OPNsense vs Pfsense

Arky -

Bonjour,

Je suis passé à OPNSense il y a maintenant deux ans. J'étais sous PFSense avant mais suite à une mise à jour, j'ai perdu certaines options. Je me suis rendu compte que beaucoup de packages étaient en fait des packages communautaires et qu'ils n'étaient pas supportés par la team officielle. En plus de ça, je n'ai jamais pu faire fonctionner HAProxy (reverse-proxy) malgré les très nombreux guides. Ce que je veux faire avec le reverse-proxy sur le routeur, c'est de router mes domaines par exemple arky.ovh sur la VM 101, arky.fr sur la VM 102, etc... Ca évite de forwarder les ports et c'est donc plus sécurisé. Et en changeant de crèmerie, j'ai pu solder ces problèmes et voir que finalement l'herbe était plus verte chez le voisin.

Passer de l’un à l’autre est simple vu que OPN est née d'un fork de Pfsense depuis 2015 au moment ou celui-ci devenait non open-source (rachat par Netgear). Les deux systèmes sont tellement proches l’un de l’autre que choisir l’un plutôt que l’autre en fait un choix plutôt compliqué. C’est pour ça que je vais essayer de passer en revu les principaux points dans le cas d’une utilisation domestique pour avoir un aperçu global :

Installation : c’est installé sur une VM dans proxmox chez moi, et je n’ai pas vu de différence notable entre les deux. C’est du grand classique, tu installes depuis une image et ensuite tu configures dans l’interface ton gateway, tes interfaces etc… OPN va un peu plus loin en proposant un wizard pour faciliter les premiers pas et il fonctionne parfaitement. En quelques minutes, j’avais un système fonctionnel et opérationnel ce qui n’était pas le cas avec Pfsense.

Licence : Pfsense n’est plus open source, c’est d’ailleurs la raison d’être de OPN sense et soyons clair, on voit clairement l’orientation entreprise de Pfsense. Ce qui est logique d’ailleurs. La version que l'on peut utiliser de Pfsense est la CE (Community Edition) qui elle est open-source. Mais il y a encore eu un changement en 2021 et en gros la CE va maintenant complètement diverger de la version Entreprise et ne sera quasi plus mise à jour. Autant dire qu'aujourdhui, si vous débutez, il y a peu de raisons de choisir une solution qui à plus ou moins long terme est condamnée à mourir à petit feu.

Guides : c’est un point très important pour les débutants. Vous allez trouver des tonnes de guides et de vidéos dès que vous allez chercher quelque chose sur Pfsense. Par contre les tutoriels pour OPNsense sont très rares ou en tout cas google ne les fait pas remonter suffisamment. Même si il faut noter que depuis quelques mois, suite aux changements annoncés par Netgear, je commence à voir régulièrement des vidéos et des tutos de qualité pour OPNSense dans mes fils d'actualités.

Mises à jour : le grand gagnant ici c’est OPNsense. Les mises à jour sont beaucoup plus régulières et surtout je trouve qu’elles sont beaucoup mieux intégrées avec le système. Il y a deux mises à jour majeures par an et régulièrement les corrections de bugs.

Ressources : OPNsense consomme un peu moins de mémoire dans une utilisation standard (chez moi entre 2-2.5Go). L’utilisation du CPU est très faible pour les deux systèmes sauf dans le cas ou vous faites des downloads avec Suricata derrière. C’est le seul moment ou j’ai vu le CPU réellement utilisé dans OPNsense. A noter que plus de 90% du code original dans OPNsense a été réécrit depuis le début. C'est clairement aujourd'hui la solution la plus optimisée. Ma consommation moyenne de RAM a diminué en gros d'un peu plus de 1GO, ce qui est juste énorme !

