pfsense CE 2.8.0 : Ce que vous devez savoir avant de cliquer sur “Mettre à jour”

Table des matières

Open Table des matières

Changements techniques importants
- Mise à jour des paquets intégrés
Sécurité et correctifs
Procédure de mise à jour
Retours de la communauté et recommandations
- Problèmes rencontrés post-mise à jour
- Conseils pratiques pour une adoption progressive
Ressources et documentation complémentaire
- Notes de version officielles
- Liens vers les documentations Netgate
Questions fréquemment posées (F.A.Q) :

Changements techniques importants

Mise à jour des paquets intégrés

La plupart des paquets intégrés ont été recompilés pour FreeBSD 15. Voici quelques-uns à noter :

OpenVPN 2.6.10
PHP 8.3
Unbound 1.22

Vous pouvez vérifier la version de vos paquets installés avec cette commande en SSH :

pkg info

echo ‘hw.ixl.allow_unsupported_sfp=1’ >> /boot/loader.conf

Sécurité et correctifs

Correctifs de vulnérabilités

Des dizaines de CVE ont été corrigés, notamment :

CVE-2024-3094 (liblzma/XZ backdoor)
CVE-2024-22855 (OpenVPN DoS)
CVE-2024-29149 (PHP FPM)

Vous pouvez consulter le détail dans la release note officielle.

Renforcement de la chaîne de sécurité système

L’intégration renforcée de la sandbox FreeBSD et le durcissement des permissions par défaut (notamment dans /usr/local/www) contribuent à une surface d’attaque réduite.

Autre ajout discret mais pertinent : les logs SSH et WebGUI sont désormais mieux filtrés dans le dashboard système.

Changements dans la gestion TLS/SSH

La version d’OpenSSH est passée à 9.6p1, avec la désactivation des algorithmes jugés faibles (DSA, CBC, etc.).

Si vous avez une politique d’authentification par clé, vérifiez vos algorithmes avec :

ssh -Q key

Diagnostics > Backup & Restore > Download configuration

Vérifiez aussi la présence de packages non compatibles (via System > Package Manager). pfBlockerNG et WireGuard sont OK, mais certains outils comme squidGuard nécessitent une réinstallation.

Compatibilité avec les paquets tiers (pfBlockerNG, WireGuard, etc.)

WireGuard est désormais intégré et fonctionne parfaitement en tandem avec pfSense CE 2.8. J’ai dû cependant réimporter les clés lors de la migration depuis 2.7.1.

pfBlockerNG fonctionne en version 3.2.4_4, mais attention à la mise à jour des feeds GeoIP : pensez à forcer un reload après upgrade.

Procédure de mise à jour

Prérequis et sauvegarde

Vérifiez que votre matériel est 64 bits
Désactivez temporairement les paquets tiers critiques (Snort, Suricata)
Sauvegardez la configuration via l’interface Web
Exportez vos certificats

Bonus : créez un snapshot ZFS si vous êtes déjà sur ce système.

Étapes recommandées

Accédez à System > Update > Update Settings
Sélectionnez “pfSense CE Upgrade Branch: Latest Stable Version (2.8.0)”
Lancez la mise à jour
Redémarrez manuellement si nécessaire

Scénarios spécifiques : Virtualisation, HA

En virtualisation (VMware, Proxmox), préférez une ISO clean install puis import config.xml
En HA, mettez à jour le secondary en premier, puis basculez les rôles

Retours de la communauté et recommandations

Problèmes rencontrés post-mise à jour

Certains utilisateurs signalent une perte de DNS Resolver ou des lenteurs en WebGUI. Souvent, un redémarrage ou un flush des paramètres Unbound règle le souci.

Conseils pratiques pour une adoption progressive

Testez d’abord sur un environnement de préproduction ou une VM
Laissez les mises à jour automatiques désactivées les premiers jours
Vérifiez l’état de vos interfaces virtuelles (notamment VLANs) après upgrade

Ressources et documentation complémentaire

Notes de version officielles

https://docs.netgate.com/pfsense/en/latest/releases/2-8-0.html

Liens vers les documentations Netgate

Documentation principale : https://docs.netgate.com/pfsense/en/latest
Forum de Netgate : https://forum.netgate.com

Questions fréquemment posées (F.A.Q) :

Quelles sont les nouveautés de pfSense 2.8 ?

Mise à jour de FreeBSD 14.0 (meilleur support matériel et sécurité).
Amélioration des performances réseau.
Nouvelles versions de OpenVPN, IPsec, et WireGuard.
Interface Web plus rapide et quelques corrections d’interface.
Corrections de bugs et améliorations de stabilité.

Comment mettre à jour pfSense vers la version 2.8 ?

Sauvegarder la config.
Aller dans System > Update.
Vérifier que la branche est bien « pfSense CE » ou « Plus » selon ta version.
Cliquer sur Update et laisser le système redémarrer.
Vérifier que tout fonctionne après redémarrage.

La mise à jour vers pfSense 2.8 est-elle stable ?

Oui, la 2.8 est stable pour un usage en production.
Elle a été largement testée et corrige plusieurs bugs des versions précédentes.
Mais comme toujours : tester en labo avant production, surtout avec des plugins ou configurations spécifiques.

Quels matériels sont compatibles avec pfSense 2.8 ?

Support natif de matériel moderne (Intel, AMD 64 bits) grâce à FreeBSD 14.
Compatible avec la plupart des cartes Intel NIC (i210, i350…).
Mieux vaut éviter les vieux chipsets Realtek ou Broadcom.
Vérifier le Hardware Compatibility List (HCL) si doute.

pfSense 2.8 est-il disponible pour pfSense Plus et CE ?

pfSense CE 2.8 est disponible gratuitement.
pfSense Plus 24.03 (équivalent à CE 2.8) est disponible pour les appliances Netgate.
Les deux partagent une base commune, mais pfSense Plus a des fonctionnalités exclusives Netgate.