Test Netgate 2100 PfSense+ : le petit firewall sérieux pour maison et télétravail

J’ai pris ce Netgate 2100 pour arrêter de bricoler des routeurs maison avec de vieux PC et pour avoir enfin un truc propre entre ma box fibre et mon réseau. Je l’ai utilisé un peu plus de deux semaines à la maison, avec télétravail, quelques VM, du streaming et un peu de jeu en ligne. L’idée, c’était d’avoir un vrai firewall/VPN, pas juste le routeur basique fourni par l’opérateur. Clairement, c’est un produit qui vise ceux qui veulent mettre les mains dans la config réseau, pas juste cliquer sur “suivant”.

Pour situer, avant ça j’avais un routeur grand public type Asus avec firmware un peu avancé, mais dès que je voulais faire des trucs un peu sérieux (VLAN, VPN site-à-site, règles firewall un peu fines), ça devenait vite limité ou bancal. Avec le Netgate 2100, on est sur pfSense+, donc la même logique que pfSense open source, mais packagée dans un petit boîtier plug-and-play. Ça change pas mal la donne niveau possibilités.

Par contre, il faut être honnête : ce n’est pas un jouet. On n’est pas sur une interface simplifiée façon appli mobile. Il faut comprendre un minimum ce qu’on fait : IP, routes, NAT, VLAN, VPN… Si vous n’avez jamais touché à ça, vous allez passer du temps sur les tutos. Moi je connaissais déjà pfSense, donc la prise en main a été assez rapide, mais j’ai quand même dû ajuster mon plan d’adressage et refaire proprement mes règles.

Globalement, après quelques jours, je peux dire que le Netgate 2100 fait clairement le job comme routeur principal et firewall. Ce n’est pas parfait, il y a des limites matérielles et quelques petits détails agaçants, mais pour un usage maison/télétravail/petite boîte avec moins de 1 Gbit de trafic soutenu, ça tient bien la route. Si vous cherchez un truc simple “je branche et j’oublie”, passez votre chemin. Si vous aimez savoir exactement ce qui sort et entre sur votre réseau, là ça commence à devenir intéressant.

Sur le rapport qualité-prix, il faut être clair : le Netgate 2100 coûte plus cher qu’un routeur grand public moyen, mais moins cher qu’un gros firewall pro type rackable. Pour quelqu’un qui veut juste du Wi-Fi partout et qui ne touchera jamais à la config, ça n’a aucun intérêt. Par contre, si vous cherchez un vrai contrôle sur votre réseau, avec un firewall sérieux et un VPN fiable, le tarif devient plus logique.

Ce que j’apprécie, c’est qu’une fois le boîtier acheté, vous n’avez pas de licence mensuelle obligatoire pour avoir les fonctions de base. pfSense+ est complet dès le départ : firewall avancé, VPN, VLAN, portail captif, etc. En gros, vous payez le hardware et un environnement logiciel bien intégré, mais pas un abonnement pour chaque option. Comparé à certaines solutions pro où la moindre fonctionnalité se paye en plus, c’est plutôt correct.

Après, il ne faut pas se mentir : il y a des alternatives moins chères si vous êtes prêt à bricoler (un mini-PC + pfSense open source, par exemple). Mais là, l’avantage du Netgate 2100, c’est que tout est dimensionné et testé pour ça : conso réduite, format compact, support officiel. Pour quelqu’un qui veut un truc propre, stable et supporté, sans se prendre la tête à choisir le bon matériel compatible, ça se défend.

Donc pour résumer : si vous êtes un utilisateur avancé ou une petite boîte qui veut un firewall sérieux sans partir sur du matos d’entreprise hors de prix, le rapport qualité-prix est franchement pas mal. Si vous êtes un utilisateur lambda qui veut juste du Wi-Fi et quelques réglages basiques, vous allez surtout payer pour des options que vous n’utiliserez jamais. Dans ce cas-là, mieux vaut rester sur un bon routeur grand public ou un mesh Wi-Fi, et garder votre argent.

Niveau design, le Netgate 2100, c’est un petit boîtier compact, sobre, tout ce qu’il y a de plus classique pour du matos réseau. Ça tient sans souci sur un bureau, une étagère TV ou dans un petit meuble réseau. Il n’y a pas de ventilateur, donc c’est totalement silencieux, ce qui est très appréciable si tu le poses dans le salon ou dans un bureau où tu bosses toute la journée. Le boîtier chauffe un peu, mais rien d’inquiétant : tiède au toucher, même après plusieurs heures de charge.

Les 5 ports Ethernet sont à l’arrière, avec l’alimentation, et quelques LEDs en façade. Les LEDs sont assez visibles pour voir l’état des ports et du système, mais pas non plus façon sapin de Noël. Ça, j’ai bien aimé, parce que certains routeurs grand public t’illuminent une pièce entière la nuit. Là, ça reste discret. Par contre, pas de Wi-Fi intégré exploitable comme un routeur grand public, donc il faut accepter d’avoir un autre point d’accès Wi-Fi en plus si tu veux du sans-fil correct. Perso, j’ai mis un AP Ubiquiti derrière, et ça marche très bien.

