Un réseau d’entreprise n’est pas un assemblage de câbles et de boîtiers : c’est un système vivant qui doit acheminer le trafic, le filtrer, le segmenter et le protéger sans jamais devenir un goulot d’étranglement ni une porte ouverte. Pourtant, dès qu’on dépasse la simple box du fournisseur d’accès, une question revient toujours : sur quel équipement bâtir cette infrastructure ? Quatre noms dominent les déploiements concrets en production — MikroTik, pfSense, OPNsense et FortiGate — et chacun incarne une philosophie différente du routage et de la sécurité. Cette page de référence vous donne la carte complète : les concepts qui sous-tendent ces plateformes, ce qui les distingue, et comment les mettre en œuvre brique par brique à travers une série de tutoriels pratiques.
L’objectif n’est pas de vous vendre une plateforme plutôt qu’une autre, mais de vous rendre capable de raisonner comme un architecte réseau : comprendre pourquoi un pare-feu à états change tout, ce qu’apporte réellement un VLAN, à quel moment un système de détection d’intrusion devient indispensable, et comment relier deux sites par un tunnel chiffré qui tient la charge. À la fin de ce parcours, vous saurez choisir, déployer et durcir un cœur de réseau professionnel avec l’outil le plus adapté à votre budget et à vos contraintes.
Ce que ce parcours vous permettra de faire
- Segmenter un réseau plat en VLAN isolés (voix, données, invités, serveurs) et appliquer un filtrage inter-VLAN cohérent.
- Construire une politique de pare-feu à états lisible et auditable, du « tout fermé par défaut » jusqu’aux règles métier.
- Détecter et bloquer les menaces réseau en temps réel avec un moteur IDS/IPS et des jeux de règles maintenus.
- Interconnecter deux sites ou des employés nomades via des tunnels VPN IPsec, WireGuard et OpenVPN, et savoir lequel choisir.
- Comparer objectivement MikroTik, pfSense, OPNsense et FortiGate sur la performance, le coût total, la courbe d’apprentissage et le support.
- Diagnostiquer les pannes courantes — règles qui ne matchent pas, NAT cassé, tunnel qui ne monte pas — avec une méthode reproductible.
Comment aborder cette série
Les tutoriels associés sont conçus pour être suivis dans un ordre logique, mais chacun reste autonome. Si vous débutez, commencez par la segmentation et le filtrage, qui constituent les fondations de tout le reste. Voici l’enchaînement recommandé, chaque étape construisant une brique réutilisable d’une infrastructure réelle.
- Poser les fondations avec MikroTik RouterOS : VLAN et pare-feu pas à pas — on segmente et on filtre.
- Déployer un pare-feu polyvalent avec Installer et configurer pfSense — l’alternative logicielle de référence.
- Ajouter la détection d’intrusion avec OPNsense et Suricata en IDS/IPS — on voit et on bloque les attaques.
- Relier deux sites avec FortiGate : VPN IPsec site à site — le standard de l’entreprise.
- Monter un tunnel moderne avec MikroTik et WireGuard — performance et simplicité.
- Donner l’accès aux nomades avec pfSense et OpenVPN en accès distant — le télétravail sécurisé.
Pourquoi le cœur de réseau est-il critique ?
Le routeur-pare-feu est le point de passage obligé de tout votre trafic. C’est lui qui décide ce qui entre, ce qui sort, et ce qui circule entre vos services internes. Une erreur de configuration à cet endroit ne dégrade pas un service isolé : elle expose l’organisation entière. À l’inverse, un cœur de réseau bien pensé absorbe la croissance, encaisse les pics de charge et contient les incidents au lieu de les propager.
Les chiffres le rappellent chaque année. Le rapport Data Breach Investigations Report de Verizon documente depuis plus de quinze ans que la majorité des compromissions exploitent des chemins réseau mal segmentés ou des accès distants insuffisamment protégés. Un attaquant qui prend pied sur un poste bureautique d’un réseau plat — sans VLAN ni filtrage interne — peut atteindre les serveurs en quelques mouvements latéraux. La même intrusion sur un réseau segmenté reste cantonnée à son segment d’origine. La segmentation et le contrôle des flux ne sont donc pas du luxe : ce sont les deux leviers les plus rentables de la sécurité réseau.
