pfSense vs OPNsense pour le réseau maison se résume à quatre choses en 2026, parce que sur les fonctionnalités les deux se sont en gros rattrapés. Les deux sont des firewalls FreeBSD qui se sont séparés du même arbre généalogique il y a une dizaine d'années. pfSense, piloté par Netgate, c'est le stable, avec l'énorme parc installé. OPNsense, piloté par Deciso, c'est celui à l'UI réactive et léchée, des mises à jour toutes les deux semaines, un IDS inline intégré d'office. J'ai eu les deux sur exactement le même mini-PC N100, les deux saturent ma fibre gigabit, les deux font du WireGuard et de l'OpenVPN sans rechigner. Donc la vraie décision tourne autour de la fréquence des mises à jour, du ressenti de l'UI, de l'étagère des plugins, et de savoir si tu t'aventureras un jour au-delà du simple NAT et des règles de firewall. J'ai fini par trancher. Je vais te dire où.
The short answer
Les deux saturent le gigabit sur le même mini-PC N100 et les deux font du WireGuard et de l'OpenVPN sans rechigner, donc le choix de 2026 ne tient pas aux fonctionnalités brutes. pfSense CE est le choix à installer et oublier, avec la doc la plus fouillée et un boîtier Netgate que tu peux expédier à ton père. OPNsense te donne l'UI moderne et réactive, des mises à jour toutes les deux semaines, un arbre Git public, et du Suricata inline dans la boîte. OPNsense, c'est ce que je garde sur ma propre bordure de réseau.
Les deux vivent sur mon rack depuis des années. Et on me demande encore lequel choisir, à peu près une fois par semaine. Alors voilà la version honnête. Les deux sont des firewalls FreeBSD qui se sont séparés du même arbre généalogique il y a une dizaine d'années. pfSense piloté par Netgate, c'est le stable. Des boîtiers matériels, un parc installé grand comme un petit pays. OPNsense piloté par Deciso, c'est celui à l'UI réactive et léchée, des mises à jour toutes les deux semaines, un IDS inline intégré d'office. J'ai eu les deux sur exactement le même mini-PC N100. Les deux saturent ma fibre gigabit sans broncher, les deux font du WireGuard et de l'OpenVPN sans rechigner. Ce qui veut dire que la décision de 2026 ne tourne plus vraiment autour des fonctionnalités. Sur ce terrain, ils se sont rattrapés. Elle tourne autour de la fréquence des mises à jour que tu veux, de ce que l'UI te fait ressentir, de ce qui traîne sur l'étagère des plugins, et de savoir si tu t'aventureras un jour au-delà du simple NAT, du DHCP et des règles de firewall. J'ai fini par trancher. Je vais te dire où.
Histoire commune, destins divergents
Les deux remontent à m0n0wall le minuscule firewall FreeBSD de Manuel Kasper sorti en 2003. pfSense en a forké en 2004. Puis en 2015, OPNsense a forké de pfSense. Et pas à l'amiable. C'était une brouille autour des accès commit et du degré réel d'ouverture du truc, et on sent encore le froid dans les vieux fils de forum. Sous le capot, ils sont taillés dans la même étoffe. Front-end en PHP, pf comme filtre de paquets, noyau FreeBSD. Ce qui est vraiment différent, c'est qui tient le volant. Netgate gère pfSense comme une entreprise : une Community Edition (CE) gratuite, puis un palier Plus payant qui récupère en général les nouveautés en premier. Deciso gère OPNsense comme un seul projet ouvert. Une édition, point. La « business edition » n'est qu'un contrat de support greffé par-dessus, même code, mêmes binaires. Tu paies juste pour que quelqu'un décroche le téléphone.
