Aller au contenu principal
NUKOE

VPN domestique avec WireGuard sur Raspberry Pi : guide complet

• 8 min •
Un Raspberry Pi configuré en serveur VPN WireGuard, prêt à sécuriser vos connexions.

Vous êtes en déplacement, connecté au Wi-Fi d'un hôtel ou d'un espace de coworking, et vous réalisez que certains sites sont bloqués – ou pire, que votre trafic pourrait être intercepté. La solution ? Un VPN personnel, hébergé chez vous, sur un Raspberry Pi, utilisant le protocole WireGuard. Contrairement aux services VPN commerciaux, vous gardez le contrôle total de vos données et de votre configuration. Et surtout, c'est bien plus simple à mettre en place que vous ne le pensez.

Pourquoi un VPN perso plutôt qu'un service payant ?

Les VPN commerciaux promettent anonymat et déblocage géographique, mais ils présentent deux inconvénients majeurs : ils voient tout votre trafic, et ils sont souvent bloqués par les pare-feux les plus stricts. En montant votre propre serveur VPN sur un Raspberry Pi chez vous, vous bénéficiez d'une connexion cryptée vers votre domicile, comme si vous étiez sur votre réseau local. Comme le souligne un article du blog de Jeff Geerling, cela permet d'accéder à son NAS, son serveur d'édition ou tout autre service local depuis l'extérieur, sans exposer de ports sensibles. De plus, ce type de VPN personnel, basé sur WireGuard, est beaucoup plus difficile à bloquer car il utilise un seul port UDP et peut même être masqué en trafic HTTPS.

Matériel nécessaire et préparation

Pour commencer, il vous faut :

  • Un Raspberry Pi (modèle 3B+ ou supérieur, un Pi 4 ou 5 est recommandé pour de meilleures performances)
  • Une carte microSD (16 Go suffisent)
  • Une alimentation stable
  • Une connexion internet filaire de préférence (le Wi-Fi peut fonctionner, mais l'Ethernet est plus fiable)
  • Un nom de domaine ou une adresse IP publique (fixe si possible, sinon un DDNS)

Installez Raspberry Pi OS Lite (sans interface graphique) sur la carte SD, activez SSH et connectez-vous. Mettez à jour le système avec `sudo apt update && sudo apt upgrade -y`.

Installation de PiVPN : l'outil qui simplifie tout

Plutôt que de configurer WireGuard manuellement, utilisez PiVPN, un script d'installation qui automatise la création du serveur et la génération des fichiers de configuration clients. L'avantage ? Il gère aussi les règles de pare-feu, le routage et même l'intégration avec les adresses IP dynamiques via un service DDNS. Le forum Level1techs rappelle d'ailleurs l'importance de bien configurer iptables pour que le VPN puisse accéder à Internet tout en restreignant l'accès au réseau local si nécessaire.

Exécutez la commande : `curl -L https://install.pivpn.io | bash`

Suivez les instructions à l'écran : choisissez WireGuard comme protocole, sélectionnez l'interface réseau (eth0 de préférence), définissez un port (le 51820 par défaut convient), et configurez votre DNS (par exemple 1.1.1.1 ou celui de votre FAI). Une fois l'installation terminée, générez un profil client avec `pivpn add` et exportez le fichier `.conf`.

Configuration du routeur : l'étape cruciale

Pour que votre VPN soit accessible depuis l'extérieur, vous devez ouvrir le port UDP 51820 sur votre routeur et le rediriger vers l'adresse IP locale du Raspberry Pi. Cette étape est souvent la plus délicate, car chaque routeur a une interface différente. Consultez la documentation de votre équipement ou utilisez UPnP si vous faites confiance à votre réseau local. Sans cette redirection, le trafic entrant ne pourra pas atteindre votre serveur VPN.

> Piège à éviter : si votre FAI utilise le CGNAT (adresse IP partagée), vous ne pourrez pas ouvrir de port directement. Dans ce cas, utilisez un VPS bon marché comme relais ou un service de tunneling (comme Tailscale, qui utilise WireGuard en sous-main).

