pfSense et OPNsense partagent le même ADN FreeBSD, la même base de code d’origine, et pourtant ils ont suivi des chemins radicalement différents depuis 2015. En 2026, choisir entre les deux n’est plus une question de performance (l’écart est de 2 Mbps sur 940 Mbps mesurés sur matériel identique), mais de philosophie : mises à jour bi-hebdomadaires contre rythme imprévisible, licence BSD entièrement ouverte contre modèle freemium fermé, interface moderne contre menu classique éprouvé. Ce guide compare les deux sur 12 critères avec des chiffres réels issus de benchmarks 2026, des cas d’usage concrets et un verdict par profil d’utilisateur.
Deux fork FreeBSD, deux philosophies opposées
OPNsense est né en janvier 2015, lorsque Deciso B.V., une société néerlandaise spécialisée en réseau et sécurité, a forké pfSense pour en corriger les lacunes perçues : cadence de mises à jour trop lente, interface datée et préoccupations sur la gouvernance du projet. Deciso a conservé l’architecture FreeBSD mais a réécrit l’interface complète et adopté un cycle de publication prévisible dès le départ. En 2026, moins de 10 % du code d’origine de pfSense subsiste dans OPNsense, selon la documentation officielle du projet. Le développeur principal d’OPNsense est également un committer actif sur le projet FreeBSD, ce qui rapproche OPNsense de l’évolution du noyau en amont.
pfSense, lui, a vu le jour en 2004 sous l’impulsion de Chris Buechler et Scott Ullrich, toujours sur une base FreeBSD. Netgate, société texane, a racheté le projet en 2014 et l’a scindé en deux branches distinctes depuis 2021 : pfSense CE (Community Edition), gratuit et open source sous licence Apache 2.0, et pfSense Plus, propriétaire et réservé au matériel Netgate ou aux abonnements payants à 129 dollars par an. Cette bifurcation est au cœur du débat communautaire en 2026. Elle soulève une question légitime : pfSense CE est-il encore le produit prioritaire de Netgate, ou est-il maintenu en vie pour ne pas aliéner la communauté historique ?
Les deux plateformes sont des distributions BSD complètes, pas de simples logiciels. Elles transforment un PC standard ou un routeur dédié en pare-feu professionnel capable de gérer le NAT, les VLANs, le filtrage de paquets stateful (pf), les VPN WireGuard et OpenVPN, la détection d’intrusion Suricata, et la qualité de service. Pour une PME, une administration ou un homelab, elles offrent des capacités comparables à des appliances Cisco ou Fortinet pour zéro euro de licence logicielle. L’avantage face aux solutions propriétaires est total sur la transparence du code, comme l’illustre l’affaire FortiBleed 2026, où 75 000 pare-feux Fortinet ont été compromis par un groupe russe, avec des vulnérabilités dans un code que personne d’autre que Fortinet ne pouvait auditer.
Tableau comparatif complet : 12 critères côte à côte
Le tableau suivant consolide les différences structurelles entre OPNsense, pfSense CE et pfSense Plus. Ces données sont issues des documentations officielles et de sources de comparaison vérifiées en 2026.
| Critère | OPNsense | pfSense CE | pfSense Plus |
|---|---|---|---|
| Licence | BSD 2 clauses (fully open) | Apache 2.0 (open source) | Propriétaire (source fermée) |
| Coût sur matériel tiers | Gratuit | Gratuit | 129 $/an (TAC Lite) |
| Cadence des mises à jour | Bi-hebdomadaires + 2 majeures/an | Irrégulière | ~3 sorties/an |
| Interface web | Moderne, menu latéral avec recherche | Fonctionnelle, menu supérieur | Similaire à CE |
| WireGuard | Intégré nativement au noyau | Via package installable | Intégré nativement |
| IDS/IPS Suricata | Natif, rapports graphiques intégrés | Via package, fonctionnel | Similaire à CE |
| Plugins officiels | 80+ plugins signés cryptographiquement | Large écosystème packages | Idem CE + extras |
| Zenarmor / NGFW | Pleinement supporté | Limité | Limité |
| PPPoE multi-cœur | Non (code non partagé par Netgate) | Oui | Oui (driver if_pppoe) |
| Contributions FreeBSD upstream | Dev principal = committer FreeBSD | Sélectives | Sélectives |
| Support ARM | Non | Non | Matériel Netgate uniquement |
| Version FreeBSD de base | FreeBSD 13 | FreeBSD 12 (CE) | FreeBSD 13+ |
La ligne la plus révélatrice de ce tableau est celle du PPPoE multi-cœur. OPNsense ne dispose pas de cette fonctionnalité parce que Netgate a refusé de partager le code du driver if_pppoe malgré la licence Apache 2.0. Cette décision illustre parfaitement la tension entre les deux projets et explique pourquoi les utilisateurs avec des connexions FTTH haut débit en mode PPPoE (Orange Fibre, SFR) peuvent préférer pfSense CE pour ne pas brider leur débit.
Licences et modèle open source : BSD contre Apache contre propriétaire
La question de la licence dépasse le simple cadre légal. Elle détermine qui contrôle l’avenir du logiciel et si vous pouvez faire confiance au projet sur le long terme, notamment pour des déploiements à 5 ou 10 ans.
