pfSense vs OPNsense vs OpenWrt 2026 : quel firewall/routeur open source
Comparatif technique 2026 de pfSense, OPNsense et OpenWrt. Analyse des performances, sécurité et cas d'usage pour choisir le bon firewall/routeur open source.
Dans l’écosystème du self-hosting et de l’infrastructure réseau domestique ou SMB (Small/Medium Business), le choix du système d’exploitation pour le pare-feu est une décision architecturale critique. En 2026, le paysage n’a pas fondamentalement changé en termes de domination, mais les nuances d’implémentation, les exigences matérielles et les paradigmes de sécurité ont évolué. Trois géants se partagent le terrain : pfSense, OPNsense et OpenWrt.
Bien que tous trois soient open source et gratuits, ils ne résolvent pas les mêmes problèmes. pfSense et OPNsense sont des distributions basées sur FreeBSD, conçues pour transformer un PC standard en une passerelle réseau complète, sécurisée et gérable à distance. OpenWrt, quant à lui, est une distribution Linux embarqué, optimisée pour le matériel modeste et l’infoball (Internet of Things).
Ce comparatif technique vise à éliminer le bruit marketing pour se concentrer sur les métriques qui comptent : stabilité, surcharge CPU, facilité de déploiement et adéquation avec votre matériel. Nous analysons ici ces solutions sous l’angle d’un administrateur système exigeant, prêt à investir dans du matériel dédié ou à optimiser une infrastructure existante.
Architecture sous-jacente : FreeBSD vs Linux Embarqué
La différence fondamentale réside dans le noyau. Comprendre cette distinction est impératif avant de choisir.
pfSense et OPNsense : La robustesse de FreeBSD
pfSense et OPNsense partagent le même ADN : FreeBSD. Ce système d’exploitation offre une stabilité légendaire, une gestion des processus (Jails) isolée et un réseau performant grâce à pf (Packet Filter), le pare-feu natif du kernel.
- pfSense : C’est la référence historique. Son code est mature, testé par des milliers d’entreprises. L’approche est “conservative” : on ne change que ce qui est nécessaire pour la sécurité.
- OPNsense : Né en 2015 comme un fork de pfSense par la communauté (et initialement par des ex-développeurs de pfSense), il se distingue par une architecture plus modulaire. Le code est réécrit en PHP avec une structure orientée objet plus stricte, facilitant le développement de plugins et les audits de sécurité.
Pourquoi FreeBSD pour un firewall ? La stack réseau de FreeBSD est réputée pour sa faible latence et sa gestion efficace des interruptions matérielles. De plus, l’isolement des services via les Jails permet de contenir une faille de sécurité dans un service spécifique (comme un portail captif ou un serveur DNS) sans compromettre le noyau du pare-feu.
OpenWrt : L’agilité de Linux
OpenWrt est une distribution Linux complète, mais allégée pour le matériel embarqué. Elle utilise iptables (via nftables dans les versions récentes) comme moteur de filtrage.
- Avantage Linux : Une compatibilité matérielle quasi infinie. Si un chipset existe pour Linux, il fonctionnera sur OpenWrt.
- Gestion des paquets : Utilise
opkg, similaire àaptouyum, mais pour des binaires compilés pour des architectures spécifiques (ARM, MIPS, x86). - Ressources : OpenWrt peut tourner avec 16 Mo de RAM et 4 Mo de flash. pfSense/OPNsense nécessitent généralement 4 Go de RAM minimum pour être confortables et 32 Go de stockage (SSD recommandé pour la durabilité des logs et des snapshots).
Si vous avez un routeur grand public détourné, OpenWrt est le seul choix viable. Si vous avez un mini-PC x86, FreeBSD (via pfSense/OPNsense) offre souvent une meilleure isolation de sécurité pour les services exposés.
Fonctions Firewall, VPN et Sécurité
En 2026, un firewall n’est plus seulement un filtre de paquets. Il doit gérer le chiffrage, la détection d’intrusion et l’authentification.