Connexion depuis n'importe où

Une fois le profil exporté, installez l'application WireGuard sur votre smartphone, tablette ou ordinateur portable. Importez le fichier `.conf` et activez la connexion. Vous devriez maintenant avoir accès à votre réseau domestique comme si vous y étiez. Les utilisateurs de Reddit confirment que cette méthode fonctionne même dans des environnements très restrictifs comme les universités, où les VPN commerciaux sont souvent bloqués. Le protocole WireGuard, léger et rapide, permet une connexion quasi instantanée.

Mythes et réalités du VPN maison

Mythe : C'est trop compliqué pour un non-informaticien.

Réalité : Avec PiVPN, l'installation se fait en une vingtaine de minutes. Le plus dur est la configuration du routeur, mais une fois en place, tout fonctionne sans intervention.

Mythe : Un Raspberry Pi n'est pas assez puissant pour servir de VPN.

Réalité : WireGuard est extrêmement léger. Même un Pi 3 peut gérer plusieurs connexions simultanées sans ralentir. Un Pi 4 ou 5 peut atteindre des débits proches du gigabit, bien suffisants pour un usage personnel.

Mythe : Les VPN personnels sont moins sécurisés que les services commerciaux.

Réalité : Avec WireGuard, vous bénéficiez d'un cryptage de pointe (Curve25519, ChaCha20, Poly1305). Le risque principal vient de votre propre configuration : ne pas exposer le port inutilement, utiliser des clés fortes et mettre à jour régulièrement le système.

Dépannage et astuces avancées

  • Problème de connexion : Vérifiez que le port est bien ouvert avec un outil comme `canyouseeme.org`. Testez aussi que le pare-feu du Pi autorise le trafic WireGuard.
  • Accès au réseau local : Par défaut, PiVPN permet l'accès au sous-réseau local. Si vous voulez isoler le client VPN du reste de votre LAN, modifiez les règles iptables comme discuté sur le forum Level1techs.
  • Multiples clients : Générez un profil par appareil avec `pivpn add`. Chaque client a sa propre clé privée, ce qui permet de révoquer un accès individuellement.
  • Performances : Utilisez un câble Ethernet pour le Pi et évitez le Wi-Fi pour le serveur. Sur le client, le Wi-Fi peut être utilisé sans problème.

Sécurisation supplémentaire

Pour renforcer la sécurité, vous pouvez :

  • Désactiver l'accès SSH sur le Pi depuis l'extérieur (n'utilisez le VPN que pour administrer à distance)
  • Mettre en place un pare-feu avec `ufw` ou `iptables` pour limiter les connexions entrantes au seul port WireGuard
  • Activer les mises à jour automatiques avec `unattended-upgrades`
  • Utiliser un reverse proxy comme Nginx si vous voulez exposer des services web derrière le VPN

Et si vous n'avez pas de connexion fixe ?

Si votre domicile n'a pas d'adresse IP publique (CGNAT), deux options s'offrent à vous :

  1. Utiliser un VPS : Louez un serveur chez un hébergeur (DigitalOcean, Linode) et installez WireGuard dessus. Vous aurez une IP fixe, mais le trafic transitera par un tiers. Des scripts comme Algo (mentionné sur le forum GL.iNet) automatisent cette installation.
  2. Utiliser Tailscale : Ce service gratuit pour un usage personnel crée un réseau maillé basé sur WireGuard, sans nécessiter d'ouverture de port. C'est une solution intermédiaire entre le VPN maison et le service commercial.

L'avenir du VPN personnel

Avec la montée des restrictions réseau (censure, blocages géographiques, filtres dans les entreprises et universités), le VPN personnel devient un outil indispensable pour les professionnels nomades et les particuliers soucieux de leur vie privée. WireGuard, désormais intégré au noyau Linux, est appelé à devenir le standard de facto pour les connexions VPN. Et grâce à des projets comme PiVPN, sa démocratisation est en marche.

Alors, êtes-vous prêt à reprendre le contrôle de votre accès internet ? Le temps de configuration est minime, mais la liberté qu'il offre est immense.

Pour aller plus loin