Greffons OPNsense : étendre les fonctionnalités avec Tailscale

Les greffons (plugins) permettent d’ajouter des fonctionnalités à OPNsense sans toucher au système de base. Ce guide vous montre comment installer et gérer les plugins, puis détaille la configuration complète de Tailscale — un VPN mesh basé sur WireGuard qui connecte vos appareils de façon sécurisée, où qu’ils soient.

OPNsense propose plus de 80 plugins maintenus par la communauté : reverse proxy (HAProxy, Caddy), détection d’intrusion (CrowdSec), monitoring (Telegraf, Zabbix), VPN (Tailscale, ZeroTier, WireGuard). Les plugins s’installent en un clic depuis l’interface web et se mettent à jour automatiquement avec le firmware.

Comprendre les plugins OPNsense

Types de plugins

OPNsense classe les plugins en deux catégories :

Type	Description	Exemples
Tier 1-2	Maintenus par l’équipe OPNsense, support officiel	HAProxy, WireGuard, ACME
Community	Maintenus par la communauté, testés mais sans garantie	Tailscale, CrowdSec, Caddy

Glissez pour voir

Plugins communautaires masqués par défaut

Les plugins communautaires n’apparaissent pas par défaut dans la liste. Cochez Show community plugins dans System > Firmware > Plugins pour les afficher.

Architecture des plugins

Un plugin OPNsense peut ajouter :

• Pages de configuration dans l’interface web
• Services démarrés au boot
• Widgets pour le dashboard
• Commandes accessibles en CLI
• Dépendances automatiquement installées

Les plugins sont des paquets FreeBSD packagés spécifiquement pour OPNsense. Ils suivent le cycle de mise à jour du firmware : une mise à jour OPNsense met aussi à jour les plugins installés.

Gérer les plugins

Lister les plugins disponibles

1. Accédez à System > Firmware > Plugins.

2. Par défaut, seuls les plugins Tier 1-2 s’affichent.

3. Cochez Show community plugins pour voir tous les plugins disponibles.

4. Utilisez la barre de recherche pour filtrer par nom.

Installer un plugin

1. Repérez le plugin souhaité dans la liste.

2. Cliquez sur le bouton + à droite du plugin.

3. OPNsense télécharge et installe le plugin avec ses dépendances.

4. Rafraîchissez la page (F5) pour voir les nouveaux menus.

Pas de redémarrage nécessaire

La plupart des plugins s’activent immédiatement après installation. Seuls quelques plugins nécessitent un redémarrage (indiqué dans les notes du plugin).

Désinstaller un plugin

1. Dans System > Firmware > Plugins, repérez le plugin installé (icône -).

2. Cliquez sur - pour désinstaller.

3. Les fichiers de configuration sont conservés (utile en cas de réinstallation).

Mettre à jour les plugins

Les plugins se mettent à jour automatiquement avec le firmware. Pour forcer une vérification :

1. Accédez à System > Firmware > Status.
2. Cliquez sur Check for updates.
3. Les plugins apparaissent dans la liste des mises à jour disponibles.

Cas pratique : Tailscale

Tailscale est un VPN mesh qui connecte vos appareils via WireGuard, sans avoir à ouvrir de ports ni à gérer des certificats. Installer Tailscale sur OPNsense permet de :

• Accéder à votre réseau local depuis n’importe où (subnet router)
• Router tout le trafic via votre connexion maison (exit node)
• Connecter plusieurs sites de façon transparente

Prérequis

Avant de commencer :

• Un compte Tailscale (gratuit jusqu’à 100 appareils) sur tailscale.com
• OPNsense 24.7.11 ou supérieur (le plugin os-tailscale n’existe pas avant)
• Accès administrateur à l’interface web OPNsense

Installer le plugin Tailscale

1. Accédez à System > Firmware > Plugins.

2. Cochez Show community plugins si ce n’est pas déjà fait.

3. Recherchez os-tailscale dans la barre de recherche.

4. Cliquez sur + pour installer le plugin.

5. Rafraîchissez la page (F5) après l’installation.

Le menu VPN > Tailscale apparaît après rafraîchissement.

