Vergleich·Firewall

OPNsense vs. Sophos XG / Fortinet

Open-Source-Firewall auf Standard-Hardware oder kommerzielle Appliance mit Subscription? Beides hat Berechtigung — die Frage ist, wo Ihre Komplexität liegt: in der Konfiguration oder im zentralen Management.

Migration kalkulieren lassen Direkt zum Tabellenvergleich
Kurzes Urteil

Für KMU bis ca. 500 MA mit 1 – 5 Standorten ist OPNsense auf Marken-Hardware (Protectli, Lanner) wirtschaftlich und technisch oft die bessere Wahl — flexibler, transparenter und ohne Subscription-Falle. Sophos XG und Fortinet glänzen bei dezentralem Management vieler Standorte, integriertem Threat-Intelligence-Stack und in Branchen, wo der Auditor eine zertifizierte Appliance sehen will.

Direktvergleich

OPNsense vs. Sophos / Fortinet — Kriterium für Kriterium

KriteriumOPNsenseSophos / Fortinet
LizenzmodellOpen-Source (BSD). Hardware separat, keine wiederkehrende Lizenz nötig.Subscription pro Appliance pro Jahr (Sophos XGS / FortiGate-Tier-Bundles).
HardwareBeliebige x86-Hardware (APU, Protectli, Supermicro, Lanner). Kein HCL-Zwang.Herstellereigene Appliances, an Subscription gekoppelt.
Stateful Firewall✓ pf-basierter State-Engine, hochperformant.✓ ASIC-beschleunigt (Fortinet) bzw. Software-basiert (Sophos).
VPNIPsec, OpenVPN, WireGuard — alle integriert, ohne Aufpreis.IPsec, SSL-VPN, mit kommerziellen Clients (Sophos Connect, FortiClient).
IDS / IPSSuricata, Open-Source-Regelwerke (ETOpen) plus optional kommerzielle (ETPro).Hauseigene Engine mit kommerziellem Threat-Feed.
Web-Filter / SSL-InspectionSquid + ICAP-Plugin, geringerer Komfort als kommerziell.Sehr ausgereift, mit Kategorien-Datenbank und Cloud-Sandbox.
Zentrales Multi-Site-ManagementEigenbau (Ansible, eigene Sync-Plugins) oder OPNsense-Plugins wie Sensei.Sophos Central / FortiManager — mehrere hundert Sites zentral verwalten.
Threat IntelligenceOpen-Source-Feeds (CrowdSec, AlienVault, eigene).Hauseigene SOC-Daten mit hoher Aktualität, Cloud-Sandbox.
HA-Cluster✓ CARP (Active/Backup) und Active/Active mit Asymmetric Routing.✓ Native HA, oft auch als Active/Active.
Audit-TauglichkeitKonfiguration ist klartextlich versionierbar (XML), für BSI-Grundschutz und ISO 27001 gut auditierbar.Zertifizierte Appliance mit eigenem Audit-Pfad — bei manchen Auditoren schneller akzeptiert.
Update-PfadHalbjährliche Releases, Rolling-Updates, transparente Changelogs.Quarterly oder Monthly mit definierten LTS-Versionen, Subscription-pflichtig.
Lizenzkosten 3 Standorte / 3 Jahreca. 3 × 1.500 € Hardware + 0 € Lizenz = 4.500 €.ca. 8.000 – 25.000 € je nach Modell und Subscription-Tier.
Wann ist OPNsense die bessere Wahl?
  • Sie haben einen guten Linux-/BSD-Admin und wollen Konfiguration nachvollziehbar in Git versionieren.
  • Sie haben 1 – 5 Standorte und brauchen kein dezentrales Mass-Management.
  • Sie wollen Hardware-Investitionen vom Lizenzmodell entkoppeln — Appliance halten 5 – 7 Jahre, Sie zahlen nur Hardware-Refresh.
  • Sie machen viele individuelle Anpassungen — eigene NAT-Regeln, custom Suricata-Rules, IPsec mit ungewöhnlichen Gegenstellen. OPNsense lässt das ohne Workarounds zu.
Wann ist Sophos / Fortinet die bessere Wahl?
  • Sie betreiben 20+ Standorte und brauchen ein Single-Pane-of-Glass-Management — Sophos Central und FortiManager sind hier deutlich weiter als alle OPNsense-Plugins.
  • Threat-Intelligence-Frische ist geschäftskritisch — kommerzielle Hersteller haben eigene SOCs mit minutenfrischen Feeds. Open-Source-Feeds liegen typischerweise 12 – 24 h hinten.
  • Sie brauchen integrierte Cloud-Sandbox für unbekannte Files (E-Mail-Anhänge, Web-Downloads). Lässt sich mit OPNsense + externen Diensten nachbauen, aber mit mehr Eigenleistung.
  • Auditor verlangt zertifizierte Appliance — manche Branchen (Banken, KRITIS) und manche Auditoren erkennen nur kommerzielle Plattformen ohne Diskussion an.
Migration