OPNsense et la BSD 2 clauses. La licence BSD à 2 clauses est l’une des plus permissives qui existent. Elle autorise l’utilisation, la modification et la redistribution du code, commercialement ou non, avec pour seule obligation de conserver l’avis de droit d’auteur. Deciso B.V. publie l’intégralité du code source sur GitHub sans exception. Cette transparence permet à n’importe quel auditeur de sécurité, chercheur ou entreprise de vérifier exactement ce qui tourne sur leur réseau. Pour les organisations soumises au Cyber Resilience Act européen, qui impose des exigences de transparence et de traçabilité sur les composants logiciels, c’est un argument solide.
pfSense CE et Apache 2.0. La licence Apache 2.0 est également open source et très permissive. Elle inclut une protection explicite sur les brevets, absente de la BSD. pfSense CE reste donc techniquement open source. Le problème est que Netgate a progressivement gelé certaines fonctionnalités dans CE au profit de pfSense Plus, créant un écart croissant entre les deux versions. La communauté s’interroge depuis 2022 sur la pérennité de pfSense CE à long terme face à la commercialisation accélérée de Netgate.
pfSense Plus et le modèle propriétaire. pfSense Plus n’est pas open source. Netgate distribue des binaires compilés sans accès au code source pour les utilisateurs tiers. Les nouvelles fonctionnalités (WireGuard natif, support des NIC récentes, mises à jour de sécurité prioritaires) arrivent d’abord sur Plus, puis éventuellement sur CE avec un délai variable. Pour utiliser pfSense Plus légalement sur du matériel non-Netgate, il faut souscrire à TAC Lite à 129 dollars par an. Cela change fondamentalement la proposition de valeur pour les PME françaises habituées à la gratuité totale de pfSense. De plus, Netgate est une société américaine, soumise au CLOUD Act et aux injonctions des tribunaux américains, contrairement à Deciso basée aux Pays-Bas et soumise au droit européen.
Interface utilisateur : menu latéral moderne contre menu supérieur classique
L’interface est souvent le premier argument cité dans les discussions entre utilisateurs. Ce n’est pas un détail cosmétique : une interface bien conçue réduit le temps de configuration, diminue les erreurs de paramétrage et facilite l’onboarding de nouveaux administrateurs.
OPNsense : navigation latérale et recherche globale
OPNsense utilise une barre de navigation latérale de style Bootstrap, inspirée des interfaces SaaS modernes. Tous les menus sont accessibles depuis le côté gauche, avec des sous-menus déroulants clairs et logiquement organisés. Un champ de recherche global permet de trouver n’importe quelle option de configuration en quelques caractères tapés, ce qui est précieux sur une plateforme avec des centaines de paramètres. L’utilisateur actuellement connecté est toujours visible dans l’en-tête de l’interface, un détail d’ergonomie que pfSense n’offre pas (il faut survoler le bouton de déconnexion pour voir l’identifiant actuel).
Le tableau de bord d’OPNsense propose 17 widgets par défaut : usage CPU, état des interfaces, trafic en temps réel, journaux système, Monit, et d’autres. On peut en ajouter via les plugins. La disposition en colonnes (de 1 à 6) est configurable, et chaque widget permet de masquer ou d’afficher des sous-éléments spécifiques pour afficher uniquement les informations pertinentes à votre contexte. Le rapport DNS Unbound intégré au tableau de bord est particulièrement apprécié pour surveiller les requêtes et détecter des comportements anormaux.
pfSense : menu supérieur éprouvé, 22 widgets natifs
pfSense conserve une navigation par menu horizontal en haut de page, un paradigme des années 2000 qui reste parfaitement fonctionnel pour les administrateurs qui le connaissent. pfSense propose 22 widgets par défaut, soit 5 de plus qu’OPNsense : état du portail captif, état du miroir GEOM, statut Dynamic DNS, packages installés et statut SMART. Ces widgets absents d’OPNsense de base (mais disponibles via plugins) témoignent d’une approche plus inclusive d’emblée pour les déploiements avancés avec redondance de stockage ou portail captif hôtelier.
La grande différence fonctionnelle concerne la configuration des VLANs. Sur OPNsense, créer un VLAN, lui assigner une interface et configurer le DHCP prend environ 5 étapes dans la barre latérale, avec un workflow intuitif. Sur pfSense CE, le même workflow nécessite de jongler entre plusieurs menus du bandeau supérieur (Interfaces, Services, Firewall) qui ne sont pas visuellement connectés. Ce n’est pas bloquant pour un administrateur expérimenté, mais sur une configuration multi-VLAN avec 10 à 20 segments différents, l’ergonomie d’OPNsense économise un temps mesurable et réduit les risques d’erreur de configuration.
Benchmarks de performance : 940 Mbps testés sur matériel identique en 2026
Les débats en ligne sur les performances de pfSense versus OPNsense génèrent beaucoup de bruit et peu de signal. La plupart des comparaisons manquent de rigueur méthodologique : matériels différents, configurations différentes, trafic non comparable. Les données présentées ici proviennent d’un test publiés sur diymediaserver.com en janvier 2026, réalisé sur du matériel rigoureusement identique pour les deux plateformes.