Le second enjeu est économique. Un appareil propriétaire haut de gamme coûte cher, mais un équipement sous-dimensionné ou mal maîtrisé coûte plus cher encore en interruptions de service. Comprendre ce que fait réellement chaque plateforme vous évite à la fois le sur-investissement et le piège de la « box qui plante un vendredi soir sans personne pour la dépanner ».
Les concepts fondamentaux
Le routage et le NAT
Le routage est la décision élémentaire d’un équipement réseau : « pour atteindre tel réseau de destination, j’envoie le paquet par telle interface vers tel prochain saut ». Une table de routage est une liste de ces décisions. Le NAT (Network Address Translation) vient se greffer dessus : il réécrit les adresses des paquets, typiquement pour faire sortir plusieurs machines privées derrière une seule adresse publique. Comprendre la différence entre une route et une règle NAT évite la majorité des erreurs de débutant, car un trafic peut être correctement routé mais bloqué par un NAT manquant, ou inversement.
Le pare-feu à états (stateful)
Un pare-feu primitif examine chaque paquet isolément. Un pare-feu à états, lui, tient une table des connexions actives : quand une machine interne ouvre une session vers l’extérieur, il mémorise cette connexion et autorise automatiquement les paquets de retour. C’est ce mécanisme qui rend possible une politique simple et sûre : on autorise explicitement le trafic sortant légitime, on refuse tout le reste en entrée, et le suivi d’état laisse passer les réponses. Les quatre plateformes de ce parcours sont des pare-feu à états — MikroTik via son module connection-tracking, pfSense et OPNsense via le moteur pf hérité de FreeBSD, FortiGate via son système de policies.
Les VLAN et la segmentation
Un VLAN (Virtual LAN, norme IEEE 802.1Q) permet de découper un même commutateur physique en plusieurs réseaux logiques étanches. Le trafic d’un VLAN ne voit pas celui d’un autre tant qu’un routeur ne l’autorise pas explicitement. C’est l’outil de base pour isoler la téléphonie de la bureautique, les invités du réseau interne, ou les serveurs sensibles du reste. La segmentation transforme une intrusion potentiellement catastrophique en incident circonscrit.
IDS et IPS
Un système de détection d’intrusion (IDS) analyse le trafic et lève une alerte quand il reconnaît une signature d’attaque. Un système de prévention d’intrusion (IPS) va plus loin : il bloque activement le paquet malveillant. Le moteur open source de référence ici est Suricata, intégré nativement dans pfSense et OPNsense. La distinction pratique est importante : un IDS observe sans risque de couper du trafic légitime ; un IPS protège mais demande un réglage soigneux pour éviter les faux positifs qui bloqueraient une application métier.
Les VPN : IPsec, WireGuard, OpenVPN
Un VPN crée un tunnel chiffré au-dessus d’Internet. Trois familles dominent. IPsec est le standard historique de l’interconnexion de sites, supporté par tous les équipements professionnels et idéal quand il faut dialoguer avec du matériel hétérogène. WireGuard est le venu récent : code minimal, cryptographie moderne, performances excellentes et configuration concise. OpenVPN reste le couteau suisse de l’accès distant individuel, très souple sur les pare-feu restrictifs car il sait s’encapsuler dans du TCP 443. Savoir lequel déployer selon le besoin est une compétence à part entière, couverte par trois tutoriels de cette série.
Les zones de sécurité
Plutôt que de raisonner interface par interface, les pare-feu modernes regroupent les interfaces en zones (LAN, WAN, DMZ, invités) et appliquent des politiques entre zones. Ce modèle, central chez FortiGate, rend les règles lisibles : « depuis la zone interne vers la DMZ, autoriser HTTPS » est plus clair que dix règles par adresse IP. C’est aussi la base de l’approche zero trust, où aucun flux n’est implicitement de confiance.
