OPNsense + Tailscale : fondations réseau du homelab

OPNsense transforme un simple mini-PC en pare-feu professionnel. Combiné à Tailscale, vous accédez à votre homelab depuis n’importe où, sans exposer de port sur Internet. Ce guide pose les fondations réseau actuelles du homelab, avec une évolution prévue vers la segmentation VLAN.

État actuel du homelab

Pour l’instant, cette mise en œuvre repose sur un LAN unique en 192.168.10.0/24 derrière OPNsense. La segmentation en VLANs est prévue dans la suite du parcours, une fois les fondations réseau et l’accès distant totalement validés.

Ce que vous allez mettre en place

À la fin de ce parcours, vous aurez :

• Un pare-feu OPNsense sur un mini-PC dédié (ou VM)
• Un LAN d’administration initial en 192.168.10.0/24
• Un accès distant sécurisé avec Tailscale pour ne jamais perdre la main
• Une base réseau propre avec DNS interne et règles simples
• Une segmentation VLAN prévue pour la suite du parcours

Prérequis

Élément	Recommandation
Machine OPNsense	Mini-PC avec 2+ NICs (Intel N100 4-port idéal) ou VM avec 2 interfaces
Switch	Même un switch non-manageable suffit pour démarrer
Compte Tailscale	Gratuit sur tailscale.com
Temps estimé	1–2 heures pour une config de base

Glissez pour voir

Physique ou virtuel ?

Pour un vrai homelab security-first, OPNsense devrait tourner sur du matériel dédié. Si le serveur Proxmox plante, vous gardez l’accès réseau.

En mode découverte ou ressources limitées, une VM OPNsense sur Proxmox fonctionne très bien. C’est ce que font beaucoup de homelabs.

Pourquoi commencer par le réseau ?

Dans une architecture security-first, le réseau n’est pas “un truc à configurer plus tard”. C’est la fondation sur laquelle tout le reste s’appuie :

Sans OPNsense	Avec OPNsense
Box FAI = routeur + firewall	Contrôle total des règles et des logs
DNS de la box (lent, logs chez le FAI)	DNS local, résolution interne, logs chez vous
VPN propriétaire ou aucun	WireGuard natif ou Tailscale intégré
Aucune visibilité sur le trafic	Logs, métriques, IDS Suricata
Segmentation impossible	VLANs possibles dès que nécessaire

Glissez pour voir

Architecture cible

État actuel vs cible

Le schéma ci-dessous représente l’architecture cible avec segmentation VLAN. Pour l’instant, je démarre avec un LAN unique en 192.168.10.0/24 derrière OPNsense. La segmentation viendra ensuite, une fois les fondations validées.

Étape 1 : Installer OPNsense

OPNsense s’installe comme n’importe quel OS : téléchargez l’ISO, bootez dessus, suivez l’assistant.

1. Téléchargez l’image

   Rendez-vous sur opnsense.org/download, choisissez amd64 et dvd.

2. Créez une clé USB bootable

   # Linux/macOS :
   sudo dd if=OPNsense-*.iso of=/dev/sdX bs=4M status=progress
   
   # Windows : utilisez Rufus ou balenaEtcher

3. Installez sur le mini-PC

   • Branchez la clé USB, démarrez le mini-PC
   • Suivez l’assistant d’installation
   • Choisissez le disque cible (NVMe/SSD)
   • Définissez le mot de passe root

4. Configurez les interfaces (console)

   Au premier boot, assignez les interfaces :

   • WAN = interface vers la box FAI
   • LAN = interface vers le switch/réseau interne

Guide détaillé : Installer OPNsense

Étape 2 : Mettre en place le LAN initial

À ce stade, l’objectif n’est pas encore de segmenter tout le homelab en VLANs. Je commence par un LAN unique en 192.168.10.0/24, suffisamment simple pour valider OPNsense, l’accès au réseau interne, les premiers services et l’administration distante.

