Un foyer avec deux téléphones, deux ordinateurs portables, une smart TV, une console et une enceinte connectée représente sept appareils qui peuvent tous avoir besoin d'une couverture VPN. Installer et maintenir un client VPN sur chacun d'eux est fastidieux. Certains, en particulier les consoles et beaucoup d'objets connectés, ne peuvent pas du tout faire tourner un client VPN normal. D'autres, comme les smart TV, ne prennent en charge les applications VPN que sur certaines plateformes.
Un routeur VPN résout cela en faisant tourner le VPN sur le routeur lui-même, de sorte que chaque appareil situé derrière lui hérite du tunnel sans rien installer. Le terme recouvre plusieurs configurations différentes : un routeur qui se connecte à un fournisseur VPN pour le compte du LAN, un routeur qui fait office de serveur VPN vous permettant de vous y connecter depuis ailleurs, ou une passerelle auto-hébergée sur un VPS que vous contrôlez de bout en bout.
La version courte
- Un routeur VPN fait tourner le logiciel VPN sur le routeur, de sorte que chaque appareil connecté, y compris ceux qui ne peuvent pas faire tourner eux-mêmes un client VPN, utilise automatiquement le tunnel.
- Il a deux modes qui résolvent des problèmes différents : le mode client achemine le trafic sortant vers un fournisseur VPN ou votre propre serveur ; le mode serveur permet à des appareils distants de se connecter en entrée à votre LAN.
- WireGuard est le bon protocole pour un VPN au niveau du routeur dans presque tous les cas. Le code est compact, le coût par paquet est faible, et les CPU des routeurs grand public le gèrent mieux qu'OpenVPN.
- Vous avez quatre façons d'en obtenir un : utiliser un routeur qui prend déjà en charge le VPN, flasher un firmware personnalisé sur un routeur que vous possédez, acheter un routeur VPN préconfiguré, ou vous passer complètement de matériel et faire tourner WireGuard sur un VPS. La dernière option est la plus solide si vous voulez le choix du serveur, le contrôle de la juridiction ou si vous vous auto-hébergez déjà.
Comment fonctionne réellement un routeur VPN
Quand un appareil se connecte à un routeur VPN en mode client, l'appareil ignore qu'il est sur un VPN. Il reçoit un bail DHCP normal du routeur, ouvre une connexion TCP vers une destination et envoie des paquets. C'est le routeur qui fait le chiffrement. L'appareil voit un LAN normal. Il y a deux modes qu'il faut comprendre, et la plupart des « routeurs VPN » grand public ne font bien que le premier.
Mode client VPN (sortant)
En mode client, le routeur détient les identifiants VPN et achemine tout le trafic sortant pour le compte des appareils situés derrière lui. Le flux de données est : appareil → routeur → tunnel chiffré → serveur VPN → internet public.
Chaque appareil du LAN utilise automatiquement le même tunnel. Le routeur prend chaque paquet, le chiffre et le transfère vers le point de terminaison VPN configuré. L'internet public voit l'IP de sortie du serveur VPN, pas l'IP attribuée par le FAI du domicile. C'est la configuration que les gens entendent habituellement quand ils disent « routeur VPN ».
Le chiffrement se fait sur le CPU du routeur. C'est le détail mécanique important. Les routeurs grand public plus anciens et bon marché peuvent embarquer des puces ARM ou MIPS à faible fréquence avec une accélération cryptographique limitée, tandis que les routeurs compatibles VPN plus récents sont bien plus rapides. Quoi qu'il en soit, le routeur reste responsable du chiffrement de chaque octet qui transite vers et depuis chaque appareil du réseau, de sorte que le matériel du routeur devient le plafond de performance.
Le protocole compte ici pour la même raison. Le coût par paquet de WireGuard est plus faible que celui d'OpenVPN, c'est pourquoi la prise en charge de WireGuard sur les routeurs grand public est la fonctionnalité qu'il faut rechercher. Consultez le guide existant de configuration de WireGuard sur un VPS.
Mode serveur VPN (entrant)
En mode serveur, le routeur lui-même fait tourner un serveur VPN. Des appareils distants sur l'internet ouvert se connectent en entrée à l'IP publique du routeur et atterrissent sur le LAN comme s'ils étaient assis dans le salon. Le flux de données est : appareil distant → IP publique → serveur VPN du routeur → ressources du LAN.
Cela résout un problème différent. Il s'agit d'accès à distance, pas de confidentialité sortante. Un ordinateur portable dans un café peut atteindre un serveur de fichiers à la maison. Un téléphone à l'étranger peut atteindre le réseau domestique. Le routeur est le serveur VPN ; le téléphone est le client VPN.
Le mode serveur nécessite une adresse IP publiquement routable. Si votre FAI vous a placé derrière un CGNAT, comme l'ont fait beaucoup de FAI résidentiels, il n'y a pas d'IP publique sur laquelle se connecter en entrée, et ce mode ne fonctionne pas sans astuces supplémentaires. La redirection de port est généralement requise aussi, ce qui limite cela aux personnes qui possèdent le routeur et peuvent en configurer le pare-feu.
Les deux modes ne s'excluent pas mutuellement. Un routeur capable peut faire tourner les deux en même temps. Mais les cas d'usage sont entièrement différents. Le mode client, c'est pour « je veux toute ma maison derrière une sortie VPN ». Le mode serveur, c'est pour « je veux atteindre ma maison depuis ailleurs ».
Les quatre voies vers un VPN au niveau du routeur
Il n'existe pas une seule chose appelée « obtenir un routeur VPN ». Il y a quatre voies, et elles se classent selon deux axes : le degré de contrôle que vous voulez sur le matériel et le firmware, et si vous voulez un fournisseur commercial ou votre propre serveur à l'autre bout du tunnel. La bonne voie dépend de celui de ces axes qui compte le plus.
Voie 1 : utiliser votre routeur existant (s'il prend en charge le VPN)
Plusieurs fabricants de routeurs grand public proposent désormais une prise en charge native du client VPN, y compris WireGuard, dans leur firmware d'origine. ASUS prend en charge WireGuard nativement sur les firmwares récents. Les séries Flint et Beryl de GL.iNET prennent en charge WireGuard prêtes à l'emploi, comme documenté dans leur tutoriel officiel.
C'est la voie la moins chère et la moins risquée. Si votre routeur figure déjà sur cette liste, vous ne flashez rien et ne briquez rien. Vous saisissez une configuration WireGuard dans le panneau d'administration et le tunnel s'établit. La limite est évidente : le routeur doit prendre en charge le protocole que vous voulez, et les options de protocole dépendent de ce que le fabricant propose. Les modèles plus anciens ne se verront pas ajouter WireGuard rétroactivement.
Voie 2 : flasher un firmware personnalisé (OpenWrt, DD-WRT, FreshTomato)
Si votre routeur ne figure pas sur la liste prise en charge, vous pouvez remplacer son firmware par l'une des alternatives open source. OpenWrt est la plus activement maintenue des trois et a la plus large compatibilité matérielle. DD-WRT est également actif, avec une philosophie de conception différente et un pool plus large d'appareils pris en charge. FreshTomato poursuit le projet Tomato d'origine, mais est restreint aux chipsets Broadcom et sert une communauté bien plus petite.
Le firmware personnalisé vous donne le choix du protocole : OpenVPN, WireGuard, IPsec, tous configurables. Il vous donne aussi tout le reste de ce que ces projets proposent : un meilleur QoS, des règles de pare-feu granulaires, la gestion de paquets. Le coût, c'est le risque et le temps.
Astuce
Flasher un firmware personnalisé peut briquer définitivement un routeur si vous choisissez la mauvaise image, perdez le courant en plein flashage ou faites tourner une build avec un bug pour votre révision matérielle précise. Choisissez un modèle que le projet de firmware prend explicitement en charge, lisez la page spécifique à l'appareil et acceptez d'avoir annulé la garantie. Si le routeur que vous briquez est votre seul routeur, prévoyez d'être hors ligne le temps d'en acquérir un de remplacement.
Voie 3 : acheter un routeur VPN préconfiguré
La voie la plus simple. Des fabricants comme GL.iNET vendent des routeurs avec WireGuard intégré prêt à l'emploi. Certains fournisseurs VPN commerciaux vendent aussi des routeurs de marque préconfigurés pour leur service, ce qui signifie que vous le branchez, saisissez vos identifiants de compte, et c'est terminé.
Les compromis, ce sont le prix et la dépendance au fournisseur. Les routeurs préconfigurés coûtent plus cher à l'unité que de le faire soi-même. Si l'appareil est livré à la marque d'un fournisseur VPN précis, vous êtes lié aux protocoles, aux pays de sortie et à la politique de journalisation de ce fournisseur. Si le fournisseur change ses conditions ou cesse son activité, le routeur ne migre pas facilement vers un nouveau service.
La quatrième voie est légèrement différente parce qu'elle ne nécessite ni d'acheter ni de flasher du matériel de routeur. Elle vous donne tout de même une couverture VPN au niveau du routeur si votre routeur pointe en amont vers le VPS, mais le point de terminaison VPN lui-même réside sur un serveur plutôt qu'à l'intérieur du routeur.
Voie 4 : utiliser un VPS comme passerelle VPN
Faites tourner WireGuard ou OpenVPN sur un VPS Linux, puis dirigez votre routeur ou des appareils individuels vers ce serveur. Ce n'est pas un achat de routeur matériel. C'est une stratégie de point de terminaison différente, donc les compromis méritent leur propre section ci-dessous.
| Voie | Complexité d'installation | Plafond de performance | Changement de serveur | Risque matériel | Coût récurrent | Adéquation |
|---|---|---|---|---|---|---|
| Routeur existant | Faible | Limité par le CPU du routeur | Via le panneau d'administration | Aucune | Aucun au-delà du FAI | Vous possédez déjà un routeur pris en charge |
| Flasher un firmware personnalisé | Élevée | Limité par le CPU du routeur | Via le panneau d'administration | Risque de briquage | Aucun au-delà du FAI | Vous voulez de la flexibilité de protocole et acceptez le risque |
| Routeur préconfiguré | Le plus bas | Limité par le CPU du routeur | Dépend du fabricant | Aucune | Coût du matériel ; abonnement au fournisseur si fourni | Vous voulez du prêt-à-l'emploi et acceptez le surcoût |
| VPS comme passerelle | Moyen à élevé | Limité par le CPU du VPS (plus élevé) | Lancez un nouveau VPS dans une autre région | Aucune | Location mensuelle du VPS | Vous voulez le choix de la juridiction, de meilleures performances, ou vous vous auto-hébergez déjà |
Quand un routeur VPN a du sens et quand il n'en a pas
La question n'est pas de savoir si un VPN sur routeur est meilleur qu'un VPN sur appareil dans l'absolu. C'est de savoir si votre situation précise appelle réellement une couverture de tout le réseau, parce qu'à l'instant où vous mettez un VPN sur le routeur, chaque appareil situé derrière lui paie la même taxe de chiffrement.
Cas d'usage où un VPN sur routeur justifie son coût de configuration
Les foyers multi-appareils sont le cas le plus évident. Dès que vous gérez plus de quatre ou cinq appareils, installer et mettre à jour des clients VPN sur chacun devient une corvée. La configuration au niveau du routeur se fait une seule fois.
Les appareils avec une prise en charge VPN limitée ou peu pratique sont le deuxième cas. Les consoles de jeu, la plupart des objets connectés et les hubs domotiques plus anciens n'ont généralement aucune application VPN normale disponible. Certaines smart TV peuvent faire tourner des applications VPN, en particulier Android TV / Google TV et les modèles Apple TV plus récents, mais le VPN au niveau du routeur aide tout de même quand la plateforme de la TV ne prend pas en charge votre fournisseur ou quand vous voulez une politique réseau cohérente.
Le voyage est le troisième cas. Un routeur de voyage compact avec prise en charge de WireGuard signifie qu'un seul tunnel couvre tous les appareils d'une chambre d'hôtel (téléphone, ordinateur portable, tablette) via le Wi-Fi du routeur, quoi que fasse le réseau de l'hôtel. La même logique s'applique à une passerelle VPS accédée via le routeur de voyage.
Les petits bureaux et les espaces de vie partagés sont le quatrième cas. Une politique réseau unique et cohérente appliquée à la passerelle est plus facile à raisonner qu'un parc de configurations au niveau des appareils qui divergent avec le temps.
Cas où un VPN sur routeur est le mauvais choix
Si vous changez fréquemment de pays de sortie VPN pour du contenu géobloqué, des tests de juridiction ou toute autre raison, un VPN au niveau du routeur est le mauvais outil. Basculer les sorties sur un téléphone se fait d'une seule pression. Le faire sur un routeur exige de se connecter au panneau d'administration.
Si vous avez besoin de tunneling fractionné au niveau de l'application, certaines applis par le VPN et d'autres en direct, une application VPN au niveau de l'appareil gère cela proprement. Le routeur ne peut pas facilement savoir quelle application a généré quel paquet.
Si certains appareils de votre réseau ont besoin du VPN et que d'autres ne doivent surtout pas l'avoir, le VPN sur routeur place tout le monde derrière la même IP de sortie. Les applis bancaires signalent le trafic VPN. Les services de streaming géobloqués cessent de fonctionner. Une politique générale au niveau du routeur signifie un contournement général pour chaque exception.
Si vous avez un ou deux appareils, une couche au niveau du routeur résout un problème que vous n'avez pas.
How-To Geek a avancé l'argument de la latence en 2023 : un VPN à l'échelle du réseau impose la latence du VPN à chaque appareil connecté, y compris ceux qui font un travail sensible à la latence comme le jeu, les appels vidéo et les réunions en temps réel, qui ne tirent aucun bénéfice de la protection VPN pendant ces activités. Cet argument est correct et mérite d'être pesé. La solution n'est pas d'abandonner le VPN sur routeur. C'est de reconnaître que vous pourriez vouloir sortir certains appareils du tunnel.
Beaucoup de fournisseurs VPN commerciaux limitent encore les connexions simultanées par compte, tandis que d'autres proposent désormais un nombre d'appareils supérieur ou illimité. Un VPN sur routeur peut tout de même être utile parce que le fournisseur voit généralement le routeur comme une seule connexion VPN, même si plusieurs appareils se trouvent derrière lui.
Choix du protocole : WireGuard, OpenVPN et les autres
Le choix du protocole compte plus sur un routeur que sur un ordinateur portable, parce que c'est le CPU du routeur qui fait le chiffrement et que le CPU du routeur est lent. Un ordinateur portable moderne avec AES-NI gère OpenVPN ou WireGuard aussi bien au gigabit. Un routeur grand public, non.
WireGuard est la bonne réponse pour presque tous les scénarios. Le code est radicalement plus petit que celui d'OpenVPN, ce qui le rend plus facile à auditer et à relire. La cryptographie est moderne : ChaCha20 pour le chiffrement, Poly1305 pour l'authentification, Curve25519 pour l'échange de clés. La poignée de main se termine en un seul aller-retour ; la poignée de main TLS d'OpenVPN en prend plusieurs. Le coût de traitement par paquet est assez faible pour que les CPU des routeurs grand public le gèrent là où ils peineraient avec OpenVPN. WireGuard est désormais pris en charge nativement par ASUS, GL.iNET et la plupart des projets de firmware personnalisé.
OpenVPN a encore sa place. Il est mature, largement pris en charge et mieux intégré aux systèmes d'authentification d'entreprise. Si vous avez un déploiement OpenVPN existant avec des certificats déjà émis, ou si vous avez une exigence de compatibilité précise que WireGuard ne satisfait pas encore, OpenVPN reste un choix raisonnable. Il tourne sans problème sur des routeurs capables.
L2TP/IPsec apparaît encore sur beaucoup de pages d'administration de routeurs, surtout pour la compatibilité héritée. Il peut fonctionner, mais ce n'est pas le protocole à choisir pour un nouveau VPN au niveau du routeur quand WireGuard est disponible. PPTP doit être considéré comme mort. Il a des problèmes de sécurité connus, et Microsoft a déjà entrepris de déprécier PPTP et L2TP des futures versions de Windows Server.
Astuce
Si le CPU de votre routeur a plus de cinq ans et ne dispose pas d'accélération matérielle WireGuard, faites tout de même tourner WireGuard. Même sans accélération, il bat généralement OpenVPN accéléré sur le même matériel. Les exceptions sont rares et concernent des puces Broadcom spécifiques avec un déchargement OpenVPN dédié. Si vous ne pouvez pas vérifier que votre routeur entre dans l'un de ces cas particuliers, optez par défaut pour WireGuard.
Une remarque sur les affirmations de performance qui circulent en ligne. La propre page de performance de WireGuard décrit ses benchmarks publiés comme « anciens, poussiéreux et pas très bien menés ». Ce sont les auteurs mêmes du projet. Les ratios de débit précis que vous trouvez cités dans des blogs tiers ne sont généralement pas sourcés de manière fiable. L'affirmation qualitative selon laquelle WireGuard surpasse généralement OpenVPN, surtout sur du matériel moins puissant, est bien étayée. Les multiplicateurs précis, non.
Faut-il construire un routeur VPN ou utiliser une passerelle VPS ?
Pour un lecteur technique, la comparaison la plus nette est le placement du point de terminaison : le VPN se termine-t-il sur du matériel chez vous, ou sur un logiciel tournant sur un serveur que vous louez ?
Un routeur VPN matériel a quelques atouts précis. La frontière de chiffrement est physiquement isolée sur un appareil que vous possédez. Il n'y a aucun coût de location récurrent au-delà de votre FAI. Le modèle mental est simple : un boîtier, une configuration, un câble au mur. Pour un scénario de voyage, un routeur matériel au format de poche (les unités GL.iNET de la classe Beryl, par exemple) est un objet réellement utile.
Un VPS comme passerelle a d'autres atouts. Un VPS correct vous offre généralement une puissance de calcul plus prévisible et plus de marge qu'un routeur grand public bon marché, surtout quand vous avez besoin de plusieurs sorties, d'un débit montant plus élevé ou de plus de tunnels simultanés. Vous choisissez la juridiction. La sortie VPN se trouve là où réside le VPS, et vous pouvez la déplacer. Vous contrôlez le démon VPN et sa journalisation au niveau applicatif, même si l'hébergeur contrôle toujours l'infrastructure sous-jacente. Si vous voulez une deuxième sortie dans une autre région, vous lancez un autre VPS en 10 minutes au lieu d'acheter un autre routeur.
Un point de départ raisonnable pour dimensionner une passerelle VPN personnelle est 1 vCPU et 1 GB de RAM, ce qui gère de 5 à 10 connexions d'appareils simultanées sous WireGuard à des débits résidentiels. Un chiffrement simultané plus lourd ou un débit montant plus élevé justifie un plan optimisé pour le CPU. Le travail de chiffrement est limité par le CPU, pas par la mémoire. Voir meilleur VPS pour VPN pour le dimensionnement du plan.
