Home 🌐 Netzwerk pfSense: Dein Netzwerkzentrum – Installation und erste Schritte
🌐 Netzwerk

pfSense: Dein Netzwerkzentrum – Installation und erste Schritte

✍️ smoth.me 📅 17. March 2026 🔄 Aktualisiert: 25.03.2026
pfSense: Dein Netzwerkzentrum – Installation und erste Schritte
⚠️ Hinweis: Alle Guides auf smoth.me dienen ausschließlich zu Informations- und Lernzwecken. Die Umsetzung erfolgt auf eigene Gefahr. Wir übernehmen keine Haftung für Schäden, Datenverluste oder Systemausfälle, die durch die Anwendung dieser Anleitungen entstehen können. → Vollständiger Haftungsausschluss

Willkommen im Club: Dein Netzwerk mit pfSense auf das nächste Level heben

Moin zusammen! Als alter Hase im Homelab-Dschungel habe ich über die Jahre schon so manches Netzwerk-Setup durchgemacht. Von den ersten Gehversuchen mit OpenWRT auf einem alten Router bis hin zu komplexen Proxmox-Setups mit Dutzenden von VMs und Containern – das Netzwerk ist immer das Rückgrat. Und genau hier kommt pfSense ins Spiel.

In meiner Erfahrung gibt es kaum eine flexiblere und mächtigere Firewall-Lösung für den Heimgebrauch oder kleine Büros, die dabei noch Open Source ist. Viele von uns fangen mit den Standard-Routern der Provider an und stoßen schnell an Grenzen: Fehlende Features, mangelnde Kontrolle, Performance-Engpässe. Wenn du dann anfängst, Docker-Container zu betreiben, Home Assistant zu nutzen oder N8N-Workflows zu orchestrieren, wird ein robustes und sicheres Netzwerk unverzichtbar. pfSense gibt dir genau diese Kontrolle zurück.

Ich zeige dir heute, wie du pfSense von Grund auf installierst. Egal, ob du es auf dedizierter Hardware betreiben möchtest oder als VM in deinem Proxmox-Cluster – der Weg ist gar nicht so steinig, wie es auf den ersten Blick erscheinen mag. Vertrau mir, ich hab das schon ein paar Mal gemacht, und es ist jedes Mal ein gutes Gefühl, wenn das eigene, maßgeschneiderte Netzwerk steht.

Voraussetzungen: Was du vorab brauchst

Bevor wir uns ins Getümmel stürzen, lass uns kurz checken, ob du alles am Start hast. Die Vorbereitung ist die halbe Miete und spart dir später viel Frust.

Hardware-Anforderungen

  • Ein dedizierter PC oder eine VM:
    • Für Hardware-Enthusiasten: Ein Mini-PC mit mindestens zwei Netzwerkanschlüssen ist ideal. Ich selbst habe gute Erfahrungen mit Barebones gemacht, wie zum Beispiel einem N305 Barebone oder einem N100 Barebone. Die sind kompakt, sparsam und haben genug Power. Wichtig sind hier wirklich zwei separate Netzwerkports – einen für WAN (Internet) und einen für LAN (dein internes Netz).
    • Für Proxmox-Nutzer: Eine virtuelle Maschine. Hier solltest du der VM ebenfalls mindestens zwei virtuelle NICs zuweisen. Am besten nutzt du hier VirtIO-Treiber für optimale Performance. Ich persönlich weise der WAN-Schnittstelle oft eine eigene Bridge zu (z.B. vmbr0, die direkt zum physischen WAN-Port deines Proxmox-Hosts geht) und der LAN-Schnittstelle eine weitere Bridge (z.B. vmbr1), an der dann auch deine anderen VMs und Container hängen.
  • Arbeitsspeicher (RAM): Mindestens 4 GB, besser 8 GB, wenn du viele Pakete wie pfBlockerNG oder Suricata nutzen möchtest.
  • Speicher (SSD): Eine kleine SSD mit 16 GB ist das absolute Minimum. Ich empfehle 32 GB oder mehr, besonders wenn du Logs speichern oder Pakete installieren willst. Performance-technisch ist eine SSD der HDD immer vorzuziehen.
  • Boot-Medium: Einen USB-Stick (mind. 2 GB) oder Zugriff auf den Proxmox ISO-Store.
  • Client-PC: Ein Computer, den du direkt an den zukünftigen LAN-Port der pfSense-Maschine anschließen kannst, um die Erstkonfiguration über das Webinterface durchzuführen.
  • Netzwerkkabel: Genug Kabel, um alles zu verbinden.