Le tableau face à face complet
| Critère | pfSense CE 2.7 | OPNsense 24.7 |
|---|---|---|
| Base OS | FreeBSD 14 | FreeBSD 14 (HardenedBSD until 22.1) |
| Framework UI | Bootstrap 4 | Phalcon + custom theme |
| Mode sombre | Plugin (pfBlockerNG theme) | Built-in |
| Rythme des versions | ~2 years major, monthly patch | 2 majors / year + biweekly stable |
| Transparence des mises à jour | Changelog only | Live commit feed, signed Git tree |
| WireGuard | Kernel module since 2.7.0 | Kernel module since 21.7 |
| IDS inline | Snort or Suricata package | Suricata built-in (Sensei plugin for Netify) |
| Nombre de plugins | ~70 | ~200 |
| API | REST in Plus only | REST/JSON included |
| Sauvegarde | Encrypted XML, manual | Encrypted XML + AutoConfigBackup free |
| Appliances | Netgate boxes (€$$$) | Deciso DEC650 / DEC700 (€€) |
| Licence | Apache 2.0 | BSD 2-clause |
L'UI et le vécu au quotidien
Connecte-toi à pfSense après l'avoir laissé de côté pendant cinq ans et tu te sentirais comme à la maison. Dense. Sérieux. Rien n'a bougé. Du Bootstrap 4 dessous, surtout des rechargements de page complets à l'ancienne. Chaque page de réglages a sa propre URL, et franchement, j'adore ça. Je peux la mettre en favori, faire un Ctrl-F dessus, et la page ne me piège jamais avec un état JavaScript à moitié chargé. Le revers est purement cosmétique. Les tableaux font un peu daté, les widgets du dashboard restent juste là sans bouger, et sur mon écran 4K le thème par défaut laisse des hectares de vide.
OPNsense a pris l'autre chemin, complètement. Ils ont reconstruit le front-end sur Phalcon, puis avec la 23.7 ils ont misé à fond sur un rendu réactif côté client. Les dashboards se mettent à jour en direct, les listes se virtualisent pour que mon firewall à 5 000 règles ne s'étrangle pas quand je scrolle, le mode sombre est juste là. Aucun plugin, aucune chasse au thème. Ça te coûte quoi ? Moins que tu ne crois. De temps en temps je dois double-cliquer sur un truc que pfSense aurait pris du premier coup, et il y a un petit bundle JS qui ajoute peut-être 200 ms au premier rendu sur un cache froid. Ce compromis, je le prends tous les jours.
Rythme des versions et transparence des mises à jour
Lis cette partie si tu sautes tout le reste. C'est là que les deux divergent vraiment, et pour moi c'est ce qui règle tout le débat.
- pfSense CE sort une version majeure tous les 18 à 24 mois, à la louche, avec des patchs parsemés entre. Plus reçoit les nouvelles fonctionnalités en premier. Netgate ne l'a pas caché ; ils ont dit sans détour que certaines mises à jour CE arrivent des mois après Plus. Tu as des changelogs, certes. Mais l'arbre Git n'est globalement qu'un miroir d'un dépôt privé, poussé par lots. Tu regardes depuis les places les moins chères.
- OPNsense sort deux majeures par an, calées sur janvier et juillet, plus une version stable à peu près toutes les deux semaines. Et l'arbre Git, c'est vraiment le projet. Chaque commit, chaque tag signé, chaque advisory, en plein air, là où tu peux réellement les lire.
Maintenant, si ton firewall est en gros un meuble (tu l'installes, tu l'oublies, tu n'y touches plus pendant trois ans), alors le rythme lent est vraiment un atout, et je ne vais pas le contester. Ce n'est juste pas comme ça que je gère le mien. Quand un sale CVE débarque en amont, je veux le correctif en quelques jours, pas le trimestre prochain, et OPNsense me le fournit. Peut-être que je suis plus nerveux sur le patching que je n'ai besoin de l'être, je veux bien l'admettre. Mais c'est la seule et plus grande raison pour laquelle c'est OPNsense que je garde sur ma propre bordure de réseau.
Plugins et écosystème
OPNsense liste autour de 200 paquets officiels, pfSense environ 70. Ne surinterprète pas cet écart. Il est loin d'être aussi déséquilibré qu'il en a l'air. pfSense a tendance à entasser plus de choses dans chaque paquet, et une grosse part de la liste OPNsense, ce sont des petits plugins mono-tâche. Dans la pratique, ce que tu vas réellement installer s'aligne presque un pour un. pfBlockerNG sur pfSense. Zenarmor et Sensei sur OPNsense. Puis les suspects habituels présents des deux côtés, HAProxy, Squid, Tailscale, Caddy. WireGuard est désormais de première classe sur les deux, et le client comme le serveur OpenVPN marchent tout seuls dans les deux cas.
Là où OPNsense prend de l'avance, c'est sur les paquets plus récents : os-acme-client pour Let's Encrypt, os-frr quand il te faut du vrai routage, os-wireguard avec une UI dans laquelle on s'installe vraiment avec plaisir. Là où pfSense garde l'avantage, c'est sur la profondeur. pfBlockerNG a des réglages à n'en plus finir, et Snort te donne davantage à peaufiner. Ironie de l'histoire, ces deux-là sont nés sur pfSense et ont été portés vers OPNsense plus tard. L'avantage du terrain.
Performances sur matériel prosumer
J'ai fait tourner les deux sur le même mini-PC Intel N100, 8 Go de RAM, en échangeant juste le disque de boot entre eux pour que rien d'autre ne bouge. Voici ce que les chiffres ont dit :
| Charge de travail | pfSense CE 2.7 | OPNsense 24.7 |
|---|---|---|
| Débit WAN 1 Gbps NAT seul | 940 Mbps, 8 % CPU | 940 Mbps, 9 % CPU |
| Tunnel WireGuard saturé | 820 Mbps, 38 % CPU | 790 Mbps, 41 % CPU |
| WireGuard + Suricata inline (ruleset par défaut) | 520 Mbps, 71 % CPU | 490 Mbps, 73 % CPU |
| Démarrage à froid jusqu'à prêt | 72 s | 78 s |
Regarde ces chiffres. À une erreur d'arrondi près, tous autant qu'ils sont. Donc si quelqu'un te raconte que l'un des deux est sensiblement plus rapide que l'autre sur du matériel prosumer en 2026, va voir ce qu'il essaie de te vendre. Le silicium se fiche pas mal du logo affiché sur la page de login.
Support matériel et appliances
Ils tournent sur le même genre de matériel. N'importe quel boîtier x86_64 avec deux NIC ou plus, ce qui couvre quasiment tout ce qui traîne dans un homelab. Les différences n'apparaissent qu'à la marge. Netgate vend ses propres boîtiers (1100, 2100, 4100, 6100, 8200) optimisés pour pfSense Plus, et oui, la CE y tourne parfaitement bien aussi. Deciso vend ses propres boîtiers (DEC650, DEC700, DEC840, DEC2700) optimisés pour OPNsense, déchargement crypto compris. Côté ARM, les deux gèrent l'ARM64 en 2026, mais je donnerais l'avantage à pfSense Plus ici. Son image ARM officielle est la plus aboutie des deux, ou du moins elle l'était la dernière fois que j'ai vérifié. Pour les montages DIY, en revanche ? Un mini-PC, un vieux thin client repêché d'une benne, les deux démarrent sans broncher. pfSense publie une liste de compatibilité matérielle plus longue, mais dans la vraie vie, toutes les NIC Intel et Realtek courantes que j'ai balancées à l'un comme à l'autre ont marché du premier coup.
Le verdict, par cas d'usage
- Tu veux une stabilité « installer et oublier » et un boîtier Netgate que tu peux expédier à ton père sans jamais plus y repenser ? Prends pfSense. C'est le seul cas où j'irais le chercher sans hésiter une seconde.
- Tu veux l'UI moderne, des mises à jour toutes les deux semaines, un arbre Git public que tu peux réellement grepper ? OPNsense. C'est ce qui tourne sur ma propre bordure de réseau.
- Tu veux un IDS inline sans bricoler des paquets en plus ? OPNsense. Déjà dans la boîte.