Configuration de test : Intel Core i5-8500 (6 cœurs, 3 GHz), 16 Go de RAM DDR4, cartes réseau Intel i350-T4 (quatre ports GbE), stockage SSD SATA. Les deux systèmes ont été installés en configuration par défaut, avec les mêmes règles de base, puis testés avec iperf3 pour le débit brut et des flux HTTP pour les tests IDS.
| Scénario de test | OPNsense | pfSense CE | Écart |
|---|---|---|---|
| Routage WAN-LAN brut (débit max) | 940 Mbps | 938 Mbps | 2 Mbps (0,2 %) |
| VPN WireGuard (ChaCha20-Poly1305) | 720 Mbps | 710 Mbps | 10 Mbps (1,4 %) |
| VPN OpenVPN (AES-256-GCM) | 380 Mbps | 375 Mbps | 5 Mbps (1,3 %) |
| IDS Suricata actif (3 rulesets) | 680 Mbps | 670 Mbps | 10 Mbps (1,5 %) |
| Impact IDS sur le débit | -27 % | -28 % | Identique |
La conclusion est sans ambiguïté : la différence de performance entre OPNsense et pfSense CE est statistiquement négligeable dans tous les scénarios testés. Les 2 Mbps d’écart en routage brut et les 10 Mbps d’écart en WireGuard ne se traduisent par aucune différence perceptible pour les utilisateurs finaux. En revanche, l’activation de Suricata IDS fait chuter le débit d’environ 27 à 28 % sur les deux plateformes : voilà le vrai goulot d’étranglement. Sur ce point, c’est le matériel (nombre de cœurs CPU, fréquence) qui détermine les performances, pas le choix du système d’exploitation.
Pour les déploiements dépassant 1 Gbps symétrique ou nécessitant IDS/IPS actif sur des liens 10 Gbps, le choix du matériel pèse 10 fois plus lourd que la différence entre OPNsense et pfSense. Un processeur Intel Core i7 de 12e génération avec des cartes Intel X550-T2 (10 GbE) et OPNsense ou pfSense dépassera aisément les 5 Gbps en routage pur. L’outil Nmap permet d’auditer les performances réseau et la surface d’attaque de votre infrastructure après déploiement.
Sécurité et mises à jour : bi-hebdomadaires contre cadence imprévisible
La cadence des mises à jour est l’argument le plus clivant entre les deux communautés, et probablement le plus important pour une organisation soucieuse de la sécurité en 2026. La gestion des CVE (vulnérabilités et expositions communes) sur un pare-feu en production ne tolère pas les retards.
OPNsense : la rigueur du calendrier. Deciso publie deux versions majeures par an, en janvier et en juillet, avec un numérotage prévisible (25.1, 25.7, 26.1, 26.7…). Entre ces sorties, des mises à jour de sécurité et de maintenance paraissent toutes les deux semaines. Les changelogs sont détaillés, les guides de migration accompagnent chaque version majeure, et les plugins sont mis à jour indépendamment du noyau. Concrètement, quand FreeBSD corrige une CVE critique, OPNsense intègre le patch dans les jours suivants. Les mises à jour s’effectuent en 2 à 3 minutes depuis l’interface graphique.
pfSense CE : la vitesse variable. Netgate ne publie pas de calendrier de mises à jour pour pfSense CE. En pratique, les correctifs de sécurité arrivent d’abord sur pfSense Plus, puis sont portés sur CE avec un délai variable, parfois de plusieurs semaines. Tom Lawrence (Lawrence Systems), expert réseau reconnu avec 300 000 abonnés YouTube et l’un des référents techniques indépendants sur pfSense, documente dans ses forums des cas où OPNsense a corrigé des CVE FreeBSD des jours avant pfSense CE, malgré la perception inverse dans certains cercles de la communauté. Il recommande de vérifier systématiquement le statut des correctifs sur les deux plateformes avant de généraliser une conclusion.
OPNsense sur FreeBSD 13, pfSense CE sur FreeBSD 12. Cette différence de version sous-jacente a des conséquences concrètes sur la sécurité. FreeBSD 13 a reçu des améliorations importantes du noyau, notamment sur la gestion de la mémoire, le support des architectures modernes et les pilotes réseau. pfSense CE sur FreeBSD 12 peut manquer de correctifs kernel disponibles sur FreeBSD 13. Cette situation n’est pas critique pour la majorité des déploiements actuels, mais elle représente une dette technique croissante. pfSense Plus, lui, utilise FreeBSD 13+ et n’a pas ce problème.
Pour les organisations soumises au RGPD et à la directive NIS2 (applicable en France depuis octobre 2024), la capacité à documenter un calendrier de correctifs et à prouver une réactivité face aux CVE est une exigence de conformité. La régularité d’OPNsense facilite cet exercice. Comparez avec l’approche TLS 1.3 contre TLS 1.2 : un protocole non corrigé devient rapidement un vecteur d’attaque, et un pare-feu doit être maintenu avec la même rigueur que les serveurs qu’il protège.
WireGuard et VPN : natif contre package installable
WireGuard est devenu le protocole VPN de référence en 2025-2026, supplantant OpenVPN pour la majorité des cas d’usage grâce à son code minimal (moins de 4 000 lignes contre 600 000 pour OpenVPN) et ses performances supérieures. Les benchmarks 2026 confirment : 720 Mbps en WireGuard contre 380 Mbps en OpenVPN sur le même matériel, soit un avantage de 89 % en faveur de WireGuard.
OPNsense et WireGuard natif. Depuis la version 21.1, OPNsense intègre WireGuard directement dans son noyau, sans installation de package supplémentaire. La configuration s’effectue entièrement via l’interface graphique avec génération automatique des clés (Curve25519), gestion des peers, routage des subnets et intégration transparente dans les règles de pare-feu. La cohérence de la configuration WireGuard avec le reste de l’interface OPNsense est un vrai atout : pas besoin de jongler entre l’interface graphique et des fichiers de configuration manuels.
pfSense CE et WireGuard via package. pfSense CE propose WireGuard sous forme de package installable depuis le gestionnaire de packages officiel. La fonctionnalité est stable et recommandée en production depuis 2022, après une période tumultueuse où WireGuard avait été intégré puis retiré du noyau pfSense en raison de préoccupations techniques. La différence pratique avec OPNsense est minime pour l’usage quotidien, mais lors des mises à jour majeures du système, les packages peuvent nécessiter une réinstallation ou une vérification manuelle. pfSense Plus inclut WireGuard nativement, au même titre qu’OPNsense.
