{"id":252,"date":"2026-06-19T12:29:50","date_gmt":"2026-06-19T12:29:50","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/19\/pfsense-vs-opnsense\/"},"modified":"2026-06-19T12:45:10","modified_gmt":"2026-06-19T12:45:10","slug":"pfsense-vs-opnsense","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/19\/pfsense-vs-opnsense\/","title":{"rendered":"pfSense vs OPNsense : gratuit, 940 Mbps, BSD vs Apache [2026]"},"content":{"rendered":"\n

pfSense et OPNsense partagent le m\u00eame ADN FreeBSD, la m\u00eame base de code d’origine, et pourtant ils ont suivi des chemins radicalement diff\u00e9rents depuis 2015. En 2026, choisir entre les deux n’est plus une question de performance (l’\u00e9cart est de 2 Mbps sur 940 Mbps mesur\u00e9s sur mat\u00e9riel identique), mais de philosophie : mises \u00e0 jour bi-hebdomadaires contre rythme impr\u00e9visible, licence BSD enti\u00e8rement ouverte contre mod\u00e8le freemium ferm\u00e9, interface moderne contre menu classique \u00e9prouv\u00e9. Ce guide compare les deux sur 12 crit\u00e8res avec des chiffres r\u00e9els issus de benchmarks 2026, des cas d’usage concrets et un verdict par profil d’utilisateur.<\/p>\n\n\n\n

Deux fork FreeBSD, deux philosophies oppos\u00e9es<\/h2>\n\n\n\n

OPNsense est n\u00e9 en janvier 2015, lorsque Deciso B.V., une soci\u00e9t\u00e9 n\u00e9erlandaise sp\u00e9cialis\u00e9e en r\u00e9seau et s\u00e9curit\u00e9, a fork\u00e9 pfSense pour en corriger les lacunes per\u00e7ues : cadence de mises \u00e0 jour trop lente, interface dat\u00e9e et pr\u00e9occupations sur la gouvernance du projet. Deciso a conserv\u00e9 l’architecture FreeBSD mais a r\u00e9\u00e9crit l’interface compl\u00e8te et adopt\u00e9 un cycle de publication pr\u00e9visible d\u00e8s le d\u00e9part. En 2026, moins de 10 % du code d’origine de pfSense subsiste dans OPNsense, selon la documentation officielle du projet. Le d\u00e9veloppeur principal d’OPNsense est \u00e9galement un committer actif sur le projet FreeBSD, ce qui rapproche OPNsense de l’\u00e9volution du noyau en amont.<\/p>\n\n\n\n

pfSense, lui, a vu le jour en 2004 sous l’impulsion de Chris Buechler et Scott Ullrich, toujours sur une base FreeBSD. Netgate, soci\u00e9t\u00e9 texane, a rachet\u00e9 le projet en 2014 et l’a scind\u00e9 en deux branches distinctes depuis 2021 : pfSense CE (Community Edition), gratuit et open source sous licence Apache 2.0, et pfSense Plus, propri\u00e9taire et r\u00e9serv\u00e9 au mat\u00e9riel Netgate ou aux abonnements payants \u00e0 129 dollars par an. Cette bifurcation est au c\u0153ur du d\u00e9bat communautaire en 2026. Elle soul\u00e8ve une question l\u00e9gitime : pfSense CE est-il encore le produit prioritaire de Netgate, ou est-il maintenu en vie pour ne pas ali\u00e9ner la communaut\u00e9 historique ?<\/p>\n\n\n\n

Les deux plateformes sont des distributions BSD compl\u00e8tes, pas de simples logiciels. Elles transforment un PC standard ou un routeur d\u00e9di\u00e9 en pare-feu professionnel capable de g\u00e9rer le NAT, les VLANs, le filtrage de paquets stateful (pf), les VPN WireGuard et OpenVPN, la d\u00e9tection d’intrusion Suricata, et la qualit\u00e9 de service. Pour une PME, une administration ou un homelab, elles offrent des capacit\u00e9s comparables \u00e0 des appliances Cisco ou Fortinet pour z\u00e9ro euro de licence logicielle. L’avantage face aux solutions propri\u00e9taires est total sur la transparence du code, comme l’illustre l’affaire FortiBleed 2026<\/a>, o\u00f9 75 000 pare-feux Fortinet ont \u00e9t\u00e9 compromis par un groupe russe, avec des vuln\u00e9rabilit\u00e9s dans un code que personne d’autre que Fortinet ne pouvait auditer.<\/p>\n\n\n\n

Tableau comparatif complet : 12 crit\u00e8res c\u00f4te \u00e0 c\u00f4te<\/h2>\n\n\n\n

Le tableau suivant consolide les diff\u00e9rences structurelles entre OPNsense, pfSense CE et pfSense Plus. Ces donn\u00e9es sont issues des documentations officielles et de sources de comparaison v\u00e9rifi\u00e9es en 2026.<\/p>\n\n\n\n

Crit\u00e8re<\/th>OPNsense<\/th>pfSense CE<\/th>pfSense Plus<\/th><\/tr><\/thead>
Licence<\/strong><\/td>BSD 2 clauses (fully open)<\/td>Apache 2.0 (open source)<\/td>Propri\u00e9taire (source ferm\u00e9e)<\/td><\/tr>
Co\u00fbt sur mat\u00e9riel tiers<\/strong><\/td>Gratuit<\/td>Gratuit<\/td>129 $\/an (TAC Lite)<\/td><\/tr>
Cadence des mises \u00e0 jour<\/strong><\/td>Bi-hebdomadaires + 2 majeures\/an<\/td>Irr\u00e9guli\u00e8re<\/td>~3 sorties\/an<\/td><\/tr>
Interface web<\/strong><\/td>Moderne, menu lat\u00e9ral avec recherche<\/td>Fonctionnelle, menu sup\u00e9rieur<\/td>Similaire \u00e0 CE<\/td><\/tr>
WireGuard<\/strong><\/td>Int\u00e9gr\u00e9 nativement au noyau<\/td>Via package installable<\/td>Int\u00e9gr\u00e9 nativement<\/td><\/tr>
IDS\/IPS Suricata<\/strong><\/td>Natif, rapports graphiques int\u00e9gr\u00e9s<\/td>Via package, fonctionnel<\/td>Similaire \u00e0 CE<\/td><\/tr>
Plugins officiels<\/strong><\/td>80+ plugins sign\u00e9s cryptographiquement<\/td>Large \u00e9cosyst\u00e8me packages<\/td>Idem CE + extras<\/td><\/tr>
Zenarmor \/ NGFW<\/strong><\/td>Pleinement support\u00e9<\/td>Limit\u00e9<\/td>Limit\u00e9<\/td><\/tr>
PPPoE multi-c\u0153ur<\/strong><\/td>Non (code non partag\u00e9 par Netgate)<\/td>Oui<\/td>Oui (driver if_pppoe)<\/td><\/tr>
Contributions FreeBSD upstream<\/strong><\/td>Dev principal = committer FreeBSD<\/td>S\u00e9lectives<\/td>S\u00e9lectives<\/td><\/tr>
Support ARM<\/strong><\/td>Non<\/td>Non<\/td>Mat\u00e9riel Netgate uniquement<\/td><\/tr>
Version FreeBSD de base<\/strong><\/td>FreeBSD 13<\/td>FreeBSD 12 (CE)<\/td>FreeBSD 13+<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La ligne la plus r\u00e9v\u00e9latrice de ce tableau est celle du PPPoE multi-c\u0153ur. OPNsense ne dispose pas de cette fonctionnalit\u00e9 parce que Netgate a refus\u00e9 de partager le code du driver if_pppoe<\/code> malgr\u00e9 la licence Apache 2.0. Cette d\u00e9cision illustre parfaitement la tension entre les deux projets et explique pourquoi les utilisateurs avec des connexions FTTH haut d\u00e9bit en mode PPPoE (Orange Fibre, SFR) peuvent pr\u00e9f\u00e9rer pfSense CE pour ne pas brider leur d\u00e9bit.<\/p>\n\n\n\n