Plugins : sans hésiter, OPNsense. Déjà il faut noter que la plupart des choses sont directement intégrées dans OPNsense. Les seuls plugins que j'ai installés sont Wireguard, ACME, QEMU et HAPROXY. Et ils sont tous supportés par la team officielle donc ils se fondent parfaitement dans l'interface du routeur. Ils bénéficient donc du même suivi pour les mises à jour et ne "cassent" donc jamais.

Firewall : la base du routeur. Je trouve que c’est plus propre et qu’on voit plus facilement les règles dans OPN que PF. La logique est exactement la même mais la façon de présenter les règles dans OPN rend le tout beaucoup plus clair et lisible. En ce qui concerne les alias, NAT et les settings liés, c’est identique.

IPS : Suricata est laaaaaargement plus efficace avec OPNsense et consomme largement moins de ressources que sur Pfsense. La VM ne rame jamais et on voit à quel point OPNsense est efficace.

DNS : pas de différence majeure même si j'aime l'intégration parfaite d'Unbound dans OPNsense.

DNSBL : intégré depuis plus d'un an dans OPNsense, disponible sous Pfsense uniquement avec un package communautaire. Ca fonctionne parfaitement même si pour OPNsense, je trouve qu'il manque pour cette option un log clair (c'est d'ailleurs pour ça que j'utilise encore AdGuard/Pihole).

HAPROXY : sous pfsense c'est un bordel sans nom. Malgré les nombreux guides sur internet, je n'ai jamais réussi à le faire fonctionner. Et très honnêtement je suis pourtant quasi sur que ma configuration était bonne. Sous OPNsense, c'est beaucoup mieux organisé et je n'ai même pas eu besoin d'un guide. Dès le premier setup c'était fonctionnel.

VPN : parfaitement intégré dans OPNsense. Pfsense aura mis quasi plus de 2 ans de plus pour intégrer Wireguard dans son système que OPNsense. LOL... Quand on voit l'efficacité de Wireguard, c'est assez incompréhensible. Depuis que je suis passé sous OPNsense, mon téléphone est connecté en permanence sur mon réseau via Wireguard, c'est totalement transparent. Jamais eu le moindre problème.

NTP : rien à signaler de ce côté, ça fonctionne pour les deux.

Dashboard et interface : l'interface de Pfsense est fonctionnelle mais ultra vieillotte. Celle d'OPNsense est plus moderne et plus logique au niveau des menus. On trouve toujours ce qu'on cherche facilement.

Remplacement de sa box : bon la sans hésiter, OPNsense gagne le match par KO. La dernière fois que je me suis penché sur le sujet, le remplacement de ma box Orange dans OPNsense ça se faisait en quelques minutes car c’est préintégré dans le logiciel. Il y a toutes les informations sur le tutoriel du site de lafibre.info. Pour ce qui est de Pfsense, c’est compliqué car rien ne peut être fait directement, il faut modifier des fichiers du système (et moi ça je n’aime pas du tout).

Logs : la lecture des logs c’est un paramètre clef dans un routeur. A la fois pour vérifier que ce que vous faites fonctionne mais aussi pour débugger certaines règles. C’est semblable pour les deux systèmes même si je trouve que le principe de filtre est mieux intégré dans les logs de Pfsense. C'est d'ailleurs pour moi peut être le seul défaut de OPNsense car j'ai toujours du mal à trouver des infos intéressantes dans les logs d'OPNsense.

Reporting : totalement intégré dans OPNsense (pas le cas dans Pfsense). Ca permet d'avoir des jolis graphs, des camemberts et des stats. C'est très sympa même si pour ma part, ça ne me sert pas du tout.

Conclusion : les deux systèmes étaient très proches à la base quand j'ai switché mais en deux ans d'utilisation, j'ai vu les deux systèmes diverger de plus en plus et il faut vraiment noter que la team derrière OPNsense fait un super boulot. Il y a deux ans, j'aurais eu du mal à vous dire quelle solution choisir mais aujourd'hui je dirais sans hésiter OPNsense. Les évolutions arrivent très vite sous OPNsense et le système est d'une stabilité et efficacité impressionnante.