IPsec et OpenVPN. Les deux plateformes supportent IPsec IKEv2 et OpenVPN avec les mêmes options de chiffrement. Pour les tunnels site-à-site avec des équipements tiers (Cisco, Fortinet, Palo Alto), les deux se comportent de manière identique. La gestion des certificats PKI pour OpenVPN est légèrement plus intuitive sur OPNsense grâce à l’intégration du gestionnaire de certificats directement dans l’interface principale. Notre guide WireGuard Linux détaille la configuration des clients sur les endpoints desservis par ces pare-feux.
IDS/IPS avec Suricata : intégration native contre package fonctionnel
La détection et prévention d’intrusion (IDS/IPS) distingue un simple routeur NAT d’un pare-feu professionnel. Les deux plateformes supportent Suricata, le moteur IDS/IPS open source le plus utilisé en entreprise, mais avec des différences d’intégration significatives qui impactent la facilité d’administration quotidienne.
OPNsense et Suricata natif. Sur OPNsense, Suricata est un composant de première classe intégré au coeur de l’interface. Il s’active en quelques clics et génère des rapports graphiques en temps réel : taux d’alertes par règle, géolocalisation des sources, flux bloqués avec détail de la règle déclenchante. La gestion des rulesets (Emerging Threats Open, ET Pro, OISF Community) se fait entièrement depuis l’interface sans toucher au terminal. OPNsense intègre également Zenarmor (anciennement Sensei), un moteur NGFW (Next Generation Firewall) avec inspection applicative de couche 7 : il bloque les applications non autorisées par politique (TikTok, Telegram, BitTorrent) plutôt que par simple numéro de port, ce que Suricata seul ne peut pas faire.
pfSense et Suricata en package. Sur pfSense CE, Suricata s’installe via le gestionnaire de packages. L’installation est simple (un clic), mais l’intégration dans l’interface est moins profonde. Les rapports sont disponibles mais plus techniques qu’OPNsense. pfSense offre une alternative intéressante : Snort, avec accès aux règles commerciales VRT (Vulnerability Research Team) de Cisco/Sourcefire, particulièrement pertinentes pour les organisations avec des contrats de règles existants. Ce choix entre Suricata et Snort est une vraie flexibilité que pfSense apporte par rapport à OPNsense, qui se concentre sur Suricata.
Quel que soit le système, l’impact des IDS/IPS sur le débit est significatif et similaire sur les deux plateformes (-27 % avec 3 rulesets). Pour maintenir des performances élevées sous inspection profonde des paquets, il faut passer à au moins un processeur 6 cœurs de génération récente. L’analyse Wireshark complète parfaitement la supervision IDS pour une capture en profondeur des paquets suspects que Suricata aurait signalés.
Configuration matérielle requise et compatibilité des cartes réseau
La compatibilité matérielle est l’angle mort de la plupart des comparaisons en ligne. Elle peut transformer un déploiement prometteur en cauchemar de pilotes, notamment sur du matériel récent avec des interfaces réseau de nouvelle génération.
| Scénario d’usage | CPU recommandé | RAM | Stockage |
|---|---|---|---|
| Homelab, <500 Mbps sans IDS | Intel Celeron N5105 ou Atom N100 | 4 Go DDR4 | 16 Go SSD |
| PME, 1 Gbps sans IDS | Intel Core i3-12100 (4 cœurs) | 8 Go DDR4 | 32 Go SSD |
| PME, 1 Gbps avec Suricata actif | Intel Core i5-12500 (6 cœurs) | 16 Go DDR4 | 64 Go SSD |
| ETI, 5-10 Gbps sans IDS | Intel Xeon E-2300 ou Core i9-12900 | 32 Go DDR4 ECC | 128 Go NVMe |
| Centre de données, 10 Gbps avec IDS | Intel Xeon Silver 4314 (16 cœurs) | 64 Go DDR4 ECC | 256 Go NVMe RAID |
Le problème critique des NIC 2,5G sur pfSense CE. pfSense CE tourne sur FreeBSD 12, qui ne supporte pas nativement les pilotes des interfaces réseau 2,5G Realtek les plus récentes (RTL8125B, RTL8156). Ces interfaces sont très courantes sur les cartes mères récentes (Intel série 700, AMD X670) et les mini-PC N100 populaires en homelab. Si votre matériel utilise ces interfaces, vous aurez des problèmes de connectivité ou des performances dégradées sur pfSense CE. OPNsense, basé sur FreeBSD 13, inclut ces pilotes nativement. pfSense Plus résout ce problème en utilisant également FreeBSD 13, mais au coût de la licence annuelle.
La recommandation universelle : Intel plutôt que Realtek. Les deux communautés s’accordent sur un point : utiliser des cartes Intel (i210, i350, X550) plutôt que Realtek pour toute installation sérieuse. Les cartes Intel bénéficient de pilotes FreeBSD stables depuis des années, d’une meilleure gestion des interruptions multiqueue et d’une empreinte CPU plus faible sous charge. Sur le marché de l’occasion (Amazon, eBay, AliExpress), des cartes PCIe Intel i350-T4 (4 ports GbE) se trouvent entre 40 et 80 euros, un investissement rentable sur la durée.
