7 min de lecture
Le TP-Link Omada ER8411 intègre deux ports SFP+ 10 GbE, huit ports Gigabit RJ45 et sept protocoles VPN dans un boîtier rackable 1U à environ 420 euros. Capable de gérer jusqu’à dix connexions WAN simultanées, 300 tunnels IPSec et un débit IPS proche de 5 Gbit/s, ce routeur s’impose comme une alternative sérieuse à Ubiquiti – offrant davantage de ports, une plus grande capacité VPN et un contrôleur SDN gratuit.
L’essentiel en bref
- Deux ports 10 GbE SFP+ (1 dédié WAN, 1 commutable WAN/LAN), un port 1 GbE SFP et huit ports 1 GbE RJ45, tous configurables en WAN ou LAN. Jusqu’à dix connexions WAN simultanées (fiche technique TP-Link v1.20).
- Sept protocoles VPN : IPSec, OpenVPN, WireGuard, L2TP, PPTP, SSL VPN et GRE. Prise en charge de 300 tunnels IPSec, 110 tunnels OpenVPN et 500 tunnels SSL VPN (fiche technique TP-Link v1.20).
- Débit NAT : 9 446 Mbit/s. Débit IPSec : 3 099 Mbit/s (SHA1-AES256). Débit IPS : 4 924 Mbit/s (fiche technique TP-Link v1.20).
- Le contrôleur Omada SDN est gratuit – disponible en tant que service cloud, logiciel local ou appliance dédiée. Aucun frais de licence ni d’abonnement.
- Prix : environ 420 euros (Geizhals.at, avril 2026). L’UDM Pro d’Ubiquiti coûte 379 dollars US, mais n’offre qu’un seul port 10GbE SFP+ et un maximum de deux connexions WAN.
Hardware : ce qu’il y a dans le boîtier 1U
L’ER8411 est un routeur pur – sans fonction de switch, de point d’accès ni d’enregistreur vidéo réseau (NVR). Il s’agit d’un choix délibéré : TP-Link sépare clairement les fonctions selon les catégories d’appareils au sein de son écosystème Omada. Celui qui souhaite un switch intégré devra opter pour un autre équipement Omada dédié. En revanche, celui qui recherche un routeur spécialisé offrant une flexibilité maximale au niveau des ports obtient exactement cela.
Détail de la connectique : deux ports SFP+ 10 GbE constituent l’épine dorsale pour les liaisons WAN en fibre optique ou pour la connexion montante vers un switch central compatible 10 GbE. Le premier port SFP+ est configuré en permanence comme WAN, tandis que le second peut être basculé entre WAN et LAN. Un port SFP 1 GbE supplémentaire ainsi que huit ports RJ45 1 GbE sont entièrement configurables – chacun pouvant fonctionner indépendamment en mode WAN ou LAN. Cela permet jusqu’à dix connexions WAN simultanées, idéales pour de l’équilibrage de charge (load balancing) ou de la reprise automatique (failover).
Deux ports USB 3.0 complètent l’équipement. L’un d’eux prend en charge une sauvegarde LTE via des clés USB compatibles – une fonctionnalité utile en pratique lorsque la liaison WAN principale tombe en panne et qu’une solution de secours mobile doit prendre le relais. Des alimentations redondantes (100-240 VAC) garantissent la continuité d’alimentation électrique. La consommation maximale atteint 26 watts – un niveau négligeable même en fonctionnement continu.
Le boîtier mesure 440 x 220 x 44 millimètres, respectant le format standard 1U pour baie. Pour les entreprises dotées d’une infrastructure réseau structurée, cela signifie que l’ER8411 s’intègre sans problème dans toute baie 19 pouces, aux côtés des switches et des panneaux de brassage.
VPN : 7 protocoles, 300 tunnels IPSec
L’équipement VPN est le domaine dans lequel l’ER8411 devance nettement la plupart de ses concurrents. Sept protocoles disponibles d’origine : IPSec, OpenVPN, WireGuard (à partir de la version firmware v1.1.0), L2TP, PPTP, SSL VPN et GRE. L’UDM Pro d’Ubiquiti n’en prend que trois en charge – IPSec, L2TP et OpenVPN. WireGuard est totalement absent chez Ubiquiti.
| Protocole VPN | Tunnels ER8411 | UDM Pro | Cas d’usage |
|---|---|---|---|
| IPSec | 300 | Oui (limite non précisée) | Site-to-site, VPN d’entreprise standard |
| WireGuard | Oui | Non | VPN d’accès distant rapide, environnement personnel (homelab) |
| OpenVPN | 110 | Oui | VPN client flexible, multiplateforme |
| SSL VPN | 500 | Non | Accès via navigateur sans installation de client |
| GRE | Oui | Non | Encapsulation de tunnel, systèmes hérités |
Pour de nombreuses équipes informatiques, WireGuard constitue un critère décisif. Ce protocole offre une latence nettement plus faible et un débit supérieur à ceux d’OpenVPN ou d’IPSec, tout en étant plus simple à configurer. Le fait qu’Ubiquiti ne prenne toujours pas en charge WireGuard représente, pour les équipes DevOps ayant besoin d’un accès distant, un déficit notable. L’ER8411 intègre quant à lui WireGuard dès sa sortie d’usine.
Cependant, la communauté TP-Link signale des bogues liés à WireGuard suite à certaines mises à jour du firmware (v1.20, v1.3.1), susceptibles d’entraîner des problèmes de relais de tunnel. Toute utilisation productive de WireGuard nécessite donc une validation préalable de la version du firmware dans un environnement de test avant déploiement.
Omada SDN : gestion cloud sans frais de licence
L’écosystème Omada est la réponse de TP-Link à UniFi d’Ubiquiti. La principale différence réside dans le fait qu’Omada propose trois options de contrôleur : un service cloud (hébergé par TP-Link, gratuit), un logiciel local (gratuit, exécutable sur un serveur personnel ou dans un conteneur Docker) et un contrôleur matériel dédié (OC300/OC200). Aucune de ces trois variantes n’implique de frais de licence ni d’abonnement.
Tous les équipements Omada – routeurs, commutateurs et points d’accès – sont gérés de manière centralisée via le contrôleur. Les configurations multisites, les mises à jour de micrologiciels et la supervision s’effectuent depuis un tableau de bord unique. Cette fonctionnalité est particulièrement utile pour les entreprises disposant de plusieurs sites : un administrateur peut piloter l’ensemble des implantations depuis une seule interface, sans avoir besoin d’être physiquement présent sur chaque site.
« Omada SDN représente pour les PME ce que UniFi est pour les laboratoires domestiques : une gestion centralisée de tous les équipements réseau, sans aucun coût de licence. Le fait que TP-Link propose gratuitement son contrôleur – en tant que service cloud, conteneur Docker ou appliance matérielle – supprime le principal obstacle à l’adoption du Software-Defined Networking. »
– Évaluation rédactionnelle de cloudmagazin
Les fonctionnalités SD-WAN sont également intégrées, mais uniquement en mode contrôleur. Elles ne sont pas disponibles en mode autonome. Les organisations nécessitant une connectivité multisite avec un routage basé sur les applications doivent donc utiliser le contrôleur – ce qui, compte tenu de l’option cloud gratuite, ne constitue pas une véritable limitation. Ce routage applicatif priorise automatiquement le trafic critique pour l’entreprise (VoIP, visioconférence) sur la liaison WAN la plus rapide disponible, une capacité particulièrement pertinente dans les architectures microservices distribuées soumises à des exigences temps réel.
Débit et sécurité : IPS, DPI, pare-feu
Selon la fiche technique, l’ER8411 atteint un débit NAT de 9 446 Mbit/s avec une IP statique – soit pratiquement le débit maximal (« line-rate ») sur une liaison 10 GbE. Plus pertinents en pratique sont les débits obtenus avec les fonctions de sécurité activées : 4 924 Mbit/s avec l’IPS (Intrusion Prevention System) et 5 524 Mbit/s avec le DPI (Deep Packet Inspection). Le débit IPSec s’établit à 3 099 Mbit/s avec SHA1-AES256.
Le pare-feu intégré propose l’inspection SPI (Stateful Packet Inspection), des règles ACL basées sur les adresses IP source/destination et les noms de domaine complets (FQDN), une protection contre les attaques DoS/DDoS, ainsi qu’un IDS/IPS fondé sur des signatures. Le moteur DPI reconnaît, selon TP-Link, 2 421 types d’applications. La sécurité DNS est complétée par le support de DNSSEC, DNS-over-HTTPS et DNS-over-TLS.
Pour les équipes IT ayant des exigences en matière de sécurité, il s’agit d’une base solide. Les signatures IPS sont mises à jour régulièrement, et les règles de pare-feu peuvent être configurées finement, port par port et VLAN par VLAN. Ce qui manque toutefois, c’est une intégration dédiée à l’intelligence des menaces (Threat Intelligence), telle que proposée par les pare-feux haut de gamme de Fortinet ou Palo Alto. L’ER8411 reste un routeur doté de bonnes fonctionnalités de sécurité, et non une véritable appliance Next-Gen Firewall.
ER8411 contre Ubiquiti : les chiffres en comparaison
La série Ubiquiti UDM Pro présente un avantage décisif : UniFi OS intègre routeur, gestion des switches, contrôleur Wi-Fi et, en option, un NVR dans une interface unique. Le modèle UDM SE (environ 499 dollars américains) inclut en plus un switch PoE 8 ports délivrant jusqu’à 180 watts. Pour ceux qui recherchent une solution tout-en-un combinant routage et commutation dans un même boîtier, Ubiquiti constitue le meilleur choix. Par ailleurs, la communauté UniFi est plus grande et plus active que celle d’Omada, ce qui facilite grandement le dépannage.
L’ER8411 l’emporte lorsque la scalabilité et la flexibilité sont prioritaires : dix ports WAN au lieu de deux, trois fois plus de protocoles VPN, un débit IPS supérieur de 40 % et un second port SFP+ 10 GbE. Pour les entreprises disposant de connexions multi-cloud via plusieurs fournisseurs d’accès internet (FAI), la fonctionnalité Multi-WAN à elle seule constitue un argument que Ubiquiti ne peut pas contrer.
Faiblesses connues
Aucun produit n’est sans défaut. ServeTheHome a documenté un phénomène de throttling du processeur sous charge extrême, avec un nombre maximal de connexions simultanées. TP-Link a nié qu’il s’agisse d’un problème thermique, sans toutefois fournir d’explication technique. Pour les charges de travail habituelles en entreprise, ce point est sans incidence – en revanche, ceux qui poussent le routeur à ses limites absolues devraient en tenir compte.
Plus préoccupante était une faille dans le pare-feu IPv6, restée non corrigée pendant environ un an après le lancement. Le trafic IPv6 n’était pas correctement filtré par le pare-feu – une vulnérabilité critique dans les environnements d’entreprise utilisant une configuration Dual-Stack. Ce problème a été résolu dans des versions ultérieures du micrologiciel, mais il illustre que la qualité des processus de vérification logicielle de TP-Link n’atteint pas le niveau de concurrents comme Ubiquiti ou Cisco.
Les administrateurs qui déploient l’ER8411 en production doivent garder trois points à l’esprit : premièrement, appliquer rapidement les mises à jour du micrologiciel et lire attentivement les notes de version ; deuxièmement, valider chaque nouvelle version dans un environnement de test avant déploiement, particulièrement si WireGuard ou SD-WAN sont utilisés ; troisièmement, vérifier explicitement les règles du pare-feu IPv6 après chaque mise à jour. L’ER8411 est un équipement performant, mais il ne s’agit pas d’un routeur « installer-et-oublier ».
Positionnement tarifaire
L’ER8411 coûte actuellement environ 420 euros (Geizhals.at, avril 2026). L’UDM Pro d’Ubiquiti est proposé à 379 dollars américains (environ 360 euros), et l’UDM SE à 499 dollars américains (environ 475 euros). En ajoutant au ER8411 un switch Omada à un prix compris entre 150 et 250 euros, on arrive à un ensemble comparable à l’UDM SE, pour un coût total de 600 à 670 euros – mais avec davantage de ports WAN, une capacité VPN supérieure et des équipements séparés, interchangeables indépendamment les uns des autres.
Pour les équipes plateforme chargées d’interconnecter plusieurs sites, l’avantage économique devient encore plus marqué : le contrôleur Omada est gratuit, tout comme le contrôleur UniFi. Toutefois, l’ER8411 prend en charge dix liens WAN par appareil, tandis qu’Ubiquiti limite ses équipements UDM à deux ports WAN chacun. Ainsi, un déploiement nécessitant cinq liaisons ISP pour la redondance et l’équilibrage de charge exige plusieurs appareils chez Ubiquiti, alors qu’un seul suffit chez TP-Link.
Pour qui l’ER8411 est-il pertinent – et pour qui ne l’est-il pas
Points forts
- Deux ports 10-GbE SFP+ pour une liaison WAN en fibre optique et un uplink 10G
- Sept protocoles VPN, dont WireGuard
- Jusqu’à dix connexions WAN pour équilibrage de charge / basculement (failover)
- Contrôleur Omada SDN gratuit (Cloud, sur site ou via Docker)
- Alimentations redondantes pour une haute disponibilité
Points faibles
- Aucun switch intégré – un équipement séparé est nécessaire
- Bogues connus avec WireGuard après certaines mises à jour du firmware
- Une faille dans le pare-feu IPv6 est restée non corrigée pendant un an
- Réduction de la fréquence CPU sous charge extrême (ServeTheHome)
- Absence de port 2,5 GbE – uniquement des ports RJ45 1G ou SFP+ 10G
Conclusion
Le TP-Link Omada ER8411 n’est pas un clone d’Ubiquiti. C’est un routeur ciblé qui surpasse la gamme Ubiquiti UDM en matière de flexibilité des ports, de capacité VPN et de débit. Doté de dix ports WAN, de la prise en charge de 300 tunnels IPSec, du protocole WireGuard et d’un contrôleur SDN gratuit, il constitue l’option la plus performante pour les scénarios Multi-WAN dans la tranche de prix inférieure à 500 euros.
La qualité du firmware reste son point faible. Les utilisateurs habitués à la stabilité et à la communauté d’Ubiquiti devront s’attendre, avec TP-Link, à quelques bugs occasionnels. Néanmoins, pour les entreprises du secteur DACH (Allemagne, Autriche, Suisse) disposant de plusieurs sites, de connexions ISP redondantes et d’exigences en matière de VPN, l’ER8411 offre un meilleur rapport qualité-prix – à condition de ne pas appliquer les mises à jour firmware de façon aveugle, mais de les valider au préalable dans un environnement de test.
Questions fréquentes
Ai-je besoin du contrôleur Omada pour utiliser l’ER8411 ?
Non. L’ER8411 fonctionne également en mode autonome via une interface web locale. Toutefois, les fonctionnalités SD-WAN et la gestion centralisée multisite ne sont pas disponibles en mode autonome. Ce dernier convient aux sites uniques, tandis que le contrôleur – gratuit en tant que service cloud – est recommandé pour les déploiements multisites.
Puis-je utiliser l’ER8411 comme remplacement d’un pare-feu ?
Dans une certaine mesure. L’ER8411 propose un pare-feu SPI, des fonctions IPS/IDS, une inspection approfondie des paquets (DPI) et une protection contre les attaques par déni de service (DoS), ce qui suffit à la plupart des scénarios PME. Pour les exigences enterprise nécessitant une intelligence des menaces, du sandboxing ou une détection avancée des menaces persistantes (APT), il est préférable d’opter pour un pare-feu dédié de Fortinet, Palo Alto ou Sophos.
Quels modules SFP+ sont compatibles ?
TP-Link recommande ses propres modules SFP+, mais selon les retours de la communauté, les modules standards de tiers (FS.com, 10Gtek, Ubiquiti) fonctionnent de manière fiable. Les câbles DAC (Direct Attach Copper) constituent l’option la plus économique pour les liaisons 10 GbE sur de courtes distances, notamment entre équipements dans un même baie.
Comment l’ER8411 réagit-il en cas de panne WAN ?
L’ER8411 prend en charge le basculement automatique entre les connexions WAN. En cas de défaillance de la liaison principale, la prochaine connexion WAN configurée prend le relais – y compris une sauvegarde LTE via le port USB. Le temps de basculement se situe dans l’ordre de quelques secondes. Le répartiteur de charge (load balancing) répartit quant à lui le trafic sur plusieurs liens WAN lorsque ceux-ci sont opérationnels.
WireGuard est-il prêt pour la production sur l’ER8411 ?
Globalement oui, mais avec certaines réserves. WireGuard est disponible depuis la version firmware v1.1.0 et fonctionne de façon stable dans la majorité des cas. Cependant, des anomalies documentées après les mises à jour v1.20 et v1.3.1 provoquent des problèmes de relais de tunnel. Recommandation : valider systématiquement les mises à jour de firmware dans un environnement de test avant déploiement, et consulter attentivement les notes de version.
Suggestions de lecture de la rédaction
Source de l’image de une : Pexels / [Sélectionner le photographe] (px:ID)
