Immer mehr Unternehmen stehen vor der Frage, ob sie ihre Fortinet FortiGate Firewall durch eine Open-Source-Alternative ersetzen sollen. Steigende Lizenzkosten, eingeschränkte Flexibilität und Herstellerabhängigkeit sind häufige Gründe für den Wechsel. OPNsense bietet eine leistungsstarke, transparente und kosteneffiziente Alternative.
Warum von Fortinet FortiGate wechseln?
Steigende Lizenz- und Wartungskosten
- FortiGuard-Lizenzen für IPS, Antivirus, Web-Filter und Application Control sind kostenpflichtig
- Jährliche Renewal-Kosten steigen mit jedem Verlängerungszyklus
- Hardware-gebundene Lizenzen erschweren den Wechsel auf neue Geräte
- FortiCare-Support ist nur mit aktivem Vertrag verfügbar
Herstellerabhängigkeit
- Proprietäres FortiOS ohne Einblick in den Quellcode
- Konfigurationsexport nur im Fortinet-eigenen Format
- Hardware-Lock-in durch ASIC-basierte Architektur (FortiASIC)
- Eingeschränkte Interoperabilität mit Drittanbieter-Lösungen
Komplexe Lizenzmodelle
- Unterschiedliche Bundles (ATP, UTP, Enterprise) erschweren die Übersicht
- Feature-Freischaltung nur über zusätzliche Lizenzen
- VDOM-Lizenzen für virtuelle Firewall-Instanzen kosten extra
Warum OPNsense als Alternative?
Keine Lizenzkosten
- Komplett kostenfrei — keine jährlichen Gebühren
- Alle Features von Anfang an verfügbar
- Keine künstlichen Einschränkungen je nach Modell
- Kommerzielle Support-Optionen über Deciso oder Partner wie DATAZONE
Vergleichbarer Funktionsumfang
OPNsense deckt die wichtigsten FortiGate-Funktionen ab:
- Stateful Firewall mit flexiblem Regelwerk
- VPN — WireGuard, OpenVPN, IPsec (IKEv1/v2)
- IDS/IPS mit Suricata (vergleichbar mit FortiGuard IPS)
- Web-Proxy mit URL-Filterung
- DNS-Sicherheit mit Unbound (DNS-over-TLS/HTTPS)
- Traffic Shaping und QoS
- Hochverfügbarkeit mit CARP (vergleichbar mit FortiGate HA)
- Multi-WAN und Policy-based Routing
- VLAN-Segmentierung und Netzwerkzonen
Offener Quellcode
- Transparenz bei Sicherheitsupdates und Bugfixes
- Keine versteckten Backdoors oder Telemetrie
- Community-geprüfter Code
Migrationsplanung
Schritt 1: Bestandsaufnahme der FortiGate-Konfiguration
-
Firewall-Policies exportieren und dokumentieren
- FortiGate nutzt Top-Down-Regelverarbeitung (wie OPNsense: First Match)
- Address Objects und Groups erfassen
- Service Objects dokumentieren
-
VPN-Konfiguration sichern
- IPsec Phase 1/Phase 2 Parameter notieren
- Pre-Shared Keys und Zertifikate exportieren
- FortiClient SSL-VPN-Konfigurationen erfassen
- Dial-up und Site-to-Site Tunnel dokumentieren
-
Routing und Netzwerk
- Statische Routen und Policy Routes dokumentieren
- VLAN-Konfiguration und Zonen-Zuordnung erfassen
- DHCP-Server-Einstellungen und Reservierungen sichern
Schritt 2: Hardware-Dimensionierung
- OPNsense läuft auf Standard-x86-Hardware
- Kein FortiASIC nötig — moderne CPUs mit AES-NI bieten ausreichend Performance
- Dimensionierung abhängig von Durchsatz, VPN-Tunneln und IDS/IPS-Anforderungen
- Empfehlung: Intel-basierte Systeme mit mindestens 4 Netzwerk-Interfaces
Schritt 3: Konfiguration übertragen
