Quelqu'un ici avec pfSense, OPNSense?

J’ai quelques petites installations à venir chez des clients qui remplacent leur équipement désuet et j’en suis à considérer l’achat d’équipement certifié / préinstallé avec ces distributions (on va appeler ça comme ça). J’essaie d’éviter d’assembler quelque chose moi-même même si en principe c’est faisable.

Quelqu’un ici utilise déjà pfSense ou OPNSense en entreprise ? Votre matériel ou du matériel acheté préinstallé (ex: NetGate 2100 avec pfSense ou DEC675 / FW4C avec OPNsense) ? J’aimerais pouvoir accomoder les fournisseurs Internet offrant >=1GB/s , du multi-wan failover et DNS/DHCP simple en local mais aussi prevoir d’aller un peu plus loin (VLANs, etc.).

Je trouve intéressant que pfSense offre son matériel de formation gratuitement et ça permette un accès abordable à une certification de base, par contre ce n’est plus tout à fait libre et leurs agissements lors du fork … bof. J’ai d’autres collègues qui l’utilisent et ça semble très populaire, un peu comme Microtik.

OPNsense à l’avantage d’être vraiment libre (Simplified BSD / FreeBSD License) en plus d’autres avantages techniques comme la transparence et fréquence des mises-à-jour.

Sans aller dans les détails j’aime bien la structure de support commercial et tarifs des deux projets. Microtik offre des formations via un réseau bien établi dont un formateur en français (!) au Québec, quoique c’est payant et demande un peu plus de temps - je pense ici à une formation potentielle pour des techniciens qui travaillent avec moi, p. être que je finirais par la faire moi-même.

Ces deux choix sont plus chers que Microtik bien sûr quoique pour une entreprise qui tient compte des licences et valeurs véhiculées par chaque projet/entreprise et l’accès aux ressources locales, je suis à l’aise d’argumente en faveur (ou contre) selon le cas.

Vos avis ?

Pas un choix facile, je dirais. microtik ont la grosse part du lion pas mal, mais c’est pas du logiciel libre alors de mon point de vue, c’est pas à considérer pour rendre service aux gens.

J’ai débarqué du train « FreeBSD » depuis très longtemps, mais j’ai utilisé pfSense à une certaine époque, avant le grand fork… Je pense que j’éviterais, considérant la façon dont tout ça s’est déroulé. OPNSense semble intéressant, mais j’ajouterais le bémol que c’est quand même des systèmes radicalement différents d’un « Linux » plus traditionnel (e.g. OpenWRT etc), en ce sens que le parefeu, les VLANs, la redondance, tout ça est différent de Linux. Alors ça peut être parfois plus difficile de trouver du support technique pour ça, du moins en théorie.

En pratique, s’il existe des conseillers ou un réseau de support pour ces produits, j’irais avec ça.

Je ne fais pas de déploiement de gros routeurs ces temps-ci. Les derniers que j’ai monté qui s’approchent de ta spécification, c’était à koumbit.org, et c’était deux routeurs FreeBSD basés sur des serveurs 1U ordinaires. J’avais à l’époque expérimenté avec des routeurs Soekris, mais je ne suis pas certains qu’ils soient encore en affaire. L’équivalent actuel serait probablement les APUs de https://www.pcengines.ch… c’est un peu DIY comme approche par contre. Koumbit, depuis, sont en train de basculer vers une architecture Linux pour les pare-feu, exactement parce que c’est difficile de former beaucoup de monde sur deux OS si différents…

Pour mes besoins personnels, je suis avec OpenWRT présentement. Ça marche, j’ai pas à me casser la tête… J’ai un routeur Turris Omnia à la maison, et j’en suis très satisfait. Ils ont leur propre OS (Turris OS) basé sur OpenWRT et qui fait les mises à jour automatiquement (contrairement à OpenWRT lui-même, qui demande un sysupgrade manuel relativement régulièrement).

Par contre, pas de support technique (à ce que je sache) offert avec OpenWRT… en fait, à y penser, c’est surprenant qu’il n’y ai pas une branche « commerciale » de OpenWRT offrant exactement ça, du support/installation pour des services et routeurs OpenWRT… une opportunité manquée, à mon avis!

