OPNSense

Firewall, Proxy, VPN dans la lignée de PFSense mais mieux

OPNSense est un "fork" de PFSense mis en place par l’équipe initiale de PFSense qui n’était plus en accord avec la politique de développement plus "commercial" du projet PFSense (passage sous licences ESF en 2014).
OPN Sense est née le 2 Janvier 2015 sur la base de PFSense de l’époque mais avec une interface moderne et les fonctions avancées de PFSense nativement intégrée. Comme PFSense est basé sur un système d’exploitation FreeBSD particulièrement reconnu pour sa stabilité et la performance de ses couches réseau.

DEFINITION

OPNSense est une distribution spécialisée dans la sécurité. Certains appeleront cela une appliance, nom normalement réservé à des boitiers tout en un qui contiennent un OS dédié aux fonctions réseaux.
OPNSense cumule dans un même environnement organisé de manière cohérente :

  • un firewall avancé (filtrage sur la couche 7, priorisation, stateful inspection, ...)
  • un proxy (transparent, filtrant ou authentifié)
  • des fonctions VPN (OpenVPN, mais aussi IPSec, L2TP, PPTP et PPPoE)
  • un portail captif pour le réseau Wifi, l’authentification à double-facteur (pour le portail captif, le proxy, le VPN, ...)
  • un outil de détection d’intrusion (ou IPS basé sur la solution Suricata)
  • la haute disponibilité etc ...

EN PRATIQUE

OPNSense peut s’installer sur des toutes petites machines (type Raspberry Pi ou des boitiers Alix) car son besoin est très faible (pour des petits besoins bien sur). Comme il repose sur un FREEBSD, il suffit de vérifier la compatibilité matérielle avec cet OS pour que cela s’installe sans problème.
Une fois ceci fait, l’administration se fait entièrement via une interface web au design clair (les menus ont été totalement réorganisé par rapport à PFSense) qui repose techniquement sur le framework PHP Phalcom qui est récent et considéré comme le plus rapide du marché.

A noter la fonction d’agrégation de liens qui est bien pratique pour mettre en place un second accès Internet qui viendra augmenter le débit global tout en servant de secours en cas de panne du lien principal. On peut ainsi prendre un lien fibre optique chez un premier FAI, et un second en ADSL basique. On définit quel part du trafic passe par quels liens et en cas de panne d’un des liens tout continue à fonctionner sur le lien restant, le tout de manière transparente. Certaines configurations à l’étranger ou les accès Internet sont parfois chèrs disposent de 8 liens agrégés ensemble.

La fonction d’authentification à 2 facteurs est également intéressante. Elle permet de faire envoyer sur un téléphone un code qui va permettre l’authentification par exemple pour la connexion au Proxy. Ceci permet de mettre en place un service évolué de Wifi public authentifié. Le seul bémol est que cette fonction F2A repose sur Google Authenticator ...

CE QUE NOUS AVONS NOTE

Nous avons migré beaucoup de nos configurations de PFSense à OPNSense sans soucis. La sauvegarde encapsulant toutes les données dans un fichier XML, il est facile d’aller éventuellement "gratter" dedans pour adapter un ou deux changements (noms des interfaces réseau par exemple). On récupère ainsi notamment les utilisateurs et les certificats ce qui évite bien de redéployer un jeu de certificats pour chaque client si l’on utilise un VPN.

La fonction Backup/Restore est également bien pratique car une fois configuré, il suffit de faire un backup de la configuration (qui se présente sous la forme d’un fichier XML) et en cas de problème, on ne cherche pas trop longtemps car une réinstallation / restauration de la conf sauvegardée est très rapide.

OPNSense nous semble plus cohérent dans son organisation, le tableau de bord est plus clair, plus réactif et les écrans sont quasiment tous assortis de petits pictos qui expliquent ce que chaque champ de formulaire fait (en Français s’il vous plait).

Enfin, pour les fans de statistiques, OPNSense a pensé à vous en vous produisants des stats bien jolies avec plein de beaux graphiques qui plairont beaucoup à votre direction même si elle sera bien incapable de savoir de quoi il retourne ... Mais ca fait pro, ca nous permet de faire voir que les équipes infos se soucient de la rentabilité.

NOTRE CONCLUSION

Pour nous OPNSense est une réussite : un produit ultra fiable (comme l’est PFSense), avec des besoins en ressources très faibles (à adapter bien sur en fonction des besoins) et une simplicité de mise en oeuvre sans conteste. Attention toutefois, c’est une solution qui nécessite de très solides compétences en réseau pour pouvoir en tirer parti.

Les alternatives

Catégories

Disponible sous :

• Autre

Difficulté

• Expert

Status pour nous

• En production

Maturité

• Mature

Appréciation

• Excellent

Derniers articles

Tweets

Pourquoi ce site ?

Fervents promoteurs des logiciels libres depuis des années, nous avons constitué au fil du temps une base de référence des solutions existantes exploitables en environnement professionnel. Dans une optique sociétale de partage de l’information, nous avons choisi de partager avec la communauté ce "catalogue" subjectif et non exhaustif.

Liens utiles

Ce n’est que notre vécu ...

Toutes les marques, noms des produits, etc ... restent la propriété de leurs propriétaires et ne sont citées qu’à des fins d’illustration ou de compréhension.
Toutes les analyses et informations fournies dans ce site ne sont qu’indicatives, non garanties, et ne relatent que notre ressenti, notre expérience et surtout les informations glanées sur d’autres sites, officiels ou non. Ce site a pour but de vous faire gagner du temps, pas d’être la référence technique des solutions présentées.
En aucun cas, les informations données sur ce site ne peuvent servir de preuves, de justification ou d’argumentaires en bien ou en mal sur les solutions citées.

Pour nous contacter

L1NFORMATIQUE S.A.S.
7, Bis Rue Dombasle
42100 SAINT ETIENNE
FRANCE
(+33) 477 57 01 01
l1nformatique@l1nformatique.fr

Nos autres sites web

Vous trouverez ci-dessous vers nos sites thématiques :

Actus techniques

2018 © L1NFORMATIQUE. ALL Rights Reserved.
Mentions légales | Conditions d'utilisation

Powered by : KeenThemes.com
Thanks for this wonderful work !