OPNsense et pfSense tournent sur FreeBSD, pas sur Linux. Ce détail change tout pour le choix du matériel. Un mini-PC qui fonctionne parfaitement sous Ubuntu peut poser des problèmes de stabilité réseau sous OPNsense ou pfSense si son contrôleur Ethernet n’est pas un Intel. Ce guide vous aide à choisir une machine réellement adaptée à ces deux firewalls — selon votre usage, votre budget et les références disponibles en 2026.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »- Pourquoi OPNsense et pfSense imposent des contraintes matérielles spécifiques (FreeBSD + NIC Intel)
- Les critères de choix qui comptent vraiment : interfaces réseau, CPU, RAM, refroidissement
- Les familles de machines disponibles : appliances dédiées vs mini-PCs détournés
- Les différences matérielles entre OPNsense et pfSense (spoiler : presque aucune)
- Les marques et références qui reviennent dans la communauté en 2026
- Une recommandation concrète selon votre profil d’usage
À qui s’adresse ce guide
Section intitulée « À qui s’adresse ce guide »| Profil | Objectif |
|---|---|
| Débutant | Remplacer la box du FAI par un vrai pare-feu |
| Homelab | Segmenter le réseau en VLANs, faire du VPN |
| Usage avancé | IDS/IPS (Suricata), Zenarmor, multi-WAN, 10 GbE |
| Petite structure / labo pro | Pare-feu de confiance pour un petit réseau d’entreprise |
Ce qu’il faut savoir avant d’acheter
Section intitulée « Ce qu’il faut savoir avant d’acheter »Ce que disent les documentations officielles
Section intitulée « Ce que disent les documentations officielles »La documentation officielle OPNsense et la documentation pfSense listent des exigences matérielles très proches. En résumé :
- CPU : processeur 64 bits avec AES-NI (accélération chiffrement)
- RAM : 2 Go minimum, 8 Go recommandés pour les plugins gourmands
- Stockage : 40 Go SSD minimum
- NIC : contrôleurs Intel recommandés (igb, igc, ix, ixl)
Les deux firewalls étant basés sur FreeBSD, les recommandations matérielles de ce guide s’appliquent indifféremment à OPNsense et pfSense.
OPNsense et pfSense reposent sur FreeBSD
Section intitulée « OPNsense et pfSense reposent sur FreeBSD »Ni OPNsense, ni pfSense ne sont des distributions Linux. Les deux reposent sur FreeBSD, ce qui signifie que le support matériel diffère de ce que vous connaissez sous Debian ou Ubuntu. En pratique :
- Les pilotes réseau ne sont pas les mêmes que sous Linux
- Certains contrôleurs Ethernet Realtek (RTL8125, RTL8156) fonctionnent mal ou de manière instable
- Les contrôleurs Intel (i210, i225-V, i226-V) sont les mieux supportés et les plus stables
Pour un firewall OPNsense ou pfSense, les contrôleurs Intel restent le choix le plus rassurant. Les puces Realtek (comme le RTL8125) peuvent fonctionner, mais elles demandent davantage de prudence : pilotes parfois moins stables sous FreeBSD, compatibilité variable selon les versions, et comportement à valider sous charge. Si vous débutez, partez sur de l’Intel — vous éviterez des heures de dépannage.
Pourquoi le nombre de ports compte
Section intitulée « Pourquoi le nombre de ports compte »OPNsense a besoin au minimum de 2 interfaces réseau : une pour le WAN (connexion Internet) et une pour le LAN (réseau interne). Mais dès que vous voulez segmenter votre réseau, deux ports deviennent vite insuffisants :
| Nombre de ports | Ce que vous pouvez faire |
|---|---|
| 2 | WAN + LAN simple — suffisant pour un usage domestique basique |
| 3 | WAN + LAN + DMZ ou un second réseau isolé |
| 4 | WAN + LAN + DMZ + IoT, ou WAN + LAN + VLAN trunk + management |
| 6 | Multi-WAN, lab réseau avancé, segmentation physique complète |
Avec un switch manageable et des VLANs sur trunk, 4 ports couvrent la majorité des cas homelab. Mais si vous préférez une séparation physique stricte (un câble = un réseau), il faut plus de ports.
Appliance firewall dédiée vs mini-PC généraliste
Section intitulée « Appliance firewall dédiée vs mini-PC généraliste »Un mini-PC généraliste (Beelink, Minisforum) est conçu pour être un petit ordinateur de bureau. Il a souvent un seul port Ethernet (parfois deux), un GPU intégré, et des ports USB/HDMI qui ne servent à rien pour un firewall.