Licences et mod\u00e8le open source : BSD contre Apache contre propri\u00e9taire<\/h2>\n\n\n\n

La question de la licence d\u00e9passe le simple cadre l\u00e9gal. Elle d\u00e9termine qui contr\u00f4le l’avenir du logiciel et si vous pouvez faire confiance au projet sur le long terme, notamment pour des d\u00e9ploiements \u00e0 5 ou 10 ans.<\/p>\n\n\n\n

OPNsense et la BSD 2 clauses.<\/strong> La licence BSD \u00e0 2 clauses est l’une des plus permissives qui existent. Elle autorise l’utilisation, la modification et la redistribution du code, commercialement ou non, avec pour seule obligation de conserver l’avis de droit d’auteur. Deciso B.V. publie l’int\u00e9gralit\u00e9 du code source sur GitHub sans exception. Cette transparence permet \u00e0 n’importe quel auditeur de s\u00e9curit\u00e9, chercheur ou entreprise de v\u00e9rifier exactement ce qui tourne sur leur r\u00e9seau. Pour les organisations soumises au Cyber Resilience Act europ\u00e9en<\/a>, qui impose des exigences de transparence et de tra\u00e7abilit\u00e9 sur les composants logiciels, c’est un argument solide.<\/p>\n\n\n\n

pfSense CE et Apache 2.0.<\/strong> La licence Apache 2.0 est \u00e9galement open source et tr\u00e8s permissive. Elle inclut une protection explicite sur les brevets, absente de la BSD. pfSense CE reste donc techniquement open source. Le probl\u00e8me est que Netgate a progressivement gel\u00e9 certaines fonctionnalit\u00e9s dans CE au profit de pfSense Plus, cr\u00e9ant un \u00e9cart croissant entre les deux versions. La communaut\u00e9 s’interroge depuis 2022 sur la p\u00e9rennit\u00e9 de pfSense CE \u00e0 long terme face \u00e0 la commercialisation acc\u00e9l\u00e9r\u00e9e de Netgate.<\/p>\n\n\n\n

pfSense Plus et le mod\u00e8le propri\u00e9taire.<\/strong> pfSense Plus n’est pas open source. Netgate distribue des binaires compil\u00e9s sans acc\u00e8s au code source pour les utilisateurs tiers. Les nouvelles fonctionnalit\u00e9s (WireGuard natif, support des NIC r\u00e9centes, mises \u00e0 jour de s\u00e9curit\u00e9 prioritaires) arrivent d’abord sur Plus, puis \u00e9ventuellement sur CE avec un d\u00e9lai variable. Pour utiliser pfSense Plus l\u00e9galement sur du mat\u00e9riel non-Netgate, il faut souscrire \u00e0 TAC Lite \u00e0 129 dollars par an. Cela change fondamentalement la proposition de valeur pour les PME fran\u00e7aises habitu\u00e9es \u00e0 la gratuit\u00e9 totale de pfSense. De plus, Netgate est une soci\u00e9t\u00e9 am\u00e9ricaine, soumise au CLOUD Act et aux injonctions des tribunaux am\u00e9ricains, contrairement \u00e0 Deciso bas\u00e9e aux Pays-Bas et soumise au droit europ\u00e9en.<\/p>\n\n\n\n

Interface utilisateur : menu lat\u00e9ral moderne contre menu sup\u00e9rieur classique<\/h2>\n\n\n\n

L’interface est souvent le premier argument cit\u00e9 dans les discussions entre utilisateurs. Ce n’est pas un d\u00e9tail cosm\u00e9tique : une interface bien con\u00e7ue r\u00e9duit le temps de configuration, diminue les erreurs de param\u00e9trage et facilite l’onboarding de nouveaux administrateurs.<\/p>\n\n\n\n

OPNsense : navigation lat\u00e9rale et recherche globale<\/h3>\n\n\n\n

OPNsense utilise une barre de navigation lat\u00e9rale de style Bootstrap, inspir\u00e9e des interfaces SaaS modernes. Tous les menus sont accessibles depuis le c\u00f4t\u00e9 gauche, avec des sous-menus d\u00e9roulants clairs et logiquement organis\u00e9s. Un champ de recherche global permet de trouver n’importe quelle option de configuration en quelques caract\u00e8res tap\u00e9s, ce qui est pr\u00e9cieux sur une plateforme avec des centaines de param\u00e8tres. L’utilisateur actuellement connect\u00e9 est toujours visible dans l’en-t\u00eate de l’interface, un d\u00e9tail d’ergonomie que pfSense n’offre pas (il faut survoler le bouton de d\u00e9connexion pour voir l’identifiant actuel).<\/p>\n\n\n\n

Le tableau de bord d’OPNsense propose 17 widgets par d\u00e9faut : usage CPU, \u00e9tat des interfaces, trafic en temps r\u00e9el, journaux syst\u00e8me, Monit, et d’autres. On peut en ajouter via les plugins. La disposition en colonnes (de 1 \u00e0 6) est configurable, et chaque widget permet de masquer ou d’afficher des sous-\u00e9l\u00e9ments sp\u00e9cifiques pour afficher uniquement les informations pertinentes \u00e0 votre contexte. Le rapport DNS Unbound int\u00e9gr\u00e9 au tableau de bord est particuli\u00e8rement appr\u00e9ci\u00e9 pour surveiller les requ\u00eates et d\u00e9tecter des comportements anormaux.<\/p>\n\n\n\n

pfSense : menu sup\u00e9rieur \u00e9prouv\u00e9, 22 widgets natifs<\/h3>\n\n\n\n

pfSense conserve une navigation par menu horizontal en haut de page, un paradigme des ann\u00e9es 2000 qui reste parfaitement fonctionnel pour les administrateurs qui le connaissent. pfSense propose 22 widgets par d\u00e9faut, soit 5 de plus qu’OPNsense : \u00e9tat du portail captif, \u00e9tat du miroir GEOM, statut Dynamic DNS, packages install\u00e9s et statut SMART. Ces widgets absents d’OPNsense de base (mais disponibles via plugins) t\u00e9moignent d’une approche plus inclusive d’embl\u00e9e pour les d\u00e9ploiements avanc\u00e9s avec redondance de stockage ou portail captif h\u00f4telier.<\/p>\n\n\n\n

