Le split tunneling permet de décider quel trafic passe dans le tunnel VPN et quel trafic continue à utiliser la connexion Internet “normale”. Sur un PC Windows, c’est un mécanisme intéressant dès que l’on combine des usages locaux (imprimantes, partages de fichiers, applications métiers) et des besoins de sécurisation ou de routage spécifique vers un réseau distant.

Bien utilisé, le split tunneling améliore les performances, réduit la charge sur le VPN et évite de “casser” certains services locaux. Mal utilisé, il peut au contraire créer des fuites de trafic et une fausse impression de sécurité. Ce texte détaille son fonctionnement, ses cas d’usage et sa mise en œuvre concrète sur PC.

1. Principe du split tunneling : vue réseau

Sans split tunneling, le schéma classique d’un VPN “full tunnel” est simple :

  • une interface réseau virtuelle est créée (adaptateur VPN) ;
  • une route par défaut (0.0.0.0/0) est ajoutée vers cette interface ;
  • tout le trafic IPv4 sortant est envoyé dans le tunnel, à l’exception de routes plus spécifiques.

Avec le split tunneling, on modifie cette logique :

  • le tunnel VPN ne reçoit que certaines routes (par exemple des sous-réseaux privés : 10.0.0.0/8, 192.168.10.0/24, etc.) ;
  • le reste du trafic garde la passerelle locale comme route par défaut (box, routeur, hotspot).

Concrètement, côté Windows, cela se traduit par :

  • une route par défaut continuant de pointer vers la passerelle locale ;
  • des routes plus spécifiques vers le VPN pour certains préfixes ;
  • l’utilisation de l’interface VPN uniquement pour ces destinations ciblées.

Le split tunneling est donc un choix de routage sélectif, pas une fonction magique du VPN lui-même.

2. Types de split tunneling

On distingue principalement deux approches sur PC :

2.1 Split tunneling par réseau (IP / préfixe)

C’est le modèle le plus classique dans un contexte professionnel ou “site à site” :

  • on définit une liste de sous-réseaux distants à atteindre via le VPN (par exemple 10.1.0.0/16, 172.16.0.0/12) ;
  • tout ce qui ne correspond pas à ces préfixes continue d’utiliser la connexion Internet locale.

Avantages :

  • précis, aligné sur la logique réseau (sous-réseaux d’entreprise, VLAN, datacenter) ;
  • pas besoin de gérer application par application ;
  • simple à auditer via route print.

Inconvénients :

  • nécessite de bien connaître les plages IP à protéger ;
  • une erreur de préfixe peut créer une fuite ou un blocage partiel.

2.2 Split tunneling par application

Certains clients VPN avancés permettent de définir :

  • une liste d’applications qui doivent utiliser le VPN ;
  • ou au contraire, une liste d’applications exclues du VPN.

Dans ce modèle, le routage est géré au niveau du client VPN qui intercepte les flux en fonction du processus. Côté Windows, cela peut s’appuyer sur des drivers de filtrage ou de capture plus avancés.

Avantages :

  • comprendre plus facilement pour un utilisateur : “mon navigateur passe dans le VPN, mon jeu n’y passe pas” ;
  • permet des scénarios mixtes sans modifier la table de routage globale.

Inconvénients :

  • fortement dépendant du client VPN utilisé ;
  • plus complexe à auditer techniquement (moins visible dans les routes IP classiques).

3. Quand utiliser le split tunneling ? Cas d’usage typiques

3.1 Accéder à des ressources d’entreprise sans saturer la connexion

Cas fréquent : un PC portable en télétravail doit accéder à des ressources internes (intranet, base de données, fichiers) sans faire passer tout son trafic web grand public par le VPN de l’entreprise.

Dans ce cas, on configure :

  • des routes spécifiques vers les sous-réseaux internes via le tunnel ;
  • Internet reste accessible via la box locale.

Bénéfices :

  • moins de charge sur le concentrateur VPN de l’entreprise ;
  • moins de latence sur les services en ligne qui n’ont pas besoin d’être inspectés par l’entreprise ;
  • meilleure expérience utilisateur en visio, streaming, navigation classique.

3.2 Conserver l’accès au réseau local (imprimantes, NAS, objets connectés)

Avec un VPN “full tunnel”, il est courant de perdre l’accès à :

  • des imprimantes réseau locales ;
  • des partages SMB sur un NAS ;
  • des interfaces d’administration localement routées (box, routeur, équipements domotiques).

Le split tunneling permet de :

  • continuer à parler à l’adresse du réseau local (par exemple 192.168.1.0/24) hors du tunnel ;
  • réserver le VPN pour des plages IP bien définies (sites distants, intranet, serveurs de fichiers d’entreprise).

3.3 Optimiser les performances pour certains usages (jeux, streaming)

Un VPN ajoute de la latence et de la charge CPU, même modérée. Sur des usages comme :

  • jeux en ligne sensibles au ping ;
  • applications temps réel ;
  • services très localisés (CDN géographiquement proche du FAI),

il peut être intéressant que ces flux ne passent pas par le VPN, tout en maintenant le tunnel pour :

  • les outils de travail ;
  • la navigation web professionnelle ;
  • l’accès à un réseau distant spécifique.