Moteur de filtrage et Performance
- pfSense/OPNsense (pf) : Le filtre
pfest intégré au noyau. Il est extrêmement rapide, capable de gérer des débits de plusieurs Gbps sur du matériel moderne sans surcharge CPU significative. Les règles sont écrites dans un fichier texte unique (pf.conf), facile à versionner. - OpenWrt (nftables) : La migration vers
nftablesa modernisé la stack de filtrage, offrant une syntaxe plus concise et de meilleures performances que l’ancieniptables. Cependant, sur des routeurs ARM bas de gamme, la gestion de règles complexes peut devenir un goulot d’étranglement.
Solutions VPN
Le besoin de tunnels sécurisés (site-to-site ou remote access) est universel.
- WireGuard : Devenu le standard de facto en raison de sa simplicité et de sa vitesse (crypto moderne dans le noyau Linux/FreeBSD).
- pfSense/OPNsense : Support natif excellent via les paquets
wireguard. Configuration via GUI très intuitive. - OpenWrt : Support natif dans le noyau. Configuration via
LuCIouuhttp(interface CLI/JSON). Très performant, mais la gestion des clients mobiles peut être moins fluide que via une interface web dédiée.
- pfSense/OPNsense : Support natif excellent via les paquets
- OpenVPN : Encore largement utilisé pour la compatibilité maximale (Android, iOS, Windows natif).
- pfSense/OPNsense : Le paquet
openvpnest robuste. OPNsense a amélioré la gestion des certificats et des clients mobiles. - OpenWrt : Fonctionnel, mais la configuration manuelle des clients peut être fastidieuse (gestion des clés
.ovpnet certificats).
- pfSense/OPNsense : Le paquet
- IPsec :
- pfSense : Utilise
racoonoustrongSwan. Très stable, idéal pour les connexions site-à-site avec du matériel Cisco/Juniper. - OPNsense : Intègre également
strongSwande manière native et sécurisée. - OpenWrt : Utilise
strongSwanoulibreswan. Moins intégré dans l’interface graphique, souvent configuré via des scripts ou des interfaces tierces commeluci-app-strongswan.
- pfSense : Utilise
IDS/IPS (Suricata et Snort)
La détection d’intrusion est cruciale pour les environnements professionnels ou les self-hosters soucieux de leur sécurité.
- pfSense : Historiquement lié à Snort. Le support de Suricata a été ajouté plus tard. Les performances peuvent chuter si les règles sont trop nombreuses et que le matériel est faible.
- OPNsense : A fait le choix stratégique d’adopter Suricata comme moteur principal, abandonnant Snort. Suricata est multi-threadé, plus rapide et supporte mieux le décodage HTTP/HTTPS (SSL inspection). OPNsense intègre également des fonctionnalités de sandboxing pour les fichiers suspects.
- OpenWrt : L’IDS/IPS est possible via des paquets comme
snortousuricata, mais l’impact sur les performances d’un routeur ARM est souvent prohibitif au-delà de 100 Mbps. Ce n’est pas une fonctionnalité recommandée pour les petites installations OpenWrt, sauf matériel dédié (x86 sous OpenWrt).
Interface Utilisateur et Expérience Développeur/Admin
C’est ici que la divergence est la plus visible pour l’utilisateur final.
pfSense CE : La fonctionnalité avant la forme
L’interface de pfSense a vieilli. Elle est dense, parfois confuse, avec des menus qui changent légèrement entre les versions. Cependant, elle est incroyablement complète. Chaque clic mène à une option.
- Pro : Tout est là. Documentation immense. Presque toutes les questions ont déjà été posées sur les forums.
- Con : Courbe d’apprentissage raide. L’interface peut sembler “brouillonne”.
OPNsense : Modernité et Clarté
OPNsense a rajeuni l’expérience. L’interface est responsive, utilise des icônes modernes et organise les fonctionnalités de manière logique.
- Pro : Plus rapide à naviguer. Les mises à jour de sécurité sont livrées plus rapidement (releases trimestrielles vs semestrielles pour pfSense). Le code est plus facile à auditer pour les développeurs.
- Con : Moins de “hacks” communautaires disponibles que pour pfSense. Certaines fonctionnalités avancées nécessitent des plugins tiers.
