Seral - Part. 1b - Routeur OPNsense 25 GBPS

Cet article explique comment monter et configurer son propre routeur sous OPNsense, pour une connexion fibre à 25 Gbps.

⚠️ Sans GPON: si votre opérateur l’exige, ce setup ne sera tout simplement pas compatible.

Choix du matériel

Connexion à la fibre

Mon opérateur (Init7) ne nécessite pas de GPON. On branche directement une carte réseau fibre, et hop, Internet. Ils font du P2P avec fibre dédiée.
Résultat: pas de box imposée, une connexion super stable et rapide… et surtout des économies (pas besoin de GPON). Enfin… bref attendez de voir le coût final quand même

Le routeur

Bon, maintenant, oublions toute notion d’économie. Si vous êtes ici, c’est probablement parce que vous aimez payer très cher pour un truc totalement inutile, juste pour pouvoir dire que vous avez du 25 Gbps à la maison. Spoiler: à moins d’avoir un serveur et un vrai besoin, ça ne servira à rien.

Le 25 Gbps, ça chauffe. Fort.
On oublie le RJ45: fibre obligatoire, ou alors 10 Gbps max. Cette config fonctionne aussi pour du 10 Gbps, mais dans ce cas-là… autant partir sur un Lenovo m720q, une carte Mellanox et un switch fibre en entrée. Beaucoup plus rationnel…

Mais puisque vous êtes encore là, sortez la CB.

Objectif:

• un serveur compact,
• silencieux,
• et avec un WAF (Wife Approval Factor) acceptable.

Pour le boîtier, le Fractal Node 304 est parfait: petit, propre, discret.

Côté refroidissement, on ne plaisante pas avec le bruit:

• 2x Noctua NF-A9 PWM
• 1x Noctua NF-A14 PWM

Pour la carte mère, il faut du Mini-ITX avec un port PCIe, par exemple la
ASRock Phantom Gaming-ITX/ax.

Côté CPU, on veut assez de puissance pour éventuellement faire tourner un IDS léger (eh on se calme dans le fond, pas à 25 Gbps hein)
Le Ryzen 7 5700G fait parfaitement le job.

Pour la RAM, 32 Go, histoire de dormir tranquille.
J’espère sincèrement que, quand vous lirez cet article, la RAM n’aura pas encore dépassé le prix de l’or. J’ai opté pour de la DDR4 3600 CL16, stable et performante: Kingston FURY Renegade 16 Go (x2).

Et comme tout ça consomme sévère, il faut une alimentation:

• puissante
• stable
• silencieuse

La Seasonic 650W ATX 3.1 80+ Gold coche toutes les cases.

⚠️ À noter:
Vous ne sortirez que du 2,5 Gbps via le port Ethernet intégré.
Pour plus:

• soit vous splittez le PCIe pour ajouter une carte réseau 10+ Gbps,
• soit vous utilisez un switch fibre managed ou une seconde carte Mellanox (ou vous achetez directement une version 4 ports).

Coûts

• Fractal node 304: 90€
• 2x NOCTUA NF-A9 PWM: 20€ x2
• NOCTUA NF-A14 PWM: 25€
• 2x Kingston FURY Renegade 16Go 3600 DDR4 CL16 DIMM: 116€
• Seasonic 650W ATX 3.1 80+ Gold: 110€
• AMD Ryzen 7 5700G: 175€
• ASROCK Phantom Gaming-ITX/ax: 190€
• SSD 1TB M.2: 110-200€ Total minimum: ~856 € (en 2025) (et encore, sans compter la cartes réseau fibre supplémentaire ou switch…)

Installer OPNsense

Il existe déjà une tonne de tutos pour installer OPNsense, inutile d’en rajouter un de plus.
Il vous faut simplement:

• un écran,
• un clavier,
• une clé USB.

Vous flashez l’ISO avec Rufus, vous démarrez dessus, et c’est parti. Quelques liens utiles quand même:

• Documentation officielle
• Site officiel OPNsense

Configurer les interfaces

LAN

Vous devriez voir trois interfaces:

• igc0 (Ethernet)
• mce0
• mce1

On commence par les assigner.
Dans le CLI, choisissez l’option 1:

• LAN → igc0
• WAN → mce0

Ensuite, option 2 pour configurer les IPs, et sélectionnez le LAN.

Répondez comme suit:

Configure IPv4 address LAN interface via DHCP: N
Enter the new LAN IPv4 address: 10.66.10.1
Enter the new LAN IPv4 subnet: 24
Configure IPv6 address LAN interface via WAN tracking: Y
Do you want to enable DHCP server on LAN: y
Enter the start address of the IPv4 client: 10.66.10.2
Enter the end address of the IPv4 client: 10.66.10.2
Do you want to change the web GUI protocol from HTTPS to HTTP: y
Do you want to generate a new self-signed web GUI certificate: y
Restore web GUI access defaults: y

Et voilà.
Le LAN est prêt, on peut dire adieu au CLI.

Branchez-vous en Ethernet au routeur, ouvrez votre navigateur et allez sur:

👉 http://10.66.10.1

Identifiants par défaut:

• utilisateur: root
• mot de passe: opnsense

Changez-le immédiatement. Vraiment.

WAN

Pour le WAN, rendez-vous dans Interfaces → [WAN] et configurez-le comme sur la capture.

Init7 fournit les IPv4 et IPv6 via DHCP, donc rien de compliqué.
On désactive évidemment les private et bogon networks, totalement inutiles ici. A noter que la configuration DHCPv6 sur la capture d’écran est pour l’offre Fiber7 de init7.

Selon votre ISP, vous pourriez devoir:

• créer un VLAN,
• changer la MAC,
• ajouter des options DHCP spécifiques.

Port optionnel

Vous vous souvenez du deuxième port fibre ?
Comme sur le m720q, on va créer un bridge pour le relier au LAN.

1. Allez dans Interfaces → Assignments
2. Puis Devices → Bridge
3. Créez un bridge avec igc0 et mce1
4. Retournez dans Assignments et assignez bridge0 au LAN

🎉 Félicitations, votre port fibre optionnel est opérationnel. Passons à la suite avec la configuration basique du firewall.