Configurer un VPN directement dans Windows permet d’éviter les clients propriétaires parfois lourds ou mal intégrés, et de garder un contrôle plus fin sur la façon dont le tunnel s’insère dans la pile réseau. C’est particulièrement vrai pour IKEv2/IPsec, très bien supporté nativement par Windows.

L’objectif ici est de détailler, pas à pas, la configuration d’un VPN dans Windows sans installer de logiciel tiers, en expliquant ce qui se passe “sous le capot” à chaque étape.

1. Ce que sait faire nativement Windows en matière de VPN

Windows intègre depuis longtemps un client VPN, accessible via :

  • l’interface moderne (Paramètres > Réseau et Internet > VPN) ;
  • ou l’ancienne interface “Connexions réseau” (ncpa.cpl).

Les types de VPN pris en charge nativement incluent notamment :

  • IKEv2/IPsec : recommandé aujourd’hui pour sa stabilité et sa sécurité ;
  • L2TP/IPsec : encore supporté, mais plus complexe à sécuriser correctement ;
  • SSTP : encapsulé dans TLS, souvent utilisé dans des environnements Microsoft ;
  • PPTP : à considérer comme obsolète et à éviter pour des raisons de sécurité.

Dans une optique moderne, on se concentre sur IKEv2, qui :

  • fonctionne en mode tunnel IPsec ;
  • passe bien à travers la plupart des NAT ;
  • gère correctement la mobilité et les reconnections (Mobility and Multihoming).

Le client Windows agit comme n’importe quel client VPN : il crée une interface logique, applique des routes et établit un tunnel chiffré vers le serveur.

2. Pré-requis côté client et serveur

Avant de toucher à Windows, il faut déjà que le serveur VPN existe et soit correctement configuré. Même sans entrer dans sa mise en place, côté client vous devez disposer au minimum de :

  • un nom de serveur (FQDN) ou une adresse IP publique ;
  • un type de protocole : IKEv2, L2TP/IPsec, SSTP (on prend IKEv2 ici) ;
  • une méthode d’authentification :
    • nom d’utilisateur et mot de passe ;
    • et/ou certificat client dans des contextes plus avancés ;
  • éventuellement, le certificat de l’autorité de certification (CA) ayant signé le certificat du serveur, si ce n’est pas une CA de confiance déjà connue de Windows.

Côté client Windows, vérifiez :

  • que l’horloge est correcte (important pour la validation des certificats) ;
  • que vous disposez de droits suffisants pour créer un profil VPN (membre du groupe Administrateurs dans les cas classiques) ;
  • que le pare-feu Windows est actif et ne bloque pas déjà massivement les connexions sortantes.

3. Importer, si nécessaire, le certificat de l’autorité (CA)

Si votre serveur VPN utilise un certificat signé par une CA interne ou peu connue, Windows ne lui fera pas automatiquement confiance. Il faut alors :

  1. Récupérer le certificat de la CA (fichier .cer ou .crt).
  2. L’ouvrir sur le poste Windows et cliquer sur “Installer le certificat”.
  3. Choisir :
    • “Ordinateur local” (nécessite les droits administrateur) plutôt que “Utilisateur actuel”, si vous voulez que tous les comptes du PC en bénéficient.
  4. L’importer dans le magasin “Autorités de certification racines de confiance” ou un magasin adapté selon votre politique.

Si la chaîne de confiance n’est pas valide, le client IKEv2 refusera l’établissement du tunnel (ou affichera un avertissement selon les cas).

4. Créer un profil VPN dans Windows (interface Paramètres)

4.1 Accéder à la configuration VPN

Sous Windows 10/11 :

  1. Ouvrir Paramètres.
  2. Aller dans Réseau et Internet.
  3. Cliquer sur VPN.
  4. Cliquer sur Ajouter une connexion VPN.

Une fenêtre de configuration s’ouvre : c’est là que se joue l’essentiel.

4.2 Remplir les champs principaux

Les champs typiques sont :

  • Fournisseur de services VPN : choisir “Windows (intégré)”.
  • Nom de la connexion : un label local, par exemple “VPN Bureau IKEv2” ou “VPN Maison IKEv2”.
  • Nom ou adresse du serveur : le FQDN (vpn.mondomaine.tld) ou l’adresse IP publique du serveur.
  • Type de VPN : définir explicitement “IKEv2” (éviter “Automatique” si vous voulez maîtriser le protocole).
  • Type d’informations de connexion :
    • “Nom d’utilisateur et mot de passe” pour une configuration simple ;
    • ou “Certificat” si votre environnement utilise des certificats clients.

Vous pouvez ensuite renseigner le nom d’utilisateur et le mot de passe si ce mode d’authentification est choisi.

4.3 Sauvegarde du profil

Une fois les champs remplis, cliquez sur Enregistrer. La connexion apparaît désormais dans la liste de vos VPN.

5. Paramétrages avancés : chiffrement, routes, options

5.1 Accéder aux propriétés détaillées

Dans la page VPN :

  1. Cliquez sur votre connexion nouvellement créée.
  2. Cliquez sur Options avancées (ou “Paramètres avancés”, selon la version).

Vous pouvez gérer par exemple :

  • la connexion automatique ou non ;
  • l’utilisation ou non de la connexion via un réseau limité ;
  • les paramètres de proxy éventuels.