OpenWrt : LuCI et la Flexibilité Radicale
OpenWrt utilise LuCI (Lua Configuration Interface). C’est une interface web légère, modulaire.
- Pro : Extrêmement léger. Peut être personnalisé à l’infini via des thèmes ou des scripts Lua. Idéal pour ceux qui aiment bricoler.
- Con : L’interface de base est minimaliste. Pour des fonctionnalités avancées (firewall complexe, VPN), vous devrez souvent passer par le SSH et éditer des fichiers de configuration (
/etc/config/firewall). La documentation est technique et fragmentée.
Matériel Requis et Benchmarks Réels
Le choix du système détermine le matériel. Ne tentez pas de faire tourner pfSense sur un routeur WiFi 6 grand public sans le bricker, et ne gaspillez pas un mini-PC puissant pour OpenWrt si vous n’avez pas besoin de sa flexibilité Linux.
pfSense / OPNsense : Le Mini-PC x86
Ces systèmes sont conçus pour l’architecture x86_64. Ils tirent parti de la virtualisation, des cartes réseau multi-gigabits et des processeurs avec des instructions de cryptographie matérielles (AES-NI).
Configuration Minimale Recommandée :
- CPU : Intel Celeron J4125 ou N5105 (4 cœurs, AES-NI supporté). AMD Ryzen série 3000/5000 pour les gros débits.
- RAM : 4 Go minimum (8 Go recommandé si vous utilisez Suricata/IDS).
- Stockage : 32 Go minimum (SSD SATA ou NVMe). Les disques SSD sont essentiels pour la durée de vie face aux écritures de logs.
- Réseau : 2 ports LAN/WAN (1 Gbps minimum). Pour 10 Gbps, il faut des cartes PCIe Intel X520/X540.
Benchmarks de débit (Proxy/IDS activé) :
- Avec un Intel N5105 et Suricata en mode “IPS” : ~1.5 - 2 Gbps.
- Avec un AMD Ryzen 5 5600G et Suricata : ~4 - 5 Gbps.
- Sans IDS (pur routing/firewall) : ~6 - 10 Gbps (limité par la RAM et le bus PCIe).
OpenWrt : Du Routeur ARM au x86
OpenWrt tourne sur tout, du Raspberry Pi (via des images communautaires) aux routeurs MediaTek Filogic.
Configuration Minimale Recommandée :
- CPU : Qualcomm IPQ40xx ou MediaTek MT7622 (communs dans les routeurs WiFi 6).
- RAM : 256 Mo à 512 Mo.
- Stockage : 16 Mo à 128 Mo Flash.
- Réseau : Port Gigabit unique ou double (selon le modèle).
Benchmarks de débit :
- Sur un routeur MT7622 (2 cœurs A53) : ~700 - 800 Mbps en natif. Avec le pare-feu activé, chute à ~500-600 Mbps. L’IDS est inexistant sur ce type de matériel.
- Sur un Raspberry Pi 4 avec carte réseau USB 2.5G (bridge) : ~2.5 Gbps max, mais avec une latence variable due au bus USB.
Tableau Comparatif Technique 2026
| Critère | pfSense CE | OPNsense | OpenWrt |
|---|---|---|---|
| Base OS | FreeBSD | FreeBSD | Linux (Kernel) |
| Matériel Type | Mini-PC x86 (Intel/AMD) | Mini-PC x86 (Intel/AMD) | Routeurs ARM/MIPS, x86 léger |
| Interface Web | Dense, fonctionnelle | Moderne, intuitive | LuCI (Léger, modulaire) |
| Moteur Firewall | pf (Noyau) | pf (Noyau) | nftables (Noyau) |
| VPN Support | WireGuard, OpenVPN, IPsec | WireGuard, OpenVPN, IPsec | WireGuard, OpenVPN, IPSec |
| IDS/IPS | Suricata / Snort (Paquet) | Suricata (Natif, optimisé) | Snort / Suricata (Paquet, lourd) |
| Mises à jour | Semestrielles (CE) | Trimestrielles | Continu (Rolling/Stable) |
| RAM Min. | 4 Go | 4 Go | 256 Mo |
| Complexité | Moyenne | Moyenne | Élevée (CLI fréquent) |
| Communauté | Immense, très active | Grande, technique | Très technique, globale |
Cas d’Usage Concrets : Qui choisit quoi ?