Une appliance firewall dédiée (Protectli, HUNSN, Topton) est conçue dès le départ pour faire tourner un pare-feu. Elle a 4 à 6 ports Ethernet Intel, un boîtier fanless, une consommation réduite et pas de superflu.
| Critère | Appliance dédiée | Mini-PC généraliste |
|---|---|---|
| Ports Ethernet | 4-6 (Intel) | 1-2 (souvent Realtek) |
| Fanless | Souvent oui | Rarement |
| Consommation | 6-15 W | 15-35 W |
| GPU | Absent ou minimal | iGPU présent |
| Prix (N100, 8 Go) | 180-280 € | 150-250 € |
| Adapté OPNsense | Oui, directement | Parfois, avec réserves |
En résumé : si votre machine ne sert qu’à faire tourner OPNsense, une appliance dédiée est le meilleur choix. Si vous voulez aussi faire autre chose (Proxmox avec OPNsense en VM), un mini-PC généraliste puissant peut convenir — mais vérifiez les NIC.
Les critères de choix vraiment importants
Section intitulée « Les critères de choix vraiment importants »Processeur
Section intitulée « Processeur »Pour un pare-feu domestique, le CPU n’est pas le goulot d’étranglement. Un Intel N100 (4 cœurs, 6W TDP) suffit largement pour router du trafic, gérer des VLANs et faire du NAT. Les choses changent quand vous activez des fonctions gourmandes :
| Usage | CPU recommandé | Pourquoi |
|---|---|---|
| Routeur/firewall simple | N100 / N150 | Largement suffisant, basse consommation |
| VPN WireGuard (< 1 Gbps) | N100 / N150 | WireGuard est très léger en CPU |
| VPN OpenVPN (< 500 Mbps) | N100 / N150 | OpenVPN est plus gourmand, mais reste gérable |
| IDS/IPS Suricata | N305 / i3 | Suricata inspecte chaque paquet — ça consomme |
| Zenarmor (filtrage léger, sans rétention) | N100 / N150 | Filtrage DNS/web basique sans DPI complet |
| Zenarmor (DPI + rétention locale) | N305 / i3 | L’inspection en profondeur avec logs locaux demande plus de ressources |
| Multi-WAN + IDS + VPN | i3 / Ryzen | Cumul de fonctions gourmandes |
Interfaces réseau
Section intitulée « Interfaces réseau »C’est le critère décisif. Retenez trois choses :
- Intel i225-V ou i226-V — Les contrôleurs les mieux supportés sous FreeBSD/OPNsense
- 2 ports minimum, 4 ports recommandés pour un homelab avec VLANs
- 2.5 GbE — Le standard actuel sur les appliances récentes. Le Gigabit suffit, mais le 2.5 GbE ne coûte pas plus cher et prépare l’avenir
OPNsense lui-même consomme peu de RAM. Mais les fonctions activées changent la donne :
| Configuration | RAM recommandée |
|---|---|
| Routeur/firewall simple | 4-8 Go |
| VLANs + VPN + quelques règles | 8 Go |
| Suricata (IDS/IPS) | 8-16 Go |
| Zenarmor filtrage léger (sans rétention) | 8 Go |
| Zenarmor + rétention locale + Suricata | 16 Go |
| Lab intensif ou très nombreuses connexions | 32 Go |
En pratique, 8 Go couvrent 90 % des usages homelab. Si vous hésitez entre 8 et 16 Go et que l’écart de prix est faible, prenez 16 Go.
Stockage
Section intitulée « Stockage »OPNsense n’a pas besoin de beaucoup d’espace disque. 32 Go suffisent pour l’installation et les mises à jour. Un SSD de 128 à 256 Go est confortable et permet de stocker des logs locaux.
Les points à vérifier :
- SSD ou NVMe : vital pour la rapidité de boot et la tenue dans le temps. Pas de disque dur mécanique.
- eMMC : certaines appliances bon marché intègrent un stockage eMMC soudé. Ça fonctionne, mais ce n’est pas remplaçable et la durée de vie est plus courte.
- NVMe M.2 : idéal, mais pas indispensable. Un SATA SSD convient parfaitement pour OPNsense.