Configurer Tailscale

1. Accédez à VPN > Tailscale > Settings.

2. Cochez Enable Tailscale pour activer le service.

3. Configurez les options selon vos besoins :

   Option	Description	Recommandation
   Advertise Routes	Réseaux LAN à exposer	192.168.10.0/24 (votre LAN)
   Use Exit Node	Autoriser le routage de tout le trafic	Activer si besoin
   Accept Subnet Routes	Accepter les routes des autres nœuds	Activer

   Glissez pour voir

4. Cliquez sur Save.

S’authentifier sur Tailscale

Deux méthodes d’authentification sont possibles :

Via URL (recommandé)

1. Après avoir sauvegardé les paramètres, accédez à VPN > Tailscale > Status.

2. Cliquez sur le lien Auth URL affiché.

3. Connectez-vous à votre compte Tailscale dans le navigateur.

4. Autorisez l’appareil OPNsense à rejoindre votre réseau.

5. Retournez sur OPNsense et vérifiez que le statut passe à Connected.

Via Auth Key

1. Connectez-vous à login.tailscale.com/admin/settings/keys.

2. Générez une Auth Key (réutilisable ou à usage unique).

3. Copiez la clé générée.

4. Dans OPNsense, accédez à VPN > Tailscale > Settings.

5. Collez la clé dans le champ Auth Key.

6. Cliquez sur Save.

Clés réutilisables pour l'automatisation

Les auth keys réutilisables sont utiles pour les déploiements automatisés ou si vous devez réinstaller OPNsense. Définissez une date d’expiration pour la sécurité.

Vérifier la connexion

Une fois authentifié :

1. Accédez à VPN > Tailscale > Status.

2. Vérifiez que le statut affiche Connected.

3. Notez l’adresse IP Tailscale assignée (format 100.x.x.x).

4. Dans Interfaces > Overview, une nouvelle interface tailscale0 apparaît.

Approuver les routes dans Tailscale Admin

Si vous avez configuré Advertise Routes ou Exit Node, vous devez les approuver dans la console d’administration Tailscale :

1. Connectez-vous à login.tailscale.com/admin/machines.

2. Repérez votre appareil OPNsense dans la liste.

3. Cliquez sur les trois points (⋮) puis Edit route settings.

4. Activez les routes que vous souhaitez exposer.

5. Si vous utilisez l’exit node, cochez Use as exit node.

6. Cliquez sur Save.

Les routes ne fonctionnent pas sans approbation

Même si OPNsense annonce des routes, elles ne sont pas actives tant que vous ne les approuvez pas dans la console Tailscale. C’est une mesure de sécurité.

Configurer le pare-feu OPNsense

Pour que le trafic Tailscale puisse atteindre votre LAN, créez une règle de pare-feu :

1. Accédez à Firewall > Rules > Tailscale (ou l’interface correspondante).

2. Cliquez sur + pour ajouter une règle.

3. Configurez la règle :

   Paramètre	Valeur
   Action	Pass
   Interface	Tailscale
   Protocol	Any
   Source	Tailscale net
   Destination	LAN net
   Description	Allow Tailscale to LAN

   Glissez pour voir

4. Cliquez sur Save puis Apply Changes.

Règle trop permissive pour la production

Cette règle autorise tout le trafic Tailscale vers le LAN. En production, restreignez les ports et adresses autorisés selon le principe du moindre privilège.

Utiliser OPNsense comme exit node

Analogie : Imaginez que vous êtes dans un café et que vous voulez envoyer une lettre. Au lieu de la poster depuis le café (où tout le monde peut voir l’enveloppe), vous l’envoyez d’abord à votre maison via un tunnel sécurisé, et c’est votre maison qui poste la lettre. Pour le destinataire, la lettre vient de chez vous, pas du café.

