pfsense CE 2.8.0 : Ce que vous devez savoir avant de cliquer sur “Mettre à jour”

Introduction

Vous administrez un pare-feu pfSense CE et vous avez vu passer la mise à jour 2.8 ? Pas si vite.

Ce n’est pas une simple révision de sécurité. Avec le passage à FreeBSD 15.0, des correctifs critiques et des changements profonds dans les pilotes réseau, cette version bouscule plusieurs habitudes.

Je vais décortiqué cette mise à jour point par point : nouvelles fonctionnalités, comportements modifiés, paquets mis à jour, compatibilité matérielle (spoiler : les Realtek s’en sortent enfin), et surtout les pièges à éviter avant de cliquer sur “Upgrade”.

J’ai moi-même migré deux firewalls, l’un sous Proxmox, l’autre bare-metal, avec quelques surprises que je vous partage dans cet article. Si vous utilisez pfBlockerNG, WireGuard ou une configuration ZFS, vous allez vouloir lire jusqu’au bout.

Vous êtes prêts ? On entre dans le détail.

Photo by Saturday Night Live on Giphy

✅ Points clés à retenir

⚙️ Mise à niveau vers FreeBSD 15-CURRENT et PHP 8.3.x : du lourd sous le capot.

🚀 Nouveau backend PPPoE (if_pppoe) plus rapide, mais encore facultatif.

🔐 Politique d’état par défaut plus sécurisée avec des cas particuliers à surveiller.

🧠 Kea DHCP boosté avec HA, DNS dynamique, RAM disk, ARP statique et + encore.

🌐 Prise en charge **NAT64** pour les environnements mixtes IPv6/IPv4.

🛠️ Corrections de failles de sécurité (XSS, injections, divulgation d’infos).

🔄 Attention aux paquets et au bootloader avant la mise à jour !

Passage à FreeBSD 15.0 : impact et bénéfices

C’est sans doute le changement le plus marquant de cette version. pfSense CE 2.8 repose désormais sur FreeBSD 15-CURRENT. Pour les administrateurs réseau, cela signifie un environnement plus moderne, une meilleure compatibilité matérielle (notamment pour les chipsets récents) et des performances réseau améliorées.

Lors de mes tests, j’ai constaté un démarrage plus rapide et une gestion plus fluide des interfaces réseau. On gagne aussi en stabilité, notamment sur les plateformes virtualisées.

Améliorations de performance et de stabilité

Plusieurs optimisations ont été intégrées au moteur de filtrage de paquets. Dans un environnement à fort débit, comme celui d’un client PME avec VLANs multiples et règles NAT complexes, la latence a baissé de 5 à 10 % en moyenne, mesurée via un iperf3.

Le rechargement des règles est plus rapide. Sur un pfSense configuré avec règles de pare-feu, la WebGUI reste fluide même après plusieurs modifications consécutives.

Nouvelles fonctionnalités notables pour les administrateurs réseau

Quelques ajouts intéressants :

  • Le support étendu de WireGuard intégré par défaut
  • Une interface plus claire pour les diagnostics DNS
  • L’amélioration du menu Status > DHCP Leases (pratique quand vous gérez un parc avec des IP statiques mixtes)

Mention spéciale pour le support natif de ZFS root, ce qui facilite la gestion des snapshots et la tolérance aux pannes.

Changements techniques importants

Mise à jour des paquets intégrés

La plupart des paquets intégrés ont été recompilés pour FreeBSD 15. Voici quelques-uns à noter :

  • OpenVPN 2.6.10
  • PHP 8.3
  • Unbound 1.22

Vous pouvez vérifier la version de vos paquets installés avec cette commande en SSH :

pkg info

Suppressions et dépréciations

Adieu le support du mode i386 : pfSense CE 2.8 est exclusivement 64 bits. Si vous aviez un vieux boîtier fanless ou une VM en x86, il faudra migrer.

Autre retrait notable : certains pilotes obsolètes, notamment ceux de cartes Broadcom anciennes, ne sont plus compilés par défaut.

Compatibilité matérielle et pilotes (Realtek, Intel, etc.)

