VPN sur Raspberry Pi : construisez votre propre routeur VPN pour le prix d'une pizza

Un Raspberry Pi est l’infrastructure réseau la moins chère que vous posséderez jamais, et le travail VPN est l’une des choses qu’il fait le mieux. Pour le prix d’une pizza et une soirée de configuration, un Pi devient une passerelle VPN pour toute la maison, un serveur DNS bloqueur de pubs, ou votre porte chiffrée personnelle vers votre réseau domestique depuis n’importe où.

Trois projets différents se cachent sous “VPN sur un Pi”. Voici à quoi sert chacun, et comment choisir.

Projet 1 : le Pi comme passerelle VPN pour votre réseau

L’idée : le Pi se connecte à votre fournisseur VPN commercial et partage ce tunnel avec d’autres appareils, agissant comme un petit routeur VPN. Les appareils qui ne peuvent pas installer d’applications VPN (TV, consoles, IoT) passent par le Pi et héritent de la protection, le même objectif que notre guide routeur VPN sans flasher votre routeur principal.

Comment ça marche en pratique : installez le client Linux de votre fournisseur ou une configuration WireGuard sur le Pi (NordVPN fournit un vrai client Linux ; Mullvad, Proton et Windscribe publient des configs WireGuard), activez le transfert IP, et pointez les appareils choisis vers le Pi comme passerelle, ou faites tourner le Pi comme second point d’accès. La performance est la question de planification : un Pi 4 ou Pi 5 pousse WireGuard à des vitesses qui couvrent confortablement le streaming (des centaines de Mbit/s sur un Pi 5) ; les Pi plus anciens créent un goulot d’étranglement important et conviennent mieux aux tâches légères.

Quand c’est mieux qu’un routeur VPN : vous voulez un contrôle par appareil (seule la TV passe par le Pi, tout le reste reste normal), votre routeur FAI ne peut pas être flashé, ou vous aimez bricoler. Quand ce n’est pas le cas : une couverture toujours active pour toute la maison sans maintenance est mieux servie par un vrai routeur faisant tourner WireGuard, et les foyers sans bricoleur devraient plutôt acheter ça.

Projet 2 : le Pi comme votre propre serveur VPN

La direction inverse, et le projet que la plupart des gens veulent vraiment sans en connaître le nom : un logiciel serveur WireGuard (PiVPN rend l’installation presque automatique) sur le Pi à la maison, et votre téléphone ou ordinateur portable s’y connecte depuis n’importe où. Vous obtenez un tunnel chiffré vers votre domicile : votre trafic sort de votre IP domicile, vos services domestiques (NAS, Home Assistant, le serveur multimédia) deviennent accessibles en sécurité, et le Wi-Fi du café ne voit que du bruit.

Ce que ça vous donne que les VPN commerciaux n’offrent pas : l’accès à votre propre réseau et une IP de sortie qui est véritablement la vôtre (les banques adorent ; c’est la version gratuite d’une IP dédiée). Ce que ça ne vous donne pas : changer de localisation (vous ne pouvez pas streamer un autre pays via votre propre cuisine), l’anonymat (la sortie est littéralement votre maison), ou la protection contre la visibilité de votre FAI domicile. Les deux outils résolvent des problèmes différents, c’est pourquoi beaucoup de configurations font tourner les deux.

Prérequis à connaître avant de commencer la soirée : une IP publique ou une traversée NAT fonctionnelle (les connexions CGNAT compliquent l’auto-hébergement ; vérifiez avant de construire), un port redirigé sur votre routeur, et un DNS dynamique si votre IP domestique change. PiVPN plus un service DDNS gratuit gère tout ça avec une documentation conçue pour les débutants.

Projet 3 : Pi-hole plus VPN, la combinaison ultime

Pi-hole, le travail le plus célèbre du Pi, bloque les pubs et traqueurs au niveau DNS pour tout votre réseau. Combiné à l’un ou l’autre des projets ci-dessus, il s’empile : faites tourner Pi-hole aux côtés du serveur WireGuard et votre téléphone à l’étranger bénéficie du blocage de pubs de la maison via le tunnel ; faites-le tourner aux côtés de la configuration passerelle et la TV reçoit un VPN commercial plus blocage publicitaire au niveau réseau en même temps, une version maison des bloqueurs fournisseurs comme la Protection contre les menaces de NordVPN, avec plus de contrôle et plus de maintenance.

