[Schimmelreiter]

Man sollte dazu ein paar Dinge klarstellen:

Die Möglichkeiten anderer Provider unterscheiden sich nicht wesentlich, sie können sowohl den Zwangsrouter als auch die meisten kundeneigenen Router nahezu beliebig umkonfigurieren (Wenn man diese Möglichkeit nicht explizit abschaltet bzw. abschalten kann). Diesen Aspekt sollte man vor allem im Auge behalten, sollte tatsächlich irgendwann mal ein Bridge-Mode kommen.

und

Sowohl über die Lösung mit einer eigenen (Hardware-)Firewall als auch über die mit dem OpenWrt-Router (Der dann letztlich auch nix anderes als eine HW-Firewall ist) kann man beides haben, also den Zugriff des Providers auf dessen Router beschränken und sein Netz trotzdem gezielt (z.B. per VPN) von außen erreichbar machen.


Die Variante mit OpenWrt ist relativ preiswert zu haben, geeignete Router kosten unter 100 EUR und können immer noch als gute WLAN-AP herhalten, sollte es irgendwann mal einen Bridge-Modus geben und man seine Fritz!Box zurück haben möchte.
Die Variante mit pfSense oder einer anderen HW-Firewall (Genau genommen ist pfSense natürlich auch eine Software, aber man nutzt sie in der Regel auf einer speziell für diesen Einsatzzweck bestimmten Hardware, die im Gegensatz zum ausgedienten 500W-PC nur einen Bruchteil des Stroms verbrät) ist professioneller und hat auch eine höhere Routing-Leistung, kostet aber auch mehr.
Entsprechende Kits (Gehäuse plus Board) liegen dann eher so bei 200 EUR.