Administrer OPNsense : mises à jour, utilisateurs et sauvegardes

Ce guide vous permet de maîtriser l’administration quotidienne d’OPNsense. Vous apprendrez à naviguer dans l’interface, mettre à jour le firmware, gérer les utilisateurs et groupes, sauvegarder la configuration et sécuriser l’accès à l’administration. Prérequis : OPNsense installé et accessible via l’interface web (voir le guide d’installation).

L’administration d’un pare-feu ne se limite pas à créer des règles : c’est maintenir la machine en condition opérationnelle. Une mise à jour manquée peut exposer des vulnérabilités, une sauvegarde absente peut transformer une panne en catastrophe.

Naviguer dans l’interface web

Le Lobby : votre point d’entrée

Le Lobby est la page d’accueil d’OPNsense après connexion. Il se compose de trois éléments :

Élément	Accès	Fonction
Dashboard	Lobby > Dashboard	Tableau de bord personnalisable avec widgets
Password	Lobby > Password	Changer le mot de passe de l’utilisateur connecté
Logout	Lobby > Logout	Déconnexion sécurisée

Glissez pour voir

Personnaliser le tableau de bord

Le dashboard affiche par défaut plusieurs widgets : état du système, interfaces, passerelles, services. Vous pouvez ajouter, supprimer ou réorganiser ces widgets.

1. Cliquez sur le bouton d’édition (icône crayon en haut à droite du dashboard).

2. Ajoutez un widget en cliquant sur le + et en sélectionnant parmi :

   • System Information : version, uptime, CPU, RAM
   • Interfaces : état des interfaces réseau
   • Gateways : état des passerelles et latence
   • Services : services actifs/inactifs
   • Traffic Graphs : graphiques temps réel
   • Thermal Sensors : température CPU (si supporté)

3. Réorganisez les widgets par glisser-déposer.

4. Enregistrez la disposition.

Widgets recommandés pour le monitoring

Pour un suivi efficace, ajoutez au minimum :

• System Information (santé globale)
• Gateways (détection des pannes WAN)
• Services (vérifier que tout tourne)
• Firewall Logs (activité récente)

Structure du menu

L’interface OPNsense organise les fonctions en sections logiques :

Section	Contenu principal
Lobby	Dashboard, mot de passe, déconnexion
Reporting	Logs, graphiques, NetFlow
System	Configuration système, utilisateurs, firmware, certificats
Interfaces	Configuration des interfaces réseau
Firewall	Règles, NAT, alias, schedules
VPN	OpenVPN, IPsec, WireGuard
Services	DHCP, DNS, VPN, proxy, IDS/IPS
Alimentation	Arrêt, redémarrage

Glissez pour voir

Configurer les paramètres système

Paramètres généraux

Accédez à **System > Settings > General > Wizard ** pour configurer les informations de base.

Paramètre	Description	Exemple
Hostname	Nom de la machine	fw-prod
Domain	Domaine local	lab.local
Time zone	Fuseau horaire	Europe/Paris
Language	Langue de l’interface	French
Theme	Thème visuel	OPNsense (défaut)

Glissez pour voir

Importance du fuseau horaire

Un fuseau horaire incorrect fausse les logs, les certificats (dates de validité), les règles planifiées et la synchronisation NTP. Configurez-le dès l’installation.

Serveurs DNS

Dans la même page, définissez les serveurs DNS utilisés par OPNsense lui-même (pas ceux distribués aux clients DHCP, c’est différent) :

DNS Server 1: 1.1.1.1
DNS Server 2: 9.9.9.9
DNS Server 3: 8.8.8.8

Cochez Allow DNS server list to be overridden by DHCP/PPP on WAN uniquement si vous faites confiance au DNS de votre FAI.

Administration web et console

Accédez à System > Settings > Administration pour configurer l’accès à l’interface.