Pour des réglages plus fins (routes IPv4/IPv6, chiffrement, authentification), il est souvent plus pratique de passer par l’ancienne interface :

  1. Ouvrir Exécuter (Win+R) et taper ncpa.cpl.
  2. Faire un clic droit sur la connexion VPN puis choisir Propriétés.

5.2 Forcer IKEv2 et les paramètres IPsec

Dans les propriétés de la connexion VPN (ancienne interface) :

  • Onglet Sécurité :
    • Vérifier que le type de VPN est bien IKEv2.
    • Ajuster les paramètres selon la configuration serveur : algorithmes de chiffrement, d’intégrité, groupes Diffie-Hellman, etc.
  • Authentification :
    • EAP (par exemple EAP-MSCHAPv2) pour un login/mot de passe ;
    • ou certificat si vous êtes dans un modèle PKI.

L’objectif est d’aligner ce que vous cochez ici avec les profils définis côté serveur.

5.3 Split tunneling (routes spécifiques)

Par défaut, Windows envoie souvent tout le trafic (0.0.0.0/0) dans le tunnel dès que la connexion VPN est définie comme route par défaut.

Si vous souhaitez limiter le tunnel à certains réseaux (par exemple 192.168.10.0/24), vous pouvez :

  • décocher “Utiliser la passerelle par défaut sur le réseau distant” dans les propriétés IPv4 de la connexion ;
  • ou activer le split tunneling avec PowerShell :

Get-VpnConnection
Set-VpnConnection -Name "VPN Bureau IKEv2" -SplitTunneling $true

Ensuite, ajoutez les routes nécessaires :


Add-VpnConnectionRoute -ConnectionName "VPN Bureau IKEv2" -DestinationPrefix "192.168.10.0/24"

Résultat : seul le trafic destiné à 192.168.10.0/24 passe par le tunnel, le reste continue à sortir via la passerelle locale.

6. Tester et vérifier la connexion VPN

Une fois le profil configuré :

  1. Retournez dans Paramètres > Réseau et Internet > VPN.
  2. Sélectionnez la connexion.
  3. Cliquez sur Se connecter.

6.1 Vérifier l’état via l’interface

  • Windows indiquera “Connecté” si le tunnel est établi.
  • Dans ncpa.cpl, la connexion VPN apparaîtra active avec l’état “Connecté”.

6.2 Vérifier au niveau IP et routage

Dans un terminal PowerShell ou CMD :

  • ipconfig pour vérifier qu’une nouvelle interface virtuelle a bien une IP attribuée par le VPN.
  • route print pour vérifier que :
    • la route par défaut est bien modifiée si vous n’êtes pas en split tunneling ;
    • ou que vos routes spécifiques sont présentes si vous l’avez activé.

6.3 Vérifier l’IP publique et les fuites DNS

  • Consulter un site qui affiche l’IP publique avant et après connexion.
  • Vérifier les DNS utilisés via un test de fuite DNS.
  • Tester l’accès aux ressources internes (intranet, réseau privé) si c’est l’objectif.

Si tout est correct, l’IP publique doit être celle du serveur VPN, et les routes vers les réseaux privés doivent fonctionner.

7. Intégration avec le pare-feu et le profil réseau

Le client VPN Windows associe la connexion à un profil réseau (Privé, Public, Domaine). Cela peut influencer :

  • les règles du pare-feu Windows ;
  • l’accès ou non à certaines ressources partagées.

Bon réflexe :

  • vérifier dans le Centre Réseau et partage ou dans les Paramètres le type de profil affecté à la connexion VPN ;
  • adapter les règles du pare-feu si nécessaire pour autoriser certains flux sur cette interface (par exemple SMB, RDP, services spécifiques).

8. Automatisation et options avancées

Pour un usage régulier, vous pouvez :

  • configurer la connexion VPN pour qu’elle se reconnecte automatiquement ;
  • utiliser PowerShell pour créer, modifier ou supprimer des connexions VPN.

Exemple de création de connexion via PowerShell :


Add-VpnConnection -Name "VPN Bureau IKEv2" `
  -ServerAddress "vpn.mondomaine.tld" `
  -TunnelType IKEv2 `
  -AuthenticationMethod Eap `
  -RememberCredential

Cela permet d’intégrer la création de profils VPN dans des scripts de déploiement et d’appliquer des paramètres homogènes sur plusieurs postes.

Conclusion

Configurer un VPN directement dans Windows, sans logiciel tiers, revient à exploiter les briques réseau déjà présentes dans le système :

  • création d’une interface virtuelle ;
  • configuration d’IKEv2/IPsec ;
  • ajustement de la table de routage (tout trafic ou split tunneling) ;
  • intégration avec le pare-feu et les profils réseau.

L’intérêt principal est double :

  • éviter la dépendance à un client propriétaire souvent opaque sur ce qu’il fait dans le système ;
  • garder la main sur les paramètres techniques : protocole, chiffrement, routes, DNS, comportement en mobilité.

Une fois les bases maîtrisées (profil VPN, routes, tests IP/DNS), vous pouvez aller plus loin :

  • automatisation via PowerShell ;
  • intégration dans un environnement d’entreprise ;
  • combinaison de ce VPN natif avec d’autres briques (serveur auto-hébergé, segmentation réseau, etc.).

Bien apréhender sa connexion