Pour les déploiements virtualisés sur Proxmox, VMware ESXi ou Hyper-V, les deux plateformes fonctionnent parfaitement en VM avec des interfaces VirtIO ou en passthrough PCIe pour les cartes physiques. OPNsense est particulièrement bien documenté dans la communauté Proxmox. Pour un déploiement cloud (AWS, Azure), pfSense Plus offre des AMI officielles et des intégrations natives absentes d’OPNsense.
Plugins et écosystème : 80 officiels signés contre pfBlockerNG star
L’écosystème de plugins détermine souvent le choix final pour les utilisateurs avancés. Les deux plateformes proposent des extensions, mais avec des philosophies très différentes sur la curation, la sécurité de la chaîne d’approvisionnement et la maintenance à long terme.
OPNsense : 80 plugins officiels signés. Deciso maintient un dépôt officiel de plus de 80 plugins signés cryptographiquement, couvrant : HAProxy (équilibreur de charge avec SSL offload pour les serveurs internes), Siproxd (proxy SIP pour la VoIP derrière NAT), Telegraf (métriques pour InfluxDB/Grafana), ntopng (analyse de flux réseau en temps réel), Stunnel (tunnel SSL générique), Maltrail (détection de trafic malveillant basé sur des listes noires), et bien d’autres. Chaque plugin est auditable, maintenu par l’équipe Deciso ou des partenaires vérifiés, et mis à jour indépendamment du noyau principal. La signature cryptographique garantit l’authenticité et réduit le risque d’attaque par supply chain, un vecteur de plus en plus exploité comme l’ont montré les attaques npm en 2026.
pfSense : pfBlockerNG et l’écosystème communautaire. pfSense propose de nombreux packages via son gestionnaire intégré : pfBlockerNG, Squid/SquidGuard, Snort, ntopng, Telegraf, ACME (certificats Let’s Encrypt automatiques), et d’autres. La différence clé est que tous ne sont pas maintenus directement par Netgate, certains dépendant de contributeurs externes. pfBlockerNG est de loin le package le plus célèbre et le plus utilisé de l’écosystème pfSense : un bloqueur de publicités et de listes noires IP extrêmement puissant, avec des fonctionnalités de géoblocage par pays, de DNSBL (blocage DNS), de whitelists, et de gestion avancée des feeds IP. Pour les administrateurs home/prosumer qui l’utilisent comme bloqueur de publicités réseau (alternative à Pi-hole), pfBlockerNG sur pfSense n’a pas d’équivalent aussi complet et mature sur OPNsense.
Pour une organisation cherchant à déployer rapidement des fonctionnalités avancées avec un minimum de configuration manuelle, l’écosystème OPNsense est globalement plus accessible et plus sécurisé par conception (signature des packages). Pour les administrateurs qui maîtrisent déjà pfBlockerNG et souhaitent conserver ses capacités, la migration vers OPNsense nécessite un apprentissage de l’équivalent partiel qu’offre OPNsense via ses DNS Blocklists et plugins de filtrage.
Tableau de tarification : gratuit, 129 $ TAC Lite, et appliances dédiées
| Produit | Coût logiciel/an | Support inclus | Mises à jour | Profil cible |
|---|---|---|---|---|
| OPNsense (matériel tiers) | 0 € | Communauté forums | Bi-hebdomadaires | Homelab, PME autonomes |
| OPNsense Business Edition | ~595 €/an | Support Deciso direct | En avance sur communauté | ETI, MSP, revendeurs |
| pfSense CE (matériel tiers) | 0 € | Forums Netgate | Irrégulières | Homelab, legacy |
| pfSense Plus (matériel tiers) | 129 $/an (TAC Lite) | Support Netgate basique | ~3 sorties/an | PME voulant support Netgate |
| Appliance Netgate 4200 | ~595 $ (HW inclus) | pfSense Plus inclus | Plus inclus | PME plug-and-play |
| Appliance Deciso DEC670 | ~350 € (HW inclus) | Business inclus | Business inclus | SOHO professionnel |
La OPNsense Business Edition mérite une explication détaillée. Deciso propose une version payante qui n’est pas techniquement différente de la version communautaire sur le plan des fonctionnalités, mais qui donne accès aux mises à jour 3 mois avant leur publication officielle, à un support technique direct avec des délais de réponse garantis, et à un dépôt de packages étendu avec des plugins additionnels à usage commercial. C’est le modèle économique de Red Hat appliqué aux pare-feux open source : le code reste entièrement ouvert, Deciso vend le service d’accompagnement. Ce modèle préserve la pérennité du projet et l’ouverture du code sans compromettre la viabilité commerciale de l’éditeur.
Pour les DSI et directeurs informatiques français cherchant à justifier un budget, la comparaison pfSense Plus (documenté sur pfsense.org) vs OPNsense Business donne un avantage clair à OPNsense : prix comparable (129 $ vs ~595 € pour les licences annuelles avec support), mises à jour plus fréquentes, licence entièrement ouverte et éditeur soumis au droit européen. Pour un MSP gérant 50 sites clients, l’absence totale de licensing per-device sur OPNsense (même la Business Edition ne facture pas par appliance déployée) représente une économie significative sur un parc de déploiements.
Cinq exemples concrets : quand chaque solution l’emporte
Les benchmarks et listes de fonctionnalités ne remplacent pas des situations réelles. Voici cinq contextes qui illustrent concrètement quand chaque solution s’impose.