Finalement, pour compléter, j’ai aussi pas mal joué avec des machines Ubiquiti… ils ont un OS propriétaire, mais il est basé sur OpenWRT, donc on reste dans un domaine familier. Ils ont toute une gamme de produits et du support commercial, mais je sais pas à quel point il est local. Si j’abandonnais l’approche DIY/libre, j’irais probablement avec eux, vu que ça intègre hardware/software…

oh, et feedback rapide sur les produits que tu prends en exemple… pas sûr que j’irais avec Netgate… j’ai entendu des bonnes choses de tplink pour les switches, pas sûr pour les routeurs. Le DEC675 de OPNSense semble vachement intéressant! (Oh, et TIL: Netgate est propriétaire de pfSense! Ah et j’avais aussi oublié que pfSense est derrière l’introduction complètement bâclée de Wireguard dans FreeBSD, donc je me tiendrais loin de pfSense en général…)

Pour le Protectli… meh, beaucoup de vendeurs du genre, voir aussi Brix, Qotom… Je gardais un oeil sur le crowdfunding de Ten64 pendant un bout, je sais pas trop où ils en sont non plus. Mais ça reste dans le DIY, tout ça.

Voilà, j’espère que ça aide dans tes réflexions et je serais curieux de voir où tu arrives, bonne chance! :slight_smile:

Wow, merci pour ce retour si détaillé, @anarcat .

On arrive à peu près aux mêmes conclusions, quoique je tienne moins compte des différences d’OS pour mon utilisation. Je ne crois pas que je vais souvent quitter l’interface web dans mes installations.

J’ai aussi un Turris OMNIA pour mon usage pro/personnel mais je trouve dommage que le matériel demeure assez dispendieux et je ne prévois pas utiliser de WiFi dans mes installations (en tout cas pas intégré au router). Il est déjà arrivé que lors de mises-à-jour tout plante et je doive réinstaller de zéro en flashant par recovery (!), quoique pas depuis ~2 ans.

Je suis du même avis que toi concernant pfSense d’un point de vue éthique et technique aussi. Je trouvais les appareils proposés avec OPNsense préinstallé intéressants, mais tous vraiment chers (le double ou le triple dans certains cas) que du matériel semblable ou plus puissant. J’ai quand même demandé des prix à 3 entreprise différentes.

J’ai plusieurs collègues (libristes aussi) qui ont une bonne expérience de DIY avec des PC ou « mini-router » PC mais avec pfSense, donc je vais tenter l’expérience DIY OPNSense. J’ai commandé un Qotom 759G4 Wifi pour apprendre et tester. Un critère important était d’avoir des interfaces 2.5 GB et une facilité de commande. On trouve ces appareils ici rapidement (mais pas encore les modèles 2.5GB), sur Amazon aussi - quoique je préfère éviter. C’est pour un usage commercial et je prévois 3 installations prochainement si c’est concluant.

Je ferais un retour ici dans 1-2 mois :wink: Merci encore!

1 « J'aime »

fantastique! je suis curieux d’avoir des nouvelles du Quotom en particulier! :slight_smile:

J’ai un Protectli Vault avec OPNSense. Le modèle que j’ai a été remplacé par le FW2B. Ça fait presque 3 ans que je l’ai et il n’a jamais niaisé. Pour avoir plus de ports j’ai juste ajouté une switch Netgear 8 ports à 30$ à coté.

1 « J'aime »

Bon ben j’ai reçu le petit Qotom, bel appareil et fonctionne très bien.
OPNsense installé et mis à jour via l’interface web, semble très solide. Pour l’instant quelques plugins comme Wireshark et Dynamic DNS, APC UPS installés, je vais configurer et tester plus ces prochains jours.

QOTOM Firewall Micro Appliance Fanless Mini PC Q730G5 Q750G5 Celeron J4105 J4125 5 x I225-V
5 X 2.5G LAN Gateway Firewall
8G RAM 128G SSD, Q750G4 WIFI

CAD $348.87 livré

Vraiment moins cher et plus puissant que les autres modèles préinstallés/certifiés mais bon, il faut le bricoler soi-même. J’ai trois installations à faire prochainement alors je compte bien apprivoiser OPNsense en même temps.

Modèles 1GB et avec moins de SSD OK et moins chers mais je voulais qq chose pour expérimenter sans restrictions.