Hello la commu
Je m intéresse de loin à la solution OPNSense (que j imagine potentiellement mettre sur une VM sous Proxmox sur un NUC i7).
Des utilisateurs parmi la communauté ?
Des RETEX à partager sur vos install ? Des choses à faire/penser (dès le début) ? Pas faire ? Bonne idée ? Moins cool ? …
Thanks !
Bonjour,
Que dire … juste ça marche.
Le seul point à faire attention, c’est dans la configuration de suricata. Mets ton ip en liste blanche avant de jouer avec (je me suis autoban 
).
Hello,
Cela fait presque 2 ans que j’ai installé OPNSense, d’abord virtualisé sur vSphere puis Proxmox depuis environ 6 mois. Niveau matériel je l’héberge sur un NUC avec une double carte réseau (obligatoire, il te faut physiquement un port LAN et un port WAN).
Je remplace ma livebox par mon NUC. Orange ne rend pas la chose facile mais une fois que tu as tout configuré ça fonctionne très bien. J’ai eu peu de ma migration vSphere > Proxmox mais tout s’est très bien passé.
A noter toutefois que cette architecture bien que fonctionnelle n’est pas recommandée. Il faut en faire le choix en connaissance de cause.
Il est toujours préférable d’avoir un matériel dédié au firewall et de ne pas tout mélanger. D’un point de vue sécurité d’abord. En exposant ta VM OPNSense sur Internet, tu exposes aussi de potentielles failles qui pourraient donner à un attaquant extérieur un accès plus large à ton hyperviseur. C’est hypothétique, mais c’est le principe du zero-day… Il convient donc de réduire au maximum sa surface d’attaque. Perso je n’ai qu’un seul port d’ouvert et j’applique en complément un filtrage IP Geographique.
J’envisage d’ajouter le filtrage via CrowdSec, pas encore pris le temps de m’en occuper.
Cela rend aussi ta connexion dépendante de ton matériel de virtualisation. Si tu n’as pas quelque chose de solide/fiable, ça peut vite devenir problématique.
En guise de backup j’ai toujours ma livebox à portée de main avec une configuration de secours qui me permet de restaurer ma connexion en mode « dégradé » très rapidement.
Parmi les avantages:
Voilà mon rapide retour d’expérience. Amuse-toi bien
Bonjour,
Je complète juste sur ton retour (bien argumenté 
) sur 2 points.
L’utilisation sous proxmox avec 1 seule carte réseau physique est possible (c’est mon cas sur une dedibox). Il faut juste ajouter les règles iptables qui vont bien au niveau de proxmox.
Pour la protection de l’accès à l’interface d’admin OPNSense, personnellement, elle n’est pas exposée. L’interface web n’écoute que sur la patte lan et l’accès ce fait via un tunnel ssh. L’authentification ssh n’étant possible que par clé.
merci à vous 2 pour vos témoignages
je m’attendais à un peu plus de réponses 
va falloir que j’étudie ça d’un peu plus près pour obtenir plus d’infos alors …! 
Intéressant cette discussion. Actuellement je souhaite remplacer pour routeur Netgear, qui prend trop de place dans ma baie 10", par un routeur sans WIFI (mon WIFI est géré par 2 Netgear Orbi en mode AP)
J’étais tomber sur le Ubiquiti Networks ER-X-SFP mais après avoir lu plusieurs articles, les conseils vont plutôt sur un routeur OpnSense.
Je souhaite un matériel dédié à çà et qui ne consomme pas trop d’énergie. Je suis tombé sur la chaîne de JasonsLab qui présente les matériels de Protectli Vault qui me font plutôt de l’oeil Vault 4 Port - Protectli
Bonjour
J’utilise opnsense depuis 2 ans après avoir utilisé pfsense pendant quelques années.
Sur une machine dédiée (pcengines APU2…), mon NUC avec Proxmox à part.
Pour moi un firewall, c’est sur une machine dédiée, (mais on fait comme on veut )
Si on a une Livebox on peut facilement configurer Opnsense pour se passer de la Livebox.
Par contre ça va quand on a une fibre stable, suite à un déménagement à la campagne, j’en ai eu marre de remettre la Livebox pour les tests distants avec le technicien, j’ai remis la Livebox en configurant Opnsense dans une DMZ sur la livebox (pas de mode bridge).
Il y a des services intégrés sympa dans les dernières versions
Bref rien à dire sinon que c’est stable, régulièrement mis à jour