1. PME e-commerce, 30 postes, conformité PCI-DSS. Une boutique en ligne hébergeant des paiements doit segmenter son réseau en VLANs (terminaux de paiement, bureaux, serveurs, invités) et activer l’IDS pour détecter les tentatives d’exfiltration de données de carte. OPNsense s’impose : Suricata natif avec rapports graphiques, Zenarmor pour l’inspection applicative bloquant les applications non autorisées, mises à jour bi-hebdomadaires réduisant la fenêtre d’exposition aux CVE. La conformité PCI-DSS exige une documentation des correctifs de sécurité et la preuve d’une réactivité face aux vulnérabilités, facilement produite avec l’historique détaillé des changelogs OPNsense.
2. Homelab technicien, connexion PPPoE FTTH 2 Gbps. Un ingénieur réseau avec une fibre Orange ou Bouygues en PPPoE veut maximiser son débit. pfSense CE ou pfSense Plus s’impose. Le driver PPPoE multi-cœur de pfSense exploite tous les threads CPU disponibles simultanément, là où OPNsense est limité à un seul cœur pour le traitement PPPoE. Sur une connexion FTTH 2 Gbps, cette limitation peut représenter 400 à 600 Mbps de débit effectif perdu sur OPNsense. C’est le seul scénario où le choix de la plateforme a un impact de performance mesurable et significatif dans un usage réel.
3. Collectivité locale, 200 postes, conformité ANSSI. Les collectivités territoriales françaises sont de plus en plus ciblées par les ransomwares et les attaques APT. L’ANSSI recommande explicitement les solutions open source auditables dans ses guides de sécurisation des systèmes d’information. OPNsense avec sa licence BSD 2 clauses répond parfaitement à ce critère : l’intégralité du code source est vérifiable sur GitHub, sans exception. L’API REST d’OPNsense facilite l’intégration avec des outils de conformité NIS2 et de reporting vers l’ANSSI. La localisation européenne de Deciso (Pays-Bas) évite les problèmes de compétence juridique américaine que soulève Netgate.
4. MSP gérant 20 sites clients, budget contraint. Un prestataire informatique déployant des pare-feux pour des PME clientes a besoin d’un système standardisable, maintenu et sans coût de licence par site. OPNsense s’impose avec son API REST complète (permettant l’automatisation des déploiements via Ansible ou Terraform), ses templates de configuration exportables et son absence totale de licensing per-device même en usage commercial. pfSense CE serait viable, mais les mises à jour irrégulières compliquent la gestion de parc. pfSense Plus à 129 $/site/an devient onéreux dès 10 sites, représentant 1 290 $ de licences annuelles pour des fonctionnalités disponibles gratuitement sur OPNsense.
5. Développeur DevSecOps, tunnel VPN inter-VPS. Un développeur souhaitant créer un maillage WireGuard entre son bureau et plusieurs VPS Hetzner ou OVHcloud n’a pas besoin d’un pare-feu physique dédié. Les deux solutions tournent en VM légère sur Proxmox ou comme instance dans un VPS basique (2 vCPUs, 2 Go RAM suffisent). Pour ce cas, le choix est purement esthétique : préférez-vous l’interface moderne d’OPNsense ou la familiarité de pfSense ? Les deux configurations WireGuard prennent moins de 20 minutes. La configuration côté clients est détaillée dans notre guide WireGuard Linux.
Avis d’experts et consensus communautaire en 2026
La communauté des administrateurs réseau est divisée, mais des tendances claires émergent en 2026 qui orientent les nouvelles installations vers OPNsense.
Tom Lawrence (Lawrence Systems), l’un des créateurs de contenu réseau les plus suivis en anglais avec 300 000 abonnés YouTube et des décennies d’expérience en administration réseau professionnelle, maintient une position nuancée sur la sécurité comparative. Dans ses forums publics, il documente des cas où les délais de correctifs entre les deux plateformes sont plus complexes qu’il n’y paraît, et recommande de toujours vérifier le statut des CVE spécifiques sur chaque projet avant de generaliser. Il ne recommande pas un projet contre l’autre mais souligne que les deux restent des solutions solides et matures.
La communauté Level1Techs, forum technique de référence pour les professionnels IT et passionnés hardware, résume le consensus 2026 ainsi : “pfSense et OPNsense sont tous les deux la référence absolue pour un OS de routeur/pare-feu. OPNsense reçoit des mises à jour beaucoup plus fréquentes.” Cette formulation capture l’essentiel de la situation actuelle.
Reddit r/homelab en 2026. Dans les discussions récentes du subreddit homelab (plus de 500 000 membres), la majorité des nouvelles installations recommandées sont OPNsense, notamment pour la clarté de la roadmap open source et la confiance dans Deciso en tant que société européenne. Un commentaire régulièrement mis en avant résume bien la tendance : “OPNsense est plus friendly pour le homelab, la version gratuite est la plus à jour. L’interface est plus moderne et les mises à jour arrivent plus souvent.”
Les voix qui restent sur pfSense. Un contingent d’utilisateurs reste fidèle à pfSense CE ou Plus, souvent pour trois raisons précises : la maîtrise de pfBlockerNG (dont l’équivalent OPNsense est moins complet), les connexions PPPoE haute vitesse, et des configurations héritées stables depuis des années. Ces arguments sont légitimes et ne devraient pas être ignorés. La règle d’or : si quelque chose fonctionne parfaitement en production depuis 3 ans, la migration vers OPNsense implique un coût de réapprentissage et un risque opérationnel réel que toutes les organisations ne peuvent ou ne veulent pas assumer.