Refroidissement, bruit et consommation
Section intitulée « Refroidissement, bruit et consommation »Une appliance firewall tourne 24h/24, 365 jours par an. Le bruit et la consommation comptent :
| Type | Bruit | Consommation idle | Idéal pour |
|---|---|---|---|
| Fanless | Silencieux (0 dB) | 6-10 W | Salon, bureau, partout sauf si forte charge CPU |
| Fan silencieux | Audible de près (20-30 dB) | 10-15 W | Bureau, baie de brassage |
| Ventilé standard | Audible (30-45 dB) | 15-25 W | Local technique dédié |
Un boîtier fanless est recommandé pour un routeur/firewall domestique. Si vous activez Suricata ou Zenarmor sur un N100, le boîtier fanless chauffe mais reste dans les limites (60-70°C en charge). Avec un processeur plus puissant (N305, i3), un ventilateur devient souhaitable.
Les grandes familles de machines
Section intitulée « Les grandes familles de machines »Appliances firewall dédiées
Section intitulée « Appliances firewall dédiées »Ces machines sont conçues dès le départ pour faire tourner OPNsense, pfSense ou un autre firewall. Elles ont toutes un point commun : plusieurs ports Intel 2.5 GbE et un format compact fanless.
Protectli
Section intitulée « Protectli »Image premium, finition soignée. Protectli est la marque la plus connue dans l’écosystème pfSense/OPNsense. Les boîtiers sont bien finis, la documentation est bonne, et le support existe (en anglais). Le prix est plus élevé que la concurrence, et les stocks sur Amazon.fr sont souvent irréguliers. C’est un choix solide si vous êtes prêt à payer 30-50 % de plus pour la tranquillité d’esprit.
Très présent dans les discussions et sur Amazon. HUNSN propose des appliances 4 à 6 ports avec des contrôleurs Intel i226-V, à des prix compétitifs. C’est l’un des meilleurs compromis prix/qualité/disponibilité pour le marché européen. Les retours utilisateurs sur les forums OPNsense sont globalement positifs, avec quelques variations selon les lots.
Souvent cité pour les boîtiers 4 à 6 ports 2.5 GbE. Topton est une marque OEM chinoise très présente sur AliExpress et de plus en plus sur Amazon. Les boîtiers sont fonctionnels, les specs correctes, mais la finition peut varier. Les modèles avec N100/N305 et 4 ports i226-V sont bien adaptés à OPNsense.
Marque historique dans les boîtiers fanless firewall. Qotom est un des pionniers des mini-PCs firewall. On les trouvait déjà il y a 5 ans dans les builds pfSense/OPNsense. Aujourd’hui, la concurrence (HUNSN, Topton, CWWK) a rattrapé Qotom sur le rapport qualité-prix, mais les modèles restent fiables et bien documentés dans la communauté.
De plus en plus visible dans les discussions récentes. CWWK est une marque plus récente qui monte en popularité. On la retrouve dans les fils Reddit et les forums OPNsense avec des appliances N100/N305 à prix agressifs. Moins de recul que HUNSN ou Qotom, mais les premiers retours sont encourageants.
Mini-PCs polyvalents détournés en firewall
Section intitulée « Mini-PCs polyvalents détournés en firewall »Certains mini-PCs généralistes (Beelink, Minisforum) disposent de 2 ports Ethernet 2.5 GbE. Ils peuvent faire tourner OPNsense, mais avec des réserves :
- Beelink EQ14 (N150, 2 × 2.5 GbE) : le minimum pour un routeur/firewall simple — vérifiez le contrôleur réseau selon la révision
- KAMRUI AM06PRO (Ryzen, 2 × 2.5 GbE) : alternative correcte
Le Minisforum MS-A2 (Ryzen, 2 × 10 GbE SFP+ + 2 × 2.5 GbE) est un cas à part : c’est une machine réseau puissante avec 4 ports au total, mais son prix et son positionnement (10 GbE) la réservent aux labs avancés.
Avantages : prix compétitif, processeur souvent plus puissant, utilisable pour autre chose.
Limites : 2 ports seulement (pas de segmentation physique), contrôleurs réseau parfois Realtek, ventilateur souvent présent, pas conçu pour tourner en 24/7 fanless.
Matériel reconditionné
Section intitulée « Matériel reconditionné »Des mini-PCs d’entreprise (Lenovo ThinkCentre Tiny, HP EliteDesk Mini, Dell OptiPlex Micro) sont disponibles d’occasion entre 80 et 160 €. Ils offrent souvent un bon processeur (i5) et une construction solide.
Intérêt : prix imbattable, qualité d’assemblage professionnelle, processeur souvent supérieur au N100.
Limites pour OPNsense : un seul port Ethernet (Gigabit), nécessite d’ajouter une carte réseau USB ou une carte PCIe si le format le permet. Ce n’est pas le choix le plus simple pour un firewall dédié.
