1. Résumé
OpenWrt est un système d'exploitation basé sur Linux conçu principalement pour les routeurs, les points d'accès, les passerelles résidentielles et autres périphériques réseau intégrés. Contrairement au micrologiciel de routeur d'un fournisseur classique, OpenWrt est conçu comme un système d'exploitation personnalisable avec un système de fichiers inscriptible, une gestion des packages, un accès en ligne de commande, une administration Web, un contrôle du pare-feu, une prise en charge VPN, une prise en charge VLAN, une gestion du trafic et une configuration de service étendue. Le projet OpenWrt le décrit comme un système d'exploitation Linux pour les appareils embarqués qui remplace le micrologiciel statique du fournisseur par un système de fichiers et une gestion des packages entièrement inscriptibles.
Au 21 juin 2026, la version stable actuelle de OpenWrt répertoriée par la page de téléchargement officielle est OpenWrt 25.12.4, publiée le 13 mai 2026. OpenWrt 25.12 a introduit un changement majeur dans la gestion des packages de opkg à apk, a ajouté l'intégration Attended Sysupgrade par défaut et prend en charge plus de 2 200 appareils. dans la série 25.12.
2. Qu'est-ce que OpenWrt
OpenWrt est mieux compris comme une distribution Linux axée sur le routeur plutôt que comme un simple firmware de routeur de remplacement. Il comprend un noyau Linux, des services réseau, des outils de pare-feu, des systèmes de configuration, un gestionnaire de packages et une administration Web facultative via LuCI. Son objectif est de permettre aux utilisateurs de contrôler les appareils qui sont normalement livrés avec un micrologiciel limité et contrôlé par le fournisseur.
Un micrologiciel de routeur grand public normal n'expose généralement qu'une interface Web limitée. OpenWrt expose le système d'exploitation sous-jacent. Les utilisateurs peuvent installer des packages, modifier la configuration du système, exécuter des services, créer des zones de pare-feu, créer des passerelles VPN, segmenter des réseaux, configurer des VLAN, surveiller le trafic et automatiser le comportement du routeur.
En termes pratiques, OpenWrt transforme le matériel compatible en un appareil réseau programmable.
3. Pourquoi OpenWrt existe
La plupart des fournisseurs de routeurs proposent un micrologiciel verrouillé, rarement mis à jour et limité aux fonctionnalités que le fournisseur a choisi d'exposer. OpenWrt adopte une approche différente:
| Micrologiciel du fournisseur | OpenWrt |
|---|---|
| Image principalement statique | Système inscriptible et géré par packages |
| Interface Web limitée | Interface utilisateur Web, SSH, scripts et fichiers de configuration |
| Fonctionnalités contrôlées par le fournisseur | Forfaits et services contrôlés par l'utilisateur |
| Cycle de vie des mises à jour souvent court | Versions maintenues par la communauté |
| Comportement spécifique à l'appareil | Modèle de configuration OpenWrt commun sur tous les appareils pris en charge |
Le README de OpenWrt explique que le projet libère les utilisateurs des applications et de la configuration sélectionnées par le fournisseur, permettant ainsi de personnaliser l'appareil via des packages.
4. Contexte de la version actuelle
La page de téléchargement officielle répertorie actuellement OpenWrt 25.12.4 comme dernière version stable. La série stable 25.12 a introduit plusieurs changements importants:
| Zone | Changement |
|---|---|
| Gestionnaire de paquets | Passé de opkg à apk |
| Mises à niveau | Application Sysupgrade LuCI assistée installée par défaut |
| Prise en charge des appareils | Plus de 2 200 appareils pris en charge dans la série 25.12 |
| Scripts | Scripts Wi-Fi réécrits en ucode |
| Modèle de mise à niveau | Meilleure prise en charge de la reconstruction des images du micrologiciel avec les packages installés |
OpenWrt 25.12 est passé du gestionnaire de packages opkg traditionnel à apk, l'Alpine Package Keeper. Les notes de version indiquent que apk est toujours maintenu tandis que le fork OpenWrt opkg n'est plus maintenu. La documentation du package OpenWrt indique que OpenWrt 25.12 et versions ultérieures utilisent apk, tandis que OpenWrt 24.10 et versions antérieures utilisent opkg.