4. Quand éviter le split tunneling ?

Le split tunneling ne convient pas à tous les contextes :

  • dans des environnements très sensibles, on préfère souvent un full tunnel pour s’assurer que tout le trafic sortant est contrôlé et inspecté ;
  • en présence d’une politique de sécurité stricte (journalisation centralisée, filtrage obligatoire), le split tunneling peut être interdit car il crée un “chemin parallèle” non supervisé ;
  • dans des pays ou des réseaux à forte censure, les flux hors tunnel restent exposés aux filtrages locaux.

De manière générale : plus le contexte est critique, plus il faut limiter le split tunneling.

5. Mise en œuvre du split tunneling par routes sur Windows

Sur Windows, pour une connexion IKEv2 ou similaire configurée nativement, le split tunneling se gère en deux temps :

  1. désactiver l’utilisation du VPN comme passerelle par défaut ;
  2. ajouter des routes spécifiques vers les réseaux à envoyer dans le tunnel.

5.1 Activer le split tunneling au niveau de la connexion

En interface graphique, via l’ancienne interface réseau :

  1. Ouvrir ncpa.cpl (Win+R, puis taper ncpa.cpl).
  2. Clic droit sur la connexion VPN > Propriétés.
  3. Onglet Réseau, sélectionner Protocole Internet version 4 (TCP/IPv4) > Propriétés.
  4. Cliquez sur Avancé....
  5. Décocher “Utiliser la passerelle par défaut sur le réseau distant”.

En PowerShell, si la connexion est gérée par l’API VPN de Windows : 


Set-VpnConnection -Name "NomDeVotreVPN" -SplitTunneling $true

Cela indique à Windows de ne plus envoyer par défaut tout le trafic dans le tunnel.

5.2 Ajouter des routes vers les réseaux distants

Ensuite, il faut préciser quels réseaux doivent effectivement transiter par le VPN. Avec PowerShell : 


Add-VpnConnectionRoute -ConnectionName "NomDeVotreVPN" -DestinationPrefix "192.168.10.0/24"
Add-VpnConnectionRoute -ConnectionName "NomDeVotreVPN" -DestinationPrefix "10.1.0.0/16"

Chaque préfixe ajouté correspond à un réseau qui sera joint via l’interface VPN. Le reste continue d’utiliser la route par défaut locale.

Vous pouvez contrôler le résultat avec : 


Get-VpnConnection -Name "NomDeVotreVPN"
Get-VpnConnectionRoute -ConnectionName "NomDeVotreVPN"

6. Points de vigilance et vérifications

6.1 Vérifier l’absence de fuite de trafic

Après configuration du split tunneling, il est important de vérifier :

  • que les réseaux distants sont bien atteignables uniquement quand le VPN est connecté ;
  • que les flux censés rester locaux ne passent pas par le tunnel (vérification via tracert, par exemple) ;
  • qu’il n’existe pas de route involontaire qui enverrait du trafic sensible hors VPN.

Exemples de commandes utiles : 


route print
tracert 192.168.10.10
tracert 8.8.8.8

6.2 DNS et split tunneling

Le DNS est un cas particulier. Selon la configuration :

  • les requêtes DNS peuvent continuer à passer par le résolveur local même pour des domaines liés au réseau distant ;
  • ou être redirigées vers un DNS interne via le VPN.

Une mauvaise configuration peut entraîner :

  • des fuites DNS (résolution visible côté FAI ou hotspot, même si le trafic applicatif passe par le VPN) ;
  • des problèmes de résolution pour les domaines internes.

Il est donc recommandé de :

  • vérifier les serveurs DNS utilisés avec et sans VPN (via ipconfig /all) ;
  • tester des domaines internes pour s’assurer qu’ils sont bien résolus via le VPN ;
  • utiliser un test de fuite DNS pour la partie confidentialité.

7. Bonnes pratiques autour du split tunneling

  • Ne l’activer que si vous avez une raison technique claire (performances, accès local, contraintes de capacité).
  • Limiter le nombre de préfixes envoyés dans le tunnel pour garder la config lisible.
  • Documenter les routes ajoutées (qui, quoi, pourquoi), surtout en contexte pro.
  • Tester systématiquement après modification : routage, DNS, accès aux services critiques.
  • Réévaluer régulièrement la nécessité du split tunneling si le contexte de sécurité évolue.

Conclusion

Le split tunneling n’est pas une option “marketing”, mais une décision de routage précise : choisir quels flux sortent via le VPN et lesquels restent sur la route locale. Bien maîtrisé, il permet de concilier sécurité, performances et continuité d’accès aux ressources locales (réseau domestique, imprimantes, NAS, services de FAI).

Mal maîtrisé, il peut créer des angles morts : du trafic que l’on croit protégé sort en clair, des DNS fuient hors tunnel, des services sensibles ne sont que partiellement sécurisés.

La bonne approche consiste à :

  • définir clairement les réseaux ou applications qui doivent absolument passer par le VPN ;
  • configurer le split tunneling de manière explicite (routes, règles, profils) ;
  • vérifier l’ensemble avec des outils simples (route print, tracert, tests DNS, tests d’IP publique).

Utilisé avec rigueur, le split tunneling devient un outil puissant pour adapter le comportement de votre VPN à la réalité de vos usages, plutôt que de subir un tunnel “tout ou rien” parfois trop rigide.

Bien apréhender sa connexion