Quand l’éviter : si vous voulez une appliance “plug and play” avec 4 ports Intel 2.5 GbE. Le reconditionné brille pour les nœuds Proxmox, pas pour les firewalls dédiés.
Quelle machine selon votre usage
Section intitulée « Quelle machine selon votre usage »Je veux juste un routeur/firewall propre à la maison
Section intitulée « Je veux juste un routeur/firewall propre à la maison »Objectif : remplacer la box du FAI ou ajouter un vrai pare-feu entre la box et le réseau local.
Specs recommandées :
- CPU : Intel N100 ou N150 — largement suffisant
- Ports : 2 minimum (WAN + LAN)
- RAM : 8 Go
- Stockage : 128 Go SSD
- Format : fanless recommandé
Budget : 150-220 €
Pas besoin de 4 ports si vous n’avez pas de VLANs. Un simple boîtier 2 ports Intel 2.5 GbE fait le travail.
Je veux un homelab security-first avec VLANs
Section intitulée « Je veux un homelab security-first avec VLANs »Objectif : segmenter le réseau (admin, serveurs, IoT, invités) avec un vrai firewall.
Specs recommandées :
- CPU : Intel N100 ou N150
- Ports : 4 × 2.5 GbE Intel (i226-V)
- RAM : 8-16 Go
- Stockage : 128-256 Go SSD
- Format : fanless
Budget : 200-300 €
C’est le sweet spot pour un homelab. Quatre ports permettent WAN + LAN + trunk VLAN + management (ou WAN + LAN + DMZ + IoT physiquement séparés). Un switch manageable complète la segmentation.
Je veux du VPN, du filtrage avancé ou Zenarmor
Section intitulée « Je veux du VPN, du filtrage avancé ou Zenarmor »Objectif : activer Suricata (IDS/IPS), Zenarmor (DPI), ou faire du VPN à haut débit.
Specs recommandées :
- CPU : Intel N305, Core i3, ou Ryzen — plus de cœurs et de fréquence
- Ports : 4 × 2.5 GbE Intel
- RAM : 16 Go minimum
- Stockage : 256 Go SSD/NVMe (Zenarmor stocke des données localement)
- Format : ventilé acceptable, fanless possible avec N305
Budget : 300-500 €
Suricata et Zenarmor inspectent chaque paquet en profondeur. Le N100 tient le coup pour de petits débits, mais si vous avez une connexion fibre à 1 Gbps et que vous activez l’IDS + le VPN en même temps, un processeur plus puissant évitera les goulots d’étranglement.
Je veux un lab réseau sérieux ou du 10 GbE
Section intitulée « Je veux un lab réseau sérieux ou du 10 GbE »Objectif : tester des architectures réseau complexes, du multi-WAN, ou pousser vers le 10 GbE.
Specs recommandées :
- CPU : Core i5/i7 ou Ryzen 5/7
- Ports : 4-6 ports, ou 2 ports 10 GbE + 4 ports 2.5 GbE
- RAM : 16-32 Go
- Stockage : 256-512 Go NVMe
- Format : ventilé (obligatoire à cette puissance)
Budget : 500-1000 €
Attention : les appliances 10 GbE chauffent, consomment et coûtent cher. Le 10 GbE sur OPNsense fonctionne, mais vérifiez la compatibilité des contrôleurs (Intel X520, X540, X710 sont les plus sûrs sous FreeBSD). C’est un usage de niche, réservé aux labs réseau avancés.
Références citées dans la communauté en 2026
Section intitulée « Références citées dans la communauté en 2026 »Ce chapitre compile les références qui reviennent régulièrement dans les forums OPNsense, les fils Reddit et les comparatifs récents. Ce ne sont pas des “top produits” sortis au hasard.