5. Architecture de base du système d'exploitation
OpenWrt est construit à partir de plusieurs composants système coordonnés.
| Composant | Rôle |
|---|---|
| Noyau Linux | Pilotes matériels, pile réseau, hooks de pare-feu, routage, prise en charge sans fil |
| procd | Init et gestion des processus |
| ubus | Communication inter-processus et système RPC |
| netifd | Démon de gestion d'interface réseau |
| UCI | Système de configuration unifié |
| fw4 / firewall4 | Gestion du pare-feu à l'aide de nftables |
| dnsmasq | Services de transfert DNS et DHCP |
| odhcpd | Services de publicité DHCPv6 et routeur |
| LuCI | Interface d'administration basée sur le Web |
| apk / opkg | Gestion des packages, selon la version OpenWrt |
La documentation OpenWrt décrit procd comme le démon de gestion des processus du projet, utilisé pour la gestion des init et des démons. ubus est le système de communication interne utilisé par de nombreux services OpenWrt. netifd est le démon de configuration de l'interface réseau de OpenWrt.
6. Conception du système de fichiers
Le système de fichiers de OpenWrt est conçu pour le stockage flash intégré. La documentation officielle décrit OpenWrt comme utilisant SquashFS et JFFS2 combinés via OverlayFS.
Le modèle pratique est le suivant:
| Calque | Objectif |
|---|---|
| Base SquashFS en lecture seule | Stocke l'image compressée du micrologiciel |
| Superposition inscriptible | Stocke les modifications, les packages installés et la configuration |
| OverlayFS | Présente les deux couches comme un seul système de fichiers racine utilisable |
Cette conception donne au OpenWrt un avantage important en matière de récupération. Le micrologiciel de base reste en lecture seule, tandis que les modifications utilisateur sont en direct dans la superposition inscriptible. Une réinitialisation d'usine peut supprimer la superposition et ramener le système à l'état flashé d'origine.
Une limitation clé est l’espace de stockage. De nombreux routeurs disposent de petites puces flash. Installer trop de packages peut remplir la superposition. La prise en charge Attended Sysupgrade de OpenWrt 25.12 aide en permettant la reconstruction des images du micrologiciel avec les packages installés intégrés dans SquashFS, que les notes de version décrivent comme plus efficace en matière de stockage que de conserver ces packages dans un stockage superposé.
7. UCI: système de configuration de OpenWrt
OpenWrt utilise UCI, l'interface de configuration unifiée, pour centraliser la configuration du système. UCI stocke la configuration dans des fichiers texte lisibles, généralement sous:
/etc/config/
La documentation OpenWrt décrit UCI comme un petit utilitaire destiné à centraliser la configuration d'un périphérique exécutant OpenWrt. La documentation utilisateur indique que les fichiers de configuration UCI se composent de sections et d'options qui définissent les valeurs réelles.
Les fichiers UCI courants incluent:
| Fichier | Objectif |
|---|---|
| /etc/config/réseau | Interfaces, ponts, VLAN, adresses IP |
| /etc/config/sans fil | Radios Wi-Fi, SSID, cryptage |
| /etc/config/firewall | Zones, règles, renvois, NAT |
| /etc/config/dhcp | DHCP, DNS, baux statiques |
| /etc/config/système | Nom d'hôte, fuseau horaire, journalisation |
| /etc/config/m² | Paramètres de gestion intelligente des files d'attente |
Exemples de commandes UCI:
uci show network
uci show wireless
uci show firewall
uci set system.@system[0].hostname='openwrt-router'
uci commit system
UCI est important car il donne à OpenWrt une couche de configuration cohérente sur de nombreuses plates-formes matérielles. Les utilisateurs peuvent configurer les mêmes concepts sur différents routeurs sans connaître la structure du micrologiciel privé de chaque fournisseur.
