In Teil 1 dieser Reihe haben wir uns damit beschäftigt, wie ich überhaupt auf die Idee gekommen bin, OPNsense zuhause als Router einzusetzen, welche Vor- und Nachteile das hat und welche Hardwareoptionen es dabei allgemein gibt. In diesem Teil wollen wir uns nun konkret mit der von mir geählten Hardware beschäftigen.

Wie ich zum Ende des letzten Beitrages bereits angeteasert habe, ist der Anlass dieses Beitrags, dass ich meine bestehende Firewall-Lösung mit neuerer und vor allem leistungsfähigerer Hardware ersetze, wodurch ich beide Lösungen miteinander vergleichen kann – konkret in diesem Fall den Fujitsu Futro S920 als günstigen Einstieg in die Welt von OPNsense, und den HP T740 als leistungsfähige Lösung für alle, die Multi-Gigabit oder Features wie IDS/IPS brauchen, oder die vielleicht sogar die Firewall virtualisieren (Proxmox) und zusätzlich noch andere Andwendungen auf dem Rechner ausführen wollen.

Der Fujitsu Futro S920 (AMD GX-415GA)

Der Futro S920 gehört zu den günstigesten Optionen für einen ThinClient mit PCIe-Slot und wird/wurde auch immer wieder gerne als günstige Raspberry-Pi Alternative für Anwendungen wie PiHole oder HomeAssistant gehandelt. Meinen habe ich 2022 auf eBay für 48€ erstanden, mittlerweile (Stand: August 2025) bekommt man den Rechner mit dem Quadcore (AMD GX-415GA) ab ca. 25€ und den Dualcore (AMD GX-222GC) sogar schon ab ca. 15€, jeweils mit Netzteil und RAM. Die Leistungsdifferenz zwischen den beiden CPUs ist zwar geringer, als die doppelte Anzahl an Kernen suggeriert (hier der Passmark-Vergleich), aber dennoch würde ich persönlich den Quadcore empfehlen, da diese CPUs im Jahr 2025 auch für einfachere Anwendungen ohnehin keine großen Reserven mehr haben. Leistungstechnisch bewegen sie sich etwa auf dem Niveau oder knapp über einem Raspberry Pi 4 (siehe auch der oben verlinkte PassMark-Vergleich), natürlich bei entsprechend höherer Leistungsaufnahme. Generell würde ich das auch als Orientierung empfehlen: alles, was auf einem Pi 4 gut funktioniert, wird mit diesen ThinClients auch klappen, aber wenn der Pi zu schwach ist wird der Futro es eher auch nicht rausreißen.

Der Futro S920 nimmt leider nur mSATA SSDs auf, und häufig werden die angebotenen Geräte ohne oder mit mickriger 8GB-SSD geliefert, weshalb man zusätzlich noch eine SSD kaufen muss. Tatsächlich nehmen sich gebrauchte und neue Angebote hier preislich aktuell nicht besonders viel, aber wer auf Schnäppchenjagt gehen will, kann nach gebrauchten SSDs mit 32-64 GB suchen – das reicht größentechnisch aus, und man kann immer wieder Angebote für unter 10€ inkl. Versand finden.

Ein Vorteil gegenüber eines Raspberry Pi ist natürlich die Tatsache, dass sich der RAM aufrüsten lässt. In der Regel sollten 4 GB aber genügen, in meinem Fall kam der Rechner leider nur mit einem einzelnen 2GB DDR3 SO-DIMM, weshalb ich noch ein weiteres 4GB-Modul dazugesteckt habe.

Kommen wir nun aber zum für die Verwendung als Firewall eigentlich spannenden Teil. Bei den Futros ist normalerweise leider kein PCIe-Riser dabei, der aber benötigt wird, um eine Erweiterungskarte zu montieren. Natürlich gibt es hierzu ein originales Zuberhörteil, allerdings ist das natürlich viel zu teuer. Ich habe diesen PCIe-X4 Riser von „KALEA-INFORMATIQUE“ gekauft, welcher an sich funktioniert, aber mit Abstrichen: eigentlich ist der Riser minimal zu kurz. Wenn man die Karte gut verschraubt und den Riser fest einsteckt, kommt zwar ein Kontakt zustande und die Karte funktioniert, aber schon ein etwas energisches Abziehen eines Ethernet-Kabels kann den Riser genug aus dem Slot hebeln, dass die Karte nicht mehr erkannt wird. Eine uneingeschränkte Empfehlung will ich deshalb nicht aussprechen, womöglich wäre ein Kabel-Riser die bessere Wahl – ich hatte mir zwar vorgenommen, einen solchen zu testen, kam aber nie dazu.