Panorama des quatre plateformes
MikroTik (RouterOS)
MikroTik est un fabricant letton dont le système RouterOS équipe des routeurs matériels très abordables ainsi qu’une version logicielle (CHR) pour machines virtuelles. Sa force est le rapport fonctionnalités/prix : pour le coût d’une box grand public, on obtient routage avancé, VLAN, pare-feu à états, QoS, et tous les VPN modernes — IPsec, OpenVPN et WireGuard, ce dernier intégré nativement depuis RouterOS 7. La version stable courante est RouterOS 7.21.4 (avril 2026). En contrepartie, RouterOS a la réputation d’une courbe d’apprentissage abrupte : tout passe par une logique de commandes cohérente mais dense, accessible en interface graphique WinBox, en WebFig ou en CLI. C’est l’outil de prédilection pour qui veut maîtriser finement son réseau sans exploser son budget.
pfSense (Community Edition)
pfSense est une distribution pare-feu open source bâtie sur FreeBSD, éditée par Netgate. Sa version communautaire gratuite (pfSense CE 2.8.1 au moment d’écrire) s’installe sur un PC, un mini-ordinateur ou une machine virtuelle et transforme n’importe quel matériel x86 en pare-feu professionnel. Son interface web claire, sa documentation abondante et son catalogue de paquets (Suricata, Snort, HAProxy, pfBlockerNG) en font un excellent point d’entrée pour qui vient du monde Windows ou Linux. C’est la plateforme idéale pour apprendre les concepts pare-feu sans matériel propriétaire.
OPNsense
OPNsense est un fork de pfSense lancé en 2015, également basé sur FreeBSD, développé aux Pays-Bas par Deciso. Il partage les mêmes fondations techniques mais s’en distingue par une interface remaniée, un rythme de publication soutenu — deux versions majeures par an, en janvier et juillet — et une API REST plus complète, précieuse pour l’automatisation. La série courante est OPNsense 26.1 « Witty Woodpecker », qui embarque Suricata 8 avec un mode d’inspection en ligne reposant sur le mécanisme divert. Pour beaucoup d’équipes, OPNsense et pfSense sont interchangeables ; le choix se joue sur les préférences d’interface et la politique de mises à jour.
FortiGate (FortiOS)
FortiGate est la gamme d’appliances de sécurité de l’éditeur Fortinet, pilotée par le système FortiOS (version 7.6.6 en 2026). À la différence des trois précédents, c’est une solution propriétaire commerciale, avec abonnements pour les signatures de menaces et le support. En échange, elle offre une accélération matérielle par circuits dédiés, une console d’administration mûre, une inspection applicative intégrée et un écosystème complet (gestion centralisée, journalisation, SD-WAN). C’est le choix typique des organisations qui veulent une garantie de support et une certification, et le matériel qu’on rencontre le plus souvent en environnement réglementé.
Les tutoriels de cette série
Chaque tutoriel ci-dessous construit une brique concrète et réutilisable d’une infrastructure réelle. Suivez-les dans l’ordre pour bâtir progressivement un cœur de réseau complet, ou piochez celui qui répond à votre besoin immédiat.
- MikroTik RouterOS : VLAN et pare-feu pas à pas — segmenter un réseau en VLAN étanches et écrire une politique de filtrage saine sur RouterOS 7.
- Installer et configurer pfSense comme pare-feu — de l’image d’installation aux premières règles, sur du matériel banalisé.
- OPNsense : détection et prévention d’intrusion avec Suricata — activer l’IDS, passer en IPS, charger les bons jeux de règles.
- FortiGate : VPN IPsec site à site — relier deux agences par un tunnel chiffré avec l’assistant FortiOS.
- MikroTik : VPN WireGuard site à site — interconnecter deux routeurs avec le protocole le plus rapide et le plus simple.
- pfSense : accès distant sécurisé avec OpenVPN — donner aux employés nomades un accès chiffré au réseau interne.
Choisir sa plateforme
La bonne plateforme dépend de trois variables : votre budget, vos compétences disponibles et vos exigences de support. Le tableau suivant synthétise les arbitrages réels rencontrés en production.