8. Interface Web LuCI
LuCI est l'interface de configuration Web de OpenWrt. Le référentiel OpenWrt LuCI décrit LuCI comme « l'interface de configuration OpenWrt ».
LuCI fournit un accès basé sur un navigateur aux tâches administratives courantes, notamment:
- Interfaces réseau
- Paramètres sans fil
- Zones et règles du pare-feu
- DHCP et DNS
- Progiciels
- Journaux système
- Redémarrages et sauvegardes
- Mises à niveau du micrologiciel
- Pages de service facultatives, telles que SQM, VPN, blocage des publicités et statistiques
LuCI est utile pour la plupart des propriétaires de routeurs car il expose les principales fonctionnalités de OpenWrt sans nécessiter l'utilisation de la ligne de commande. Les utilisateurs avancés combinent encore souvent LuCI avec SSH, car tous les packages ou configurations de pointe ne disposent pas d'une interface graphique complète.
9. Gestion des colis
Le gestionnaire de packages de OpenWrt permet aux utilisateurs d'ajouter ou de supprimer des fonctionnalités après l'installation.
Pour OpenWrt 25.12 et versions ultérieures, utilisez apk:
apk update
apk add luci-app-sqm
apk add wireguard-tools
apk del package-name
Pour OpenWrt 24.10 et versions antérieures, utilisez opkg:
opkg update
opkg install luci-app-sqm
opkg remove package-name
La documentation du package OpenWrt indique que OpenWrt 25.12 et versions ultérieures utilisent apk, tandis que 24.10 et versions antérieures utilisent opkg. La documentation dédiée apk indique que apk est utilisé dans OpenWrt 25.12 et versions ultérieures.
La gestion des packages est l’une des fonctionnalités les plus puissantes de OpenWrt, mais elle doit être utilisée avec précaution. Les routeurs ont un flash et une RAM limités, et les packages liés au noyau doivent correspondre à la version en cours. Pour les mises à niveau majeures, le système Attended Sysupgrade de OpenWrt est généralement plus sûr que de traiter le routeur comme une machine de bureau Linux et de mettre à niveau aveuglément chaque package en place.
10. Modèle de réseautage
Le modèle de réseau de OpenWrt sépare les appareils, les interfaces, les ponts, les zones de pare-feu et les services.
Appareils
Un appareil est un objet réseau physique ou virtuel, tel que:
eth0
eth1
br-lan
wlan0
br-lan.10
Interfaces
Une interface définit comment OpenWrt utilise un appareil. Exemples:
lan
wan
guest
iot
vpn
Ponts
Un pont relie plusieurs ports ou réseaux sans fil en un seul réseau de couche 2. Une valeur par défaut courante est:
br-lan
VLAN
Les VLAN permettent à un réseau physique de transporter plusieurs réseaux logiques isolés. OpenWrt utilise DSA sur de nombreuses cibles modernes, et le mini-tutoriel officiel DSA couvre des exemples tels que les ports LAN pontés, plusieurs réseaux pontés et le marquage VLAN.
DHCP et DNS
OpenWrt utilise dnsmasq et odhcpd par défaut pour les fonctions liées à DNS, DHCP et DHCPv6. La documentation OpenWrt indique que dnsmasq et odhcpd servent DNS, DHCP et DHCPv6 par défaut.
11. Architecture du pare-feu
Les versions modernes de OpenWrt utilisent firewall4, également appelé fw4, avec nftables comme backend. La documentation du pare-feu OpenWrt indique que OpenWrt utilise firewall4 avec netfilter nftables. La documentation de configuration du pare-feu indique également que OpenWrt 22.03 et versions ultérieures sont livrés avec firewall4 par défaut.