1. Le Self-Hoster “Headless” avec Mini-PC
Vous avez un vieux PC portable, un mini-PC Dell Optiplex ou un Intel NUC. Vous voulez héberger Home Assistant, Jellyfin, et un serveur de fichiers.
- Choix : OPNsense ou pfSense.
- Pourquoi : Vous avez besoin d’un pare-feu robuste pour protéger vos services exposés. FreeBSD offre une stabilité supérieure pour les services continus. OPNsense est légèrement préféré en 2026 pour sa sécurité proactive et sa gestion moderne des certificats Let’s Encrypt.
2. L’Utilisateur SOHO avec Matériel Existants
Vous avez un routeur WiFi 6 (Asus, TP-Link, Netgear) que vous voulez rooter pour éviter les backdoors du fournisseur.
- Choix : OpenWrt.
- Pourquoi : pfSense ne tournera pas sur ce matériel. OpenWrt est la seule option viable. Vous sacrifierez la gestion centralisée avancée, mais gagnerez en contrôle total sur le WiFi et le trafic.
3. L’Entreprise SMB ou le Réseau Complex
Vous gérez 50+ appareils, VLANs multiples, authentification RADIUS, et un débit WAN de 1 Gbps+.
- Choix : OPNsense (ou pfSense Plus).
- Pourquoi : La modularité d’OPNsense permet d’ajouter des plugins spécifiques (comme le portail captif avancé ou l’analyse de flux NetFlow) sans surcharger le système. La fréquence des patches de sécurité est critique pour la conformité.
4. L’Expert Réseau / Développeur
Vous voulez un contrôle total, compiler vos propres paquets, et utiliser des scripts bash complexes pour automatiser votre réseau.
- Choix : OpenWrt (sur x86) ou pfSense avec accès SSH.
- Pourquoi : OpenWrt est essentiellement un système Linux standard. Vous pouvez y installer Docker, Nginx, ou n’importe quel outil Linux. C’est un “routeur qui est aussi un serveur”. pfSense permet aussi le SSH, mais l’accès au système de fichiers est plus restreint pour maintenir l’intégrité de la configuration GUI.
Gestion des Mises à Jour et Maintenance
Un firewall non mis à jour est une porte ouverte.
- pfSense : Les mises à jour sont testées rigoureusement. Cependant, les sauts de version majeurs (ex: 2.5 à 2.6) peuvent parfois casser des configurations legacy ou des scripts personnalisés. Toujours faire une sauvegarde XML avant mise à jour.
- OPNsense : Les mises à jour sont plus fréquentes et incluent souvent des correctifs de sécurité critiques rapidement. L’interface indique clairement les mises à jour disponibles pour le noyau et les paquets.
- OpenWrt : Deux branches : “Stable” et “Snapshot”. La branche Stable est fiable mais peut manquer de drivers récents. La branche Snapshot offre les dernières fonctionnalités mais peut être instable. Pour les utilisateurs non experts, la branche Stable est recommandée.
Hébergement et Infrastructure
Il est important de noter que si vous choisissez de déployer ces solutions sur un VPS (Virtual Private Server) pour du routing virtuel ou du test, la performance réseau sera limitée par l’hyperviseur et la bande passante du fournisseur. Pour du routing physique réel, un matériel dédié (mini-PC ou routeur) est indispensable. La latence ajoutée par la virtualisation peut être critique pour les applications temps réel (VoIP, gaming).
De plus, héberger sa propre infrastructure réseau demande une vigilance accrue. Un firewall est la première ligne de défense. Si il est compromis, tout votre réseau est vulnérable. Utilisez des mots de passe forts, activez l’authentification à deux facteurs (2FA) sur les interfaces web si possible, et mettez à jour régulièrement.
Migration pfSense vers OPNsense : FAQ
La migration est souvent demandée car les utilisateurs de pfSense cherchent la modernité d’OPNsense sans tout réinstaller.