| Critère | MikroTik | pfSense / OPNsense | FortiGate |
|---|---|---|---|
| Modèle | Matériel + RouterOS | Logiciel open source | Appliance propriétaire |
| Coût d’entrée | Très bas | Gratuit (matériel libre) | Élevé + abonnements |
| Courbe d’apprentissage | Raide | Modérée | Modérée (console guidée) |
| IDS/IPS intégré | Basique | Suricata complet | Moteur natif accéléré |
| VPN modernes | IPsec, OpenVPN, WireGuard | IPsec, OpenVPN, WireGuard | IPsec, SSL-VPN |
| Support commercial | Communauté + revendeurs | Optionnel (Netgate/Deciso) | Inclus avec licence |
| Idéal pour | Réseaux maîtrisés à petit budget | Apprentissage et PME flexibles | Environnements réglementés |
En pratique, beaucoup d’infrastructures mélangent ces mondes : un FortiGate en passerelle principale, des MikroTik en agences distantes, et un pfSense de laboratoire pour tester les règles avant la production. Apprendre les quatre, c’est se donner la liberté de concevoir l’architecture la plus pertinente plutôt que de subir celle qu’on connaît.
Dimensionner, fiabiliser et maintenir
Choisir une plateforme ne suffit pas : encore faut-il la dimensionner correctement et la faire vivre. Le premier réflexe est d’estimer le débit réel à traiter. Un pare-feu à états annonce souvent un débit théorique en gros paquets, mais l’inspection profonde — IDS/IPS, filtrage applicatif — divise ce chiffre par un facteur important. Un équipement qui route dix gigabits en clair peut plafonner bien plus bas dès qu’on active Suricata sur tout le trafic. La règle pratique : mesurer son trafic de pointe, prévoir une marge confortable, et tester l’IPS sous charge avant de l’imposer en production. Sur les plateformes logicielles, le processeur et la mémoire vive sont les facteurs limitants ; sur FortiGate, ce sont les circuits d’accélération dédiés qui font la différence.
La fiabilité passe ensuite par la redondance. Aucun cœur de réseau sérieux ne devrait reposer sur un boîtier unique sans plan de reprise. Les quatre plateformes savent fonctionner en haute disponibilité : un second équipement reprend automatiquement le trafic si le premier tombe. pfSense et OPNsense utilisent le protocole CARP, FortiGate son mécanisme FGCP, et MikroTik le protocole VRRP. Même sans budget pour une paire redondante, le minimum vital est une sauvegarde de configuration testée : exporter régulièrement la configuration, la stocker hors de l’équipement, et vérifier qu’on sait la restaurer sur un matériel neuf. Une restauration jamais testée n’est pas une sauvegarde.
Enfin, la maintenance dans la durée fait la différence entre une infrastructure sûre et une bombe à retardement. Les correctifs de sécurité sortent régulièrement chez les quatre éditeurs — RouterOS, pfSense, OPNsense et FortiOS publient tous des mises à jour qui colmatent des failles activement exploitées. Appliquer ces correctifs dans une fenêtre planifiée, après avoir lu les notes de version, est une discipline non négociable. Un équipement de sécurité qui n’est jamais mis à jour devient le maillon faible qu’il était censé protéger.
Voir ce qui se passe : journalisation et supervision
On ne sécurise bien que ce qu’on observe. Un cœur de réseau muet, dont personne ne lit les journaux, laisse passer les signaux faibles d’une attaque ou d’une dérive de configuration. Les quatre plateformes produisent des journaux détaillés : connexions acceptées et refusées, alertes IDS/IPS, état des tunnels VPN, montées et chutes d’interfaces. Le minimum est d’activer la journalisation des règles importantes — notamment les refus en bordure — et de la consulter régulièrement. L’étape suivante consiste à exporter ces journaux vers un collecteur centralisé via le protocole syslog, afin de les conserver, de les corréler entre plusieurs équipements et d’y poser des alertes automatiques.
Cette observabilité rejoint un principe plus large : un incident détecté en quelques minutes coûte infiniment moins cher qu’une compromission découverte après des semaines. Coupler le filtrage à une vraie chaîne de supervision — métriques de débit, alertes sur les pics anormaux, tableau de bord des tunnels VPN — transforme un pare-feu passif en système de défense actif. C’est précisément l’état d’esprit que cette série cherche à transmettre : ne pas se contenter de « ça marche », mais savoir prouver à tout instant que le réseau se comporte comme prévu.