Bei der Auswahl der Netzwerkkarte ist darauf zu achten, dass es zwar optionale Realtek-Treiber für FreeBSD und damit OPNsense gibt, die Verwendung von Realtek-Karten aber generell nicht empfohlen wird. Daher sollte man besser gleich eine gebrauchte Intel-Netzwerkkarte aus dem Serverbereich kaufen, in meinem Fall fiel die Wahl auf eine Intel I340-T4, aber die Intel PRO/1000 PT ist ebenfalls weit verbreitet und sollte passen. Der I340 ist der neuere Chip und verbraucht weniger Strom, weshalb er bei gleichem oder ähnlichem Preis zu bevorzugen ist. Preislich sollten diese Quad-Gigabit-Karten bei etwa 20-25€ liegen (Stand: August 2025). Achtet jedoch darauf, dass ein Low-Profile Bracket für den PCIe-Slot beiliegt, falls das nicht der Fall ist, müsst ihr noch eins mitbestellen, für meins habe ich 5€ bezahlt. Wer nicht vor hat, zwei Internetleitungen zu nutzen, für den bieten sich natürlich auch Dual-NIC Karten an. Karten, die schnellere Geschwindigkeiten als Gigabit bieten, sind aufgrund der dafür nicht wirklich ausreichenden Leistung der Futros hier kein Thema.

Damit solltet ihr dann alles zusammenhaben, um OPNsense installieren und einrichten zu können. Im allgemeinen dürfte diese Zusammenstellung die günstigste Variante sein, um mit OPNsense zu starten, und auch 2025 reicht die Leistung des Systems für viele Szenarien immer noch aus. Der Vollständigkeit halber sei hier erwähnt, dass der interne Aufbau des neueren Fujitsu Futro S940 sehr dem Futro S920 ähnelt, der darin verbaute Intel Pentium Silver J5005 allerdings etwa die doppelte Leistung des AMD GX-415GA bietet. Sofern ihr ein solches Gerät zu einem attraktiven Preis finden könnt, müsste sich der hier beschriebene Aufbau fast 1:1 übertragen lassen, mit der Ausnahme, dass das System natürlich DDR4 statt DDR3-RAM verwendet und der PCIe-Slot nur ein X1-Slot ist – für Gigabit-Geschwindigkeiten sollte das aber bandbreitentechnisch kein Problem darstellen.

Ein großer Vorteil des Futro S920 ist der vergleichsweise geringe Stromverbrauch und die dadurch mögliche passive Kühlung. Im Test mit Linux Ubuntu habe ich auf dem ruhenden Desktop ca. 14 Watt gemessen, aber auch unter Last (PassMark-Durchlauf) blieb der Verbrauch unter 25 Watt. Der Idle-Verbrauch wird durchaus auch von neueren und leistungsfähigeren Geräten (wie dem HP T740) erreicht, aber unter Last können diese Geräte teils deutlich mehr verbrauchen. Je nach verwendeter Netzwerkkarte kann der Verbrauch natürlich im Betrieb mit OPNsense etwas höher liegen, aber da es bei der Leistung des S920 ohnehin keinen Sinn macht, etwas schnelleres als Gigabit zu verbauen, sollte sich das im Rahmen halten.

Trotz dieses geringen Verbrauchs erreicht der Futro eine für viele Anwendungen durchaus akzeptable Leistung. In meinem Fall meisterte er Load-Balancing zwischen zwei Internetleitungen (DSL mit 200 Mbit/s und Kabel mit 400-600 Mbit/s, je nach der Laune von Vodafone). Zwar konnte die CPU-Auslastung dabei durchaus mal 100% erreichen, messbaren Packetloss oder Lags hatte ich dadurch aber keine. Zusätzlich lief auf meinem Futro noch AdGuard Home mit einer nicht kleinen Zahl an Blocklisten und natürlich der nginx Reverse Proxy mit ACME Client. Generell solltet ihr mit dem Futro also immer noch gut bedient sein, wenn ihr im üblichen Geschwindigkeitsbereich von DSL- oder Kabelleitungen liegt und nicht mit leistungsintensiven Features wie IDS/IPS experimentieren wollt.