- Tu veux la doc la plus fouillée et le plus gros forum pour te sortir d'un trou à minuit ? pfSense prend encore celle-là.
- Tu montes une petite stack de service managé que tu vas automatiser ? OPNsense, rien que pour l'API REST que tu n'as pas à payer en plus pour la déverrouiller.
- Tu es nerveux à l'idée qu'une seule entreprise détienne les clés ? OPNsense. Une édition, pas de palier Plus derrière un paywall, rien à remettre en question à 2h du mat'.
- Déjà content sur pfSense Plus et tu connais la doc par cœur ? Alors reste où tu es. Je le pense vraiment. Le mal de crâne de la migration ne vaut pas le peu que tu y gagnerais.
Sources et lectures complémentaires
Questions fréquentes
Est-ce que je peux migrer de pfSense vers OPNsense en restaurant la config XML ?
En partie, oui. OPNsense a un importateur de config pfSense et il est correct, il va reprendre tes interfaces, les règles de firewall de base, le NAT, le DHCP, l'OpenVPN. Ce qu'il ne touchera pas, ce sont tes plugins. pfBlockerNG, Snort, tout ça, c'est réinstallation et reconfiguration à la main. Quand j'ai déplacé un firewall que je bidouillais depuis une éternité, ça m'a bouffé la meilleure partie d'un après-midi. Donc bloque une demi-journée. Tu n'en auras sans doute pas besoin en entier, mais tu ne te feras pas avoir non plus.
Est-ce que pfSense passe en commercial uniquement ?
Non. Et les gens n'arrêtent pas de s'y attendre. Netgate a répété encore et encore que la CE reste gratuite et ouverte. Le vrai clivage, ce n'est pas la disparition du gratuit face au payant, c'est la vitesse. Plus reçoit les fonctionnalités en premier, la CE les reçoit plus tard. C'est tout le truc. Mais je vais être franc avec toi, si cet arrangement te met mal à l'aise, le modèle une-seule-édition-pour-tout-le-monde d'OPNsense est juste plus simple à appréhender. Pas de paywall à se poser des questions dessus.
Lequel est meilleur pour un WAN à 10 Gbps ?
Les deux atteignent les 10 Gbps si tu leur files le matériel pour, du genre une classe Xeon-D six cœurs avec une Intel X710. Sur les boîtiers haut de gamme de Netgate, pfSense a un déchargement crypto Intel QAT légèrement mieux ficelé, mais OPNsense fait tourner ce même silicium sans souci. Pour un montage DIY à 10 Gbps, l'écart n'est en gros que du bruit. Donc ne te prends pas la tête. Choisis sur l'UI et le rythme des mises à jour, c'est la partie que tu ressentiras vraiment au quotidien.
Et VyOS, RouterOS ou OpenWrt dans tout ça ?
Franchement ? Un autre sport. VyOS est CLI-first et basé sur Linux, je le range au rayon des remplaçants de Juniper, pas des firewalls maison. MikroTik RouterOS est fantastique sur le matériel maison de MikroTik et plutôt sans intérêt sur un boîtier x86. OpenWrt est conçu pour les routeurs Wi-Fi grand public, pas pour une appliance firewall x86. Donc si c'est un firewall maison x86 que tu cherches en 2026, pfSense contre OPNsense est vraiment le comparatif qui compte. Les autres répondent à une tout autre question.
Est-ce que le rythme bimensuel d'OPNsense casse des choses ?
Rarement, d'après mon expérience. Les versions stables sont testées, ce sont les sauts de version majeure qui mordent, pas ceux toutes les deux semaines. Concrètement, tu es face au bug occasionnel dont tu dois revenir en arrière, pas à un tueur de prod toutes les deux semaines. Et il y a une habitude qui fait s'évaporer toute l'inquiétude : prends l'instantané de config chiffré avant chaque mise à jour. Un truc déconne, le rollback tient en une commande, te revoilà au point de départ. Je l'ai fait à moitié endormi plus d'une fois.