Installer OPNsense sur machine dédiée ou VM

Ce guide vous permet d’installer OPNsense 26.1 sur une machine physique ou une VM KVM en moins de 30 minutes. Vous apprendrez à télécharger l’ISO, préparer le support d’installation, exécuter l’installateur, configurer les interfaces WAN/LAN et accéder à l’interface web. Prérequis : un PC ou serveur avec 2 cartes réseau (ou un hyperviseur KVM/Proxmox).

Chaque étape a été testée sur une VM KVM/libvirt avec OPNsense 26.1.2. Les commandes, messages d’erreur et solutions de contournement proviennent de cette installation réelle.

Choisir le mode de déploiement

OPNsense s’installe de trois manières selon votre infrastructure :

Mode	Matériel typique	Avantages	Inconvénients
Machine dédiée	Mini-PC (Intel N100), appliance Deciso	Performances natives, pas d’hyperviseur	Matériel dédié nécessaire
Machine virtuelle	KVM/libvirt, Proxmox VE, VMware ESXi	Rapidité de déploiement, snapshots	Overhead de virtualisation
Embedded (nano)	CF card, SD card, appliance compacte	Réduit les écritures disque	Pas de logs persistants par défaut

Glissez pour voir

Pour un homelab ou un environnement de test, la VM est le meilleur choix : elle permet les snapshots, le clonage et ne nécessite pas de matériel supplémentaire.

Prérequis matériels

Minimum requis

Ressource	Minimum	Recommandé (avec IDS/IPS)
CPU	1 GHz dual-core (amd64)	1,5 GHz multi-core
RAM	3 Go	4–8 Go
Disque	8 Go	40–120 Go SSD
Réseau	2 interfaces réseau	2+ interfaces (WAN + LAN + OPT)
Console	VGA ou série	VGA ou VNC

Glissez pour voir

OPNsense fonctionne sur du matériel amd64 (processeur 64 bits). Les processeurs ARM ne sont pas supportés. Le point critique est la RAM : l’installateur charge un système complet en mémoire et échoue silencieusement en dessous de 3 Go.

3 Go minimum, pas moins

L’installateur OPNsense nécessite au moins 3 Go de RAM pour s’exécuter. En dessous, l’installation échoue avec l’erreur “File copy failed”. En production avec Suricata (IDS/IPS) activé, prévoyez 4 à 8 Go.

Pour une VM KVM

Vous aurez besoin de :

• Un hôte Linux avec KVM/libvirt installé (paquets qemu-kvm, libvirt-daemon-system, virt-install)
• Les droits d’exécution sur virsh et virt-install
• De l’espace disque disponible dans un pool de stockage libvirt

Télécharger l’image OPNsense

1. Rendez-vous sur la page de téléchargement officielle : https://opnsense.org/download/

2. Sélectionnez les paramètres suivants :

   Paramètre	Valeur
   Architecture	amd64
   Image type	dvd (pour machine dédiée ou VM)
   Mirror	Le plus proche géographiquement

   Glissez pour voir

   Pour une installation en mode série uniquement (sans écran), choisissez serial au lieu de dvd.

3. Téléchargez le fichier .iso.bz2 et décompressez-le :

   wget https://mirror.wdc1.us.leaseweb.net/opnsense/releases/26.1/OPNsense-26.1.2-dvd-amd64.iso.bz2
   bunzip2 OPNsense-26.1.2-dvd-amd64.iso.bz2

Vérifier l'intégrité de l'image

Téléchargez aussi le fichier .sha256 et vérifiez le checksum :

wget https://mirror.wdc1.us.leaseweb.net/opnsense/releases/26.1/OPNsense-26.1.2-checksums-amd64.sha256
openssl sha256 OPNsense-26.1.2-dvd-amd64.iso.bz2

Comparez la sortie avec le contenu du fichier .sha256. Les valeurs doivent correspondre.

Installer sur une machine dédiée

1. Créez le média d’installation en écrivant l’image sur une clé USB (minimum 1 Go) :

   sudo dd if=OPNsense-26.1.2-dvd-amd64.iso of=/dev/sdX bs=16k status=progress

   Remplacez /dev/sdX par le périphérique de votre clé USB (vérifiez avec lsblk).

2. Branchez la clé USB sur la machine cible et démarrez dessus (touche F2, F12 ou Suppr selon le BIOS/UEFI).

3. L’environnement live démarre. OPNsense charge un système fonctionnel en mémoire. Vous verrez l’invitation de connexion :

   login:

4. Lancez l’installateur en vous connectant avec :

   • Utilisateur : installer
   • Mot de passe : opnsense

5. Suivez les étapes de l’installateur (détaillées dans la section Exécuter l’installateur ci-dessous).

Installer sur une VM KVM/libvirt

Cette section détaille la création d’une VM OPNsense complète avec 2 interfaces réseau (WAN et LAN).