Erreurs fréquentes à éviter
| Erreur | Cause | Solution |
|---|---|---|
| Règle de pare-feu qui ne s’applique jamais | Ordre des règles : une règle plus haute capture déjà le trafic | Lire les règles de haut en bas comme le moteur ; déplacer la règle spécifique au-dessus de la générale |
| Trafic routé mais bloqué | NAT sortant manquant ou interface mal associée | Vérifier la table NAT séparément de la table de routage |
| VLAN sans communication | Port non taggé côté commutateur ou interface VLAN absente sur le routeur | Confirmer le tag 802.1Q de bout en bout, port trunk inclus |
| IPS qui casse une application | Jeu de règles en mode blocage sans phase d’observation | Démarrer en IDS, observer les alertes, basculer en IPS règle par règle |
| Tunnel VPN qui ne monte pas | Phase 1/2 désaccordées, horloges décalées, port UDP filtré en amont | Comparer les paramètres des deux extrémités ligne à ligne, vérifier le pare-feu en amont |
| Verrouillage hors de l’équipement | Règle « deny » placée avant la règle d’administration | Toujours garder une règle d’accès management explicite et tester depuis une seconde session |
Questions fréquentes
pfSense ou OPNsense : lequel choisir ?
Les deux partagent les mêmes fondations FreeBSD et le moteur de pare-feu pf. OPNsense publie plus fréquemment et offre une API plus riche ; pfSense bénéficie d’une communauté plus ancienne et d’une documentation très fournie. Pour apprendre, l’un comme l’autre conviennent. Le choix se fait surtout sur la préférence d’interface.
MikroTik est-il adapté à un usage professionnel sérieux ?
Oui. RouterOS équipe des fournisseurs d’accès et des entreprises dans le monde entier. Sa réputation de complexité tient à la richesse de ses options, pas à un manque de fiabilité. La condition est d’en maîtriser la logique de configuration et de soigner les mises à jour de sécurité.
Faut-il forcément un FortiGate pour être « en sécurité » ?
Non. Un pfSense ou un OPNsense bien configuré, avec Suricata en IPS et une politique stricte, offre un niveau de protection élevé. FortiGate apporte l’accélération matérielle, le support contractuel et la certification, qui sont des exigences réglementaires dans certains secteurs, pas une condition universelle de sécurité.
WireGuard remplace-t-il IPsec ?
Pour de nombreux usages, WireGuard est plus simple et plus rapide. Mais IPsec reste incontournable pour dialoguer avec des équipements tiers qui ne parlent pas WireGuard, et dans les contextes où une certification du protocole est exigée. Connaître les deux est la bonne posture.
Peut-on apprendre sans acheter de matériel ?
Absolument. pfSense, OPNsense et la version CHR de RouterOS s’installent dans des machines virtuelles gratuites. On construit un laboratoire complet — plusieurs routeurs, VLAN, tunnels VPN — sur un seul ordinateur, ce qui est la meilleure façon d’expérimenter sans risque.
Combien de temps pour devenir opérationnel ?
En suivant cette série dans l’ordre et en reproduisant chaque manipulation dans un laboratoire virtuel, comptez quelques semaines pour atteindre une autonomie réelle sur la segmentation, le filtrage et les VPN — les compétences les plus demandées en administration réseau.
Pour aller plus loin
Ce parcours se concentre sur les équipements de cœur de réseau. Pour replacer ces compétences dans une vision plus large de la sécurité, deux lectures complémentaires sont utiles : Sécurité réseau : pare-feu, IDS/IPS et segmentation aborde ces notions sous l’angle de la certification CompTIA Security+, et DHCP, DNS et NAT/PAT sur routeur Cisco couvre les services réseau fondamentaux du point de vue CCNA.
Côté documentation officielle, gardez sous la main les références de chaque éditeur : la base de connaissances MikroTik (help.mikrotik.com), la documentation Netgate pour pfSense (docs.netgate.com), la documentation OPNsense (docs.opnsense.org) et la bibliothèque Fortinet (docs.fortinet.com). Ce sont les seules sources fiables pour les versions, les syntaxes et les correctifs de sécurité.
La meilleure façon de progresser reste la pratique. Choisissez le premier tutoriel, montez un laboratoire virtuel, et construisez votre cœur de réseau brique par brique. Chaque manipulation reproduite vaut dix pages lues.
Mots-clés : réseau d’entreprise, MikroTik RouterOS, pfSense, OPNsense, FortiGate, pare-feu à états, VLAN, Suricata IDS IPS, VPN IPsec WireGuard OpenVPN.