Der HP T740 (AMD Ryzen V1756B)

Der HP T740 ist, wie schon geschrieben, eine ideale Plattform für alle, die mehr wollen: sei es Multi-Gigabit über die OPNsense Firewall und/oder IDS/IPS, oder sogar ein ganzes Homelab in a Box mit Proxmox als Hypervisor, OPNsense als VM mit durchgereiten Netzwerkschnittstellen und zusätzlich noch weiteren VMs wie z.B. HomeAssistant. Letzteres relativiert auch den Preis enorm, und die Leistung sollte hierfür locker ausreichen – für OPNsense alleine ist dieser Rechner in den meisten Fällen eigentlich Overkill. Was mich aber natürlich nicht davon abgehalten hat, es trotzdem zu installieren. Den HP T740 gibt es nur mit einer einzigen CPU-Variante, und zwar dem AMD Ryzen V1756B, einem Quad-Core Prozessor mit 8 Threads auf der ursprünglichen Zen-Architektur von AMD. Zusätzlich besitzt die CPU eine durchaus kompetente Grafiklösung in Form der Radeon Vega 8 iGPU. Die Leistung liegt auch ein ganzes Stück oberhalb des im Homelab beliebten und in günstigen Mini-PCs aus Fernost verbreiteten Intel N100 und beinahe auf dem Niveau eines AMD Ryzen 5 2400G – hier ein PassMark Vergleich. Ihr merkt: der T740 bietet selbst in 2025 noch völlig passable Performance, auch für viel mehr als „nur“ OPNsense. Als „Konkurrent“ zum T740 gibt es vor allem die Mini-PCs Lenovo ThinkCentre M720q bzw. M920Q ein, die ebenfalls einen PCIe-Slot bieten, wozu allerdings ein proprietärer Riser sowie spezielle Slotblenden benötigt werden – ersteres ist beim HP immer dabei und letzteres entspricht dem (Low-Profile) Standard.

Ich habe meinen HP T740 für 100€ im Sale ergattern können, aber der gängige Preis auf eBay scheint sich (Stand August 2025) bei ca. 150€ zu bewegen. Achtet (wie immer) darauf, dass das Netzteil im Lieferumfang enthalten ist. Den Standfuß braucht es nicht zwingend, es sei denn, ihr möchtet euren ThinClient vertikal aufstellen – für die Kühlung ist dies durch den aktiven Lüfter egal.

Der T740 besitzt zwei M.2-Slots, einmal für NVMe-SSDs und einmal nur mit SATA. Ab Werk werden die Geräte anscheinend in der Regel mit einem 64GB-eMMC Laufwerk im NVMe-Slot ausgeliefert, was für OPNsense theoretisch ausreichend wäre. Allerdings soll es wohl Probleme mit der Installation von OPNsense bzw. BSD geben, welche die SSD nicht erkennt (danke an Neel Chauhan für den Hinweis) und außerdem können 64GB doch knapp werden, wenn man z.B. ZenArmor installieren möchte. Ich habe mir deshalb direkt eine 256GB NVMe-SSD bestellt, welche neu ca. 16-20€ kosten. Wer noch eine ältere SSD herumliegen hat, kann natürlich auch die verwenden – generell muss das Laufwerk ja nicht viel leisten. Beim Neukauf würde ich lediglich empfehlen, auf TLC-Speicher (anstatt QLC) zu achten, weil das zumindest in der Theorie die Lebensdauer positiv beeinflussen sollte.

Der HP T740 nimmt zwei DDR4-SODIMMs auf und wird in der Regel mit 8GB Arbeitsspeicher geliefert. Für OPNsense ist dies mehr als ausreichend, aber wer Proxmox als Hypervisor betreiben und noch andere VMs verwenden möchte, der sollte dem ThinClient ein Upgrade spendieren – bis 64GB RAM sind möglich.

Bei der Wahl der Netzwerkkarte hat man selbstverständlich die selben Optionen wie oben beim Fujitsu Futro diskutiert, allerdings bleibt eine Gigabit-Netzwerkkarte deutlich hinter dem Potenzial des Rechners zurück. Ich habe mich für eine Quad-Port Karte mit dem Intel I225-Chipsatz entschieden, in diesem Fall verkauft von „KALEA-INFORMATIQUE„. Die selbe Karte scheint es aber auch von anderen Händlern zu geben, leicht erkennbar am identischen Aussehen – preislich liegt sie bei ca. 100€. Es scheint auch eine Quad-Port Karte mit dem neueren Intel I226-Chipsatz zu geben (wieder von diversen Händlern), allerdings habe ich hier nur negative Bewertungen finden können, was mich vom Kauf abgehalten hat. Grundsätzlich müsst ihr bedenken, dass diese Consumer-Chips (anders als die oben diskutierten Gigabit-Karten) nie offiziell für diese Verwendung vorgesehen waren, und daher alle Quad-NICs 4 Netzwerkchipsätze über einen PBX-Chip anbinden. Wem das zu heikel ist, der hat für Multi-Gigabit nur die Möglichkeit, eine 10GbE-fähige Karte aus der Intel X550-Familie (maximal 2 Ports) oder X710-Familie (auch mit 4 Ports) zu kaufen – besonders letztere sind aber deutlich teurer und selten unter 200€ erhältlich. Wie auch beim Fujitsu gilt: achtet darauf, dass eine Low-Profile Blende beiliegt, ansonsten müsst ihr eine dazubestellen. Beim Testen mit meiner externen Ubuntu-SSD hätte ich die von mir gekaufte Netzwerkkarte übrigens schon beinahe als defekt abgestempelt, da ich hier deutliche Lags und eine grottenschlechte Upload-Geschwindigkeit messen konnte, letztendlich muss es sich aber um ein Treiberproblem gehandelt haben, denn weder unter Windows 10 noch unter OPNsense waren diese Einschränkungen vorhanden.

