Les VPN les plus courants et leurs usages
Qu'est-ce qu'un VPN ?
Un VPN (Virtual Private Network) permet de créer un réseau virtuel sécurisé par-dessus une connexion publique (Internet). Il garantit confidentialité, intégrité et authentification des données échangées.
On distingue généralement deux grands types d'usages :
- Client-to-site (Remote Access) : connexion d'utilisateurs distants vers un réseau privé centralisé.
- Site-to-site : interconnexion permanente entre plusieurs sites géographiques distincts d'une entreprise.
1. IPsec/IKEv2
Présentation
IPsec (Internet Protocol Security) est une suite de protocoles standardisés pour sécuriser les communications IP. Associé à IKEv2 (Internet Key Exchange v2), il est robuste, stable et largement déployé.
Caractéristiques principales
- Utilise UDP ports 500 et 4500.
- Niveau réseau (couche 3 du modèle OSI).
- Authentification forte par certificats ou PSK (Pre-shared key).
- Compatible avec NAT (traversée NAT).
- Support natif intégré dans les systèmes modernes (Windows, macOS, Android, iOS).
Usage privilégié
- Client-to-site : Accès distant sécurisé aux réseaux d'entreprise.
- Site-to-site : Connexion sécurisée permanente entre sites distants (routeurs IPsec dédiés).
2. L2TP/IPsec (Layer 2 Tunneling Protocol)
Présentation
L2TP seul n'offre pas de sécurité : il est toujours utilisé conjointement avec IPsec pour le chiffrement.
Caractéristiques principales
- Utilise UDP 1701 pour L2TP, ports 500 et 4500 UDP pour IPsec.
- Encapsule du trafic en couche 2 (trames Ethernet).
- Compatible avec NAT.
- Large compatibilité client natif (Windows, macOS, smartphones).
Usage privilégié
- Client-to-site : Ancienne solution pour un accès distant simple et natif intégré aux systèmes, mais désormais remplacée progressivement par IPsec/IKEv2 ou OpenVPN. Il est à présent déprécié et va progressivement disparaître.
- Rarement en site-to-site car plus lourd et complexe.
3. OpenVPN
Présentation
OpenVPN est une solution open source populaire et polyvalente, utilisant SSL/TLS pour sécuriser les échanges.
Caractéristiques principales
- UDP ou TCP (généralement UDP 1194 ou TCP 443).
- Très configurable (chiffrement AES, authentification par certificat, MFA, scripts personnalisés).
- Fonctionne en couche réseau (niveau 3, mode tun) ou couche liaison (niveau 2, mode tap).
- Bonne compatibilité multi-plateformes, mais nécessite installation d'un client spécifique.
Usage privilégié
- Client-to-site : Accès distant sécurisé avec granularité élevée sur les autorisations et politiques de sécurité.
- Site-to-site : Connexion stable et flexible entre sites distants, particulièrement populaire dans les environnements cloud/hybride.
4. WireGuard
Présentation
WireGuard est un VPN moderne, minimaliste, extrêmement rapide et simple à configurer.
Caractéristiques principales
- Très léger (~4000 lignes de code).
- Utilise UDP, généralement port 51820.
- Configuration simplifiée basée sur clés cryptographiques publiques/privées.
- Excellente performance grâce à un chiffrement rapide et simplifié (Curve25519, ChaCha20, Poly1305).
Usage privilégié
- Client-to-site : Idéal pour une connexion rapide et légère (smartphones, IoT, télétravail).
- Site-to-site : Populaire pour interconnecter efficacement des infrastructures modernes (cloud-to-cloud, Kubernetes).
5. ZeroTier
Présentation
ZeroTier est un VPN SDN (Software Defined Network), intégrant réseau virtuel et gestion automatique des routes.
Caractéristiques principales
- Fonctionne en UDP 9993.
- Simplifie la création de réseaux virtuels privés globaux.
- Gestion centralisée des nœuds via une plateforme web/cloud.
- Approche « mesh » (connexion directe entre pairs lorsque possible).
Usage privilégié
- Réseaux hybrides/cloud : Connexion simplifiée d'appareils, serveurs, IoT dispersés géographiquement.
- Remote work collaboratif : Utilisé par des équipes distantes pour créer rapidement des réseaux sécurisés.
6. Tailscale
Présentation
Tailscale utilise WireGuard comme couche de sécurité, mais simplifie encore davantage la configuration et l'administration.
Caractéristiques principales
- S'appuie sur WireGuard mais apporte la gestion automatisée des clés et réseaux.
- Fonctionne en mode mesh avec NAT traversal efficace.
- Authentification via Single Sign-On (Google, Azure, GitHub).
- Accessible et configuré via une interface cloud intuitive.
Usage privilégié
- Client-to-site moderne et sécurisé : Idéal pour les petites équipes, startups, environnements DevOps/agiles.
- Connexion sécurisée d'appareils distants : Facilite les connexions de machines, ordinateurs personnels et serveurs en quelques clics.
Comparatif résumé des usages privilégiés
| Type VPN |
Client-to-site |
Site-to-site |
Facilité d'usage |
Performance |
Sécurité |
| IPsec/IKEv2 |
✅✅ |
✅✅✅ |
✅✅ |
✅✅ |
✅✅✅ |
| L2TP/IPsec |
✅ |
❌ |
✅✅ |
✅ |
✅✅ |
| OpenVPN |
✅✅✅ |
✅✅ |
✅✅✅ |
✅✅ |
✅✅✅ |
| WireGuard |
✅✅✅ |
✅✅✅ |
✅✅✅ |
✅✅✅ |
✅✅✅ |
| ZeroTier |
✅✅✅ |
✅✅✅ |
✅✅✅ |
✅✅✅ |
✅✅✅ |
| Tailscale |
✅✅✅ |
✅✅✅ |
✅✅✅✅ |
✅✅✅ |
✅✅✅ |
Cas d'usage typiques
- Grandes entreprises : IPsec/IKEv2, OpenVPN (robustesse et maturité), WiregGuard.
- PME/startups : WireGuard, Tailscale, ZeroTier (simplicité, agilité).
- Équipes IT/DevOps : Tailscale, ZeroTier (gestion cloud facile, réseaux hybrides).
- VPN grand public ou individuel : WireGuard (rapide, facile), OpenVPN (souplesse, polyvalence).