Configuration de départ

Élément	Valeur
Interface LAN	interface interne d’OPNsense
Réseau	192.168.10.0/24
Passerelle OPNsense	192.168.10.1
Usage	administration, Proxmox, premiers services

Glissez pour voir

Ce que cette base permet

Avec ce LAN unique, vous pouvez déjà :

• Connecter Proxmox et les premières machines
• Administrer OPNsense et le switch
• Tester la résolution DNS locale
• Accéder au homelab à distance avec Tailscale

Pourquoi commencer simple

Un LAN unique permet de valider les fondations : OPNsense fonctionne, Internet passe, l’accès distant est opérationnel. La segmentation VLAN viendra ensuite, une fois cette base totalement maîtrisée.

Configuration DHCP (optionnelle)

Vous pouvez activer le serveur DHCP d’OPNsense sur ce LAN pour distribuer automatiquement les IPs :

• Plage : 192.168.10.100 → 192.168.10.200
• Passerelle : 192.168.10.1
• DNS : 192.168.10.1 (OPNsense)

Ou conserver des IPs statiques pour vos machines principales (Proxmox, switch, etc.).

Étape 3 : Poser les premières règles réseau

Avec un seul LAN, la configuration firewall reste simple. L’objectif est de sécuriser les flux de base avant de passer à la suite.

Règles essentielles sur le LAN

Pour un LAN unique, les règles par défaut d’OPNsense suffisent généralement :

Règle	Effet
LAN → Internet	Accès sortant autorisé (mises à jour, navigation)
LAN → OPNsense	Administration de l’interface web
Anti-lockout	Empêche de se couper l’accès à OPNsense

Glissez pour voir

Ce que vous pouvez ajuster

Même avec un LAN unique, quelques ajustements peuvent être utiles :

• Bloquer certains ports sortants si vous souhaitez restreindre les flux
• Limiter l’accès à l’interface OPNsense à certaines IPs
• Activer les logs sur les règles pour observer le trafic

Préparer la segmentation

Gardez en tête que les règles inter-VLAN viendront plus tard. Pour l’instant, concentrez-vous sur la stabilité de la base : Internet accessible, administration fonctionnelle, logs actifs.

Guide détaillé : Administration OPNsense

Étape 4 : Accéder au homelab avec Tailscale

Avant d’aller plus loin, assurez-vous de toujours avoir un moyen d’accéder à votre homelab depuis l’extérieur. C’est une sécurité essentielle : si vous perdez l’accès local, vous pouvez quand même intervenir.

Pourquoi Tailscale

Dans mon homelab, j’utilise Tailscale pour l’accès distant. C’est le choix le plus rapide et le plus fiable pour démarrer :

• Installation en 5 minutes via le plugin OPNsense
• Pas de port à ouvrir sur la box FAI
• Traverse les NAT complexes automatiquement
• Gratuit jusqu’à 100 appareils (usage personnel)

Configuration de base

1. Installez le plugin Tailscale depuis OPNsense (System → Firmware → Plugins)

2. Connectez-vous à votre compte Tailscale via l’interface OPNsense

3. Activez le subnet routing pour exposer votre LAN (192.168.10.0/24)

4. Approuvez les routes dans la console admin Tailscale

Une fois configuré, vous pouvez accéder à OPNsense, Proxmox et toutes vos machines depuis n’importe où via leur IP locale (192.168.10.x).

Guide détaillé : Tailscale + OPNsense

Alternative : WireGuard natif

Si vous préférez ne pas dépendre d’un tiers, OPNsense supporte WireGuard nativement. C’est plus de travail initial, mais vous êtes totalement autonome.

→ Gestion des plugins OPNsense

Étape 5 : Ajouter le DNS interne

Même avec un LAN unique, un DNS interne est très utile. Il permet de résoudre des noms locaux plutôt que de retenir des IPs.

Exemples de résolution locale

Nom	IP
opnsense.lab.local	192.168.10.1
proxmox.lab.local	192.168.10.10
authentik.lab.local	192.168.10.20
openbao.lab.local	192.168.10.21

Glissez pour voir

Configuration avec Unbound

Unbound (intégré à OPNsense) permet de :

• Résoudre des noms locaux : proxmox.lab.local → 192.168.10.10
• Bloquer la pub (avec des listes de blocage)
• Améliorer la vie privée (DNS over TLS vers des serveurs de confiance)

Activez-le dès maintenant ou après avoir déployé vos premières VMs.