Le pare-feu OpenWrt est généralement organisé en zones:
| Zone | Signification typique |
|---|---|
| réseau local | Réseau interne de confiance |
| blême | Réseau connecté à Internet |
| invité | Réseau d'invités isolés |
| iot | Réseau d'appareils intelligents segmenté |
| VPN | Interface du tunnel VPN |
Une conception typique de pare-feu de routeur permet aux clients LAN d'atteindre le WAN, bloque le trafic WAN vers LAN non sollicité et autorise uniquement des services entrants spécifiques si l'administrateur crée des règles.
La documentation de renforcement de la sécurité de OpenWrt indique que OpenWrt est sécurisé du côté WAN par défaut, car le trafic non sollicité n'est pas autorisé à travers le pare-feu.
12. Réseau sans fil
OpenWrt peut fonctionner comme point d'accès, client, répéteur, participant maillé ou routeur multi-SSID en fonction de la prise en charge du matériel et des pilotes.
Les concepts Wi-Fi importants incluent:
| Concept | Signification |
|---|---|
| Radio | Chipset Wi-Fi physique |
| SSID | Nom du réseau Wi-Fi de diffusion |
| Mode AP | Le routeur fournit un accès Wi-Fi |
| Mode client | Le routeur se connecte à un autre réseau Wi-Fi |
| WPA2/WPA3 | Modes de cryptage sans fil |
| Code pays | Domaine réglementaire contrôlant les canaux et la puissance de transmission |
| Plusieurs SSID | Réseaux sans fil séparés sur une seule radio |
| Wi-Fi invité | Réseau isolé pour clients non fiables |
La documentation OpenWrt indique que les appareils dotés de ports Ethernet ont la connexion sans fil désactivée par défaut pour des raisons de sécurité. La documentation de configuration sans fil indique également que, sur les appareils dotés de ports Ethernet, le sans fil est désactivé par défaut et LuCI écrit dans /etc/config/wireless lorsque les paramètres sans fil sont modifiés.
13. Modèle de sécurité
La force de sécurité de OpenWrt vient de la transparence, de la possibilité de correctifs rapides et du contrôle de l'administrateur. Cependant, cela donne également aux utilisateurs suffisamment de puissance pour mal configurer le routeur.
Base de référence recommandée:
1. Définissez un mot de passe root fort.
2. N'exposez pas LuCI ou SSH au WAN.
3. Conservez l'accès de gestion sur LAN ou VPN uniquement.
4. Utilisez WPA2/WPA3 avec un mot de passe Wi-Fi fort.
5. Désactivez les services inutilisés.
6. Gardez OpenWrt à jour.
7. Utilisez des zones de pare-feu pour la séparation des invités et de l'IoT.
8. Sauvegardez la configuration avant les modifications majeures.
9. Évitez d'installer des packages inutiles.
10. Utilisez des versions stables prises en charge, et non des images tierces aléatoires.
La posture par défaut du pare-feu WAN de OpenWrt bloque le trafic entrant non sollicité, mais les administrateurs peuvent affaiblir cette posture en ouvrant des services, en redirigeant des ports ou en autorisant la gestion depuis Internet.
14. Cas d'utilisation courants de OpenWrt
14.1 Remplacement du routeur domestique
OpenWrt peut remplacer le micrologiciel d'origine sur les routeurs pris en charge. Les raisons courantes incluent de meilleures mises à jour, des règles de pare-feu avancées, la prise en charge VPN, le contrôle DNS, le blocage des publicités, le Wi-Fi invité, les VLAN et la gestion du trafic.
14.2 Point d'accès
Un routeur exécutant OpenWrt peut être configuré comme un pur point d'accès en désactivant le comportement de routage/NAT et en reliant le Wi-Fi à un réseau local existant.
14.3 Segmentation des invités et de l'IoT
OpenWrt peut créer des réseaux séparés pour les invités, les téléviseurs intelligents, les caméras, les capteurs et autres appareils non fiables. Cela se fait généralement avec des interfaces supplémentaires, des zones de pare-feu, des étendues DHCP et parfois des VLAN.