Paramètres Web GUI recommandés :

Paramètre	Recommandation	Raison
Protocol	HTTPS	Chiffrement obligatoire
SSL Certificate	Certificat personnalisé ou Let’s Encrypt	Éviter les alertes navigateur
TCP Port	443 (ou port alternatif)	Port standard ou obscurci
Listen Interfaces	LAN uniquement	Ne jamais exposer sur WAN
Session Timeout	240 minutes	Déconnexion automatique

Glissez pour voir

Mettre à jour le firmware

Les mises à jour OPNsense corrigent des failles de sécurité et apportent de nouvelles fonctionnalités. OPNsense publie des mises à jour toutes les 2 semaines environ, avec deux versions majeures par an (janvier et juillet).

Vérifier les mises à jour disponibles

1. Accédez à System > Firmware > Status.

2. Cliquez sur Check for updates pour interroger les miroirs.

3. OPNsense affiche la liste des paquets à mettre à jour.

Lisez les release notes avant de mettre à jour

OPNsense affiche les release notes avant chaque mise à jour. Lisez-les pour repérer les breaking changes. Par exemple, OPNsense 26.1 a modifié la syntaxe des règles firewall/NAT et déplacé ISC DHCP vers un plugin.

Effectuer une mise à jour mineure

Les mises à jour mineures (26.1.1 > 26.1.2) sont généralement sans risque :

1. Sauvegardez la configuration avant toute mise à jour (voir section suivante).

2. Cliquez sur Update dans System > Firmware > Status.

3. Lisez les release notes qui s’affichent.

4. Confirmez pour lancer la mise à jour. OPNsense télécharge les paquets, les installe et redémarre automatiquement.

5. Reconnectez-vous après le redémarrage et vérifiez la version dans le dashboard.

Mise à jour majeure (changement de version)

Les mises à jour majeures (25.x > 26.x) nécessitent plus de précautions :

1. Lisez le billet de blog officiel annonçant la nouvelle version sur https://opnsense.org/blog/

2. Sauvegardez la configuration complète avec les statistiques RRD.

3. Testez sur un environnement de lab si vous avez des configurations complexes.

4. Planifiez une fenêtre de maintenance (la mise à jour prend 5-15 minutes avec redémarrage).

5. Si le bouton de mise à jour majeure n’apparaît pas, changez le Firmware Flavor dans System > Firmware > Settings (de release à la nouvelle branche).

Ne jamais mettre à jour via WAN

Effectuez toujours les mises à jour depuis le réseau LAN. Une coupure réseau pendant la mise à jour via WAN peut rendre le pare-feu inaccessible.

Changer de miroir

Si les téléchargements sont lents, changez de miroir :

1. Accédez à System > Firmware > Settings.
2. Sélectionnez un Mirror plus proche géographiquement.
3. Cliquez Save.

Gérer les utilisateurs et les droits

Par défaut, OPNsense a un seul utilisateur : root. C’est un compte tout-puissant qu’il faut protéger et utiliser avec parcimonie.

Créer un groupe avec droits limités

Pour limiter l’accès à certaines pages, créez un groupe personnalisé :

1. Accédez à System > Access > Groups.

2. Cliquez sur + pour créer un groupe.

3. Donnez un nom explicite (ex: support-reseau).

4. Enregistrez le groupe.

5. Éditez le groupe (icône crayon) pour définir les privilèges.

6. Dans Assigned Privileges, cliquez sur le crayon et cochez uniquement les pages autorisées :

   • Diagnostics: Ping — tester la connectivité
   • Status: Interfaces — voir l’état des interfaces
   • Status: Traffic Graph — voir le trafic

7. Enregistrez les privilèges.

Créer un utilisateur administrateur

Créez un compte nominatif pour chaque administrateur au lieu de partager root :

1. Accédez à System > Access > Users.

2. Cliquez sur + pour ajouter un utilisateur.

3. Remplissez les champs :

   Champ	Valeur
   Username	Identifiant (ex: srobert)
   Password	Mot de passe fort (12+ caractères)
   Full name	Nom complet
   Email	Adresse email (pour notifications)
   Group Memberships	admins pour un accès complet

   Glissez pour voir

4. Enregistrez l’utilisateur.

Politique de mots de passe

Pas de contrôle natif de complexité

OPNsense ne propose pas de politique de mots de passe intégrée (longueur minimale, complexité). C’est à l’administrateur d’appliquer de bonnes pratiques manuellement.