Was ein Wechsel realistisch kostet

Migrationen von Sophos zu OPNsense an einem mittelständischen Standort (50 – 150 MA, ein Internet-Übergang, 4 – 6 VLANs, 2 – 4 Site-to-Site-VPNs) liegen erfahrungsgemäß bei 4 – 8 Engineering-Tagen plus 2 – 4 Tagen für Test, Doku und Hand-over. Hardware (z. B. Protectli VP4670 oder Lanner NCA-1515) kostet 1.200 – 2.500 € pro Standort.

Der eigentliche Cutover läuft als Wochenend-Aktion: parallel aufgebaut, getestet, am Sonntag abend umgekabelt, am Montag früh fünf Stunden Stand-by. Wir konfigurieren immer zuerst die VPN-Tunnel zur neuen Firewall, schalten dann Internet-Routing um, beobachten 2 – 4 Wochen, dann erst wird die alte Box entsorgt.

Andersrum (OPNsense → Sophos) machen wir auch — typischerweise getrieben durch Zentral-Management-Anforderungen oder Compliance-Audits.

FAQ

Häufige Fragen

Ja — entscheidend ist die Hardware. Eine Protectli VP4670 (4-Core, 16 GB RAM, 2 × 2,5-GbE) packt 200 MA mit IDS/IPS und Web-Filtering ohne Probleme. Für höhere Bandbreiten oder mehrere 1-GbE-Uplinks gehen wir auf Lanner-Appliances mit 8+ Cores.
Updates kommen typischerweise innerhalb von 24 – 48 h nach Bekanntwerden. CVEs werden auf der OPNsense-Mailingliste angekündigt, Pakete sind via apt erreichbar. Wir betreuen unsere Deployments mit Wartungsfenstern und prüfen kritische Updates vorab in unserer Test-Umgebung.
Ja, in einer Übergangsphase. Wir rangieren z. B. einen Standort zuerst, beobachten 4 – 6 Wochen, dann Standort 2, etc. Die VPN-Tunnel-Konfiguration ist beidseitig kompatibel (IPsec/IKEv2 ist Standard-RFC).
OS-acme-client (Let's Encrypt), os-frr (BGP / OSPF, falls dynamisches Routing nötig), os-haproxy oder os-nginx (Reverse-Proxy für interne Web-Anwendungen), os-suricata (IDS), os-wireguard, os-cron (regelmäßige Tasks). Plus Backup-Plugin mit Verschlüsselung.

Lassen Sie uns die Zahl konkret machen.

30 Minuten Erstgespräch, ehrliche Sektor- und Größeneinordnung. Sie bekommen einen TCO-Vergleich für Ihren konkreten Cluster — ohne Verkaufsdruck.

Migration kalkulieren lassen Netzwerk-&-Firewall-Leistung ansehen
← Zurück zur Vergleichs-Übersicht