14.4 Passerelle VPN
OpenWrt dispose d'une documentation officielle pour les configurations serveur/client WireGuard et les configurations serveur/client OpenVPN. Une passerelle VPN peut acheminer des appareils sélectionnés ou des réseaux entiers via un tunnel crypté.
14.5 Organisation du trafic et contrôle de la zone tampon
OpenWrt prend en charge SQM, ou Smart Queue Management. La documentation SQM le décrit comme un système intégré pour la planification par paquet/par flux, la gestion active des files d'attente, la mise en forme du trafic, la limitation du débit et la qualité de service. La documentation SQM explique également qu'elle est conçue pour gérer les files d'attente au niveau du lien goulot d'étranglement, généralement la connexion Internet.
14.6 Blocage des publicités au niveau du réseau
OpenWrt peut exécuter des packages de blocage des publicités basés sur DNS. La page du package OpenWrt pour adblock le décrit comme une solution permettant de bloquer les domaines publicitaires et abusifs via des services DNS tels que dnsmasq, non lié, nommé ou kresd.
14.7 Réseaux de laboratoires, de recherche et de petites entreprises
OpenWrt est utile pour les laboratoires car il expose les concepts réels de routage, de pare-feu, de VLAN, de VPN, de DNS, de DHCP et de sans fil dans un système compact. Il peut fonctionner sur des routeurs, du matériel x86 et certains ordinateurs monocarte, en fonction du support officiel.
15. Assistance matérielle
La prise en charge de OpenWrt est spécifique au matériel. Le modèle exact du routeur et la révision du matériel sont importants. Un nom de modèle seul ne suffit pas car les fournisseurs publient souvent plusieurs révisions matérielles sous le même nom de produit.
Le tableau officiel du matériel OpenWrt est le principal endroit pour vérifier la compatibilité. Il répertorie les appareils pris en charge et les détails du matériel. Les notes de version OpenWrt 25.12 indiquent que la série 25.12 prend en charge plus de 2 200 appareils.
Lors de la sélection du matériel, vérifiez:
| Exigence | Pourquoi c'est important |
|---|---|
| Cible prise en charge | OpenWrt doit prendre en charge le chipset/la plate-forme |
| Taille du flash | Détermine l'espace du micrologiciel et du package |
| Taille de la RAM | Affecte la stabilité et les services |
| Jeu de puces Wi-Fi | Détermine la prise en charge des fonctionnalités sans fil |
| Prise en charge du commutateur Ethernet | Affecte le comportement du VLAN et du port |
| Méthode de récupération | Important si le clignotement échoue |
| Révision du matériel | Différentes révisions peuvent nécessiter des images différentes |
16. OpenWrt contre pfSense, OPNsense, DD-WRT et micrologiciel du fournisseur
| Système | Meilleur ajustement |
|---|---|
| OpenWrt | Routeurs intégrés, points d'accès, réseau compact Linux, déploiements Wi-Fi lourds |
| pfSense | Appliances de pare-feu, systèmes x86, routage/pare-feu de style entreprise |
| OPNsense | Appliances pare-feu/routeur x86 avec interface utilisateur Web puissante |
| DD-WRT | Remplacement du micrologiciel du routeur avec des fonctionnalités avancées plus simples |
| Micrologiciel du fournisseur | Utilisateurs domestiques de base qui n'ont pas besoin de personnalisation |
OpenWrt s'exécute sur le matériel du routeur intégré tout en exposant les fonctionnalités réseau Linux telles que les règles de pare-feu, les VLAN, le contrôle Wi-Fi, les packages VPN, SQM et les outils DNS. pfSense et OPNsense conviennent généralement aux appareils de pare-feu x86 plus grands. Le firmware du fournisseur est plus simple, mais moins flexible.
17. Points forts
Les principaux atouts de OpenWrt sont:
- Contrôle total sur le comportement du routeur.
