Provya

Expertise pfSense

Sommaire des articles  -  Liens & Actualités  -  Firewall pour pfSense

# - @ - Guillaume - 10/01/2022 à 17:07:16

@PascalB41 :
Bonjour Pascal,

Oui les problèmes de stabilité sont totalement résolus. OPNsense est aussi stable que pfSense. C'est très stable.

Les fonctionnalités sont très similaires. Les différences se font plutôt à la marge comme la façon dont les packages sont intégrés, des fonctionnalités plus simples à configurer d'un côté que de l'autre, etc. Les cycles de mises à jour sont très différents aussi.

Si vous êtes à l'aise avec l'anglais, la chaîne Youtube Lawrence Systems à fait un comparatif pfSense vs OPNsense : https://www.youtube.com/watch?v=y8R5-xNeHY8.
On sent que l'auteur à un léger parti pris, mais la comparaison qu'il fait reste très intéressante.

Nous proposerons sûrement prochainement un article sur ces sujets (en tout cas, c'est dans mes brouillons...).

Je ne pense pas qu'il y ait eu beaucoup de migrations d'installations existantes (pfSense étant parfaitement fonctionnel et les fonctionnalités étant très similaires sur les deux logiciels).
D'un point de vue nouvelles installations, ce que nous constatons pour notre part, c'est environ 85% de pfSense et 15% d'OPNsense. OPNsense étant en croissance régulière au fil des mois.

Cordialement,

Guillaume
--
Provya

# - @ - PascalB41 - 06/01/2022 à 18:05:40

Bonsoir, merci de la réponse.

Par améliorations je pensais aux problèmes de stabilité que vous avez évoqués dans votre message.
Sont-ils tous bien résolus aujourd'hui ?
Savez-vous s'il existe un comparatif des fonctionnalités d'OPNsense et de pfSense ?
J'avais jeté un oeil sur ce produit alternatif il y a 1 an mais je n'avais fait que le survoler.
Si vous me confirmez qu'il est stable et performant comme l'est pfSense je vais creuser le sujet.

Par ailleurs votre message date de bientôt 1 an, savez-vous si les migration pfSense --> OPNsense se sont multipliées ? En avez-vous réalisé en nombre ?

Cordialement,

Pascal.

# - @ - Guillaume - 06/01/2022 à 15:46:39

@PascalB41 :
Bonjour Pascal,

Je vous confirme que pfSense Plus est basé sur un principe d'abonnement annuel.

Je vous confirme qu'il n'y a aucune urgence à migrer votre installation. pfSense CE continu d'être développé plutôt activement.

Concernant OPNsense, quelles améliorations attendez-vous ? OPNsense est parfaitement stable et bien plus efficace que pfSense sur beaucoup de sujets.

Cordialement,

Guillaume
--
Provya

# - @ - Guillaume - 06/01/2022 à 15:41:39

@Michel B. :
Bonjour Michel,

Merci beaucoup pour la précision.

Cordialement,

Guillaume
--
Provya

# - @ - PascalB41 - 06/01/2022 à 10:28:05

Moi ce qui me gave dans cette histoire c'est qu'il y a 3 ans j'ai choisi pfSense CE pour remplacer mon Microsoft TMG suite à l'abandon pur et simple du produit par son éditeur.
Et cette info que j'ai découverte sur le forum Netgate l'an dernier est tombée au moment où j'avais pleinement fini d'installer pfSense CE. Aujourd'hui *toute* notre communication passe par pfSense CE. Internet et téléphonie. Alors il n'y a effectivement pas urgence à changer (ou pas) de produit, mais c'est pénible, j'ai l'impression de revivre l'abandon de TMG il y a des années de cela.
Le passage à une licence payante je n'ai rien contre sur le principe. Mais là on partira surement sur une charge financière récurrente, il faudra payer son abonnement comme pour Microsoft 365 ou Veeam. Les profits des éditeurs sont déjà bien plus élevés que dans l'industrie mais ça ne leur suffit pas, il va falloir passer à la caisse tous les ans.
Personnellement je vais attendre et voir comment la situation évoluera mais si OPNSense s'améliore je serai plus tenté par cette solution.

# - @ - Michel B. - 28/12/2021 à 16:45:15

Bonjour Guillaume,
merci pour vos explications claires et précises sur le montage d'un VPN et les autres articles très intéressants.
Une petite précision qui pourrait aider certains :
pour effectuer un test de traffic au travers de votre VPN IPSEC, vous pouvez essayer de pinger le serveur pfsense distant mais attention ce ping doit être réalisé depuis une machine de votre réseau et pas depuis le pfsense local au risque de ne pas fonctionner.
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/access-firewall-over-ipsec.html

# - @ - Guillaume - 13/12/2021 à 10:03:59

@noma :
Bonjour,

Si le paquet openvpn est présent dans les dépôts Debian, vous devriez pouvoir utiliser la commande suivante :

apt-get install openvpn

Les fichiers de configuration se trouveront dans le répertoire /etc/openvpn/

Autrement, vous pouvez jeter un œil au site web d'OpenVPN : https://openvpn.net/vpn-software-packages/.

Mais seules les version 10 et 11 de Debian sont prises en compte. Debian 7 est vraiment une vieille version de Debian.

Cordialement,

Guillaume
--
Provya

# - @ - noma - 12/12/2021 à 14:37:26

bonjour,
j’ai merci pour votre tutoriel mais un un petit souci: comment tester l’accès distant depuis un poste client Debian version-7 ? sur un poste client windows ça marche bien mais je ne sais pas installer le client openvpn sur les machines debian version-7.
j’ai énormément besoin de votre aide.
merci d’avance.

# - @ - Guillaume - 03/09/2021 à 07:29:56

@Deen :
Bonjour,

Oui, la configuration de NAT sortant (Outbound NAT) peut être une solution dans votre cas.

Il y a un point de vigilance à avoir en tête : arrivés sur le site de destination, les paquets réseaux ne présenteront plus leur adresse IP source d'origine ; ainsi, si vous avez mis en place du filtrage en fonction des adresses IP sources, il faudra sûrement l'adapter.

Cordialement,

Guillaume
--
Provya

# - @ - Deen - 31/08/2021 à 09:56:02

@Guillaume :
bonjour,
merci pour les réponses. Au fait ma préoccupation réside dans la gestion de deux routes. Je dispose d'un route pour accéder à deux sites différents. Pour raison de sécurité nous avons décider de créer une deuxième route en par tunnel Ipsec entre deux pfsenses situés sur des sites différents.
Dans mon réseau, pour accéder a mon serveur, je dois forcement passé par un routeur cisco quelque soit le route emprunté.
Alors chaque fois que je suppose passer par la voie secondaire créée pour atteindre mon serveur, les paqués sont bloqués au niveau du routeur car j'ai déjà désactivé la première route. Mais si je l'active cela passe. Donc je voudrai savoir si je peux faire du NAT pour habiller les paquets afin d'obligé les paquets a prendre par mon tunnel.