Q1 : Puis-je migrer directement ma configuration pfSense vers OPNsense ?
R : Oui, mais avec des précautions. OPNsense propose un outil d’importation qui lit les sauvegardes XML de pfSense.
- Étape 1 : Sauvegardez votre configuration pfSense (Diagnostics > Backup Configuration).
- Étape 2 : Installez OPNsense sur le nouveau matériel (ou le même).
- Étape 3 : Allez dans System > Firmware > Migration et importez le fichier XML.
- Attention : Certaines règles complexes, surtout celles impliquant des plugins tiers pfSense, peuvent ne pas être parfaitement transmises. Vérifiez chaque section après migration. Les interfaces réseau doivent avoir la même disposition (ex: WAN sur em0, LAN sur em1).
Q2 : Est-ce que je dois réinstaller depuis zéro ou puis-je mettre à jour ?
R : Il est fortement recommandé de faire une réinstallation propre. Bien que l’importation de configuration fonctionne, mélanger les bases de données FreeBSD de pfSense et OPNsense peut causer des conflits de paquets ou des instabilités. Une réinstallation garantit un système propre et sécurisé.
Q3 : Quels plugins pfSense n’existent pas dans OPNsense ?
R : La plupart des fonctions de base sont natives dans OPNsense. Cependant, certains plugins pfSense très spécifiques (comme certains scripts de monitoring ou des intégrations propriétaires) n’ont pas d’équivalent direct. OPNsense a son propre dépôt de plugins (“OPNsense Plugins”) qui est en croissance. Vérifiez le site officiel des plugins OPNsense avant de migrer si vous dépendez d’outils tiers.
Q4 : La migration impacte-t-elle les règles de pare-feu ?
R : Les règles de pare-feu sont généralement bien préservées car la syntaxe pf est identique. Cependant, les objets (adresses IP, groupes) peuvent parfois être mal interprétés si les noms d’interfaces changent. Il est crucial de vérifier la section “Firewall > Rules” après migration pour s’assurer que les interfaces cibles sont correctes (ex: ne pas avoir une règle LAN appliquée sur WAN par erreur).
Quel choix selon ton profil ?
Pour trancher définitivement, alignez votre profil avec la solution :
-
Profils “Stabilité et Tradition” : Vous voulez un système qui “marche” et que vous pouvez laisser tourner pendant 5 ans sans y toucher. Vous avez une communauté massive pour résoudre les problèmes.
- 👉 pfSense CE. C’est la valeur sûre, le standard industriel open source.
-
Profils “Sécurité et Modernité” : Vous voulez les dernières fonctionnalités de sécurité, une interface claire, et vous aimez avoir des mises à jour fréquentes. Vous êtes à l’aise avec une communauté technique active mais moins “généraliste” que pfSense.
- 👉 OPNsense. C’est le choix le plus équilibré en 2026 pour la plupart des utilisateurs avancés.
-
Profils “Bricoleur et Matériel Limité” : Vous avez un routeur WiFi, un Raspberry Pi, ou vous voulez un contrôle absolu sur chaque octet de données. Vous n’avez pas peur du CLI ( ligne de commande).
- 👉 OpenWrt. C’est le système le plus flexible, mais il demande plus de travail initial et de maintenance technique.
Conclusion
Il n’y a pas de “meilleur” firewall open source universel. Il y a le meilleur outil pour votre matériel et votre niveau d’expertise.
- Si vous avez du x86 et voulez un pare-feu complet, choisissez OPNsense pour sa modernité et sa sécurité, ou pfSense pour sa stabilité éprouvée.
- Si vous avez du matériel embarqué (ARM/MIPS) ou besoin d’une flexibilité Linux totale, choisissez OpenWrt.
En 2026, la frontière entre ces solutions s’estompe légèrement (OpenWrt sur x86, pfSense/OPNsense sur ARM via des images non officielles), mais les recommandations ci-dessus restent les plus sûres pour une production stable. N’oubliez pas : un firewall est un investissement de confiance. Testez, sauvegardez, et commencez par une installation propre.