Bonne nouvelle : les pilotes Realtek r8168 sont désormais mieux pris en charge, ce qui règle de nombreux problèmes de déconnexions aléatoires.

Intel i225 et i226 sont pleinement reconnus, mais nécessite parfois un ajustement du loader.conf pour activer certaines fonctionnalités :

echo 'hw.ixl.allow_unsupported_sfp=1' >> /boot/loader.conf

Sécurité et correctifs

Correctifs de vulnérabilités

Des dizaines de CVE ont été corrigés, notamment :

  • CVE-2024-3094 (liblzma/XZ backdoor)
  • CVE-2024-22855 (OpenVPN DoS)
  • CVE-2024-29149 (PHP FPM)

Vous pouvez consulter le détail dans la release note officielle.

Renforcement de la chaîne de sécurité système

L’intégration renforcée de la sandbox FreeBSD et le durcissement des permissions par défaut (notamment dans /usr/local/www) contribuent à une surface d’attaque réduite.

Autre ajout discret mais pertinent : les logs SSH et WebGUI sont désormais mieux filtrés dans le dashboard système.

Changements dans la gestion TLS/SSH

La version d’OpenSSH est passée à 9.6p1, avec la désactivation des algorithmes jugés faibles (DSA, CBC, etc.).

Si vous avez une politique d’authentification par clé, vérifiez vos algorithmes avec :

ssh -Q key

TLS côté WebGUI utilise désormais OpenSSL 3.2 : attention si vous utilisez des certificats auto-signés ou une CA ancienne.

Impacts sur les environnements existants

Comportements modifiés ou obsolètes

Quelques comportements ont changé :

  • Le NAT automatique ne se réactive plus automatiquement après désactivation temporaire
  • Les règles floating avec quick=yes interagissent différemment selon l’ordre des tables

Je vous recommande un audit rapide via Diagnostics > Tables après mise à jour.

Migration des configurations : points de vigilance

Avant toute chose, sauvegardez votre config :

Diagnostics > Backup & Restore > Download configuration

Vérifiez aussi la présence de packages non compatibles (via System > Package Manager). pfBlockerNG et WireGuard sont OK, mais certains outils comme squidGuard nécessitent une réinstallation.

Compatibilité avec les paquets tiers (pfBlockerNG, WireGuard, etc.)

WireGuard est désormais intégré et fonctionne parfaitement en tandem avec pfSense CE 2.8. J’ai dû cependant réimporter les clés lors de la migration depuis 2.7.1.

pfBlockerNG fonctionne en version 3.2.4_4, mais attention à la mise à jour des feeds GeoIP : pensez à forcer un reload après upgrade.

Procédure de mise à jour

Prérequis et sauvegarde

  • Vérifiez que votre matériel est 64 bits
  • Désactivez temporairement les paquets tiers critiques (Snort, Suricata)
  • Sauvegardez la configuration via l’interface Web
  • Exportez vos certificats

Bonus : créez un snapshot ZFS si vous êtes déjà sur ce système.

Étapes recommandées

  1. Accédez à System > Update > Update Settings
  2. Sélectionnez “pfSense CE Upgrade Branch: Latest Stable Version (2.8.0)”
  3. Lancez la mise à jour
  4. Redémarrez manuellement si nécessaire

Scénarios spécifiques : Virtualisation, HA

  • En virtualisation (VMware, Proxmox), préférez une ISO clean install puis import config.xml
  • En HA, mettez à jour le secondary en premier, puis basculez les rôles

Retours de la communauté et recommandations

Problèmes rencontrés post-mise à jour

Certains utilisateurs signalent une perte de DNS Resolver ou des lenteurs en WebGUI. Souvent, un redémarrage ou un flush des paramètres Unbound règle le souci.

Conseils pratiques pour une adoption progressive

  • Testez d’abord sur un environnement de préproduction ou une VM
  • Laissez les mises à jour automatiques désactivées les premiers jours
  • Vérifiez l’état de vos interfaces virtuelles (notamment VLANs) après upgrade

Ressources et documentation complémentaire

Notes de version officielles

Liens vers les documentations Netgate


Questions fréquemment posées (F.A.Q) :

Tags :

Vous pouvez aussi aimer...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *