L’objectif est d’expliquer, avec un angle technique, comment fonctionne ce type de configuration, quelles sont les briques nécessaires (adressage, routage, DNS, redirections de ports), et les points de sécurité à ne pas négliger.

1. Modèle logique : étendre un réseau privé jusqu’au poste distant

Dans une configuration classique, on distingue :

  • un réseau local (LAN) : par exemple 192.168.1.0/24 à la maison ;
  • un poste distant (PC portable, machine en déplacement) connecté à Internet via un autre réseau ;
  • un serveur VPN placé côté LAN (ou dans un réseau contrôlé) ;
  • un tunnel chiffré entre le poste distant et le serveur VPN.

Une fois le tunnel établi :

  • le poste distant reçoit une adresse IP “du réseau VPN” (par exemple 10.8.0.10) ;
  • le serveur VPN agit comme routeur entre ce réseau VPN et le LAN (192.168.1.0/24) ;
  • le poste distant peut joindre les ressources internes (PC, NAS, imprimante, domotique) en utilisant leurs IP privées, comme s’il était branché physiquement au routeur local.

Deux topologies sont courantes :

  • Accès nomade (road-warrior) : un ou plusieurs clients se connectent individuellement au serveur VPN pour accéder au LAN (cas typique pour un portable, un smartphone, etc.).
  • Site à site : deux réseaux complets sont reliés (par exemple domicile ↔ bureau), chaque routeur faisant office de client/serveur VPN pour son côté.

Nous nous concentrons ici sur le scénario “accès nomade” le plus fréquent.

2. Où héberger le serveur VPN personnel ?

Pour accéder à votre réseau ou à votre PC, le serveur VPN doit être joignable depuis Internet. Deux grandes options s’offrent à vous :

2.1 Serveur VPN chez soi (LAN domestique)

Le serveur VPN est installé sur une machine reliée à votre routeur/box :

  • PC dédié, mini PC, machine virtuelle ;
  • NAS ;
  • éventuellement un routeur avancé prenant en charge un serveur VPN.

Avantages :

  • vos données restent intégralement chez vous ;
  • accès direct aux IP locales sans sauts supplémentaires ;
  • vous maîtrisez le chemin entre le VPN et vos équipements.

Inconvénients :

  • dépendance à la qualité de votre connexion domestique (débit montant, stabilité) ;
  • nécessité de gérer l’exposition d’un port côté box (redirection de port) ;
  • éventuels problèmes avec les FAI qui fournissent des IP non publiques ou NATées.

2.2 Serveur VPN sur un VPS externe

Le serveur VPN est installé sur un serveur virtuel (VPS) loué dans un datacenter. Le scénario classique est alors :

  • PC distant ↔ VPN (VPS) ↔ retour vers le LAN via un autre tunnel ou d’autres mécanismes ;
  • ou bien usage du VPN perso pour sécuriser la navigation, mais pas forcément l’accès direct à un LAN domestique.

Pour un accès direct à votre réseau local, la solution la plus simple reste souvent le serveur VPN directement hébergé sur votre LAN domestique.

3. Pré-requis techniques côté réseau domestique

Pour rendre un serveur VPN accessible depuis Internet, côté connexion domestique, il faut :

  • une IP publique (ou au minimum la possibilité d’atteindre votre box depuis l’extérieur) ;
  • une redirection de port (NAT) depuis la box vers le serveur VPN ;
  • idéalement un nom de domaine ou un service DNS dynamique pour gérer les changements d’IP.

3.1 IP publique et NAT

Beaucoup de FAI placent les clients derrière un NAT opérateur (CGNAT). Dans ce cas :

  • votre box n’a pas d’IP publique directement joignable ;
  • vous ne pouvez pas configurer une redirection de port atteignable depuis Internet.

Dans ce scénario, héberger le serveur VPN directement chez soi devient difficile, à moins de demander une IP publique dédiée ou d’utiliser une autre architecture (par exemple un relais sur un VPS).

Si vous disposez bien d’une IP publique :

  • vous configurez un port entrant (par exemple UDP 51820 pour WireGuard, UDP 500/4500 pour IKEv2/IPsec, etc.) ;
  • vous le redirigez vers l’adresse IP privée du serveur VPN (ex : 192.168.1.10).

3.2 DNS dynamique (DynDNS, etc.)

Les IP publiques des accès résidentiels sont souvent dynamiques (changent à la reconnection de la box ou périodiquement). Pour éviter de mémoriser l’IP, on utilise un service de DNS dynamique :

  • le routeur ou un client sur le LAN met à jour automatiquement un enregistrement DNS (par exemple monvpn.maison.example) ;
  • le poste distant se connecte toujours via ce nom de domaine, même si l’IP a changé.

Côté client VPN, on configure toujours le FQDN, pas l’IP directement.

4. Adressage IP et routage entre VPN et LAN

Sur le serveur VPN, on définit généralement :

  • un réseau VPN dédié, par exemple 10.8.0.0/24 ;
  • une IP serveur dans ce réseau (10.8.0.1) ;
  • une plage pour les clients (10.8.0.10–10.8.0.50, par exemple).

Le serveur VPN doit ensuite :

  • connaître le réseau LAN (par ex. 192.168.1.0/24) ;
  • router le trafic entre 10.8.0.0/24 et 192.168.1.0/24 ;
  • autoriser ce forwarding au niveau du système (paramètre de routage IP, règles de pare-feu).

Côté client, les routes suivantes doivent exister :

  • route vers 10.8.0.0/24 via l’interface VPN ;
  • route vers 192.168.1.0/24 via l’interface VPN (si l’on veut accéder au LAN domestique) ;
  • éventuellement, route par défaut (0.0.0.0/0) via le VPN si l’on veut aussi sortir sur Internet via la maison.

Selon les besoins, on choisit :

  • un mode “full tunnel” (tout passe par le VPN) ;
  • ou un mode “split tunneling” (seuls les réseaux 10.8.0.0/24 et 192.168.1.0/24 sont routés dans le tunnel).

5. Exemple de flux : accéder à son PC ou à son NAS via VPN

Supposons le scénario suivant :

  • Réseau domestique : 192.168.1.0/24 ;
  • Serveur VPN : 192.168.1.10 (LAN) et 10.8.0.1 (VPN) ;
  • NAS : 192.168.1.20 ;
  • PC fixe : 192.168.1.30 ;
  • Client VPN : IP 10.8.0.11 une fois connecté.

Après connexion du client :

  1. Le client établit un tunnel chiffré vers le serveur (FQDN résolu en IP publique).
  2. Il reçoit l’adresse 10.8.0.11 dans le réseau VPN.
  3. Une route est ajoutée vers 192.168.1.0/24 via 10.8.0.1 (interface VPN).
  4. Quand le client cible 192.168.1.20 (NAS), le paquet part dans le tunnel.
  5. Le serveur VPN déchiffre, route vers le LAN et envoie le paquet à 192.168.1.20.
  6. La réponse du NAS est renvoyée à 10.8.0.11 via le même chemin inverse.

Pour l’utilisateur, accéder à \\192.168.1.20 (ou à une interface web locale) fonctionne comme s’il était sur le même réseau local.

6. Sécurité : points critiques à ne pas négliger

Un VPN personnel mal configuré peut exposer votre réseau plus qu’il ne le protège. Plusieurs points sont essentiels :

6.1 Authentification forte

  • Éviter les simples couples login/mot de passe faibles.
  • Privilégier des mots de passe longs et complexes ou, mieux, des certificats clients / clés asymétriques.
  • Limiter le nombre de comptes VPN et désactiver ceux qui ne sont plus utilisés.

6.2 Pare-feu sur le serveur VPN

  • Autoriser uniquement le port du VPN en entrée depuis Internet (pas d’autres services exposés par défaut).
  • Filtrer les flux entre réseau VPN et LAN si nécessaire (ne pas tout autoriser aveuglément).
  • Journaliser les connexions pour détecter des tentatives suspectes (sans conserver plus de logs que nécessaire).

6.3 Mises à jour et durcissement

  • Maintenir le système du serveur VPN à jour (correctifs de sécurité).
  • Désactiver les services inutiles sur la machine hébergeant le VPN.
  • Limiter l’accès administratif (SSH, RDP) à des IP spécifiques ou à un deuxième facteur d’authentification.

6.4 Limitation des droits des clients

  • Attribuer des plages IP distinctes pour différents types de clients si nécessaire.
  • Appliquer des règles de filtrage selon l’IP du client VPN (par exemple, un smartphone n’a pas besoin du même accès qu’un PC admin).

7. Tests et validation de la configuration

Avant de considérer le VPN comme “opérationnel”, quelques tests s’imposent :

  • Vérifier la connexion de base (client se connecte, IP attribuée) ;
  • Tester l’accès à une ressource locale (ping 192.168.1.20, interface web locale, partage SMB) ;
  • Vérifier le routage avec des commandes de type tracert vers une IP du LAN ;
  • Contrôler les règles du pare-feu en essayant d’accéder à des services qui ne devraient pas être visibles.

Si le VPN est prévu pour aussi véhiculer le trafic Internet :

  • contrôler l’IP publique vue depuis le client (avant/après connexion) ;
  • tester un DNS leak pour s’assurer que les requêtes DNS passent bien par le tunnel.

Conclusion

Créer un VPN personnel pour accéder à son PC ou à son réseau à distance revient à construire un mini “site distant” raccordé de manière chiffrée à son LAN. Sur le plan technique, cela implique :

  • un serveur VPN joignable depuis Internet (IP publique, redirection de port) ;
  • un adressage clair (réseau LAN, réseau VPN) et un routage explicite entre les deux ;
  • une authentification solide et un pare-feu correctement configuré.

Les bénéfices sont importants :

  • accès sécurisé à vos fichiers, à votre NAS, à vos services maintenus à la maison ;
  • possibilité d’administrer votre réseau comme si vous y étiez physiquement ;
  • réduction du besoin d’exposer des ports sensibles directement sur Internet (RDP, interfaces d’admin, etc.).

En contrepartie, vous prenez la casquette d’administrateur réseau : à vous de veiller aux mises à jour, au filtrage, à l’authentification et aux tests réguliers. Si ces fondamentaux sont respectés, un VPN personnel devient un outil puissant, stable et fiable pour faire le lien entre votre environnement local et vos usages nomades, sans dépendre d’un service tiers.

Bien apréhender sa connexion