Software-Vorbereitung

  • pfSense CE ISO-Image: Lade dir die aktuelle Version von der offiziellen pfSense-Webseite herunter. Zum Zeitpunkt, als ich diesen Guide geschrieben habe, war das die Version 2.7.2 oder die Beta 2.8.0. Achte darauf, die richtige Architektur (meist AMD64) zu wählen.
  • Tool zum Erstellen bootfähiger USB-Sticks: Wenn du auf physischer Hardware installierst, empfehle ich Rufus (Windows) oder Etcher (Windows/macOS/Linux).

Mein Tipp: Bevor du überhaupt anfängst, nimm dir einen Zettel und Stift. Skizziere dein geplantes Netzwerk-Layout. Welche IP-Adressbereiche willst du nutzen? Welche Schnittstelle soll WAN sein, welche LAN? Das mag banal klingen, aber es hat mir schon unzählige Male den Kopf gerettet und viel Zeit gespart.

Die Installation: Von Null zum Netzwerk-Hero

Jetzt geht's ans Eingemachte! Die Installation ist ein relativ geradliniger Prozess, aber es gibt ein paar Stellen, an denen man leicht stolpern kann.

1. ISO auf USB-Stick bringen (oder VM vorbereiten)

Für physische Hardware:

Nimm dein heruntergeladenes pfSense ISO und erstelle einen bootfähigen USB-Stick. Mit Rufus wählst du einfach das ISO aus, deinen USB-Stick und startest den Prozess. Achte darauf, dass du im DD-Modus schreibst, wenn Rufus danach fragt. Das ist für FreeBSD-basierte Systeme oft die bessere Wahl.

# Beispielbefehl für Linux mit dd, falls du kein grafisches Tool nutzen möchtest
# ACHTUNG: Ersetze /dev/sdX mit dem korrekten Pfad deines USB-Sticks!
# Du kannst `lsblk` nutzen, um den Pfad zu finden.
sudo dd if=/path/to/pfSense-CE-*.iso of=/dev/sdX bs=4M status=progress
sudo sync

Für Proxmox-VM:

Erstelle eine neue VM in Proxmox. Wichtige Einstellungen:

  • OS Type: Other -> Other
  • CD/DVD: Wähle dein hochgeladenes pfSense ISO aus.
  • System: QEMU Agent auf "No" lassen (pfSense braucht das nicht zwingend). SCSI-Controller auf "VirtIO SCSI" stellen.
  • Disks: SCSI-Disk mit mindestens 32 GB, Cache auf "Write back" stellen für bessere Performance.
  • CPU: Mindestens 2 Kerne.
  • Memory: Mindestens 4 GB.
  • Network: Füge zwei Netzwerkgeräte hinzu. Wichtig ist, dass du "VirtIO (paravirtualized)" als Modell wählst.
    • Netzwerkgerät 0 (WAN): Bridge zu deiner WAN-Schnittstelle (z.B. vmbr0, die direkt zum Internet geht).
    • Netzwerkgerät 1 (LAN): Bridge zu deiner internen LAN-Schnittstelle (z.B. vmbr1, wo deine anderen VMs/Container hängen).

Starte die VM und verbinde dich über die Proxmox-Konsole.

2. Erster Boot und Konsolen-Setup

Nach dem Booten vom USB-Stick oder der VM-ISO wirst du mit dem pfSense-Installer begrüßt:

  • Wähle "Accept" für die Copyright-Meldung.
  • Wähle "Install" aus dem Menü.
  • Partitioning: Hier empfehle ich "Auto (UFS)". Das ist der einfachste Weg und für die meisten Homelab-Setups völlig ausreichend.
  • Wähle die Festplatte aus, auf der pfSense installiert werden soll. Sei hier vorsichtig, dass du die richtige Platte erwischst!
  • Bestätige die Installation.

Die Installation dauert nur wenige Minuten. Sobald sie abgeschlossen ist, wirst du gefragt, ob du eine Shell öffnen möchtest. Wähle "No". Danach wird dir angeboten, neu zu starten. Wähle "Reboot". Wichtig: Entferne den USB-Stick oder deaktiviere das ISO in der VM, bevor der Neustart erfolgt, sonst bootet er wieder vom Installationsmedium!