Cette combinaison est le vrai aboutissement de la plupart des parcours réseau sur Pi, et ça vaut la peine de le planifier même si vous commencez par un seul projet : un Pi 4 ou 5 fait tourner les deux charges sans difficulté.

Bilan honnête : DIY versus abonnement

Les projets Pi remplacent différentes tranches d’un VPN commercial. Ils le remplacent complètement pour l’accès à distance sécurisé au domicile et pour l’identité de sortie fiable. Ils ne touchent pas les tâches qui nécessitent les serveurs de quelqu’un d’autre : changement de géolocalisation vers d’autres pays, anonymat IP dans la foule, et jeux de juridiction no-logs, qui restent du ressort de l’abonnement. En termes de coût, le Pi gagne sur le fonctionnement à l’électricité uniquement, et perd sur vos heures : la configuration initiale prend une soirée, et les mises à jour, la gestion des certificats et les éventuels enterrements de cartes SD vous appartiennent pour toujours.

Les configurations se composent bien, ce qui est la vraie réponse : un fournisseur commercial pour les tâches orientées monde (le client Linux de NordVPN tourne volontiers sur le même Pi : obtenez-le ici), et votre propre porte WireGuard pour les tâches orientées domicile.

La liste du matériel et les premières étapes

Matériel : Pi 4 ou 5 (2 Go suffisent), bonne carte SD ou SSD USB, Ethernet vers le routeur (le Wi-Fi fonctionne ; les câbles dorment mieux). Chemin logiciel pour le projet serveur : installez PiVPN avec son installateur en une ligne, choisissez WireGuard, ajoutez un nom d’hôte DDNS, générez un profil par appareil, scannez le QR code avec l’application WireGuard. Chemin logiciel pour le projet passerelle : client Linux du fournisseur ou config WireGuard, activez le transfert, configurez le routage ou le point d’accès. Dans tous les cas, terminez comme tous les projets sur ce site : un test de fuite depuis un appareil client, une fois, pour confirmer que le tunnel fait ce que le schéma promettait.

Maintenance : ce que posséder les projets coûte réellement

Les postes honnêtes, annualisés. Mises à jour système : un apt upgrade mensuel et l’occasionnelle mise à jour PiVPN, dix minutes avec un café. Gestion des certificats et des clés : les clés WireGuard n’expirent pas, mais révoquer le profil d’un téléphone perdu ne prend qu’une commande, ça vaut la peine de s’y entraîner avant d’en avoir besoin. La réalité des cartes SD : les cartes meurent ; sauvegardez le répertoire de configuration une fois après la configuration (une commande tar) et une carte morte devient une restauration de vingt minutes plutôt qu’une reconstruction. Et la surveillance IP : si votre FAI change souvent votre adresse domicile, le client DDNS est le composant à surveiller, car chaque connexion distante dépend de sa résolution correcte.

Charge totale honnête : une heure ou deux par an après la soirée de construction, c’est le prix de posséder une infrastructure plutôt que de la louer. Les foyers qui trouvent ce prix trop élevé devraient acheter la configuration purement commerciale sans aucune honte ; cette page existe pour ceux qui trouvent ça amusant.

(Le matériel Pi évolue vite ; le schéma des projets, non. Quelle que soit la génération de carte que vous tenez, le trio passerelle, serveur et Pi-hole ci-dessus s’y adapte, avec le débit comme seule spécification à revérifier par rapport à votre vitesse de connexion.)

Peu d’achats enseignent plus de réseautique par euro ; les projets VPN sont simplement le chapitre le plus immédiatement utile du cursus.

(Les ressources communautaires portent ce que ce survol ne peut pas : les docs PiVPN, le wiki OpenWrt et les guides Linux des fournisseurs sont les références canoniques quand une étape s’écarte de l’instantané de cet article.)

Note cadeau, sincèrement : un Pi avec PiVPN préconfiguré est le cadeau rare qui enseigne au destinataire le réseautique tout en résolvant son problème de Wi-Fi d’hôtel. La documentation se charge des appels d’assistance à votre place.

Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.