- Extension des fonctionnalités basées sur des packages.
- Forte flexibilité du pare-feu et du routage.
- Prise en charge des VLAN, des réseaux invités, des VPN, du SQM et du contrôle DNS.
- Modèle de configuration cohérent sur tous les appareils pris en charge.
- Modèle de développement open source.
- Écosystème actif d’appareils et de packages.
- Utile pour les réseaux domestiques et les laboratoires techniques.
Le projet OpenWrt positionne le système à la fois comme un remplacement de micrologiciel pour les utilisateurs et comme un cadre permettant aux développeurs de créer des applications sans créer un système de micrologiciel complet à partir de zéro.
18. Limites
OpenWrt n'est pas le bon choix pour chaque routeur ou utilisateur.
Limites importantes:
| Limitation | Explication |
|---|---|
| La compatibilité matérielle varie | Tous les routeurs ne sont pas pris en charge |
| Flash/RAM peut être limité | Les petits routeurs peuvent ne pas gérer beaucoup de packages |
| La prise en charge Wi-Fi dépend des pilotes | Certains chipsets fonctionnent mieux que d’autres |
| Une mauvaise configuration peut interrompre l'accès | Un mauvais pare-feu ou des paramètres réseau peuvent bloquer l'accès des utilisateurs |
| Les fonctionnalités du fournisseur peuvent ne pas être transférées | Certaines fonctionnalités du micrologiciel d'origine sont propriétaires |
| Les mises à niveau nécessitent des soins | Les sauts de version majeurs peuvent modifier le comportement du package ou de la configuration |
| Les versions tierces peuvent être risquées | Les images non officielles peuvent inclure des correctifs inconnus ou des packages obsolètes |
Pour la plupart des utilisateurs, les images stables officielles OpenWrt sont plus sûres que les instantanés ou les versions tierces aléatoires.
19. Pratiques opérationnelles recommandées
Utilisez les pratiques suivantes pour un fonctionnement stable du OpenWrt:
1. Utilisez les versions stables officielles.
2. Vérifiez la prise en charge de l'appareil avant d'acheter du matériel.
3. Conservez une sauvegarde de /etc/config.
4. Documentez l'IP du LAN, les VLAN, les zones de pare-feu et les paramètres Wi-Fi.
5. Installez uniquement les packages dont vous avez réellement besoin.
6. Évitez d'exposer la gestion du routeur à Internet.
7. Utilisez LuCI pour les tâches de routine et SSH pour les travaux avancés.
8. Utilisez la mise à niveau système assistée lorsque cela est possible.
9. Conservez une copie des instructions de récupération pour votre modèle exact.
10. Testez les modifications localement avant de vous y fier à distance.
OpenWrt 25.12 inclut l'intégration Attended Sysupgrade par défaut, permettant aux appareils de reconstruire les images du micrologiciel avec les packages installés et de préserver la configuration pendant les mises à niveau.
20. Conclusion
OpenWrt est un système d'exploitation Linux intégré complet pour les périphériques réseau. Sa valeur vient du remplacement du micrologiciel verrouillé du fournisseur par une plate-forme transparente, gérée par packages et configurable. Il permet aux propriétaires de routeurs de contrôler le pare-feu, le routage, le Wi-Fi, le DNS, le DHCP, les VPN, les VLAN, la gestion du trafic, la surveillance et l'automatisation.
Pour les utilisateurs basiques, OpenWrt peut être plus complexe que le firmware d'origine. Pour les utilisateurs techniques, les propriétaires de hubs, les constructeurs de laboratoires, les petits réseaux et les utilisateurs domestiques soucieux de leur confidentialité, il offre un niveau de contrôle qu'un micrologiciel de routeur ordinaire offre rarement. Les déploiements OpenWrt les plus sûrs utilisent du matériel pris en charge, des versions stables officielles, un minimum de packages nécessaires, une conception soignée du pare-feu et des sauvegardes régulières de la configuration.