Guide détaillé : Gestion des plugins OPNsense

Étape 6 : Préparer la future segmentation VLAN

Une fois le LAN initial validé, l’étape suivante consistera à séparer les usages avec des VLANs dédiés. Cette segmentation n’est pas encore en place, mais voici ce qui est prévu.

Plan de segmentation cible

VLAN	ID	Subnet	Usage
MGMT	10	10.0.10.0/24	Administration (OPNsense, Proxmox, switches)
SERVERS	20	10.0.20.0/24	VMs et conteneurs
IOT	30	10.0.30.0/24	Objets connectés, isolés

Glissez pour voir

Ce qui changera

• Le switch passera en mode manageable avec des ports VLAN
• Les règles firewall isoleront les segments
• Le trunk entre OPNsense et le switch portera tous les VLANs

Quand passer aux VLANs ?

La segmentation viendra après validation de la base actuelle : OPNsense stable, Tailscale opérationnel, premiers services déployés. Inutile de complexifier avant d’avoir une fondation solide.

Guides pour la suite :

• Administration OPNsense

Valider que la base est saine

Avant de passer au déploiement du premier nœud Proxmox admin, vérifiez que vos fondations réseau fonctionnent.

Checklist minimale

• OPNsense accessible localement (https://192.168.10.1)
• Interfaces assignées : WAN et LAN correctement configurés
• Accès Internet fonctionnel depuis le LAN
• Accès distant opérationnel : Tailscale connecté
• Accès de secours prévu : console physique sur le mini-PC OPNsense

Tests simples

# Depuis une machine sur le LAN
ping 192.168.10.1    # Gateway OPNsense
ping 8.8.8.8         # Sortie Internet

# Depuis l'extérieur (via Tailscale)
tailscale status
ping 192.168.10.1    # OPNsense via Tailscale

Gardez toujours un accès de secours

Ne vous enfermez jamais dehors. Avant de modifier une règle firewall ou la config réseau, assurez-vous d’avoir :

• Un accès console physique (écran + clavier sur le mini-PC)
• Tailscale fonctionnel depuis l’extérieur

Dépannage courant

”Je n’accède plus à OPNsense après un changement”

1. Connectez-vous à la console (écran + clavier directement sur le mini-PC)
2. Tapez 2 pour “Set interface IP address”
3. Réaffectez une IP sur l’interface LAN (192.168.10.1)
4. Accédez à l’interface web et corrigez

”Pas d’accès Internet depuis le LAN”

• Vérifiez que l’interface WAN a bien une IP (DHCP ou statique)
• Vérifiez la passerelle par défaut dans OPNsense
• Testez un ping depuis la console OPNsense : ping 8.8.8.8

”Tailscale ne voit pas les subnet routes”

1. Dans la console admin Tailscale, approuvez les routes de votre machine OPNsense
2. Dans OPNsense, vérifiez que “Advertise Routes” contient votre subnet (192.168.10.0/24)

Prochaines étapes

Premier nœud Proxmox admin Déployez authentik et OpenBao sur un nœud dédié

Formation OPNsense complète 17 guides pour maîtriser OPNsense en profondeur

Guide Tailscale détaillé Exit node, subnet router, MagicDNS, SSH via browser

À retenir

• OPNsense d’abord : c’est la fondation sur laquelle tout le reste s’appuie
• Commencez par un LAN unique : validez la base avant de segmenter
• Tailscale dès le départ : accès distant simple et fiable, sans port exposé
• DNS interne utile immédiatement : même avec un seul réseau
• VLANs plus tard : une fois la fondation solide, la segmentation viendra naturellement
• Ne vous enfermez jamais : console physique + Tailscale = vos deux filets de sécurité

×

📖 Voir la documentation →