Routeur pfSense vs OpenWRT : sécurité, IPv6, choix domestique

OpenWRT ou pfSense : pour quel besoin de sécurité réseau à la maison ?

Dans une maison connectée (caméras, assistants, box domotique, équipements de piscine pilotés à distance), le routeur devient un élément de sécurité au même titre qu’une serrure : il segmente, filtre et journalise. Deux approches reviennent souvent pour “monter d’un cran” par rapport au routeur fourni par le FAI : le routeur OpenWRT (firmware sur routeur compatible) et le routeur pfSense (appliance x86 orientée pare-feu). Cette page aide à choisir selon vos contraintes terrain (débits, Wi‑Fi, VLAN, IPv6, VPN) et votre niveau de maîtrise, avant d’élargir à l’ensemble des types de routeurs.

Différences d’architecture : firmware embarqué vs appliance pare-feu

OpenWRT : un firmware Linux pour routeurs grand public compatibles

OpenWRT remplace le logiciel d’origine de certains routeurs. On l’installe sur un modèle supporté (souvent basé sur SoC ARM/MIPS) et on bénéficie d’un système Linux modulaire : pare-feu (nftables/iptables selon versions), serveur DHCP/DNS, VLAN, QoS/SQM, VPN, etc.

Points clés techniques :

• Tout-en-un fréquent : routeur + switch + Wi‑Fi dans le même boîtier, pratique si vous ne voulez pas multiplier les équipements.
• Dépendance au support matériel : pilotes Wi‑Fi, offload matériel NAT, accélération crypto (AES) et stabilité varient selon le chipset.
• Personnalisation fine via LuCI (interface web) ou SSH, avec des paquets.

pfSense : distribution firewall/routeur sur matériel x86

pfSense (basé sur FreeBSD) s’installe généralement sur un mini‑PC/boîtier x86 avec plusieurs ports réseau (Intel NIC recommandés). Le positionnement est plus “pare-feu” que “routeur Wi‑Fi”, ce qui implique souvent un Wi‑Fi séparé (points d’accès).

Points clés techniques :

• Excellente visibilité sécurité : règles, aliases, journaux, NAT, états, monitoring.
• Écosystème orienté entreprise : VLAN, multi‑WAN, VPN site‑à‑site, portail captif, etc.
• Matériel à choisir : CPU, RAM, SSD, interfaces réseau déterminent les performances et la stabilité.

En pratique : si vous cherchez un routeur qui intègre Wi‑Fi + sécurité avancée dans un seul appareil, OpenWRT est souvent plus direct. Si vous privilégiez la robustesse pare-feu, les journaux, les VLAN multiples et les VPN, un routeur pfSense sur appliance dédiée est souvent plus confortable.

IPv6 : comment vérifier qu’on aura un routeur compatible IPv6 (vraiment)

Un routeur compatible IPv6 ne se limite pas à “activer IPv6” : il doit gérer correctement la délégation de préfixe (souvent via DHCPv6-PD), annoncer le réseau (RA), et permettre des règles de filtrage IPv6.

Points à contrôler côté FAI

• Mode bridge / DMZ / double NAT : certains FAI imposent des limites. Pour l’IPv6, le bridge (ou au minimum un mode “passthrough”) simplifie la délégation.
• Taille du préfixe délégué : /56 (confortable) vs /64 (plus limité). Avec /56, vous pouvez créer plusieurs VLAN/SSID avec des sous-réseaux IPv6 distincts.

Ce que doivent bien faire OpenWRT et pfSense

• DHCPv6-PD fonctionnel (préfixe délégué récupéré et redistribué)
• RA (Router Advertisements) correctement configurables
• Pare-feu IPv6 : étatful firewall, filtrage entrant, et stratégie “deny inbound by default” comparable à IPv4
• DNS : gestion correcte de DNSv6/DoH/DoT si vous l’activez

OpenWRT gère très bien IPv6 sur la plupart des matériels supportés, mais attention aux routeurs où le firmware stock limite la place (flash) ou où certains paquets IPv6 manquent. pfSense est généralement solide sur IPv6, mais la complexité augmente si vous avez plusieurs VLAN, plusieurs WAN, ou des besoins spécifiques (NPTv6, règles inter‑VLAN détaillées).

Critères de choix concrets (domotique, caméras, piscine connectée, télétravail)

1) Segmentation réseau (VLAN/SSID) pour isoler l’IoT

Objectif : séparer les objets connectés (caméras, prises, robots, équipements de piscine) du réseau “PC/télétravail”.

• OpenWRT : VLAN possibles sur le switch interne + SSID multiples (si le Wi‑Fi est géré par le routeur). Très pratique si vous voulez un “routeur unique”.
• Routeur pfSense : excellent pour définir des politiques inter‑VLAN strictes (qui peut parler à qui). Nécessite souvent un switch manageable et des points d’accès VLAN.

À vérifier : votre switch et/ou vos AP supportent 802.1Q, et vous êtes prêt à gérer les trunks/tagging.

2) VPN (accès distant) et chiffrement

Pour accéder à votre réseau (domotique, supervision piscine, NAS) sans exposer de ports.

• pfSense est souvent choisi pour WireGuard/OpenVPN avec une administration claire et des journaux utiles.
• OpenWRT le fait très bien aussi, mais les performances VPN dépendront plus fortement du SoC (AES, fréquence CPU) et du support.

Critère terrain : si vous visez des débits VPN élevés (télétravail, transferts NAS), privilégiez un matériel x86 ou un routeur OpenWRT puissant (ARM moderne) avec accélération crypto.