Un truc un peu dommage, c’est qu’il n’y a pas de pieds caoutchouc super épais ou de système de fixation murale ultra pratique de base. Ça se pose, ça ne bouge pas trop, mais si tu veux un montage propre au mur ou dans un rack, il faudra prévoir un peu de bricolage ou des accessoires. Pour un produit qui vise aussi les petites boîtes, j’aurais aimé un système de fixation plus pensé dès le départ.

Globalement, le design fait sérieux et orienté pro, sans fioritures. Pas de boutons partout, juste ce qu’il faut. Ça ne va pas impressionner visuellement, mais ce n’est pas le but. L’important, c’est que ça soit compact, silencieux et qu’on puisse le caser facilement près de l’arrivée Internet. De ce côté-là, ça fait le job. Si vous cherchez un routeur « déco » avec antennes partout à montrer dans le salon, ce n’est clairement pas ce type de produit.

Niveau durabilité, on est sur un appareil qui est censé rester allumé 24/7, donc c’est un point important. Pendant mes deux semaines de test, je l’ai laissé tourner en continu, sans reboot programmé ni extinction. Le boîtier est resté stable, pas de plantage, pas de freeze de l’interface web. La température est restée raisonnable : le châssis est tiède, mais jamais brûlant, même quand je saturais un peu la connexion avec des copies de fichiers et du streaming en parallèle.

L’absence de ventilateur, c’est un plus pour la fiabilité : moins de pièces mobiles, moins de risque de panne mécanique, et pas de bruit. Ça donne vraiment l’impression d’un petit équipement pro qu’on oublie dans un coin du rack. La consommation électrique est faible (on est très loin d’un vieux PC recyclé en firewall), donc ça ne fera pas exploser la facture d’électricité, même allumé en permanence.

Pour les mises à jour, pfSense+ propose les updates de sécurité comme attendu. L’interface indique clairement quand une mise à jour est dispo, et le processus se fait via le web. J’en ai fait une pendant le test : ça a pris quelques minutes, reboot compris, et tout est reparti comme avant sans perdre la config. Il faut juste prévoir le créneau pour ne pas couper tout le monde au milieu d’une visio. On est loin des firmwares de routeurs grand public qui ne sont plus mis à jour au bout de deux ans.

Après, soyons honnêtes : niveau stockage, on est sur du 8 Go eMMC. Ça suffit largement pour pfSense et quelques paquets, mais ce n’est pas de l’ultra-haut de gamme. L’avantage, c’est que le stockage est extensible si vraiment vous en avez besoin, mais la plupart des gens ne satureront jamais les 8 Go. À voir sur le très long terme comment l’eMMC vieillit, mais pour un usage normal de firewall, ça ne devrait pas être un souci. Dans l’ensemble, ça donne confiance pour un usage sur plusieurs années, surtout comparé à un routeur plastique basique.

Sur la partie performances, j’ai testé le Netgate 2100 sur une connexion fibre 1 Gbit/s. En mode simple (NAT + firewall basique, sans VPN ni IDS/IPS), j’atteins sans problème les débits attendus : autour de 900-950 Mbit/s en download et upload avec iperf et des speedtests classiques. La latence reste très basse, et surtout, même en charge avec plusieurs appareils en streaming + téléchargements, je n’ai pas vu le CPU partir en orbite. Le double cœur ARM s’en sort correctement pour ce type d’usage.

Là où ça devient plus intéressant, c’est quand on commence à activer des fonctions plus lourdes. Avec un VPN OpenVPN serveur pour un seul utilisateur en télétravail, j’étais autour de 150-250 Mbit/s selon le chiffrement, ce qui est largement suffisant pour de la bureautique à distance et même pour du transfert de fichiers correct. En IPsec, on peut monter un peu plus. Ce n’est pas une machine taillée pour faire du VPN à 1 Gbit/s pour 50 personnes en parallèle, il ne faut pas rêver, mais pour quelques connexions simultanées, ça passe bien.

J’ai aussi testé un peu pfBlockerNG pour filtrer pubs et certains domaines, plus quelques règles de firewall assez fines. Là encore, pas de chute de perf flagrante sur mon usage. Par contre, si on commence à ajouter un IDS/IPS type Suricata avec toutes les règles en mode inspection profonde, là oui, on sent que le CPU est plus sollicité et que les débits peuvent baisser. Ce n’est pas vraiment une surprise compte tenu du hardware. Pour un vrai usage IDS/IPS à fond sur du 1 Gbit, il faut viser au-dessus dans la gamme.