L’exit node fonctionne de la même façon : au lieu que votre trafic Internet sorte directement de votre appareil (le café), il passe par OPNsense (votre maison) via le tunnel Tailscale chiffré. Les sites web voient l’adresse IP de votre OPNsense, pas celle de votre appareil.

Cas d’usage concrets :

Situation	Sans exit node	Avec exit node
Wi-Fi public (hôtel, café)	Trafic visible par le réseau	Trafic chiffré jusqu’à votre OPNsense
Service accessible uniquement depuis la France	Bloqué si vous êtes à l’étranger	Fonctionne (IP française de votre OPNsense)
Journalisation centralisée	Logs dispersés sur chaque appareil	Tous les logs dans OPNsense

Glissez pour voir

1. Dans VPN > Tailscale > Settings, activez Advertise Exit Node.

2. Cliquez sur Save.

3. Dans la console Tailscale Admin, approuvez l’exit node (voir étape précédente).

4. Sur un appareil client Tailscale, sélectionnez OPNsense comme Exit Node.

Pour vérifier que ça fonctionne, visitez whatismyip.com depuis un appareil utilisant l’exit node : l’IP affichée doit être celle de votre connexion Internet OPNsense.

Ajouter le widget Tailscale au dashboard

Le plugin Tailscale inclut un widget pour le dashboard :

1. Accédez à Lobby > Dashboard.

2. Cliquez sur l’icône crayon (mode édition).

3. Cliquez sur + et sélectionnez Tailscale.

4. Le widget affiche l’état de connexion et les pairs connectés.

5. Enregistrez la disposition.

Plugins recommandés

Voici une sélection de plugins utiles par catégorie :

Sécurité

Plugin	Description
os-acme-client	Certificats Let’s Encrypt automatiques
os-crowdsec	IPS collaboratif avec listes de blocage
os-clamav	Antivirus pour le proxy web

Glissez pour voir

Réseau et VPN

Plugin	Description
os-tailscale	VPN mesh WireGuard
os-wireguard	VPN WireGuard natif
os-frr	Routage dynamique (OSPF, BGP)

Glissez pour voir

Reverse Proxy

Plugin	Description
os-haproxy	Load balancer et reverse proxy
os-caddy	Reverse proxy avec HTTPS automatique
os-nginx	Serveur web et reverse proxy

Glissez pour voir

Monitoring

Plugin	Description
os-telegraf	Agent de collecte de métriques
os-zabbix-agent	Agent Zabbix
os-node_exporter	Métriques Prometheus

Glissez pour voir

Dépannage

Problème	Cause probable	Solution
Plugin n’apparaît pas	Plugins communautaires masqués	Cocher “Show community plugins”
Menu absent après installation	Cache navigateur	Rafraîchir la page (F5 ou Ctrl+Shift+R)
Tailscale ne se connecte pas	Pas d’auth key ni d’URL	Vérifier Status > Auth URL
Routes non fonctionnelles	Routes non approuvées	Approuver dans Tailscale Admin
Trafic LAN bloqué	Pas de règle firewall	Créer règle Tailscale > LAN
Exit node ne fonctionne pas	Non approuvé côté Tailscale	Activer “Use as exit node” dans Admin

Glissez pour voir

Logs Tailscale

Pour diagnostiquer les problèmes de connexion :

1. Accédez à VPN > Tailscale > Status.
2. Consultez les messages d’état.
3. En SSH, consultez les logs avec :

tail -f /var/log/tailscaled/current

À retenir

• Les plugins étendent OPNsense sans modifier le système de base
• Tailscale offre un VPN mesh simple basé sur WireGuard
• Le subnet router expose votre LAN aux appareils Tailscale
• L’exit node route tout le trafic Internet via OPNsense
• Les routes doivent être approuvées dans la console Tailscale Admin

Prochaines étapes

Documentation Tailscale Guide officiel Tailscale pour OPNsense

×

📖 Voir la documentation →