3. Interface-Zuweisung: Der erste kritische Schritt

Nach dem Neustart bootet pfSense von deiner Festplatte und du landest auf der Konsole. Hier ist der Punkt, an dem viele zum ersten Mal ins Schwitzen kommen, aber keine Sorge, das kriegen wir hin.

pfSense fragt dich, ob du VLANs einrichten möchtest. Für die Erstinstallation sage ich hier immer "n" (No). Das können wir später immer noch machen, wenn das Basis-Setup steht.

Danach kommt die entscheidende Frage nach der Interface-Zuweisung. Du siehst eine Liste der erkannten Netzwerkadapter (z.B. em0, em1, vtnet0, vtnet1 bei VirtIO). pfSense fragt dich nun nach dem WAN-Interface und dann nach dem LAN-Interface.

  • Enter the WAN interface name or 'a' for auto-detection: Hier gibst du den Namen deines WAN-Ports ein. In meiner Proxmox-Umgebung ist das oft vtnet0. Auf physischer Hardware kann es em0 oder igb0 sein.
  • Enter the LAN interface name or 'a' for auto-detection: Hier gibst du den Namen deines LAN-Ports ein. Bei mir ist das meist vtnet1.
  • Enter the optional interface 1 name or 'a' for auto-detection: Wenn du keine weiteren Interfaces hast oder brauchst, drücke einfach Enter.

Bestätige die Zuweisung mit "y" (Yes). pfSense wird die Interfaces neu konfigurieren und dir dann das Hauptmenü der Konsole präsentieren.

Hier ein Beispiel, wie die Konsole-Interaktion aussehen könnte:

Do you want to set up VLANs now? [y|n] n

Available network interfaces:
em0  (2c:f0:5d:xx:xx:xx)
em1  (2c:f0:5d:yy:yy:yy)
vtnet0 (aa:bb:cc:dd:ee:ff)
vtnet1 (11:22:33:44:55:66)

Enter the WAN interface name or 'a' for auto-detection (em0, em1, vtnet0, vtnet1)
[auto]: vtnet0

Enter the LAN interface name or 'a' for auto-detection
(em0, em1, vtnet1) [auto]: vtnet1

Enter the optional 1 interface name or 'a' for auto-detection
(em0, em1) [auto]: 

The interfaces will be assigned as follows:

WAN  -> vtnet0
LAN  -> vtnet1

Do you want to proceed? [y|n] y

4. Netzwerk-Konfiguration über die Konsole

Nachdem die Interfaces zugewiesen sind, bist du im Hauptmenü der Konsole. Jetzt müssen wir dem LAN-Interface eine IP-Adresse geben, damit du später über den Client-PC auf das Webinterface zugreifen kannst.

  • Wähle Option 2) Set interface IP address.
  • Wähle die Nummer des LAN-Interfaces (oft 2).
  • Configure IPv4 address for LAN? [y|n]: Wähle "y".
  • Enter the new LAN IPv4 address: Hier gibst du die gewünschte IP-Adresse für dein pfSense-Gerät im LAN ein, z.B. 192.168.1.1.
  • Enter the new LAN IPv4 subnet bit count: Das ist die Subnetzmaske in CIDR-Notation, meist 24 für ein /24-Netz.
  • Configure IPv4 upstream gateway for LAN? [y|n]: Wähle "n". pfSense selbst ist das Gateway für das LAN.
  • Configure IPv6 address for LAN? [y|n]: Für den Anfang wähle "n". Kann später konfiguriert werden.
  • Do you want to enable the DHCP server on LAN? [y|n]: "y"! Das ist wichtig, damit deine Clients im LAN automatisch eine IP-Adresse von pfSense bekommen.
  • Gib den Start- und Endbereich des DHCP-Pools ein, z.B. 192.168.1.10 bis 192.168.1.254.
  • Do you want to revert to HTTP as the webConfigurator protocol? [y|n]: Wähle "n". HTTPS ist sicherer und Standard.

Die Konfiguration wird übernommen und pfSense ist nun bereit, über das Webinterface erreicht zu werden.

Beispiel für die LAN-IP-Konfiguration:

Enter an option: 2

Available interfaces:
1 - WAN (vtnet0)
2 - LAN (vtnet1)

Enter the number of the interface you wish to configure: 2

Configure IPv4 address for LAN? [y|n] y
Enter the new LAN IPv4 address: 192.168.1.1
Enter the new LAN IPv4 subnet bit count (1-32): 24
Configure IPv4 upstream gateway for LAN? [y|n] n

Configure IPv6 address for LAN? [y|n] n

Do you want to enable the DHCP server on LAN? [y|n] y
Enter the start address for the IPv4 DHCP range: 192.168.1.10
Enter the end address for the IPv4 DHCP range: 192.168.1.254

Do you want to revert to HTTP as the webConfigurator protocol? [y|n] n

Der wichtigste pfSense Trick: Webinterface-Zugriff sichern!