FortiGate Address Objects → OPNsense Aliase:
- Einzelne Hosts, Subnetze und IP-Ranges als Aliase anlegen
- Address Groups als verschachtelte Aliase abbilden
FortiGate Policies → OPNsense Firewall-Regeln:
- Regeln je Interface/Zone nachbilden
- Beachten: OPNsense blockiert standardmäßig allen Traffic
- FortiGate “implicit deny” entspricht dem OPNsense-Standard
FortiGate VPN → OPNsense VPN:
- IPsec-Tunnel mit gleichen Phase 1/2 Parametern einrichten
- FortiClient SSL-VPN durch OpenVPN oder WireGuard ersetzen
- WireGuard als performante Alternative evaluieren
Schritt 4: Testbetrieb und Cutover
- OPNsense parallel zur FortiGate aufbauen
- VPN-Tunnel im Testbetrieb validieren
- Wartungsfenster für den Umschaltzeitpunkt planen
- FortiGate als Fallback bereithalten
Vergleich FortiGate vs. OPNsense
| Funktion | FortiGate | OPNsense |
|---|---|---|
| Lizenzkosten | Ja (jährlich) | Keine |
| Firewall | Ja | Ja |
| IDS/IPS | Ja (FortiGuard) | Ja (Suricata) |
| VPN (IPsec) | Ja | Ja |
| VPN (WireGuard) | Nein | Ja |
| VPN (SSL/OpenVPN) | FortiClient SSL | OpenVPN |
| SD-WAN | Ja (lizenzpflichtig) | Multi-WAN + Policy Routing |
| Web-Filter | Ja (lizenzpflichtig) | Ja (Proxy + Blocklists) |
| Antivirus Gateway | Ja (lizenzpflichtig) | ClamAV Plugin |
| Hochverfügbarkeit | Ja (Active-Passive/Active) | Ja (CARP) |
| Hardware-Anforderung | Proprietär (FortiASIC) | Standard x86 |
| API | Ja (REST) | Ja (REST) |
| Open Source | Nein | Ja |
Tipps für eine erfolgreiche Migration
- Nicht alles gleichzeitig migrieren — erst interne Segmente, dann WAN
- VPN-Partner frühzeitig informieren — neue IPsec-Parameter abstimmen
- FortiAnalyzer-Logs sichern — für spätere Nachverfolgung
- OPNsense-Backup einrichten — Konfiguration regelmäßig sichern
- Monitoring aktivieren — Firewall-Logs nach Migration intensiv überwachen
- Rollback-Plan bereithalten — FortiGate erst nach erfolgreicher Testphase abbauen
Fazit
Die Migration von Fortinet FortiGate auf OPNsense ist technisch gut umsetzbar und wirtschaftlich sinnvoll. OPNsense bietet einen vergleichbaren Funktionsumfang ohne laufende Lizenzkosten und profitiert von einer aktiven Community sowie regelmäßigen Updates. Als erfahrener OPNsense-Integrator unterstützen wir Sie bei der Planung und Durchführung der Migration — von der Bestandsaufnahme bis zum produktiven Betrieb.
Mehr zu diesen Themen:
Weitere Artikel
Proxmox Firewall: VM-Isolation und Mikrosegmentierung im Unternehmen
Proxmox Firewall einrichten: VM-Isolation, Sicherheitsgruppen, IP-Sets und Mikrosegmentierung — so schützen Sie Ihre virtuellen Maschinen auf Hypervisor-Ebene.
OPNsense Unbound DNS: Lokaler Resolver mit Blocklisten
Unbound DNS auf OPNsense einrichten: lokaler Resolver mit DNS over TLS, DNSSEC, Blocklisten gegen Werbung und Malware — Konfiguration, Tuning und Monitoring.
OPNsense GeoIP Blocking: Zugriffe nach Land filtern
GeoIP Blocking in OPNsense einrichten: Zugriffe nach Ländern filtern mit GeoIP-Aliases, Firewall-Regeln und automatischen Datenbank-Updates — Whitelist, Blacklist und Monitoring.