Architecture du lab

Le schéma ci-dessous montre l’architecture réseau du lab KVM utilisé dans ce guide :

La VM dispose de deux interfaces réseau : WAN (vtnet0, DHCP sur le réseau libvirt 192.168.122.0/24) et LAN (vtnet1, réseau isolé 192.168.1.0/24 pour les machines clientes).

Préparer l’environnement

1. Copiez l’ISO dans le pool de stockage libvirt :

   sudo cp OPNsense-26.1.2-dvd-amd64.iso /var/lib/libvirt/images/

2. Créez la VM avec virt-install :

   sudo virt-install \
     --name opnsense \
     --ram 4096 \
     --vcpus 2 \
     --os-variant freebsd14.0 \
     --disk pool=default,size=20,format=qcow2,bus=virtio \
     --cdrom /var/lib/libvirt/images/OPNsense-26.1.2-dvd-amd64.iso \
     --network network=default,model=virtio \
     --network network=default,model=virtio \
     --graphics vnc,listen=0.0.0.0,port=5910 \
     --boot uefi \
     --noautoconsole

   Explications des paramètres :

   Paramètre	Rôle
   --ram 4096	4 Go de RAM (suffisant pour Suricata)
   --vcpus 2	2 processeurs virtuels
   --os-variant freebsd14.0	Optimisations KVM pour FreeBSD
   --disk pool=default,size=20	Disque de 20 Go en qcow2 (virtio)
   --network (x2)	2 interfaces : la première sera WAN, la seconde LAN
   --graphics vnc	Console graphique VNC pour l’installation
   --boot uefi	Démarrage UEFI (recommandé)

   Glissez pour voir

3. Vérifiez que la VM est en cours d’exécution :

   virsh list --all | grep opnsense

   Résultat attendu :

    13   opnsense    running

4. Connectez-vous à la console VNC avec un client VNC (Remmina, TigerVNC, etc.) sur <IP_HOTE>:5910.

Réseau isolé pour le LAN

Pour un lab plus réaliste, créez un réseau isolé pour le LAN au lieu d’utiliser le réseau default deux fois :

cat <<'EOF' | sudo tee /etc/libvirt/qemu/networks/opnsense-lan.xml
<network>
  <name>opnsense-lan</name>
  <bridge name="virbr-lan"/>
</network>
EOF
sudo virsh net-define /etc/libvirt/qemu/networks/opnsense-lan.xml
sudo virsh net-start opnsense-lan
sudo virsh net-autostart opnsense-lan

Puis remplacez le second --network par --network network=opnsense-lan,model=virtio.

Proxmox VE

Si vous utilisez Proxmox au lieu de KVM en ligne de commande, créez la VM avec ces paramètres :

Paramètre	Valeur
Type	FreeBSD (14)
BIOS	OVMF (UEFI)
Disque	VirtIO Block, 20 Go+
RAM	4096 Mo
CPU	2 cœurs, type host
Réseau 1 (WAN)	VirtIO, bridge vmbr0
Réseau 2 (LAN)	VirtIO, bridge vmbr1 (ou VLAN)

Glissez pour voir

Exécuter l’installateur

Une fois la VM ou la machine physique démarrée sur l’ISO, suivez ces étapes :

1. Attendez le boot. L’écran de démarrage OPNsense affiche un compte à rebours. Laissez-le se terminer pour accéder à l’environnement live.

2. Connectez-vous à l’installateur :

   • Utilisateur : installer
   • Mot de passe : opnsense

3. Sélectionnez le keymap. Le clavier par défaut (US) convient dans la plupart des cas. Pour un clavier français, sélectionnez fr.kbd.

4. Choisissez le type d’installation (système de fichiers) :

   • Install (ZFS) : recommandé. ZFS vérifie automatiquement l’intégrité des données (checksums), permet les snapshots (sauvegardes instantanées) et corrige les corruptions silencieuses. C’est le choix par défaut pour toute installation moderne.
   • Install (UFS) : le système de fichiers historique de FreeBSD. Plus léger en RAM (~200 Mo de moins), mais sans protection contre la corruption de données. Réservez-le aux machines avec très peu de ressources (< 4 Go RAM).

   En résumé : choisissez ZFS sauf contrainte matérielle forte.

5. Sélectionnez le type de partitionnement. Pour un disque unique, choisissez stripe (par défaut). Ce mode utilise l’intégralité du disque. Les options mirror (RAID-1) et raidz (RAID-5) nécessitent plusieurs disques et sont réservées aux déploiements en haute disponibilité.

6. Sélectionnez le disque cible. Dans une VM, ce sera généralement vtbd0 (VirtIO) ou da0 (USB). Sélectionnez-le avec la barre d’espace puis confirmez.

7. Confirmez le formatage. L’installateur vous avertit que toutes les données du disque seront effacées. Confirmez avec Yes.

8. Définissez le mot de passe root. Choisissez un mot de passe robuste (12+ caractères, lettres, chiffres, symboles). Vous en aurez besoin pour accéder à l’interface web.

9. Sélectionnez “Complete Install”. La machine redémarre. Si c’est une VM, retirez le média d’installation (l’ISO sera automatiquement éjecté au redémarrage dans la plupart des cas).

   Vérification : la machine redémarre et affiche le menu console OPNsense (sans l’écran de boot du live CD).

   La VM ne redémarre pas automatiquement

   Avec certaines configurations KVM/libvirt, la VM s’éteint au lieu de redémarrer après l’installation. C’est normal : le BIOS UEFI tente de booter sur le CD-ROM qui n’existe plus.

   Relancez-la manuellement :

   sudo virsh start opnsense

   Vérifiez qu’elle tourne :

   virsh list | grep opnsense

Ne choisissez pas le mauvais disque

Dans une VM avec un CD-ROM virtuel, le disque d’installation est typiquement cd0 ou da0 (la clé USB). Le disque cible est vtbd0 (VirtIO) ou ada0 (SATA). Vérifiez bien la taille affichée pour ne pas écrire sur le mauvais périphérique.

Configuration initiale

Après le redémarrage, OPNsense démarre sur le disque et affiche l’écran de configuration des interfaces.

Assigner les interfaces

1. VLANs ? Répondez n (non) sauf si vous avez besoin de VLANs dès le départ.

2. WAN interface : entrez le nom de la première interface réseau. Dans une VM KVM avec des cartes VirtIO, ce sera typiquement vtnet0.

3. LAN interface : entrez le nom de la seconde interface : vtnet1.

4. Optional interfaces : appuyez sur Entrée pour passer (vous pourrez en ajouter plus tard).

5. Confirmez l’assignation. OPNsense configure les interfaces et affiche le résumé :

   WAN (vtnet0) -> v4/DHCP4: 192.168.122.xxx/24
   LAN (vtnet1) -> v4: 192.168.1.1/24

Par défaut :

• WAN est configuré en DHCP (il obtient une adresse automatiquement)
• LAN est configuré en statique sur 192.168.1.1/24

Accéder à l’interface web

L’interface d’administration est accessible depuis le réseau LAN :

1. Depuis un navigateur sur le réseau LAN, allez sur :

   https://192.168.1.1

2. Acceptez le certificat auto-signé (normal pour une première installation).

3. Connectez-vous avec :

   • Utilisateur : root
   • Mot de passe : celui défini lors de l’installation

4. L’assistant de configuration (wizard) se lance automatiquement. Parcourez les 9 étapes :

   Étape 1 — General Information :

   • Hostname : nom de votre pare-feu (ex : fw-lab, opnsense). Pas d’espaces ni de caractères spéciaux.
   • Domain : domaine interne (ex : lab.local, home.lan). Ce domaine sera utilisé par le DNS local.
   • Primary/Secondary DNS : laissez vide pour utiliser Unbound (le résolveur DNS intégré, recommandé). Si vous préférez un DNS externe, entrez par exemple 1.1.1.1 (Cloudflare) ou 9.9.9.9 (Quad9).
   • Override DNS : cochez cette case si le WAN est en DHCP et que vous voulez que le FAI fournisse les DNS au lieu d’Unbound.

   Étape 2 — Time Server Information :

   • Time server hostname : laissez 0.opnsense.pool.ntp.org (par défaut).
   • Timezone : sélectionnez Europe/Paris (ou votre fuseau).

   Étape 3 — Configure WAN Interface :

   • Type : DHCP si votre WAN obtient une IP automatiquement (box, routeur amont). Pour une connexion fibre directe, choisissez PPPoE et entrez vos identifiants FAI.
   • Block RFC1918 : cochez cette option. Elle empêche le trafic provenant d’adresses privées (10.x, 172.16.x, 192.168.x) d’entrer par le WAN — une protection de base contre le spoofing.
   • Block bogon networks : cochez aussi. Bloque les plages d’adresses non attribuées.

   Étape 4 — Configure LAN Interface :

   • LAN IP Address : 192.168.1.1 par défaut. Changez si ce sous-réseau entre en conflit avec votre réseau existant (ex : 10.0.1.1/24).
   • Subnet Mask : 24 (soit 255.255.255.0, suffisant pour 254 hôtes).

   Étape 5 — Set Root Password :

   • Changez le mot de passe root si nécessaire, ou laissez tel quel si vous l’avez déjà défini lors de l’installation.

   Étape 6 — Reload Configuration :

5. Cliquez sur Reload pour appliquer la configuration. OPNsense redémarre les services réseau. Après quelques secondes, le dashboard s’affiche avec les widgets de monitoring (CPU, RAM, uptime, interfaces).

Accès depuis l'hôte KVM

Si la VM utilise le réseau default de libvirt pour les deux interfaces, le LAN n’est pas directement accessible depuis l’hôte. Pour y accéder, créez un réseau isolé (voir l’astuce plus haut) et connectez une VM “client” sur ce réseau, ou configurez temporairement l’accès web sur le WAN via la console :

# Dans le menu console OPNsense, option 8 (Shell)
pfctl -d    # Désactive temporairement le firewall

Accédez alors via l’IP WAN. Réactivez le pare-feu immédiatement après : pfctl -e.

Vérifier l’installation

Après avoir complété le wizard, vérifiez que tout fonctionne :

Vérification	Comment	Résultat attendu
Dashboard	Lobby > Dashboard	Widgets CPU, RAM, uptime affichés
Interfaces	Interfaces > Overview	WAN et LAN avec adresses IP
DNS	Services > Unbound DNS > General	Service actif (vert)
Mises à jour	System > Firmware > Updates	”Click to check for updates”, puis update vers la dernière version
Ping externe	Interfaces > Diagnostics > Ping	ping 1.1.1.1 → réponse

Glissez pour voir

Première mise à jour

Après l’installation, lancez immédiatement une mise à jour via System > Firmware > Updates. L’image ISO ne contient pas les derniers correctifs de sécurité. OPNsense se met à jour en un clic et redémarre automatiquement.

VM : désactivez le hardware offloading

Dans un environnement virtualisé, désactivez les fonctions d’offloading dans Interfaces > Settings : cochez Disable hardware CRC, Disable hardware TSO et Disable hardware LRO, puis cliquez Save et Apply changes.

Dépannage

Symptôme	Cause probable	Solution
Installation échoue (“File copy failed”)	RAM insuffisante (< 3 Go)	Augmentez la RAM de la VM à 4 Go minimum
VM éteinte après “Complete Install”	KVM ne reboote pas, tente de booter sur le CD-ROM	Relancez avec sudo virsh start opnsense
Pas d’adresse sur WAN (DHCP)	Interface mal assignée	Vérifiez l’ordre des interfaces : vtnet0 = WAN
Interface web inaccessible depuis le LAN	Navigateur non connecté au réseau 192.168.1.0/24	Connectez une VM client au réseau LAN
HTTP 403 sur l’interface web	Comportement normal avant login	La page de login retourne 403. Ouvrez l’URL dans un navigateur, le formulaire de connexion s’affiche
Certificat TLS refusé	Certificat auto-signé	Ajoutez une exception dans le navigateur
Performances réseau dégradées en VM	Hardware offloading actif	Désactivez dans Interfaces > Settings
Boot bloqué sur “Mounting from zfs”	Disque mal sélectionné	Réinstallez en vérifiant le disque cible (vtbd0)
Console série ne répond pas	Mauvais type d’image	Utilisez l’image serial au lieu de dvd

Glissez pour voir

À retenir

• OPNsense 26.1 s’installe sur machine dédiée, VM KVM/Proxmox ou appliance embedded (image nano).
• Le minimum matériel est 3 Go RAM, 2 interfaces réseau et 8 Go de disque, mais 4 Go RAM et 40 Go SSD sont recommandés.
• L’installateur se lance en se connectant avec l’utilisateur installer et le mot de passe opnsense.
• Choisissez le système de fichiers ZFS pour la fiabilité (recommandé).
• Par défaut, WAN est en DHCP et LAN est sur 192.168.1.1/24.
• L’interface web est accessible sur https://192.168.1.1 depuis le réseau LAN.
• En VM, désactivez le hardware offloading pour éviter les problèmes de performance.
• Lancez une mise à jour immédiatement après l’installation.

Prochaines étapes

Comprendre OPNsense Architecture, composants et cas d'usage d'OPNsense.

×

📖 Voir la documentation →