La grande diff\u00e9rence fonctionnelle concerne la configuration des VLANs. Sur OPNsense, cr\u00e9er un VLAN, lui assigner une interface et configurer le DHCP prend environ 5 \u00e9tapes dans la barre lat\u00e9rale, avec un workflow intuitif. Sur pfSense CE, le m\u00eame workflow n\u00e9cessite de jongler entre plusieurs menus du bandeau sup\u00e9rieur (Interfaces, Services, Firewall) qui ne sont pas visuellement connect\u00e9s. Ce n’est pas bloquant pour un administrateur exp\u00e9riment\u00e9, mais sur une configuration multi-VLAN avec 10 \u00e0 20 segments diff\u00e9rents, l’ergonomie d’OPNsense \u00e9conomise un temps mesurable et r\u00e9duit les risques d’erreur de configuration.<\/p>\n\n\n\n

Benchmarks de performance : 940 Mbps test\u00e9s sur mat\u00e9riel identique en 2026<\/h2>\n\n\n\n

Les d\u00e9bats en ligne sur les performances de pfSense versus OPNsense g\u00e9n\u00e8rent beaucoup de bruit et peu de signal. La plupart des comparaisons manquent de rigueur m\u00e9thodologique : mat\u00e9riels diff\u00e9rents, configurations diff\u00e9rentes, trafic non comparable. Les donn\u00e9es pr\u00e9sent\u00e9es ici proviennent d’un test publi\u00e9s sur diymediaserver.com en janvier 2026, r\u00e9alis\u00e9 sur du mat\u00e9riel rigoureusement identique pour les deux plateformes.<\/p>\n\n\n\n

Configuration de test :<\/strong> Intel Core i5-8500 (6 c\u0153urs, 3 GHz), 16 Go de RAM DDR4, cartes r\u00e9seau Intel i350-T4 (quatre ports GbE), stockage SSD SATA. Les deux syst\u00e8mes ont \u00e9t\u00e9 install\u00e9s en configuration par d\u00e9faut, avec les m\u00eames r\u00e8gles de base, puis test\u00e9s avec iperf3 pour le d\u00e9bit brut et des flux HTTP pour les tests IDS.<\/p>\n\n\n\n

Sc\u00e9nario de test<\/th>OPNsense<\/th>pfSense CE<\/th>\u00c9cart<\/th><\/tr><\/thead>
Routage WAN-LAN brut (d\u00e9bit max)<\/td>940 Mbps<\/td>938 Mbps<\/td>2 Mbps (0,2 %)<\/td><\/tr>
VPN WireGuard (ChaCha20-Poly1305)<\/td>720 Mbps<\/td>710 Mbps<\/td>10 Mbps (1,4 %)<\/td><\/tr>
VPN OpenVPN (AES-256-GCM)<\/td>380 Mbps<\/td>375 Mbps<\/td>5 Mbps (1,3 %)<\/td><\/tr>
IDS Suricata actif (3 rulesets)<\/td>680 Mbps<\/td>670 Mbps<\/td>10 Mbps (1,5 %)<\/td><\/tr>
Impact IDS sur le d\u00e9bit<\/td>-27 %<\/td>-28 %<\/td>Identique<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La conclusion est sans ambigu\u00eft\u00e9 : la diff\u00e9rence de performance entre OPNsense et pfSense CE est statistiquement n\u00e9gligeable dans tous les sc\u00e9narios test\u00e9s. Les 2 Mbps d’\u00e9cart en routage brut et les 10 Mbps d’\u00e9cart en WireGuard ne se traduisent par aucune diff\u00e9rence perceptible pour les utilisateurs finaux. En revanche, l’activation de Suricata IDS fait chuter le d\u00e9bit d’environ 27 \u00e0 28 % sur les deux plateformes : voil\u00e0 le vrai goulot d’\u00e9tranglement. Sur ce point, c’est le mat\u00e9riel (nombre de c\u0153urs CPU, fr\u00e9quence) qui d\u00e9termine les performances, pas le choix du syst\u00e8me d’exploitation.<\/p>\n\n\n\n

Pour les d\u00e9ploiements d\u00e9passant 1 Gbps sym\u00e9trique ou n\u00e9cessitant IDS\/IPS actif sur des liens 10 Gbps, le choix du mat\u00e9riel p\u00e8se 10 fois plus lourd que la diff\u00e9rence entre OPNsense et pfSense. Un processeur Intel Core i7 de 12e g\u00e9n\u00e9ration avec des cartes Intel X550-T2 (10 GbE) et OPNsense ou pfSense d\u00e9passera ais\u00e9ment les 5 Gbps en routage pur. L’outil Nmap<\/a> permet d’auditer les performances r\u00e9seau et la surface d’attaque de votre infrastructure apr\u00e8s d\u00e9ploiement.<\/p>\n\n\n\n

S\u00e9curit\u00e9 et mises \u00e0 jour : bi-hebdomadaires contre cadence impr\u00e9visible<\/h2>\n\n\n\n

La cadence des mises \u00e0 jour est l’argument le plus clivant entre les deux communaut\u00e9s, et probablement le plus important pour une organisation soucieuse de la s\u00e9curit\u00e9 en 2026. La gestion des CVE (vuln\u00e9rabilit\u00e9s et expositions communes) sur un pare-feu en production ne tol\u00e8re pas les retards.<\/p>\n\n\n\n

OPNsense : la rigueur du calendrier.<\/strong> Deciso publie deux versions majeures par an, en janvier et en juillet, avec un num\u00e9rotage pr\u00e9visible (25.1, 25.7, 26.1, 26.7…). Entre ces sorties, des mises \u00e0 jour de s\u00e9curit\u00e9 et de maintenance paraissent toutes les deux semaines. Les changelogs sont d\u00e9taill\u00e9s, les guides de migration accompagnent chaque version majeure, et les plugins sont mis \u00e0 jour ind\u00e9pendamment du noyau. Concr\u00e8tement, quand FreeBSD corrige une CVE critique, OPNsense int\u00e8gre le patch dans les jours suivants. Les mises \u00e0 jour s’effectuent en 2 \u00e0 3 minutes depuis l’interface graphique.<\/p>\n\n\n\n

pfSense CE : la vitesse variable.<\/strong> Netgate ne publie pas de calendrier de mises \u00e0 jour pour pfSense CE. En pratique, les correctifs de s\u00e9curit\u00e9 arrivent d’abord sur pfSense Plus, puis sont port\u00e9s sur CE avec un d\u00e9lai variable, parfois de plusieurs semaines. Tom Lawrence (Lawrence Systems), expert r\u00e9seau reconnu avec 300 000 abonn\u00e9s YouTube et l’un des r\u00e9f\u00e9rents techniques ind\u00e9pendants sur pfSense, documente dans ses forums des cas o\u00f9 OPNsense a corrig\u00e9 des CVE FreeBSD des jours avant pfSense CE, malgr\u00e9 la perception inverse dans certains cercles de la communaut\u00e9. Il recommande de v\u00e9rifier syst\u00e9matiquement le statut des correctifs sur les deux plateformes avant de g\u00e9n\u00e9raliser une conclusion.<\/p>\n\n\n\n