Guide de migration de pfSense vers OPNsense
La migration de pfSense vers OPNsense est réalisable en un week-end pour la majorité des configurations. Voici les étapes clés et les pièges à éviter, issus des retours d’expérience de la communauté et des migrations documentées en 2026.
Étape 1 : documenter et sauvegarder pfSense
Avant toute migration, documentez exhaustivement votre configuration pfSense existante par captures d’écran ou notes : interfaces (noms, adresses IP, VLAN IDs), règles de pare-feu (entrées et sorties par interface), configuration VPN (clés WireGuard, peers, routes, clés OpenVPN), règles NAT (NAT 1-to-1, port forwarding), serveurs DHCP avec baux statiques (adresses MAC et IPs réservées), et packages installés avec leurs configurations. Exportez la configuration complète via Diagnostics > Backup & Restore. Ce fichier XML ne s’importe pas directement dans OPNsense (formats incompatibles), mais sert de référence documentaire indispensable. Exportez également tous les certificats et autorités de certification via System > Certificate Manager : OPNsense peut les importer directement.
Étape 2 : installer OPNsense et reconfigurer
Téléchargez l’image OPNsense depuis opnsense.org (image dvd pour une installation sur SSD, image nano pour stockage sur carte SD ou flash). L’installation prend moins de 10 minutes sur un SSD. OPNsense détectera automatiquement vos cartes réseau Intel lors du premier démarrage. Assignez WAN et LAN dans l’assistant initial, accédez à l’interface web sur 192.168.1.1 (identifiant: root, mot de passe par défaut: opnsense, à changer immédiatement). Reconfigurez dans l’ordre logique : interfaces et VLANs, puis DHCP avec import des baux statiques, puis DNS (Unbound recommandé), puis règles de pare-feu interface par interface, puis VPN WireGuard/OpenVPN, et enfin plugins additionnels. Procédez par section logique plutôt que de tout reconfigurer en une fois pour faciliter le debugging.
Étape 3 : tester et basculer proprement
Si votre matériel le permet, testez OPNsense en parallèle sur un deuxième appareil avant la bascule. Sinon, planifiez la migration un samedi soir avec une fenêtre de maintenance annoncée aux utilisateurs. Testez systématiquement : ping vers Internet depuis chaque VLAN, résolution DNS pour des domaines internes et externes, accès VPN depuis l’extérieur avec un client de test, règles inter-VLAN selon votre politique de sécurité, et les applications métier critiques (ERP, serveurs de fichiers, cloud interne). Conservez pfSense bootable sur un support USB pendant au moins deux semaines pour un rollback rapide si nécessaire. Utilisez Wireshark pour valider que la segmentation réseau est correctement appliquée après migration, et Nmap pour vérifier que les ports ouverts correspondent exactement à ce que vous attendez.
Erreurs fréquentes à éviter : oublier de recréer les règles NAT spécifiques pour les DMZ ou les serveurs exposés ; ne pas tester les tunnels IPsec site-à-site avec les équipements distants avant la bascule (ils nécessitent souvent des ajustements de paramètres IKE/ESP) ; négliger de configurer la protection brute-force sur l’interface d’administration dès le premier jour ; et sous-estimer le temps de reconfiguration des règles de pare-feu complexes si vous n’avez pas de documentation à jour de votre config pfSense.
Verdict : quel pare-feu open source choisir selon votre profil en 2026
La réponse directe : OPNsense pour la grande majorité des nouveaux déploiements en 2026. Mais la réponse complète est plus nuancée que cette simplification.
| Profil d’utilisateur | Recommandation | Raison principale |
|---|---|---|
| Nouveau déploiement sans contrainte | OPNsense | Mises à jour fréquentes, UI moderne, WireGuard natif, FreeBSD 13 |
| Connexion PPPoE > 500 Mbps (FTTH) | pfSense CE ou Plus | PPPoE multi-cœur indispensable pour maximiser le débit |
| Utilisateur pfBlockerNG avancé | pfSense CE | pfBlockerNG sans équivalent direct et aussi complet sur OPNsense |
| Organisation soumise NIS2/RGPD/ANSSI | OPNsense | Licence BSD ouverte, société européenne (Deciso NL), code auditable |
| MSP gérant plusieurs sites | OPNsense | API REST complète, zéro licensing per-device même en commercial |
| Matériel avec NIC 2,5G récent (Realtek) | OPNsense | FreeBSD 13 requis pour pilotes NIC récentes |
| Configuration pfSense existante stable | Garder pfSense CE | Coût/risque de migration injustifié si tout fonctionne |
OPNsense remporte la comparaison sur la transparence du code, la cadence de maintenance, la modernité de l’intégration des fonctionnalités et l’ancrage européen de Deciso. pfSense CE reste pertinent pour les déploiements existants stables, les connexions PPPoE haute vitesse et les utilisateurs qui tirent pleinement parti de pfBlockerNG. pfSense Plus a perdu une grande partie de son attrait depuis qu’OPNsense Business Edition offre une proposition comparable à prix similaire, mais avec une licence entièrement ouverte.
La vraie question à se poser n’est pas “pfSense ou OPNsense” mais “est-ce que mon pare-feu est correctement maintenu et configuré ?” Les deux solutions sont infiniment supérieures à un routeur grand public ou à un pare-feu propriétaire mal patché. La gestion du pare-feu ne se limite pas au choix du logiciel : les règles doivent être auditées trimestriellement, les certificats SSL renouvelés avant expiration, les logs analysés pour détecter les comportements anormaux. Notre guide OpenSSL et certificats couvre la gestion complète de la PKI sur ces plateformes.