Recommandations à appliquer lors de la création des comptes :

Critère	Recommandation
Longueur	12 caractères minimum
Complexité	Majuscules, minuscules, chiffres, symboles
Unicité	Un mot de passe différent par compte
Gestionnaire	Utiliser un gestionnaire de mots de passe

Glissez pour voir

Pour renforcer la sécurité des comptes, privilégiez :

• L’authentification à deux facteurs (OTP) : configurable par utilisateur dans System > Access > Users (champ “OTP seed”)
• L’authentification par clé SSH : pour l’accès console
• L’authentification externe (LDAP/RADIUS) : pour centraliser les politiques

Authentification externe (LDAP/RADIUS)

Pour les environnements avec Active Directory ou un annuaire LDAP :

1. Accédez à System > Access > Servers.
2. Ajoutez un serveur LDAP ou RADIUS.
3. Testez la connexion dans System > Access > Tester.
4. Modifiez l’ordre d’authentification dans System > Settings > Administration > Authentication.

Utilisateurs locaux toujours nécessaires

Même avec LDAP, créez des utilisateurs locaux dans OPNsense pour leur assigner des privilèges. L’annuaire externe valide les mots de passe, mais OPNsense gère les autorisations localement.

Sauvegarder et restaurer la configuration

La configuration OPNsense est stockée dans un fichier XML (/conf/config.xml). Une sauvegarde régulière vous permet de reconstruire le pare-feu en minutes en cas de panne matérielle.

Sauvegarde manuelle

1. Accédez à System > Configuration > Backups.

2. Dans la section Download, configurez les options :

   Option	Recommandation
   Encrypt this configuration file	Oui (mot de passe fort)
   Include RRD data	Oui (conserve l’historique des graphiques)

   Glissez pour voir

3. Cliquez sur Download configuration.

4. Stockez le fichier dans un emplacement sécurisé (pas sur le pare-feu lui-même).

Nommez vos sauvegardes intelligemment

Utilisez un format de nom explicite : opnsense-fw-prod-2026-03-19-avant-maj-26.1.3.xml

Incluez : nom du pare-feu, date, contexte (avant mise à jour, avant changement majeur).

Restaurer une configuration

Via l'interface web

1. Accédez à System > Configuration > Backups.

2. Dans la section Restore, sélectionnez le fichier de sauvegarde.

3. Entrez le mot de passe de déchiffrement si la sauvegarde est chiffrée.

4. Choisissez le type de restauration :

   • Full restore : remplace toute la configuration
   • Partial restore : permet de sélectionner des sections

5. Cliquez sur Restore configuration.

6. OPNsense redémarre automatiquement pour appliquer la configuration.

Via la console (urgence)

Si l’interface web est inaccessible :

1. Connectez-vous à la console (VGA, série ou SSH si configuré).

2. Sélectionnez l’option 15) Restore recent configuration.

3. Choisissez une sauvegarde dans la liste (OPNsense conserve les X dernières).

4. Confirmez la restauration.

Historique des configurations

OPNsense conserve automatiquement un historique des configurations. Configurez la rétention dans System > Configuration > Backups :

Paramètre	Recommandation
Backup Count	30 (pour homelab) à 100 (production)

Glissez pour voir

Pour voir ou restaurer une ancienne configuration, descendez dans la section Configuration History.

Sauvegarde automatique vers le cloud

Activez la sauvegarde automatique vers Google Drive ou Nextcloud :

1. Accédez à System > Configuration > Backups.
2. Configurez un provider (Google Drive, Nextcloud).
3. Authentifiez l’accès via OAuth.
4. Les sauvegardes s’effectuent automatiquement à chaque changement.

Configurer l’accès SSH

L’accès SSH permet l’administration en ligne de commande. Par défaut, il est désactivé pour des raisons de sécurité.

Activer SSH

1. Accédez à System > Settings > Administration.

2. Dans la section Secure Shell, activez :

   • Enable Secure Shell
   • Permit root user login (temporairement, le temps de configurer les clés)

3. Configurez le port SSH (22 par défaut, ou un port alternatif).

4. Enregistrez.

Ne jamais exposer SSH sur WAN

L’accès SSH doit être limité au réseau LAN. Si vous devez y accéder depuis Internet, utilisez un VPN ou un bastion.

