Si vous utilisez OPNsense sur du matériel dédié (Bare Metal), vous avez probablement remarqué que les débits ne sont pas toujours au rendez-vous dès l’installation. Entre les protections processeur contre Spectre/Meltdown et les réglages de cartes réseau capricieux, atteindre 1 Gbps (ou plus) sans instabilité demande un paramétrage fin.
Voici le guide complet pour booster votre débit tout en conservant une configuration stable, même avec des VLAN.
Libérer le CPU : Le dilemme Spectre et Meltdown
Les vulnérabilités Spectre et Meltdown sont corrigées au niveau du noyau (kernel), mais ces correctifs imposent une charge de calcul supplémentaire au processeur à chaque paquet traité. Sur un routeur dédié où vous contrôlez tout le code exécuté, le risque est minime.
La Solution : Désactiver les mitigations
Pour regagner jusqu’à 30% de puissance CPU, allez dans System -> Settings -> Tunables et ajoutez/modifiez :
hw.ibrs_disable = 1(Désactive les barrières IBRS pour Spectre)vm.pmap.pti = 0(Désactive l’isolement de la table des pages pour Meltdown)
Résultat : Le processeur respire, la latence diminue et le débit augmente.
Accélération matérielle et le piège des VLAN
Sur le papier, déléguer le travail réseau à la carte physique (Offloading) est une excellente idée. En pratique, cela peut briser votre réseau si vous utilisez des VLAN.
Pourquoi vos VLAN sautent-ils ? (Interface Mismatch)
C’est le problème majeur : lors d’un reboot ou d’un changement de paramètre, la carte réseau se réinitialise. Si OPNsense tente de monter les VLAN avant que la carte ne soit prête, l’association “Interface physique ↔ VLAN” échoue.
La configuration de stabilité maximale
Allez dans Interfaces -> Settings et appliquez ces réglages :
| Paramètre | État | Raison technique |
| Hardware CRC | Disabled (Coché) | Évite les erreurs de somme de contrôle sur les paquets tagués. |
| Hardware TSO | Disabled (Coché) | Empêche la fragmentation erronée des segments TCP. |
| Hardware LRO | Disabled (Coché) | Évite la corruption des tags VLAN lors du regroupement de paquets. |
| VLAN Hardware Filtering | Disabled | Garantit que l’association VLAN reste fixe au reboot. |
Note : Le passage du filtrage VLAN en mode logiciel (Disabled) est la clé pour éviter que vos services ne tombent à chaque mise à jour.
Optimisation énergétique : Sortir le CPU du sommeil
Par défaut, OPNsense tente d’économiser de l’énergie (Power Savings), ce qui peut brider les performances lors de pics de trafic.
Activer PowerD
Allez dans System -> Settings -> Miscellaneous :
- Cochez Use PowerD.
- Réglez les modes (AC, Battery, Normal) sur Highperformance.
Ce réglage est instantané (pas besoin de reboot) et maintient votre processeur à sa fréquence maximale pour traiter chaque paquet sans délai.
Le “Fine-Tuning” final (Tunables avancés)
Pour les connexions fibre à haut débit, quelques ajustements dans System -> Settings -> Tunables feront la différence :
net.isr.dispatch = deferred: Répartit mieux la charge réseau sur tous les cœurs CPU.net.inet.tcp.soreceive_stream = 1: Optimise la réception des flux de données TCP massifs.net.link.vlan.mtag_pcp = 1: Assure une gestion rigoureuse des priorités (QoS) sur vos VLAN.
Conclusion : Stabilité avant tout
Le secret d’un OPNsense performant n’est pas de tout activer, mais de savoir ce qu’il faut laisser au logiciel. En désactivant les protections CPU et en forçant une gestion logicielle stable pour vos VLAN, vous obtenez un routeur capable d’encaisser 1 Gbps avec une fiabilité à toute épreuve.
L’astuce finale : Après avoir modifié vos réglages d’interface, allez toujours valider vos assignations dans Interfaces -> Assignments et cliquez sur Save avant de rebooter pour fixer la configuration.
Ajouter un commentaire