3) Performance réelle : NAT, QoS/SQM, et latence

• Si vous avez la fibre et de nombreux flux (caméras en upload, visio, streaming), regardez la latence autant que le débit.
• OpenWRT brille avec SQM (gestion anti-bufferbloat) sur certaines configurations.
• pfSense est performant en routage/filtrage, mais la QoS demande une approche plus structurée et dépend du scénario.

Point important : certains routeurs OpenWRT perdent l’accélération matérielle (hardware offload) selon la configuration (VLAN complexes, QoS, certain chiffrement). Résultat : un débit qui chute. Côté pfSense, la limite vient plutôt du CPU/NIC.

4) Wi‑Fi : intégré (OpenWRT) ou dédié (pfSense)

• Si votre priorité est un Wi‑Fi stable et moderne (Wi‑Fi 6/6E/7), il est courant de dissocier : routeur/pare-feu (pfSense ou OpenWRT sur boîtier) + points d’accès.
• OpenWRT peut gérer le Wi‑Fi, mais la qualité dépend beaucoup des pilotes et du modèle.

Recommandation pratique : pour une maison avec plusieurs zones (jardin, local technique piscine), des AP maillés ou câblés avec VLAN sont souvent plus fiables qu’un seul routeur Wi‑Fi puissant.

5) Maintenance et mises à jour (sécurité)

• OpenWRT : mises à jour régulières, mais elles impliquent parfois des changements de configuration ou des choix de branche (stable/snapshot).
• pfSense : mises à jour centralisées, avec des précautions lors des upgrades majeurs et des paquets.

Critère “tranquillité” : choisissez une plateforme que vous êtes prêt à maintenir (sauvegardes de config, fenêtre de maintenance, documentation).

Erreurs fréquentes et points de vigilance (à éviter)

Confondre “routeur” et “pare-feu”

Un routeur de FAI fait du NAT et un minimum de filtrage, mais n’offre pas toujours une segmentation propre, des logs exploitables ou des politiques inter‑réseaux fines. Avec pfSense, vous basculez souvent sur une logique pare-feu stateful complète ; avec OpenWRT, vous gagnez en contrôle mais selon le matériel.

Ignorer la contrainte matérielle (surtout pour OpenWRT)

Installer OpenWRT sur un routeur limite en RAM/flash peut fonctionner “au début” puis devenir instable dès que vous ajoutez SQM, VPN, IDS léger, plusieurs SSID, etc. Vérifiez :

• RAM (au moins 256–512 Mo selon usage)
• Stockage flash suffisant
• Support Wi‑Fi/driver reconnu

Faire du double NAT ou une IPv6 “partielle”

Si votre box FAI reste routeur + votre équipement aussi, vous créez du double NAT (IPv4) et souvent une IPv6 mal déléguée.

• Cherchez un mode bridge ou un paramétrage propre (DMZ + désactivation Wi‑Fi de la box) selon FAI.
• Testez la délégation de préfixe IPv6 et la connectivité sortante/entrante contrôlée.

Oublier la sécurité IPv6

Beaucoup laissent IPv6 activé sans règles adaptées. Un routeur compatible IPv6 doit appliquer une politique claire : filtrage entrant, autorisations explicites, et règles inter‑VLAN cohérentes.

Sous-estimer l’intérêt de séparer IoT et réseaux sensibles

Caméras, box piscine, prises, etc. doivent idéalement être cantonnés à un VLAN/SSID dédié, avec seulement les flux nécessaires (DNS, NTP, accès à un serveur domotique, éventuellement sorties Internet limitées).

Repères de décision rapides

• Vous voulez un seul appareil (routeur + Wi‑Fi), avec VLAN/SSID et options avancées : routeur OpenWRT sur modèle bien supporté.
• Vous voulez une appliance sécurité très lisible (règles, logs, multi‑VLAN, VPN), et le Wi‑Fi sera géré par des AP : routeur pfSense.
• Dans tous les cas, si votre FAI propose IPv6, validez la chaîne complète (DHCPv6-PD, RA, pare-feu) pour obtenir un routeur compatible IPv6 au sens opérationnel.

FAQ technique

pfSense peut-il remplacer totalement la box Internet ?

Il remplace souvent la fonction routeur/pare-feu, mais la box reste parfois nécessaire comme modem/ONT (selon FAI). Le mode bridge ou équivalent est généralement requis pour éviter le double NAT.

OpenWRT est-il adapté à un réseau avec plusieurs VLAN et SSID ?

Oui, à condition d’avoir un routeur correctement supporté et assez dimensionné (RAM/CPU). Les VLAN sur switch interne et SSID multiples sont courants.

Comment vérifier qu’un routeur est vraiment compatible IPv6 ?

Vérifiez la prise en charge de DHCPv6-PD, la configuration des Router Advertisements, et la présence de règles pare-feu IPv6. Testez ensuite sur votre ligne (préfixe délégué, connectivité, filtrage).

Peut-on isoler les équipements de piscine connectés sans couper l’accès à l’application ?

Oui : placez-les sur un VLAN/SSID IoT et autorisez seulement les flux nécessaires (DNS/NTP, accès Internet sortant, éventuellement accès vers un serveur domotique local). Évitez l’accès direct au réseau “PC”.

Faut-il absolument un switch manageable avec pfSense ?

Dès que vous voulez plusieurs réseaux (VLAN) sur les mêmes câbles, oui : un switch 802.1Q (et souvent des points d’accès compatibles VLAN) simplifie et fiabilise la segmentation.

Aller plus loin : choisir le bon routeur selon votre installation

Pour comparer l’ensemble des types de routeurs (Wi‑Fi intégré, routeur + points d’accès, multi‑WAN, compatibilité FAI, options de sécurité) et choisir selon votre réseau domestique, consultez notre guide complet : /routeur