Configurer l’authentification par clé

L’authentification par clé SSH est plus sécurisée que le mot de passe :

1. Générez une paire de clés sur votre poste (si pas déjà fait) :

   ssh-keygen -t ed25519 -C "admin@opnsense"

2. Copiez la clé publique (contenu de ~/.ssh/id_ed25519.pub).

3. Dans OPNsense, éditez l’utilisateur concerné (System > Access > Users).

4. Collez la clé publique dans le champ Authorized keys.

5. Enregistrez l’utilisateur.

6. Testez la connexion :

   ssh root@192.168.1.1

7. Une fois les clés fonctionnelles, désactivez Permit root user login et Permit password login dans les paramètres SSH.

Commandes utiles en SSH

Une fois connecté en SSH, vous accédez au shell FreeBSD. Commandes utiles :

Commande	Action
pfctl -sr	Afficher les règles firewall actives
pfctl -ss	Afficher les états (connexions actives)
pfctl -si	Statistiques du firewall
netstat -rn	Table de routage
configctl firmware status	État des mises à jour
configctl firmware update	Lancer une mise à jour
opnsense-shell	Menu interactif OPNsense

Glissez pour voir

Planifier des tâches (cron)

OPNsense permet de planifier des tâches récurrentes via System > Settings > Cron.

Tâches préconfigurées

Certaines tâches sont déjà définies (alias update, firmware check). Vous pouvez en ajouter pour :

• Mise à jour automatique des alias GeoIP : tous les jours
• Sauvegarde automatique : tous les jours ou semaines
• Redémarrage planifié : hebdomadaire (si nécessaire)

Créer une tâche cron

1. Accédez à System > Settings > Cron.

2. Cliquez sur + pour ajouter une tâche.

3. Configurez la planification (format cron classique) :

   Champ	Exemple	Signification
   Minutes	0	À la minute 0
   Hours	3	À 3h du matin
   Day of month	*	Tous les jours
   Month	*	Tous les mois
   Day of week	*	Tous les jours

   Glissez pour voir

4. Sélectionnez la commande dans la liste déroulante.

5. Enregistrez et appliquez les changements.

Bonnes pratiques de maintenance

Checklist hebdomadaire

• Vérifier les mises à jour disponibles (System > Firmware > Status)
• Consulter les logs d’erreur (System > Log Files > General)
• Vérifier l’espace disque (dashboard widget System Information)
• Contrôler l’état des passerelles (dashboard widget Gateways)

Checklist mensuelle

• Appliquer les mises à jour de sécurité
• Télécharger une sauvegarde manuelle chiffrée
• Vérifier les certificats (dates d’expiration)
• Auditer les utilisateurs et groupes (supprimer les comptes inutiles)

Checklist annuelle

• Planifier les mises à jour majeures (janvier et juillet)
• Renouveler les certificats avant expiration
• Réviser les règles firewall (supprimer l’obsolète)
• Tester la restauration d’une sauvegarde

Dépannage courant

Problème	Cause probable	Solution
Interface web inaccessible	Service web crashé	Redémarrer via console (option 11)
Mise à jour bloquée	Miroir indisponible	Changer de miroir dans Firmware > Settings
Utilisateur ne peut pas se connecter	Mauvais groupe ou privilèges	Vérifier l’appartenance au groupe admins
SSH refusé	SSH désactivé ou port bloqué	Activer dans Administration, vérifier les règles firewall
Configuration perdue après redémarrage	Problème disque	Vérifier les logs, restaurer depuis backup

Glissez pour voir

À retenir

L’administration OPNsense repose sur quatre piliers :

1. Mises à jour régulières — toutes les 2-4 semaines pour la sécurité
2. Sauvegardes chiffrées — avant chaque changement majeur
3. Comptes nominatifs — pas de partage du compte root
4. Accès restreint — interface web et SSH sur LAN uniquement

Prochaines étapes

Greffons (plugins) Étendre OPNsense avec Tailscale, HAProxy, CrowdSec et plus

×

📖 Voir la documentation →