Damit habt ihr dann auch hier alles, was ihr für eure Firewall benötigt. Was diesen Anwendungszweck angeht, lässt der HP T740 nichts zu Wünschen übrig und dürfte in fast allen Fällen sogar Overkill sein (bei mir ist es das definitiv). Anders sieht es aus, wenn man die Firewall mithilfe von Proxmox virtualisiert und die Netzwerkschnittstellen an die VM durchreicht, denn so bekommt man ein kleines aber feines System, das neben dem Firewalling z.B. auch noch HomeAssistant und andere beliebte Dienste abdecken kann – das relativiert dann auch den insgesamt doch relativ stattlichen Preis.

Der Stromverbrauch des HP T740 liegt im Leerlauf etwa auf dem gleichen Niveau wie beim Fujitsu Futro S920 bei etwa 14 Watt. Allerdings kann er unter Last deutlich mehr verbrauchen, ich konnte (allerdings bei synthetischen Benchmarks unter Ubuntu) bis zu 78 Watt messen – das sind aber selbstverständlich Extremwerte, die in der Realität so gut wie nie erreicht werden. Ich habe leider keine exakten Verbrauchswerte für die Firewall alleine, aber gemittelt über 24 Stunden war der Verbrauch meines Netzwerkequipments mit dem HP T740 um etwa 20 Watt höher als mit dem Futro S920. Durch den höheren Energieverbrauch ist die Kühlung des HPs natürlich nicht mehr passiv möglich und so mit einem gewissen Geräusch verbunden, im Normalbetrieb und unter der Annahme, dass der Rechner nicht direkt auf dem Schreibtisch oder gar im Schlafzimmer steht, finde ich das Geräuschlevel jedoch vertretbar und in etwa vergleichbar mit den meisten (etwas besseren) Notebooks.

Im Gegensatz zum Futro, bei dem die CPU bei mehreren parallelen Downloads oder auch bei Dingen wie dem Laden des Dashboards durchaus auch mal längere Zeit 100% erreichen konnte, langweilt sich die CPU des HPs bei den gerade genannten Aufgaben regelrecht bei unter 20% Auslastung. Hier sind also deutliche Reserven für Multi-Gigabit Internet bzw. Routing und IDS/IPS vorhanden.

Freezes bei der Installation von OPNsense/pfSENSE auf dem HP T470

Eine Sache möchte ich noch erwähnen, falls ihr mein Setup mit dem HP T470 nachbauen wollt: schon beim Starten der Installation werdet ihr möglicherweise auf die Meldung atkbd0: [GIANT-LOCKED] stoßen und das System wird hängenbleiben. Neel Chauhan hat dieses Problem in seinem Blog beschrieben und einen Fix veröffentlicht, hier die Kurzfassung:

1. Im Bootscreen Option 3 (Shell) wählen
2. Folgende Befehle eintippen:
   • unset hint.uart.0.at
   • unset hint.uart.1.at
   • autoboot
3. Installation normal durchführen, nach Installation den Datenträger mit dem Image entfernen & rebooten
4. Schritt 1&2 wiederholen
5. Nach dem erfolgreichen Boot ins installierte OPNsense:
   • vi /boot/loader.conf.local (Datei anlegen)
   • Folgende Zeilen einfügen (zum Einfügen in vi einmal „i“ drücken):
     hint.uart.0.disabled="1"
hint.uart.1.disabled="1"
   • vi verlassen und speichern (esc drücken und „:wq“ eingeben)

Damit startet OPNsense dann in Zukunft ohne Probleme und diese Änderung sollte auch Systemupdates überdauern.

Fazit

Eine OPNsense Firewall für das Homelab muss nicht teuer sein – aber bei gehobenen Ansprüchen kann man auch mehr investieren und bekommt dann ein System, welches definitiv keine Wünsche offen lässt. Gerade für die ersten Gehversuche ist für die meisten Szenarien wahrscheinlich der Futro eine sehr attraktive Option, es sei denn, ihr möchtet möglichst euer gesamtes Homelab in einer einzelnen Box haben, dann ist der HP T740 eher der Rechner der Wahl – oder ihr übertreibt es wie ich, und macht aus dem HP T740 eine reine OPNsense-Box, die dann auch bereit für Multi-Gigabit Glasfaser ist.