es inzwischen sogar Versionen, die für den Einsatz auf ARM-basierten Geräten ausgelegt sind.

Wer sich gar nicht mit dem Thema Hardware auseinandersetzen möchte, kann auch fertige Appliances erwerben oder einfach den Pfad der Virtualisierung beschreiten. Positiv anzumerken ist noch, dass man Hersteller-Support buchen kann. pfSense und dessen Fork OPNsense bieten umfangreiche Funktionen zur Netzwerksicherheit und -verwaltung:

  • Firewall: pfSense ermöglicht die Erstellung von leistungsstarken Firewall-Regeln. Standardmäßig kannst du den Datenverkehr basierend auf IP-Adressen und Ports filtern. Dank nach installierbaren Paketfiltern wie Snort oder Suricata kann man hier aber auch Deep Packet Inspection (DPI) verwenden. Eine Filterung des Traffics anhand Layer 7 Informationen ist also realisierbar.
  • VPN-Server: Du kannst pfSense als VPN-Server einrichten, um Remote-Benutzern sicheren Zugriff auf dein Netzwerk zu ermöglichen. Unterstützt werden seit jeher verschiedene VPN-Protokolle wie OpenVPN, IPsec und PPTP. Auch WireGuard ist inzwischen machbar.
  • Load Balancing: pfSense bietet Load-Balancing-Funktionen, um die Netzwerkleistung zu optimieren und den Datenverkehr auf mehrere Internetverbindungen zu verteilen. Hochverfügbarkeit lässt sich mit 2 Geräten ebenfalls rasch umsetzen.
  • Intrusion Detection and Prevention: Die Software verfügt nach der Installation von Snort oder Suricata über ein Intrusion Detection- sowie Intrusion Prevention-System (IDS/IPS), um Angriffe und ungewöhnlichen Datenverkehr zu erkennen und zu blockieren.
  • Content Filtering: Du kannst Webinhalte filtern und blockieren, um den Zugriff auf bestimmte Websites oder Kategorien von Websites zu beschränken. Umsetzbar ist dies beispielsweise mit dem Web-Proxy Squid. Er ermöglicht einem das Überwachen von HTTP- und HTTPS-Verkehr. Einfacher, aber bei Weitem nicht so genau, funktioniert das Ganze mit DNS-URL-Blacklists.
  • Monitoring und Statistiken: pfSense bietet umfassende Tools zur Überwachung und Analyse des Netzwerkverkehrs sowie zur Erstellung von Berichten. Gerade Netzwerkadministratoren dürfte das ungemein freuen.

Der Funktionsumfang von pfSense ist gigantisch. Möglich machen dies die vielen nach installierbaren Pakete. In der Grundform handelt es sich aber nur um eine zuverlässige Firewall, die ihren Dienst auf Layer 3 und 4 verrichtet. Daran ändert auch der offizielle Support in Form von pfSense+ nichts. Hier bekommt man Features wie die Unterstützung für IKEv2/IPsec oder bessere Reporting-Tools.

pfSense wird häufig in Unternehmensnetzwerken, Bildungseinrichtungen und Rechenzentren eingesetzt. Die Wahl sollte immer dann auf pfSense oder dessen Fork OPNsense fallen, wenn eine leistungsstarke und flexible Netzwerklösung benötigt wird. Aber auch ambitionierte Heimanwender werden mit der Firewall glücklich werden, wenn sie über ausreichend potente Hardware verfügen.

Wie habe ich mich entschieden?

FAQ

OpenWrt vs. pfSense isst ein heißes Thema und die Entscheidung fiel mir daher gar nicht so leicht. Derzeit benutze ich eine Draytek-Firewall mit integrierten Wireless-Access-Point und Modem. Seit fast einem Jahr verrichtet das Embedded Device sein Dienst, ohne negativ aufgefallen zu sein. Leider ist die Hardware etwas schwach auf der Brust. Routing im Gigabit-Bereich ist nicht realisierbar.

Auch sind die VPN-Geschwindigkeiten wenig berauschend. Fast 70 Prozent des verfügbaren RAMs und der CPU sind bereits bei 2 bis 3 Geräten im WLAN ausgelastet. Und da spielt es auch keine Rolle, dass ich einen Wireless Access Point aus dem Hause Netgear verwende. Ich brauche also eine ganze Menge mehr an Ressourcen und Layer 7 Funktionalitäten fände ich auch ganz ansprechend.

2,5 Gbit/s fähige Ports wären ebenfalls ein nettes Gimmick. Das wird sich mit der vorhandenen Hardware natürlich nicht umsetzen lassen und daher fungiert die Draytek-Firewall zukünftig nur noch als Modem. Das Firewalling werde ich zukünftig auf einem passiv gekühlten Mini-PC durchführen. Hier kann ich die Hardware sogar noch aufrüsten, sollte pfSense mehr Ressourcen brauchen.

Das Duell OpenWrt vs. pfSense geht in meinem Fall also ganz klar an pfSense. Wer hingegen nur etwas unzufrieden mit dem Funktionsumfang seiner Fritz!Box ist und zum Beispiel mit VLANs arbeiten möchte, braucht so einen Overkill eher nicht. Ich will aber das volle Netzwerk-Programm haben und auch nutzen. Und Geld für leistungsstarke Hardware war ebenfalls da.

Von Fabian Wüst

Er ist leidenschaftlicher Open-Source-Benutzer und ein begeisterter Technologie-Enthusiast. Als kreativer Kopf hinter Homelabtopia bringt Fabian hier seine umfangreiche Erfahrung als Linux-Admin ein. Um sicherzustellen, dass du aus seinen Beiträgen den größtmöglichen Nutzen ziehen kannst, führt er ausgiebige Tests durch und errichtet dafür immense Setups.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert