VPN pour routeur : ce que ça change vraiment (et ce que ça ne résout pas)
Installer un VPN sur son routeur plutôt que sur chaque appareil a une logique évidente : un seul point de configuration, une protection réseau globale, zéro client à maintenir sur chaque terminal. C’est une vraie solution, mais conditionnelle. La plupart des articles qui en parle omettent précisément les détails qui font la différence entre un tunnel qui protège et un tunnel qui rassure sans le faire. Si vous êtes encore en train d’évaluer l’utilité d’un VPN en général, c’est par là que ça commence.
Routeur VPN : sommaire
- Avant de parler VPN pour routeur : votre réseau est-il « propre » ?
- Ce que le VPN routeur protège et ce qu’il ne touche pas
- Le trio des fuites classiques : IPv6, DNS, WebRTC
- Les principaux types de setup d’un VPN sur routeur
- Routeur VPN : les limites à connaître avant de se lancer
- IPTV via VPN routeur : souvent un cas particulier
- Décision en 90 secondes
Avant de parler VPN pour routeur : votre réseau est-il « propre » ?
C’est la question que personne ne pose avant de se lancer dans un setup routeur VPN, et c’est pourtant la première à résoudre.
En France, la configuration la plus courante est simplement la box FAI (Livebox, Freebox, SFR Box…), et dans ce cas, installer un VPN directement dessus n’est généralement pas possible, faute d’accès au firmware. Certains utilisateurs ajoutent un routeur personnel derrière la box précisément pour avoir cette main. Mais cette configuration crée un double NAT : deux équipements qui font chacun leur propre translation d’adresse réseau. Ce n’est pas un drame pour la navigation standard, mais c’est problématique pour les jeux en ligne (NAT de type 3, lobbies inaccessibles, latence erratique), pour certains services P2P, et pour toute redirection de ports. Microsoft décrit précisément ce cas sous « Double NAT detected » dans le support Xbox.
Trois configurations sont possibles. Quand l’ONT est séparé et que l’opérateur le permet, certains connectent leur routeur VPN directement à la prise opérateur : dans ce cas, un seul équipement gère le NAT, et le problème ne se pose pas. Quand la box FAI est incontournable, deux options existent : le mode bridge, qui est l’approche la plus propre quand il existe réellement, la box n’est plus qu’un modem passant et votre routeur gère seul le NAT ; et la DMZ, souvent un compromis qui réduit les effets du double NAT sans les éliminer complètement selon les box. Dans tous les cas : vérifiez ce que supporte réellement votre box opérateur avant d’investir dans du matériel.
Ce que le VPN routeur protège et ce qu’il ne touche pas
La couverture réseau réelle
Un VPN installé sur votre laptop ou votre téléphone ne couvre que ce terminal. Votre Smart TV, votre console, votre NAS, vos appareils IoT, la tablette de vos enfants, aucun de ces équipements n’est couvert, faute de client VPN compatible.
Le VPN routeur règle ce problème à la racine : tous les appareils connectés au réseau local transitent par le tunnel chiffré, qu’ils sachent ou non ce qu’est un VPN. C’est particulièrement pertinent dans un foyer avec de nombreux appareils et souvent l’argument central pour passer à un VPN pour plusieurs appareils géré depuis un seul point.
Ce que le tunnel ne chiffre pas : le trafic local
Point rarement précisé : le tunnel VPN chiffre le trafic entre votre réseau et internet (WAN ↔ serveur VPN). Le trafic interne au réseau local, votre TV qui interroge votre NAS, un appareil IoT qui cause avec la passerelle locale, ne transite pas par le tunnel. Ce n’est pas un défaut, c’est la nature d’un VPN de couche 3. Dire « tout le réseau est chiffré » est inexact. Ce qui est chiffré, c’est la sortie vers internet, pas la communication entre vos différents appareils sur votre réseau personnel domestique.
Le trio des fuites classiques : IPv6, DNS, WebRTC
IPv6 : le trou le plus fréquent et le moins documenté
C’est l’angle mort que la majorité des tutoriels de setup routeur VPN ignorent. Selon le firmware utilisé et le fournisseur VPN, l’IPv6 peut ne pas être routé dans le tunnel — et ce n’est pas toujours signalé. Or l’IPv6 est largement déployé en France : le Baromètre ARCEP 2025 de la transition vers IPv6 (données fin 2024) documente une progression continue de son adoption chez les opérateurs grand public, fixe et mobile. Si votre setup ne gère pas explicitement l’IPv6, vos requêtes vers des serveurs IPv6 peuvent sortir directement avec votre vraie adresse IP, contournant le VPN.
La seule configuration défendable est l’une des deux suivantes : le tunnel VPN supporte le dual-stack IPv4/IPv6, WireGuard® le supporte dans ses implémentations récentes, OpenVPN nécessite une configuration explicite, dans les deux cas vérifiez ce que supporte réellement votre firmware et votre fournisseur, ou IPv6 est bloqué proprement au niveau du routeur via une règle firewall qui rejette tout trafic IPv6 hors tunnel, ce qui évite la fuite mais vous prive de l’IPv6.
Vérification : depuis un appareil connecté à votre routeur VPN, testez sur un outil de test de fuites IP. Si une adresse IPv6 correspondant à votre FAI apparaît, votre setup fuit.
DNS : « je gère mes DNS » est plus compliqué qu’il n’y paraît
Un VPN routeur bien configuré force la résolution DNS à passer par les serveurs VPN du fournisseur via le tunnel. Mais plusieurs cas font sauter ce contrôle.
Les appareils avec DNS forcé en dur : certains terminaux, Smart TV, Chromecast, certaines consoles, ignorent le DNS fourni par le routeur et interrogent directement un serveur hardcodé (Google, Cloudflare ou autres selon les constructeurs). Si votre routeur ne redirige pas activement ces requêtes vers le resolver VPN, elles sortent en dehors du tunnel.
DoH et DoT : Firefox documente plusieurs niveaux de protection DoH, dont un mode « Default Protection » activé automatiquement dans certaines configurations. Ces requêtes transitent en HTTPS sur le port 443, c’est précisément l’idée de DoH : encapsuler le DNS dans HTTPS pour le rendre opaque au réseau. Le routeur ne les voit pas comme du DNS standard.
Ce qu’on peut faire : intercepter et rediriger les requêtes DNS classiques sortantes (port 53) vers le resolver du VPN via une règle firewall. Attention : bloquer le port 53 sans redirection propre casse des équipements, Smart TV, IoT, consoles vont simplement perdre la résolution DNS. L’approche réaliste, c’est l’interception avec redirection vers le resolver voulu, pas un blocage brut.
DoH est une autre affaire : il transite en HTTPS, indiscernable du trafic web standard sans inspection profonde du trafic. Les listes de blocage par domaine sont fragiles et incomplètes. La réalité : DoH reste difficile à contraindre proprement au niveau routeur. C’est un vecteur de contournement à avoir en tête, pas une faille qu’on peut colmater complètement depuis un réseau domestique.
Les services IPTV et streaming ont souvent des mécanismes de fallback DNS agressifs, c’est l’une des raisons pour lesquelles le streaming via VPN routeur peut être instable selon les services, sans que la cause soit évidente à diagnostiquer.
La conclusion pratique : prétendre qu’un VPN routeur garantit un contrôle total de la résolution DNS, c’est ignorer tout ce qui précède.
WebRTC : le routeur n’y peut rien
WebRTC opère au niveau du navigateur, le routeur ne le corrige pas. Selon le navigateur et ses réglages, WebRTC peut exposer des informations réseau locales et, dans certains scénarios, contribuer à des fuites d’informations sur votre environnement réseau. C’est une surface à gérer côté navigateur, séparément de tout ce que fait le routeur. Si vous avez parcouru notre page sur la sécurité internet et le maintien de la vie privée, vous savez que l’empreinte navigateur reste un sujet à part entière.
Les principaux types de setup d’un VPN sur routeur
Il y a trois grands types d’architectures, avec des profils de risque distincts.
Grille de risque comparative
| Setup | Simplicité | Risque de brick* | Perf WireGuard | Perf OpenVPN | Contrôle par appareil |
|---|---|---|---|---|---|
| Client VPN intégré constructeur (ExpressVPN Aircove) | ★★★★☆ | Nul | Bonne à très bonne | Correcte | Limitée (souvent global) |
| Firmware alternatif (DD-WRT, OpenWrt, Asuswrt-Merlin) | ★★☆☆☆ | Modéré à élevé selon modèle | Bonne si WireGuard supporté | Souvent limitée par CPU | Complète (VLAN, SSID, règles fines) |
| Configuration directe sur routeur compatible | ★★★☆☆ | Nul | Bonne si WireGuard supporté | Correcte | Limitée (souvent global) |
* Le risque de brick ne concerne que le remplacement de firmware. Si vous n'y touchez pas, le risque est nul.
Client VPN intégré constructeur
Le cas le plus simple : vous achetez un routeur qui intègre déjà le VPN d’un fournisseur spécifique. Pas de configuration technique, pas de firmware à toucher. Vous branchez, vous connectez votre compte, c’est parti. Tous les appareils de votre réseau sont couverts automatiquement. Vous êtes cependant lié au fournisseur VPN du routeur et il est impossible d’en changer. L’ExpressVPN Aircove est le représentant le plus connu de ce type.
À noter : si vous ne renouvelez pas votre abonnement, le routeur continue de fonctionner normalement comme box Wi-Fi, mais sans accéder aux serveurs d’ExpressVPN, et sans possibilité de le remplacer par un autre fournisseur.
Firmware alternatif
Vous achetez le routeur de votre choix, puis vous remplacez son logiciel interne par une version compatible VPN, DD-WRT, OpenWrt ou Asuswrt-Merlin. Une fois fait, vous configurez le fournisseur VPN de votre choix avec les fichiers qu’il met à disposition. C’est une solution flexible mais aussi très technique, et mal exécutée, elle peut rendre le routeur inutilisable.
Configuration directe sur routeur compatible
Certains routeurs supportent nativement OpenVPN ou WireGuard® sans aucune manipulation de firmware. Vous téléchargez simplement les fichiers de configuration mis à disposition par votre fournisseur VPN (NordVPN, ProtonVPN, Surfshark…) et vous les importez directement dans l’interface de votre routeur. Pas de firmware à remplacer, pas de risque de brick. C’est l’option la plus accessible parmi les trois pour qui veut garder le choix de son fournisseur. Assurez-vous que votre routeur est supporté par le fournisseur de réseau privé virtuel que vous aurez choisi.
| Fournisseur | Exemples de routeurs documentés | Serveurs | Interface graphique dédiée routeur |
|---|---|---|---|
| NordVPN | Asus RT-AX86U, RT-AX68U, RT-AX88U (client OpenVPN natif) | +8 900 / 118 pays | ❌ |
| Surfshark VPN | Asus RT-AX88U Pro, TP-Link Archer AX73, TP-Link Archer AX55 | +4 500 / 100 pays | ❌ |
| CyberGhost | Tout routeur supportant OpenVPN en mode client (DD-WRT, Tomato, OpenWrt) | +11 000 / 100 pays | ❌ |
| ProtonVPN | Asus RT-ACxxx / RT-AXxxx, DD-WRT, OpenWrt, Asuswrt-Merlin, Tomato, pfSense | +18 000 / 112 pays | ❌ |
* La compatibilité dépend du support OpenVPN ou WireGuard® en mode client par votre routeur — vérifiez la documentation de votre modèle.
Routeur VPN : les limites à connaître avant de se lancer
Performances : le CPU du routeur est le vrai goulot
Le chiffrement mobilise du calcul. Un routeur d’entrée de gamme avec un processeur ARM modeste débite souvent très en dessous de votre débit fibre réel, surtout en OpenVPN, qui n’est pas accéléré hardware sur la plupart des routeurs grand public. WireGuard® change significativement l’équation : son implémentation dans le kernel Linux (OpenWrt) et sa légèreté permettent d’atteindre des débits bien supérieurs à OpenVPN sur le même matériel. Si le débit est une contrainte, choisissez un fournisseur dont l’intégration routeur supporte WireGuard®, et du matériel avec accélération AES hardware ou suffisamment de puissance CPU.
Le Kill Switch n’est pas automatique et voici comment le tester
Dans un client VPN classique sur un terminal, le Kill Switch coupe le trafic si le tunnel tombe. Sur un routeur flashé, ce comportement doit être configuré manuellement via des règles firewall (iptables sous DD-WRT, nftables/iptables sous OpenWrt). Sans cette configuration explicite, si le tunnel VPN se déconnecte, l’ensemble de vos appareils continuent de transiter par votre connexion FAI en clair, sans aucune alerte.
Test en 30 secondes : avec le tunnel VPN actif sur votre routeur, coupez manuellement la connexion au serveur VPN depuis l’interface du routeur. Depuis un appareil connecté, vérifiez votre IP publique sur un outil de test de fuites. Si votre adresse FAI réelle apparaît, votre Kill Switch n’est pas opérationnel. Les routeurs avec client VPN natif comme l’Aircove ou les GL.iNet proposent généralement un Kill Switch au niveau routeur à vérifier dans la documentation avant achat.
MTU et overhead : ce qui explique « ça rame sur certains sites »
Un tunnel VPN ajoute de l’overhead aux paquets (en-têtes de chiffrement, encapsulation). Si le MTU du tunnel n’est pas correctement ajusté, vous obtenez de la fragmentation de paquets, symptômes souvent mal diagnostiqués : certains sites qui chargent lentement ou pas du tout, des timeouts sur certains jeux, des transferts qui bloquent à mi-chemin. Sur OpenWrt et DD-WRT, le MTU/MSS du tunnel est ajustable, à configurer selon les recommandations de votre fournisseur. La valeur par défaut n’est pas toujours la bonne.
Pas de serveur différent par appareil (sans VLAN)
Sur un VPN routeur, tous vos appareils sortent par le même tunnel vers le même serveur. Impossible de faire naviguer votre laptop via un serveur allemand pendant que votre TV tire le contenu depuis un serveur US. La eule exception est la segmentation en VLAN par SSID, disponible sur les firmwares alternatifs mais qui relève d’une configuration réseau avancée.
Support et documentation : variable selon les fournisseurs
Ce qui distingue une compatibilité routeur sérieuse d’une mention marketing : fichiers de configuration OpenVPN/WireGuard® disponibles en téléchargement direct depuis l’espace client (pas uniquement via client mobile), documentation de configuration par firmware maintenue à jour, endpoints et ports documentés. Certains fournisseurs ont des politiques de support plus restrictives sur les configurations routeur que sur leurs clients desktop, c’est un critère à vérifier avant de choisir.
IPTV via VPN routeur : souvent un cas particulier
Configurer son VPN routeur pour l’IPTV est une demande courante, mais le résultat est variable selon les services et leur architecture. Les causes d’instabilité les plus fréquentes : mécanismes de fallback DNS décrits plus haut, latence ajoutée par le tunnel incompatible avec les flux live, ou geofencing qui ne se base pas uniquement sur l’IP. Selon le service, un client VPN dédié sur la Smart TV quand il existe, ou une configuration DNS ciblée sur cet appareil uniquement, offre souvent plus de contrôle fin, notamment sur le choix du serveur de sortie.
Décision en 90 secondes
VPN routeur : oui, si :
- Vous avez des appareils sans client VPN natif à couvrir, notamment si vous cherchez une solution de VPN pour console
- Vous voulez une protection always-on sans gérer des clients sur chaque terminal
- Vous acceptez qu’un seul serveur s’applique à tout votre réseau simultanément
- Votre réseau est simple ou vous êtes à l’aise pour passer votre box en mode bridge
- Votre usage est majoritairement mobile, hors domicile
- Vous avez besoin de changer fréquemment de serveur ou de pays par appareil
- Votre usage gaming est exigeant en latence et en type de NAT
- Vous n’êtes pas à l’aise avec la configuration réseau, un setup mal fait crée une fausse sensation de protection
Le setup hybride, souvent le plus pertinent :
VPN routeur pour les appareils fixes sans client natif (TV, console, IoT) + client VPN natif sur vos terminaux mobiles et PC. Couverture globale pour le réseau domestique, flexibilité là où vous en avez besoin.
Configurer un VPN sur un routeur est une décision d’architecture réseau, pas un simple réglage. Bien configuré, avec le bon matériel, un Kill Switch firewall actif, une gestion explicite de l’IPv6 et du DNS, c’est une solution solide pour couvrir un réseau domestique hétérogène. Mal configuré, c’est une fausse sécurité avec plusieurs vecteurs de fuite actifs que la plupart des outils de vérification basiques ne détecteront pas.
Si vous partez de zéro, les questions de comment choisir le bon VPN selon votre profil d’usage et les bases d’une hygiène numérique solide sont les deux étapes qui donnent du sens à ce que le VPN routeur peut, ou ne peut pas, faire dans votre configuration.