OPNsense sur FreeBSD 13, pfSense CE sur FreeBSD 12.<\/strong> Cette diff\u00e9rence de version sous-jacente a des cons\u00e9quences concr\u00e8tes sur la s\u00e9curit\u00e9. FreeBSD 13 a re\u00e7u des am\u00e9liorations importantes du noyau, notamment sur la gestion de la m\u00e9moire, le support des architectures modernes et les pilotes r\u00e9seau. pfSense CE sur FreeBSD 12 peut manquer de correctifs kernel disponibles sur FreeBSD 13. Cette situation n’est pas critique pour la majorit\u00e9 des d\u00e9ploiements actuels, mais elle repr\u00e9sente une dette technique croissante. pfSense Plus, lui, utilise FreeBSD 13+ et n’a pas ce probl\u00e8me.<\/p>\n\n\n\n

Pour les organisations soumises au RGPD et \u00e0 la directive NIS2 (applicable en France depuis octobre 2024), la capacit\u00e9 \u00e0 documenter un calendrier de correctifs et \u00e0 prouver une r\u00e9activit\u00e9 face aux CVE est une exigence de conformit\u00e9. La r\u00e9gularit\u00e9 d’OPNsense facilite cet exercice. Comparez avec l’approche TLS 1.3 contre TLS 1.2<\/a> : un protocole non corrig\u00e9 devient rapidement un vecteur d’attaque, et un pare-feu doit \u00eatre maintenu avec la m\u00eame rigueur que les serveurs qu’il prot\u00e8ge.<\/p>\n\n\n\n

WireGuard et VPN : natif contre package installable<\/h2>\n\n\n\n

WireGuard est devenu le protocole VPN de r\u00e9f\u00e9rence en 2025-2026, supplantant OpenVPN pour la majorit\u00e9 des cas d’usage gr\u00e2ce \u00e0 son code minimal (moins de 4 000 lignes contre 600 000 pour OpenVPN) et ses performances sup\u00e9rieures. Les benchmarks 2026 confirment : 720 Mbps en WireGuard contre 380 Mbps en OpenVPN sur le m\u00eame mat\u00e9riel, soit un avantage de 89 % en faveur de WireGuard.<\/p>\n\n\n\n

OPNsense et WireGuard natif.<\/strong> Depuis la version 21.1, OPNsense int\u00e8gre WireGuard directement dans son noyau, sans installation de package suppl\u00e9mentaire. La configuration s’effectue enti\u00e8rement via l’interface graphique avec g\u00e9n\u00e9ration automatique des cl\u00e9s (Curve25519), gestion des peers, routage des subnets et int\u00e9gration transparente dans les r\u00e8gles de pare-feu. La coh\u00e9rence de la configuration WireGuard avec le reste de l’interface OPNsense est un vrai atout : pas besoin de jongler entre l’interface graphique et des fichiers de configuration manuels.<\/p>\n\n\n\n

pfSense CE et WireGuard via package.<\/strong> pfSense CE propose WireGuard sous forme de package installable depuis le gestionnaire de packages officiel. La fonctionnalit\u00e9 est stable et recommand\u00e9e en production depuis 2022, apr\u00e8s une p\u00e9riode tumultueuse o\u00f9 WireGuard avait \u00e9t\u00e9 int\u00e9gr\u00e9 puis retir\u00e9 du noyau pfSense en raison de pr\u00e9occupations techniques. La diff\u00e9rence pratique avec OPNsense est minime pour l’usage quotidien, mais lors des mises \u00e0 jour majeures du syst\u00e8me, les packages peuvent n\u00e9cessiter une r\u00e9installation ou une v\u00e9rification manuelle. pfSense Plus inclut WireGuard nativement, au m\u00eame titre qu’OPNsense.<\/p>\n\n\n\n

IPsec et OpenVPN.<\/strong> Les deux plateformes supportent IPsec IKEv2 et OpenVPN avec les m\u00eames options de chiffrement. Pour les tunnels site-\u00e0-site avec des \u00e9quipements tiers (Cisco, Fortinet, Palo Alto), les deux se comportent de mani\u00e8re identique. La gestion des certificats PKI pour OpenVPN est l\u00e9g\u00e8rement plus intuitive sur OPNsense gr\u00e2ce \u00e0 l’int\u00e9gration du gestionnaire de certificats directement dans l’interface principale. Notre guide WireGuard Linux<\/a> d\u00e9taille la configuration des clients sur les endpoints desservis par ces pare-feux.<\/p>\n\n\n\n

IDS\/IPS avec Suricata : int\u00e9gration native contre package fonctionnel<\/h2>\n\n\n\n

La d\u00e9tection et pr\u00e9vention d’intrusion (IDS\/IPS) distingue un simple routeur NAT d’un pare-feu professionnel. Les deux plateformes supportent Suricata<\/a>, le moteur IDS\/IPS open source le plus utilis\u00e9 en entreprise, mais avec des diff\u00e9rences d’int\u00e9gration significatives qui impactent la facilit\u00e9 d’administration quotidienne.<\/p>\n\n\n\n

OPNsense et Suricata natif.<\/strong> Sur OPNsense, Suricata est un composant de premi\u00e8re classe int\u00e9gr\u00e9 au coeur de l’interface. Il s’active en quelques clics et g\u00e9n\u00e8re des rapports graphiques en temps r\u00e9el : taux d’alertes par r\u00e8gle, g\u00e9olocalisation des sources, flux bloqu\u00e9s avec d\u00e9tail de la r\u00e8gle d\u00e9clenchante. La gestion des rulesets (Emerging Threats Open, ET Pro, OISF Community) se fait enti\u00e8rement depuis l’interface sans toucher au terminal. OPNsense int\u00e8gre \u00e9galement Zenarmor<\/strong> (anciennement Sensei), un moteur NGFW (Next Generation Firewall) avec inspection applicative de couche 7 : il bloque les applications non autoris\u00e9es par politique (TikTok, Telegram, BitTorrent) plut\u00f4t que par simple num\u00e9ro de port, ce que Suricata seul ne peut pas faire.<\/p>\n\n\n\n

pfSense et Suricata en package.<\/strong> Sur pfSense CE, Suricata s’installe via le gestionnaire de packages. L’installation est simple (un clic), mais l’int\u00e9gration dans l’interface est moins profonde. Les rapports sont disponibles mais plus techniques qu’OPNsense. pfSense offre une alternative int\u00e9ressante : Snort<\/strong>, avec acc\u00e8s aux r\u00e8gles commerciales VRT (Vulnerability Research Team) de Cisco\/Sourcefire, particuli\u00e8rement pertinentes pour les organisations avec des contrats de r\u00e8gles existants. Ce choix entre Suricata et Snort est une vraie flexibilit\u00e9 que pfSense apporte par rapport \u00e0 OPNsense, qui se concentre sur Suricata.<\/p>\n\n\n\n