So, jetzt kommt der Teil, der dir nach der Installation den Zugang zum System ermöglicht und den ich als "wichtigsten Trick" bezeichnen würde, weil er so fundamental ist. Viele stolpern hier, weil sie nicht wissen, wie sie weiterkommen sollen.

Verbinde jetzt deinen Client-PC mit dem LAN-Port deiner pfSense-Maschine. Dein PC sollte jetzt via DHCP eine IP-Adresse aus dem von dir definierten Bereich (z.B. 192.168.1.10-254) erhalten haben. Öffne einen Webbrowser und navigiere zu:

https://192.168.1.1 (oder die IP, die du deinem LAN-Interface zugewiesen hast)

Du wirst wahrscheinlich eine Zertifikatswarnung erhalten, da pfSense ein selbstsigniertes Zertifikat verwendet. Das ist normal, akzeptiere die Warnung und fahre fort.

Der erste Login erfolgt mit den Standard-Zugangsdaten:

  • Username: admin
  • Password: pfsense

Direkt nach dem Login startet der Initial Setup Wizard. Diesen solltest du unbedingt komplett durchlaufen:

  1. General Setup: Hier gibst du den Hostname für deine pfSense (z.B. router), deine Domain (z.B. homelab.local) und optional DNS-Server an (z.B. 1.1.1.1 und 8.8.8.8).
  2. NTP Server: Die Standardeinstellungen sind meist in Ordnung, damit pfSense die korrekte Uhrzeit hat.
  3. Configure WAN Interface: Hier prüfst du die WAN-Einstellungen. Wenn dein ISP DHCP nutzt, sollte "DHCP" bereits ausgewählt sein und funktionieren. Bei statischen IPs musst du die Daten von deinem Provider eintragen.
  4. Configure LAN Interface: Hier siehst du die IP-Adresse und Subnetzmaske, die du bereits über die Konsole festgelegt hast. Bestätige diese einfach.
  5. Set Administrator WebGUI Password: DAS IST DER WICHTIGSTE SCHRITT! Ändere das Standard-Passwort pfsense sofort! Wähle ein starkes, einzigartiges Passwort. Das ist entscheidend für die Sicherheit deines gesamten Netzwerks. Wer das zum ersten Mal einrichtet, vergisst das oft und hat dann ein riesiges Sicherheitsloch.

Nachdem du den Wizard abgeschlossen hast, wird pfSense die Konfiguration übernehmen und neu laden. Du wirst auf das Dashboard weitergeleitet.

Wichtig zu wissen: pfSense blockiert standardmäßig allen eingehenden Traffic auf dem WAN-Interface, lässt aber ausgehenden Traffic zu. Dein LAN ist standardmäßig offen, um den Zugriff auf das Webinterface zu ermöglichen. Für spätere Konfigurationen, z.B. Port-Forwardings, musst du explizit Regeln in der Firewall anlegen.

Das hat mir viel Zeit gespart: Mach dir vor der Installation eine Liste aller IPs, Subnetze und WAN-Informationen. Dann kannst du den Wizard in einem Rutsch durchklicken, ohne nachzuschlagen.

Feinschliff und erste Schritte nach der Installation

Herzlichen Glückwunsch, dein pfSense-Router läuft! Jetzt beginnt der spaßige Teil, dein Netzwerk nach deinen Wünschen zu gestalten.

  • Dashboard checken: Das Dashboard gibt dir einen guten Überblick über den Status deiner Interfaces, Systemressourcen und eventuelle Probleme.
  • Updates: Geh als Erstes auf System -> Update und installiere alle verfügbaren Updates. Ein aktuelles System ist ein sicheres System.
  • Package Manager: Unter System -> Package Manager -> Available Packages findest du eine riesige Auswahl an Erweiterungen.
    • pfBlockerNG: Ein absolutes Must-have für Ad-Blocking, GeoIP-Blocking und Threat Intelligence.
    • Suricata/Snort: Intrusion Detection/Prevention Systeme für zusätzliche Sicherheit.
    • OpenVPN/WireGuard: Für den Aufbau von VPN-Servern oder -Clients.