Couverture connexe sur shattered.io
Lectures recommandées
- FortiBleed : 75 000 pare-feux Fortinet piratés par un groupe russe dans 194 pays [2026]
- TLS 1.3 vs TLS 1.2 : 40 % plus rapide, 5 CVE de moins [2026]
- Wireshark : analyser le trafic réseau en 12 étapes [2026]
- Nmap : scanner un réseau en 12 étapes, 30 min [2026]
- VPN WireGuard sur Linux : configuration complète en 12 étapes [2026]
- Cyber Resilience Act : 3 échéances, 15 M€ d’amende pour la France [2026]
FAQ : questions fréquentes sur pfSense et OPNsense
OPNsense est-il plus sécurisé que pfSense en 2026 ?
Les deux plateformes ont un bilan de sécurité solide sans compromission majeure de leur infrastructure de distribution connue à ce jour. OPNsense bénéficie d’un avantage structurel en 2026 grâce à ses mises à jour bi-hebdomadaires (fenêtre d’exposition aux CVE FreeBSD réduite), à sa base FreeBSD 13 (version noyau plus récente avec plus de correctifs) et à ses plugins signés cryptographiquement (réduction du risque supply chain). pfSense Plus rattrape partiellement ce retard avec ses ressources commerciales, mais pfSense CE accuse un décalage notable. Aucune des deux n’offre cependant de garanties absolues : la sécurité d’un pare-feu dépend autant de sa configuration et de sa maintenance que du logiciel lui-même.
pfSense est-il encore vraiment gratuit en 2026 ?
pfSense CE reste gratuit en 2026 sous licence Apache 2.0. Cependant, pfSense Plus, la version avec les fonctionnalités les plus récentes (WireGuard natif, pilotes NIC modernes, mises à jour prioritaires), nécessite soit du matériel Netgate, soit une licence TAC Lite à 129 dollars par an pour fonctionner légalement sur du matériel tiers. La gratuité totale de pfSense concerne donc uniquement la branche CE, qui reçoit les correctifs moins rapidement que Plus. OPNsense reste entièrement gratuit sur n’importe quel matériel tiers, avec les mêmes fonctionnalités que la version payante Business Edition, simplement avec un support communautaire.
Peut-on migrer de pfSense vers OPNsense sans perdre sa configuration ?
Pas via un import direct : les formats de configuration XML des deux plateformes sont incompatibles. La migration nécessite de reconfigurer OPNsense manuellement en utilisant la sauvegarde pfSense comme référence documentaire. Pour une configuration simple (WAN, LAN, quelques règles, un VPN WireGuard), comptez 2 à 4 heures. Pour une configuration complexe avec de nombreux VLANs, des tunnels IPsec multi-sites et des packages avancés, prévoyez un weekend complet avec une fenêtre de maintenance. Les certificats PKI exportés depuis pfSense peuvent être importés directement dans OPNsense sans régénération.
OPNsense fonctionne-t-il sur du matériel Netgate (appliances pfSense) ?
Oui, OPNsense fonctionne parfaitement sur les appliances Netgate (SG-1100, SG-2100, SG-4100, XG-7100…) car elles reposent sur du matériel FreeBSD standard non verrouillé. Netgate ne restreint pas son matériel à pfSense logiciellement. Installer OPNsense sur une appliance Netgate annule la garantie matérielle Netgate, mais c’est techniquement réalisable et légal. L’opération inverse est également possible : pfSense CE fonctionne sur les appliances Deciso.
Quelle est la différence concrète entre Suricata sur OPNsense et pfSense ?
Fonctionnellement, les deux utilisent le même moteur Suricata open source avec les mêmes rulesets et les mêmes performances (-27 % de débit sous inspection, identique sur les deux). La différence est l’intégration : sur OPNsense, Suricata est un composant natif avec des rapports graphiques intégrés à l’interface principale, une gestion des rulesets via GUI et une connexion avec Zenarmor pour l’inspection applicative L7. Sur pfSense, Suricata est un package tiers avec une interface moins intégrée visuellement. pfSense propose également Snort comme alternative si vous avez des règles VRT commerciales Cisco/Sourcefire existantes.
Lequel recommander pour une PME française en 2026 soumise au RGPD ?
OPNsense pour la majorité des PME françaises en 2026. Les arguments convergent : mises à jour fréquentes répondant aux exigences de réactivité NIS2/RGPD, licence BSD entièrement transparente, société éditrice européenne (Deciso, Pays-Bas) non soumise au CLOUD Act américain, et absence de per-seat licensing facilitant la scalabilité. Pour les PME avec connexions PPPoE haute vitesse ou une configuration pfSense déjà en production et stable depuis plusieurs années, conserver pfSense CE est également une décision raisonnable. Dans tous les cas, un pare-feu dédié correctement configuré et maintenu, qu’il soit OPNsense ou pfSense, est non négociable pour toute organisation traitant des données personnelles soumises au RGPD.
pfSense ou OPNsense en machine virtuelle sur Proxmox ?
Les deux fonctionnent très bien en VM sur Proxmox VE, VMware ESXi et Hyper-V. Utilisez des interfaces réseau VirtIO pour les performances maximales en virtualisation, ou configurez le passthrough PCIe direct de vos cartes Intel physiques pour éliminer complètement la couche de virtualisation réseau. OPNsense est particulièrement bien documenté dans la communauté Proxmox avec de nombreux guides de déploiement LXC et VM. Pour un déploiement cloud public (AWS, Azure, GCP), pfSense Plus propose des AMI et images officielles avec intégrations cloud natives qui n’existent pas nativement pour OPNsense.