Quel que soit le syst\u00e8me, l’impact des IDS\/IPS sur le d\u00e9bit est significatif et similaire sur les deux plateformes (-27 % avec 3 rulesets). Pour maintenir des performances \u00e9lev\u00e9es sous inspection profonde des paquets, il faut passer \u00e0 au moins un processeur 6 c\u0153urs de g\u00e9n\u00e9ration r\u00e9cente. L’analyse Wireshark<\/a> compl\u00e8te parfaitement la supervision IDS pour une capture en profondeur des paquets suspects que Suricata aurait signal\u00e9s.<\/p>\n\n\n\n

Configuration mat\u00e9rielle requise et compatibilit\u00e9 des cartes r\u00e9seau<\/h2>\n\n\n\n

La compatibilit\u00e9 mat\u00e9rielle est l’angle mort de la plupart des comparaisons en ligne. Elle peut transformer un d\u00e9ploiement prometteur en cauchemar de pilotes, notamment sur du mat\u00e9riel r\u00e9cent avec des interfaces r\u00e9seau de nouvelle g\u00e9n\u00e9ration.<\/p>\n\n\n\n

Sc\u00e9nario d’usage<\/th>CPU recommand\u00e9<\/th>RAM<\/th>Stockage<\/th><\/tr><\/thead>
Homelab, <500 Mbps sans IDS<\/td>Intel Celeron N5105 ou Atom N100<\/td>4 Go DDR4<\/td>16 Go SSD<\/td><\/tr>
PME, 1 Gbps sans IDS<\/td>Intel Core i3-12100 (4 c\u0153urs)<\/td>8 Go DDR4<\/td>32 Go SSD<\/td><\/tr>
PME, 1 Gbps avec Suricata actif<\/td>Intel Core i5-12500 (6 c\u0153urs)<\/td>16 Go DDR4<\/td>64 Go SSD<\/td><\/tr>
ETI, 5-10 Gbps sans IDS<\/td>Intel Xeon E-2300 ou Core i9-12900<\/td>32 Go DDR4 ECC<\/td>128 Go NVMe<\/td><\/tr>
Centre de donn\u00e9es, 10 Gbps avec IDS<\/td>Intel Xeon Silver 4314 (16 c\u0153urs)<\/td>64 Go DDR4 ECC<\/td>256 Go NVMe RAID<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Le probl\u00e8me critique des NIC 2,5G sur pfSense CE.<\/strong> pfSense CE tourne sur FreeBSD 12, qui ne supporte pas nativement les pilotes des interfaces r\u00e9seau 2,5G Realtek les plus r\u00e9centes (RTL8125B, RTL8156). Ces interfaces sont tr\u00e8s courantes sur les cartes m\u00e8res r\u00e9centes (Intel s\u00e9rie 700, AMD X670) et les mini-PC N100 populaires en homelab. Si votre mat\u00e9riel utilise ces interfaces, vous aurez des probl\u00e8mes de connectivit\u00e9 ou des performances d\u00e9grad\u00e9es sur pfSense CE. OPNsense, bas\u00e9 sur FreeBSD 13, inclut ces pilotes nativement. pfSense Plus r\u00e9sout ce probl\u00e8me en utilisant \u00e9galement FreeBSD 13, mais au co\u00fbt de la licence annuelle.<\/p>\n\n\n\n

La recommandation universelle : Intel plut\u00f4t que Realtek.<\/strong> Les deux communaut\u00e9s s’accordent sur un point : utiliser des cartes Intel (i210, i350, X550) plut\u00f4t que Realtek pour toute installation s\u00e9rieuse. Les cartes Intel b\u00e9n\u00e9ficient de pilotes FreeBSD stables depuis des ann\u00e9es, d’une meilleure gestion des interruptions multiqueue et d’une empreinte CPU plus faible sous charge. Sur le march\u00e9 de l’occasion (Amazon, eBay, AliExpress), des cartes PCIe Intel i350-T4 (4 ports GbE) se trouvent entre 40 et 80 euros, un investissement rentable sur la dur\u00e9e.<\/p>\n\n\n\n

Pour les d\u00e9ploiements virtualis\u00e9s sur Proxmox, VMware ESXi ou Hyper-V, les deux plateformes fonctionnent parfaitement en VM avec des interfaces VirtIO ou en passthrough PCIe pour les cartes physiques. OPNsense est particuli\u00e8rement bien document\u00e9 dans la communaut\u00e9 Proxmox. Pour un d\u00e9ploiement cloud (AWS, Azure), pfSense Plus offre des AMI officielles et des int\u00e9grations natives absentes d’OPNsense.<\/p>\n\n\n\n

Plugins et \u00e9cosyst\u00e8me : 80 officiels sign\u00e9s contre pfBlockerNG star<\/h2>\n\n\n\n

L’\u00e9cosyst\u00e8me de plugins d\u00e9termine souvent le choix final pour les utilisateurs avanc\u00e9s. Les deux plateformes proposent des extensions, mais avec des philosophies tr\u00e8s diff\u00e9rentes sur la curation, la s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement et la maintenance \u00e0 long terme.<\/p>\n\n\n\n

OPNsense : 80 plugins officiels sign\u00e9s.<\/strong> Deciso maintient un d\u00e9p\u00f4t officiel de plus de 80 plugins sign\u00e9s cryptographiquement, couvrant : HAProxy (\u00e9quilibreur de charge avec SSL offload pour les serveurs internes), Siproxd (proxy SIP pour la VoIP derri\u00e8re NAT), Telegraf (m\u00e9triques pour InfluxDB\/Grafana), ntopng (analyse de flux r\u00e9seau en temps r\u00e9el), Stunnel (tunnel SSL g\u00e9n\u00e9rique), Maltrail (d\u00e9tection de trafic malveillant bas\u00e9 sur des listes noires), et bien d’autres. Chaque plugin est auditable, maintenu par l’\u00e9quipe Deciso ou des partenaires v\u00e9rifi\u00e9s, et mis \u00e0 jour ind\u00e9pendamment du noyau principal. La signature cryptographique garantit l’authenticit\u00e9 et r\u00e9duit le risque d’attaque par supply chain, un vecteur de plus en plus exploit\u00e9 comme l’ont montr\u00e9 les attaques npm en 2026<\/a>.<\/p>\n\n\n\n

pfSense : pfBlockerNG et l’\u00e9cosyst\u00e8me communautaire.<\/strong> pfSense propose de nombreux packages via son gestionnaire int\u00e9gr\u00e9 : pfBlockerNG, Squid\/SquidGuard, Snort, ntopng, Telegraf, ACME (certificats Let’s Encrypt automatiques), et d’autres. La diff\u00e9rence cl\u00e9 est que tous ne sont pas maintenus directement par Netgate, certains d\u00e9pendant de contributeurs externes. pfBlockerNG<\/strong> est de loin le package le plus c\u00e9l\u00e8bre et le plus utilis\u00e9 de l’\u00e9cosyst\u00e8me pfSense : un bloqueur de publicit\u00e9s et de listes noires IP extr\u00eamement puissant, avec des fonctionnalit\u00e9s de g\u00e9oblocage par pays, de DNSBL (blocage DNS), de whitelists, et de gestion avanc\u00e9e des feeds IP. Pour les administrateurs home\/prosumer qui l’utilisent comme bloqueur de publicit\u00e9s r\u00e9seau (alternative \u00e0 Pi-hole), pfBlockerNG sur pfSense n’a pas d’\u00e9quivalent aussi complet et mature sur OPNsense.<\/p>\n\n\n\n