Appliances 4 ports (le cœur de cible homelab)
Section intitulée « Appliances 4 ports (le cœur de cible homelab) »| Marque | CPU | Ports | NIC | Fanless | Budget indicatif |
|---|---|---|---|---|---|
| AIOPCWA N100 | N100 | 4 | i226-V | Oui | 180-220 € |
| HUNSN N100 4-port | N100 | 4 | i226-V | Oui | 180-220 € |
| Topton N100 4-port | N100 | 4 | i226-V | Oui | 170-210 € |
| ANDAQI N150 | N150 | 4 | i226-V | Oui | 210-260 € |
| Topton N305 4-port | N305 | 4 | i226-V | Oui/Non | 280-360 € |
| CWWK N100/N305 | N100/N305 | 4-6 | i226-V | Oui | 200-360 € |
| Protectli VP2420 | N100 | 4 | i226-V | Oui | 300-400 € |
Mini-PCs 2 ports (usage soft-router)
Section intitulée « Mini-PCs 2 ports (usage soft-router) »| Marque | CPU | Ports | NIC | Fanless | Budget indicatif |
|---|---|---|---|---|---|
| Beelink EQ14 | N150 | 2 | 2.5 GbE (vérifier le contrôleur) | Non | 180-250 € |
| KAMRUI AM06PRO | Ryzen 5 | 2 | 2.5 GbE | Non | 250-350 € |
Machines réseau avancées (10 GbE)
Section intitulée « Machines réseau avancées (10 GbE) »| Marque | CPU | Ports | NIC | Fanless | Budget indicatif |
|---|---|---|---|---|---|
| Minisforum MS-A2 | Ryzen | 2 × 10G SFP+ + 2 × 2.5G | Intel/Realtek (vérifier) | Non | 350-500 € |
Comment chercher sur Amazon.fr sans perdre de temps
Section intitulée « Comment chercher sur Amazon.fr sans perdre de temps »Le marché des appliances firewall sur Amazon France est un labyrinthe de marques OEM aux noms changeants. Voici comment filtrer efficacement :
Recherches à cliquer :
N100 i226-V 4 port firewall fanlessN150 2.5GbE 4 port firewall applianceN305 firewall appliance 4 port
Ce qui doit figurer dans la fiche produit :
- Le contrôleur réseau exact (Intel i225-V ou i226-V)
- Le nombre de ports Ethernet (pas juste “multi-port”)
- Le processeur exact (pas juste “Intel Celeron” — c’est trop vague)
- La quantité de RAM et le type de stockage
Comment repérer les faux bons plans :
- Un prix anormalement bas (< 130 € pour 4 ports 2.5 GbE) cache souvent du Realtek
- “Compatible pfSense” ne garantit pas la qualité du contrôleur réseau
- Les photos montrant des interfaces réseau ne prouvent pas qu’elles sont Intel
- Lisez les questions/réponses et les avis — cherchez “OPNsense”, “FreeBSD”, “i226”
Stock fantôme : certaines fiches restent en ligne alors que le produit est en “temporairement en rupture” depuis des mois. Vérifiez que le bouton “Ajouter au panier” fonctionne et que le délai de livraison est raisonnable.
Les erreurs d’achat les plus fréquentes
Section intitulée « Les erreurs d’achat les plus fréquentes »| Erreur | Conséquence | Comment l’éviter |
|---|---|---|
| Acheter un mini-PC avec contrôleur Realtek | Instabilité réseau sous FreeBSD | Vérifier “i225-V” ou “i226-V” dans la fiche |
| Prendre 2 ports alors qu’on veut segmenter en VLANs | Obligé de tout passer en trunk sur un seul câble | Prévoir 4 ports si vous avez un switch manageable |
| Sous-dimensionner le CPU pour Suricata ou Zenarmor | Goulot d’étranglement, débit bridé | N305 ou i3 minimum pour l’IDS/IPS à 1 Gbps |
| Surpayer une vieille référence “réputée” | Payer 2× le prix pour des specs inférieures | Comparer les specs, pas les noms de marque |
| Acheter une fiche en stock fantôme | Attente indéfinie ou annulation | Vérifier le délai de livraison avant commande |
| Ignorer le refroidissement | Thermal throttling, instabilité | Fanless pour N100, ventilé pour N305+ sous charge |
| Choisir du eMMC soudé comme seul stockage | Pas remplaçable, durée de vie limitée | Préférer un slot M.2 SATA ou NVMe |
Mes recommandations concrètes
Section intitulée « Mes recommandations concrètes »| Besoin | Recommandation | Budget |
|---|---|---|
| Meilleur choix budget | Appliance N100 fanless 4 ports i226-V (HUNSN, Topton) | 170-220 € |
| Meilleur choix homelab | Appliance N100/N150 fanless 4 ports i226-V, 16 Go RAM | 220-280 € |
| Meilleur choix VPN/Zenarmor | Appliance N305 4 ports i226-V, 16 Go RAM | 300-400 € |
| Meilleur choix premium | Protectli VP2420 ou équivalent N305 | 350-500 € |
| Meilleur choix silencieux | Tout boîtier fanless N100 i226-V | 170-250 € |
| Ports | Usage |
|---|---|
| 2 | WAN + LAN simple |
| 4 | WAN + LAN + DMZ + IoT ou VLAN trunk |