En pratique, pour une maison ou une petite structure avec 5-20 utilisateurs et une connexion jusqu’à 1 Gbit/s, le Netgate 2100 tient bien. Les débits sont stables, pas de micro-coupures, pas de redémarrages à cause de la chauffe. Comparé à mon ancien routeur grand public, j’ai surtout gagné en stabilité sous forte charge et en contrôle sur les flux. Le point à garder en tête, c’est que ce n’est pas une bête de course pour tous les services activés en même temps, mais un bon compromis perf/consommation/encombrement.

Le Netgate 2100, c’est en gros un petit boîtier dédié à pfSense+ avec un CPU ARM double cœur, 4 Go de RAM et 8 Go d’eMMC. Sur le papier, ça ne fait pas rêver par rapport à un PC, mais pour un firewall ça suffit largement pour de l’Internet à 1 Gbit/s sans trop d’options gourmandes. Il y a 5 ports Ethernet « flexibles » : en pratique, tu peux t’en servir pour WAN, LAN, VLAN séparés, DMZ, etc. Moi j’ai mis : 1 WAN, 2 LAN différents (un pour le réseau principal, un pour les objets connectés) et il me reste encore de la marge.

Le gros point fort, c’est le logiciel pfSense+. On retrouve les classiques : firewall très détaillé, NAT, VPN (OpenVPN, IPsec, WireGuard via paquet), DHCP, DNS Resolver, portail captif, etc. Et surtout, on peut installer des paquets en plus (pfBlockerNG, Snort/Suricata, etc.). Concrètement, en quelques heures j’ai réussi à :

• Isoler mes objets IoT sur un VLAN à part
• Monter un VPN pour accéder à mon réseau depuis l’extérieur
• Mettre en place des règles pour couper certains services la nuit
• Remplacer totalement le routeur de ma box (qui est maintenant en simple mode bridge)

Ce qui m’a plu, c’est qu’il n’y a pas de « paywall » caché : une fois le boîtier acheté, tu as pfSense+ avec les fonctionnalités complètes, pas besoin de rajouter des licences pour chaque truc basique. Après, il faut quand même y passer du temps, c’est pas un truc qu’on configure en 10 minutes si on veut un réseau propre. Mais une fois que c’est en place, ça tourne tout seul. En deux semaines, aucun reboot forcé, pas de plantage, juste quelques ajustements de règles parce que j’avais été un peu trop strict au début.

En résumé, niveau fonctionnalités, c’est très complet pour un usage maison/PME. Le boîtier n’est pas fait pour gérer 500 utilisateurs avec IDS/IPS à fond, mais pour un foyer avec plusieurs personnes en télétravail et du trafic assez soutenu, ça se tient. Le seul vrai prérequis, c’est d’accepter la courbe d’apprentissage de pfSense et d’aimer un minimum la config réseau. Sinon, ça risque de finir en presse-papier cher.

Sur l’efficacité pure en tant que firewall/VPN, c’est clairement le gros point fort du Netgate 2100, mais encore une fois, ça dépend beaucoup de la personne derrière le clavier. Le moteur de règles de pfSense est très complet : on peut filtrer par IP, port, interface, VLAN, programme des horaires, etc. Concrètement, j’ai pu :

• Bloquer complètement l’accès Internet de certains appareils la nuit
• Empêcher mes appareils IoT de parler directement à mon réseau principal
• Limiter certains services à des plages horaires (console de jeu, par exemple)
• Forcer certains flux à passer par un VPN sortant

Tout ça, c’est faisable avec une interface graphique, pas besoin de ligne de commande, mais il faut réfléchir à sa politique de sécurité. Une fois les règles en place, ça fonctionne bien, et je n’ai pas eu de comportements bizarres. Les logs sont assez détaillés pour comprendre pourquoi un trafic est bloqué, ce qui aide quand on se tire une balle dans le pied avec une règle un peu trop agressive.

Côté VPN, j’ai mis en place un serveur OpenVPN pour accéder à mon réseau à distance. La config demande un peu de patience (certificats, utilisateurs, profils clients), mais une fois que c’est fait, ça marche de manière fiable. Connexion stable, pas de coupures toutes les 5 minutes. J’ai aussi testé un tunnel site-à-site avec un autre routeur pfSense : après la phase de mise en place, ça tourne en continu sans que j’aie besoin d’y toucher.

Ce que j’apprécie, c’est la flexibilité : on peut vraiment adapter le comportement du réseau à ses besoins, que ce soit pour le télétravail, l’accès distant, ou simplement cloisonner un peu les usages à la maison. Par contre, ce n’est pas magique : si vous ne savez pas ce qu’est une règle d’état, un NAT ou une interface virtuelle, il va falloir apprendre. Le boîtier en lui-même est capable, mais l’efficacité dépendra beaucoup du temps que vous êtes prêt à investir dans la configuration.