Pour une organisation cherchant \u00e0 d\u00e9ployer rapidement des fonctionnalit\u00e9s avanc\u00e9es avec un minimum de configuration manuelle, l’\u00e9cosyst\u00e8me OPNsense est globalement plus accessible et plus s\u00e9curis\u00e9 par conception (signature des packages). Pour les administrateurs qui ma\u00eetrisent d\u00e9j\u00e0 pfBlockerNG et souhaitent conserver ses capacit\u00e9s, la migration vers OPNsense n\u00e9cessite un apprentissage de l’\u00e9quivalent partiel qu’offre OPNsense via ses DNS Blocklists et plugins de filtrage.<\/p>\n\n\n\n

Tableau de tarification : gratuit, 129 $ TAC Lite, et appliances d\u00e9di\u00e9es<\/h2>\n\n\n\n
Produit<\/th>Co\u00fbt logiciel\/an<\/th>Support inclus<\/th>Mises \u00e0 jour<\/th>Profil cible<\/th><\/tr><\/thead>
OPNsense (mat\u00e9riel tiers)<\/td>0 \u20ac<\/td>Communaut\u00e9 forums<\/td>Bi-hebdomadaires<\/td>Homelab, PME autonomes<\/td><\/tr>
OPNsense Business Edition<\/td>~595 \u20ac\/an<\/td>Support Deciso direct<\/td>En avance sur communaut\u00e9<\/td>ETI, MSP, revendeurs<\/td><\/tr>
pfSense CE (mat\u00e9riel tiers)<\/td>0 \u20ac<\/td>Forums Netgate<\/td>Irr\u00e9guli\u00e8res<\/td>Homelab, legacy<\/td><\/tr>
pfSense Plus (mat\u00e9riel tiers)<\/td>129 $\/an (TAC Lite)<\/td>Support Netgate basique<\/td>~3 sorties\/an<\/td>PME voulant support Netgate<\/td><\/tr>
Appliance Netgate 4200<\/td>~595 $ (HW inclus)<\/td>pfSense Plus inclus<\/td>Plus inclus<\/td>PME plug-and-play<\/td><\/tr>
Appliance Deciso DEC670<\/td>~350 \u20ac (HW inclus)<\/td>Business inclus<\/td>Business inclus<\/td>SOHO professionnel<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La OPNsense Business Edition<\/strong> m\u00e9rite une explication d\u00e9taill\u00e9e. Deciso propose une version payante qui n’est pas techniquement diff\u00e9rente de la version communautaire sur le plan des fonctionnalit\u00e9s, mais qui donne acc\u00e8s aux mises \u00e0 jour 3 mois avant leur publication officielle, \u00e0 un support technique direct avec des d\u00e9lais de r\u00e9ponse garantis, et \u00e0 un d\u00e9p\u00f4t de packages \u00e9tendu avec des plugins additionnels \u00e0 usage commercial. C’est le mod\u00e8le \u00e9conomique de Red Hat appliqu\u00e9 aux pare-feux open source : le code reste enti\u00e8rement ouvert, Deciso vend le service d’accompagnement. Ce mod\u00e8le pr\u00e9serve la p\u00e9rennit\u00e9 du projet et l’ouverture du code sans compromettre la viabilit\u00e9 commerciale de l’\u00e9diteur.<\/p>\n\n\n\n

Pour les DSI et directeurs informatiques fran\u00e7ais cherchant \u00e0 justifier un budget, la comparaison pfSense Plus (document\u00e9 sur pfsense.org<\/a>) vs OPNsense Business donne un avantage clair \u00e0 OPNsense : prix comparable (129 $ vs ~595 \u20ac pour les licences annuelles avec support), mises \u00e0 jour plus fr\u00e9quentes, licence enti\u00e8rement ouverte et \u00e9diteur soumis au droit europ\u00e9en. Pour un MSP g\u00e9rant 50 sites clients, l’absence totale de licensing per-device sur OPNsense (m\u00eame la Business Edition ne facture pas par appliance d\u00e9ploy\u00e9e) repr\u00e9sente une \u00e9conomie significative sur un parc de d\u00e9ploiements.<\/p>\n\n\n\n

Cinq exemples concrets : quand chaque solution l’emporte<\/h2>\n\n\n\n

Les benchmarks et listes de fonctionnalit\u00e9s ne remplacent pas des situations r\u00e9elles. Voici cinq contextes qui illustrent concr\u00e8tement quand chaque solution s’impose.<\/p>\n\n\n\n

1. PME e-commerce, 30 postes, conformit\u00e9 PCI-DSS.<\/strong> Une boutique en ligne h\u00e9bergeant des paiements doit segmenter son r\u00e9seau en VLANs (terminaux de paiement, bureaux, serveurs, invit\u00e9s) et activer l’IDS pour d\u00e9tecter les tentatives d’exfiltration de donn\u00e9es de carte. OPNsense s’impose : Suricata natif avec rapports graphiques, Zenarmor pour l’inspection applicative bloquant les applications non autoris\u00e9es, mises \u00e0 jour bi-hebdomadaires r\u00e9duisant la fen\u00eatre d’exposition aux CVE. La conformit\u00e9 PCI-DSS exige une documentation des correctifs de s\u00e9curit\u00e9 et la preuve d’une r\u00e9activit\u00e9 face aux vuln\u00e9rabilit\u00e9s, facilement produite avec l’historique d\u00e9taill\u00e9 des changelogs OPNsense.<\/p>\n\n\n\n

2. Homelab technicien, connexion PPPoE FTTH 2 Gbps.<\/strong> Un ing\u00e9nieur r\u00e9seau avec une fibre Orange ou Bouygues en PPPoE veut maximiser son d\u00e9bit. pfSense CE ou pfSense Plus s’impose. Le driver PPPoE multi-c\u0153ur de pfSense exploite tous les threads CPU disponibles simultan\u00e9ment, l\u00e0 o\u00f9 OPNsense est limit\u00e9 \u00e0 un seul c\u0153ur pour le traitement PPPoE. Sur une connexion FTTH 2 Gbps, cette limitation peut repr\u00e9senter 400 \u00e0 600 Mbps de d\u00e9bit effectif perdu sur OPNsense. C’est le seul sc\u00e9nario o\u00f9 le choix de la plateforme a un impact de performance mesurable et significatif dans un usage r\u00e9el.<\/p>\n\n\n\n