Hier ein paar nützliche Befehle, die du auch über die pfSense-Shell (Option 8 im Konsolenmenü) ausführen kannst, um den Status deines Systems zu prüfen oder Pakete zu verwalten:

# Zeigt die aktuell geladenen Firewall-Regeln an
pfctl -sr

# Aktualisiert die Paketlisten und installiert ein Beispielpaket
# (z.B. `iperf` für Netzwerktests)
pkg update && pkg install iperf

# Testet die Internetverbindung von der pfSense-Shell aus
fetch -o /dev/null https://www.google.com

Häufige Fehler und Lösungen

Gerade am Anfang kann es mal haken. Keine Sorge, die meisten Probleme sind bekannt und leicht zu beheben.

Problem 1: Kein Webinterface-Zugriff nach der Installation

  • Ursache: Oft liegt es an einer falschen Interface-Zuweisung, einer falschen IP-Adresse im Client-PC oder einem falsch gesteckten Netzwerkkabel.
  • Lösung:
    1. Kabel prüfen: Ist der Client wirklich am LAN-Port von pfSense angeschlossen? Leuchten die Link-Lichter?
    2. Client-IP prüfen: Hat dein Client eine IP-Adresse aus dem pfSense-LAN-Bereich bekommen (z.B. 192.168.1.X)? Wenn nicht, versuche, die IP am Client manuell zu setzen (z.B. 192.168.1.100 mit Gateway 192.168.1.1 und Subnetz 255.255.255.0).
    3. pfSense-Konsole prüfen: Geh zurück zur pfSense-Konsole. Wähle Option 1) Assign Interfaces, um die Zuweisung von WAN und LAN zu überprüfen. Wähle Option 2) Set interface IP address, um die LAN-IP und den DHCP-Server zu überprüfen. Ist die IP 192.168.1.1 (oder deine gewählte IP) wirklich auf dem LAN-Interface konfiguriert?
    4. Ping von pfSense: Versuche von der pfSense-Shell (Option 8) deinen Client anzupingen oder umgekehrt.

Problem 2: Keine Internetverbindung über pfSense

  • Ursache: Das WAN-Interface ist nicht korrekt konfiguriert oder dein ISP-Modem hat Probleme.
  • Lösung:
    1. WAN-Status prüfen: Schau im pfSense Webinterface auf dem Dashboard nach dem Status deines WAN-Interfaces. Hat es eine IP-Adresse von deinem ISP bekommen?
    2. Kabel und Modem: Ist das WAN-Kabel richtig gesteckt? Ist dein ISP-Modem online und synchronisiert? Starte das Modem und pfSense einmal neu.
    3. WAN-Konfiguration: Geh im Webinterface zu Interfaces -> WAN. Ist die Konfiguration richtig (DHCP, Static IP)? Wenn du eine statische IP hast, sind Gateway und DNS-Server korrekt eingetragen?
    4. DNS-Server: Geh zu System -> General Setup und überprüfe die DNS-Server. Probiere mal öffentliche DNS-Server wie 1.1.1.1 und 8.8.8.8.
    5. Ping von pfSense: Geh in der pfSense-Konsole auf Option 8) Shell und versuche, externe Adressen zu pingen: 
      ping google.com
ping 8.8.8.8
      Wenn ping 8.8.8.8 funktioniert, aber ping google.com nicht, ist es ein DNS-Problem. Wenn beides nicht geht, liegt es am Routing oder der WAN-Verbindung.

Problem 3: Performance-Probleme oder Abstürze in der VM

  • Ursache: Oft sind die zugewiesenen Ressourcen zu knapp bemessen oder es gibt Probleme mit

Weitere Guides aus "Netzwerk"

Dein Heimnetz auf Überholspur: Glasfaser-Speed richtig nutzen
Dieser Praxis-Guide zeigt dir, wie du dein Heimnetzwerk optimierst, um die volle Geschwindigkeit dei…
Dein Heim als KI-Wächter: Anomalien im Netzwerk erkennen
Lerne, wie du ein verteiltes Sensornetzwerk in deinem Heim aufbaust, um ungewöhnliche Aktivitäten un…
AdGuard Home im Docker: Dein DNS-Filter für das Heimnetz
Richte AdGuard Home in einem Docker-Container auf deinem Proxmox-Server ein, um dein gesamtes Heimne…
Entra ID: Identitäten mit Conditional Access Policies schützen
Lerne, wie du mit Conditional Access Policies in Entra ID eine robuste Zero-Trust-Architektur aufbau…