Choisissez le matériel si vous voulez zéro coût mensuel en plus de votre FAI, si vous possédez déjà un routeur capable, ou si vous avez précisément besoin d'un format routeur de voyage. Choisissez un VPS si vous voulez de meilleures performances de chiffrement qu'un routeur grand public ne peut offrir, le choix de la juridiction sur la sortie, ou si vous vous auto-hébergez déjà d'autres services et qu'ajouter un démon de plus ne représente aucune charge supplémentaire. Pour les environnements réseau restrictifs, la voie du VPS peut aussi être plus facile à adapter qu'une configuration de routeur d'origine, parce que vous contrôlez le logiciel du serveur et que vous n'êtes pas limité aux protocoles que le fabricant du routeur expose dans son panneau d'administration.
Si vous empruntez la voie du VPS, les critères d'achat sont simples : choisissez une région proche, assez de CPU pour le chiffrement, une IP dédiée et un fournisseur qui vous donne un accès root sans masquer les détails réseau. Le VPS Linux de Cloudzy est une option pour cela, et la marketplace propose des déploiements en un clic d' WireGuard et OpenVPN Access Server si vous voulez éviter la configuration manuelle du serveur.
Foire aux questions
Ai-je besoin d'un routeur spécial pour utiliser un VPN ?
Non. Vous n'avez pas besoin d'un routeur spécial si votre routeur actuel prend déjà en charge le mode client VPN. Beaucoup de modèles ASUS et GL.iNET récents prennent en charge WireGuard ou OpenVPN dans leur firmware d'origine, mais la prise en charge dépend du modèle et de la version du firmware exacts. Si votre routeur ne prend pas nativement en charge un VPN, vous pouvez soit installer un firmware personnalisé comme OpenWrt, soit faire tourner le VPN sur un appareil séparé, tel qu'un VPS, un Raspberry Pi ou un petit serveur Linux, par lequel le routeur achemine le trafic.
Un routeur VPN va-t-il ralentir ma connexion Internet ?
Oui, un peu. Le CPU du routeur fait le travail de chiffrement, et les CPU des routeurs grand public sont plus lents que ceux de votre téléphone ou de votre ordinateur portable. L'ampleur du ralentissement dépend de la puce du routeur, du protocole (WireGuard est plus léger qu'OpenVPN) et de la présence d'une accélération matérielle. Un routeur moderne sous WireGuard perd généralement une petite fraction du débit WAN. Un routeur plus ancien sous OpenVPN peut en perdre bien plus.
Quelle est la différence entre un routeur VPN et une application VPN sur mon appareil ?
Un routeur VPN place le tunnel au niveau du réseau, de sorte que chaque appareil connecté (téléphone, ordinateur portable, smart TV, console, objet connecté) utilise le VPN automatiquement sans rien installer. Une application VPN place le tunnel sur un seul appareil et ne protège que cet appareil, mais permet un contrôle plus fin : routage par application, changement de serveur facile et exclusion d'applications précises. Le compromis, c'est la couverture de tout le réseau contre la flexibilité par appareil.
Quel protocole VPN devrais-je utiliser sur mon routeur, WireGuard ou OpenVPN ?
WireGuard, dans presque tous les cas. Le code est plus petit, la cryptographie est moderne, et le coût de traitement par paquet est assez faible pour que les CPU des routeurs grand public le gèrent bien. OpenVPN reste un choix raisonnable si vous avez déjà un déploiement OpenVPN avec des certificats émis, ou si vous avez une exigence de compatibilité précise que WireGuard ne satisfait pas encore.
Puis-je utiliser un VPS au lieu d'un routeur VPN matériel ?
Oui. Installez WireGuard ou OpenVPN sur un VPS Linux, puis dirigez un routeur OpenWrt ou DD-WRT vers lui comme tunnel amont, ou connectez des appareils individuels directement au VPS. Cette approche vous donne le choix de la juridiction sur la sortie, le contrôle du démon VPN et de ses logs au niveau applicatif, et plus de marge de calcul que la plupart des configurations sur routeur grand public. Le compromis, c'est que vous exploitez un serveur, y compris son correctif et sa surveillance.