3. Collectivit\u00e9 locale, 200 postes, conformit\u00e9 ANSSI.<\/strong> Les collectivit\u00e9s territoriales fran\u00e7aises sont de plus en plus cibl\u00e9es par les ransomwares et les attaques APT. L’ANSSI recommande explicitement les solutions open source auditables dans ses guides de s\u00e9curisation des syst\u00e8mes d’information. OPNsense avec sa licence BSD 2 clauses r\u00e9pond parfaitement \u00e0 ce crit\u00e8re : l’int\u00e9gralit\u00e9 du code source est v\u00e9rifiable sur GitHub, sans exception. L’API REST d’OPNsense facilite l’int\u00e9gration avec des outils de conformit\u00e9 NIS2 et de reporting vers l’ANSSI. La localisation europ\u00e9enne de Deciso (Pays-Bas) \u00e9vite les probl\u00e8mes de comp\u00e9tence juridique am\u00e9ricaine que soul\u00e8ve Netgate.<\/p>\n\n\n\n

4. MSP g\u00e9rant 20 sites clients, budget contraint.<\/strong> Un prestataire informatique d\u00e9ployant des pare-feux pour des PME clientes a besoin d’un syst\u00e8me standardisable, maintenu et sans co\u00fbt de licence par site. OPNsense s’impose avec son API REST compl\u00e8te (permettant l’automatisation des d\u00e9ploiements via Ansible ou Terraform), ses templates de configuration exportables et son absence totale de licensing per-device m\u00eame en usage commercial. pfSense CE serait viable, mais les mises \u00e0 jour irr\u00e9guli\u00e8res compliquent la gestion de parc. pfSense Plus \u00e0 129 $\/site\/an devient on\u00e9reux d\u00e8s 10 sites, repr\u00e9sentant 1 290 $ de licences annuelles pour des fonctionnalit\u00e9s disponibles gratuitement sur OPNsense.<\/p>\n\n\n\n

5. D\u00e9veloppeur DevSecOps, tunnel VPN inter-VPS.<\/strong> Un d\u00e9veloppeur souhaitant cr\u00e9er un maillage WireGuard entre son bureau et plusieurs VPS Hetzner ou OVHcloud n’a pas besoin d’un pare-feu physique d\u00e9di\u00e9. Les deux solutions tournent en VM l\u00e9g\u00e8re sur Proxmox ou comme instance dans un VPS basique (2 vCPUs, 2 Go RAM suffisent). Pour ce cas, le choix est purement esth\u00e9tique : pr\u00e9f\u00e9rez-vous l’interface moderne d’OPNsense ou la familiarit\u00e9 de pfSense ? Les deux configurations WireGuard prennent moins de 20 minutes. La configuration c\u00f4t\u00e9 clients est d\u00e9taill\u00e9e dans notre guide WireGuard Linux<\/a>.<\/p>\n\n\n\n

Avis d’experts et consensus communautaire en 2026<\/h2>\n\n\n\n

La communaut\u00e9 des administrateurs r\u00e9seau est divis\u00e9e, mais des tendances claires \u00e9mergent en 2026 qui orientent les nouvelles installations vers OPNsense.<\/p>\n\n\n\n

Tom Lawrence (Lawrence Systems)<\/strong>, l’un des cr\u00e9ateurs de contenu r\u00e9seau les plus suivis en anglais avec 300 000 abonn\u00e9s YouTube et des d\u00e9cennies d’exp\u00e9rience en administration r\u00e9seau professionnelle, maintient une position nuanc\u00e9e sur la s\u00e9curit\u00e9 comparative. Dans ses forums publics, il documente des cas o\u00f9 les d\u00e9lais de correctifs entre les deux plateformes sont plus complexes qu’il n’y para\u00eet, et recommande de toujours v\u00e9rifier le statut des CVE sp\u00e9cifiques sur chaque projet avant de generaliser. Il ne recommande pas un projet contre l’autre mais souligne que les deux restent des solutions solides et matures.<\/p>\n\n\n\n

La communaut\u00e9 Level1Techs<\/strong>, forum technique de r\u00e9f\u00e9rence<\/a> pour les professionnels IT et passionn\u00e9s hardware, r\u00e9sume le consensus 2026 ainsi : “pfSense et OPNsense sont tous les deux la r\u00e9f\u00e9rence absolue pour un OS de routeur\/pare-feu. OPNsense re\u00e7oit des mises \u00e0 jour beaucoup plus fr\u00e9quentes.”<\/em> Cette formulation capture l’essentiel de la situation actuelle.<\/p>\n\n\n\n

Reddit r\/homelab en 2026.<\/strong> Dans les discussions r\u00e9centes du subreddit homelab (plus de 500 000 membres), la majorit\u00e9 des nouvelles installations recommand\u00e9es sont OPNsense, notamment pour la clart\u00e9 de la roadmap open source et la confiance dans Deciso en tant que soci\u00e9t\u00e9 europ\u00e9enne. Un commentaire r\u00e9guli\u00e8rement mis en avant r\u00e9sume bien la tendance : “OPNsense est plus friendly pour le homelab, la version gratuite est la plus \u00e0 jour. L’interface est plus moderne et les mises \u00e0 jour arrivent plus souvent.”<\/em><\/p>\n\n\n\n

Les voix qui restent sur pfSense.<\/strong> Un contingent d’utilisateurs reste fid\u00e8le \u00e0 pfSense CE ou Plus, souvent pour trois raisons pr\u00e9cises : la ma\u00eetrise de pfBlockerNG (dont l’\u00e9quivalent OPNsense est moins complet), les connexions PPPoE haute vitesse, et des configurations h\u00e9rit\u00e9es stables depuis des ann\u00e9es. Ces arguments sont l\u00e9gitimes et ne devraient pas \u00eatre ignor\u00e9s. La r\u00e8gle d’or : si quelque chose fonctionne parfaitement en production depuis 3 ans, la migration vers OPNsense implique un co\u00fbt de r\u00e9apprentissage et un risque op\u00e9rationnel r\u00e9el que toutes les organisations ne peuvent ou ne veulent pas assumer.<\/p>\n\n\n\n

Guide de migration de pfSense vers OPNsense<\/h2>\n\n\n\n

La migration de pfSense vers OPNsense est r\u00e9alisable en un week-end pour la majorit\u00e9 des configurations. Voici les \u00e9tapes cl\u00e9s et les pi\u00e8ges \u00e0 \u00e9viter, issus des retours d’exp\u00e9rience de la communaut\u00e9 et des migrations document\u00e9es en 2026.<\/p>\n\n\n\n

\u00c9tape 1 : documenter et sauvegarder pfSense<\/h3>\n\n\n\n

Avant toute migration, documentez exhaustivement votre configuration pfSense existante par captures d’\u00e9cran ou notes : interfaces (noms, adresses IP, VLAN IDs), r\u00e8gles de pare-feu (entr\u00e9es et sorties par interface), configuration VPN (cl\u00e9s WireGuard, peers, routes, cl\u00e9s OpenVPN), r\u00e8gles NAT (NAT 1-to-1, port forwarding), serveurs DHCP avec baux statiques (adresses MAC et IPs r\u00e9serv\u00e9es), et packages install\u00e9s avec leurs configurations. Exportez la configuration compl\u00e8te via Diagnostics > Backup & Restore<\/strong>. Ce fichier XML ne s’importe pas directement dans OPNsense (formats incompatibles), mais sert de r\u00e9f\u00e9rence documentaire indispensable. Exportez \u00e9galement tous les certificats et autorit\u00e9s de certification via System > Certificate Manager : OPNsense peut les importer directement.<\/p>\n\n\n\n

\u00c9tape 2 : installer OPNsense et reconfigurer<\/h3>\n\n\n\n

T\u00e9l\u00e9chargez l’image OPNsense depuis opnsense.org<\/a> (image dvd pour une installation sur SSD, image nano pour stockage sur carte SD ou flash). L’installation prend moins de 10 minutes sur un SSD. OPNsense d\u00e9tectera automatiquement vos cartes r\u00e9seau Intel lors du premier d\u00e9marrage. Assignez WAN et LAN dans l’assistant initial, acc\u00e9dez \u00e0 l’interface web sur 192.168.1.1 (identifiant: root, mot de passe par d\u00e9faut: opnsense, \u00e0 changer imm\u00e9diatement). Reconfigurez dans l’ordre logique : interfaces et VLANs, puis DHCP avec import des baux statiques, puis DNS (Unbound recommand\u00e9), puis r\u00e8gles de pare-feu interface par interface, puis VPN WireGuard\/OpenVPN, et enfin plugins additionnels. Proc\u00e9dez par section logique plut\u00f4t que de tout reconfigurer en une fois pour faciliter le debugging.<\/p>\n\n\n\n

\u00c9tape 3 : tester et basculer proprement<\/h3>\n\n\n\n

Si votre mat\u00e9riel le permet, testez OPNsense en parall\u00e8le sur un deuxi\u00e8me appareil avant la bascule. Sinon, planifiez la migration un samedi soir avec une fen\u00eatre de maintenance annonc\u00e9e aux utilisateurs. Testez syst\u00e9matiquement : ping vers Internet depuis chaque VLAN, r\u00e9solution DNS pour des domaines internes et externes, acc\u00e8s VPN depuis l’ext\u00e9rieur avec un client de test, r\u00e8gles inter-VLAN selon votre politique de s\u00e9curit\u00e9, et les applications m\u00e9tier critiques (ERP, serveurs de fichiers, cloud interne). Conservez pfSense bootable sur un support USB pendant au moins deux semaines pour un rollback rapide si n\u00e9cessaire. Utilisez Wireshark<\/a> pour valider que la segmentation r\u00e9seau est correctement appliqu\u00e9e apr\u00e8s migration, et Nmap<\/a> pour v\u00e9rifier que les ports ouverts correspondent exactement \u00e0 ce que vous attendez.<\/p>\n\n\n\n

Erreurs fr\u00e9quentes \u00e0 \u00e9viter :<\/strong> oublier de recr\u00e9er les r\u00e8gles NAT sp\u00e9cifiques pour les DMZ ou les serveurs expos\u00e9s ; ne pas tester les tunnels IPsec site-\u00e0-site avec les \u00e9quipements distants avant la bascule (ils n\u00e9cessitent souvent des ajustements de param\u00e8tres IKE\/ESP) ; n\u00e9gliger de configurer la protection brute-force<\/a> sur l’interface d’administration d\u00e8s le premier jour ; et sous-estimer le temps de reconfiguration des r\u00e8gles de pare-feu complexes si vous n’avez pas de documentation \u00e0 jour de votre config pfSense.<\/p>\n\n\n\n

Verdict : quel pare-feu open source choisir selon votre profil en 2026<\/h2>\n\n\n\n

La r\u00e9ponse directe : OPNsense pour la grande majorit\u00e9 des nouveaux d\u00e9ploiements en 2026<\/strong>. Mais la r\u00e9ponse compl\u00e8te est plus nuanc\u00e9e que cette simplification.<\/p>\n\n\n\n

Profil d’utilisateur<\/th>Recommandation<\/th>Raison principale<\/th><\/tr><\/thead>
Nouveau d\u00e9ploiement sans contrainte<\/td>OPNsense<\/strong><\/td>Mises \u00e0 jour fr\u00e9quentes, UI moderne, WireGuard natif, FreeBSD 13<\/td><\/tr>
Connexion PPPoE > 500 Mbps (FTTH)<\/td>pfSense CE ou Plus<\/strong><\/td>PPPoE multi-c\u0153ur indispensable pour maximiser le d\u00e9bit<\/td><\/tr>
Utilisateur pfBlockerNG avanc\u00e9<\/td>pfSense CE<\/strong><\/td>pfBlockerNG sans \u00e9quivalent direct et aussi complet sur OPNsense<\/td><\/tr>
Organisation soumise NIS2\/RGPD\/ANSSI<\/td>OPNsense<\/strong><\/td>Licence BSD ouverte, soci\u00e9t\u00e9 europ\u00e9enne (Deciso NL), code auditable<\/td><\/tr>
MSP g\u00e9rant plusieurs sites<\/td>OPNsense<\/strong><\/td>API REST compl\u00e8te, z\u00e9ro licensing per-device m\u00eame en commercial<\/td><\/tr>
Mat\u00e9riel avec NIC 2,5G r\u00e9cent (Realtek)<\/td>OPNsense<\/strong><\/td>FreeBSD 13 requis pour pilotes NIC r\u00e9centes<\/td><\/tr>
Configuration pfSense existante stable<\/td>Garder pfSense CE<\/strong><\/td>Co\u00fbt\/risque de migration injustifi\u00e9 si tout fonctionne<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

OPNsense remporte la comparaison sur la transparence du code, la cadence de maintenance, la modernit\u00e9 de l’int\u00e9gration des fonctionnalit\u00e9s et l’ancrage europ\u00e9en de Deciso. pfSense CE reste pertinent pour les d\u00e9ploiements existants stables, les connexions PPPoE haute vitesse et les utilisateurs qui tirent pleinement parti de pfBlockerNG. pfSense Plus a perdu une grande partie de son attrait depuis qu’OPNsense Business Edition offre une proposition comparable \u00e0 prix similaire, mais avec une licence enti\u00e8rement ouverte.<\/p>\n\n\n\n

La vraie question \u00e0 se poser n’est pas “pfSense ou OPNsense” mais “est-ce que mon pare-feu est correctement maintenu et configur\u00e9 ?” Les deux solutions sont infiniment sup\u00e9rieures \u00e0 un routeur grand public ou \u00e0 un pare-feu propri\u00e9taire mal patch\u00e9. La gestion du pare-feu ne se limite pas au choix du logiciel : les r\u00e8gles doivent \u00eatre audit\u00e9es trimestriellement, les certificats SSL renouvel\u00e9s avant expiration, les logs analys\u00e9s pour d\u00e9tecter les comportements anormaux. Notre guide OpenSSL et certificats<\/a> couvre la gestion compl\u00e8te de la PKI sur ces plateformes.<\/p>\n\n\n\n

Couverture connexe sur shattered.io<\/h2>\n\n\n\n

Lectures recommand\u00e9es<\/h3>\n\n\n\n