Pourquoi OpenVPN, et quand le choisir
OpenVPN est le vétéran des VPN auto-hébergés : plus de vingt ans d'existence, audité de fond en comble, et pris en charge par toutes les applications VPN et tous les routeurs de la planète. Ce n'est pas l'option la plus rapide - WireGuard le bat en vitesse et en autonomie - mais il a un atout qui manque à WireGuard : il peut fonctionner en TCP sur le port 443, le même port que le HTTPS classique. Cela lui permet de se faufiler à travers les pare-feux restrictifs des hôtels, des bureaux et des aéroports qui bloquent tout sauf le trafic web.
Là où OpenVPN n'est pas le bon outil, c'est face à une censure lourde basée sur le DPI. Des systèmes comme le TSPU russe peuvent identifier et bloquer OpenVPN brut tout comme ils bloquent WireGuard brut. Si votre objectif est de contourner ce genre de blocage, utilisez plutôt notre guide VLESS + Reality. Choisissez OpenVPN quand vous voulez un VPN personnel solide comme le roc, universellement compatible, et la liberté de vous cacher sur le port 443.
- Un VPS basé sur KVM bon marché tournant sous Ubuntu 22.04 ou 24.04 (l'installateur prend en charge Ubuntu 18.04 et plus récent).
- Un accès SSH root - votre hébergeur vous l'envoie par e-mail après le paiement.
- Environ 10 minutes. Un script bien entretenu fait les parties difficiles (certificats, pare-feu, routage) à votre place.
root. Vous preferez le protocole moderne le plus rapide ? Voyez notre guide WireGuard.Étape 1 : Se connecter et mettre à jour le serveur
Connectez-vous en SSH (remplacez par l'IP de votre serveur) et installez les dernières mises à jour :
ssh root@YOUR_SERVER_IP
apt update && apt upgrade -y
Étape 2 : Télécharger l'installateur
Nous allons utiliser le célèbre script open-source angristan/openvpn-install. Il installe OpenVPN, génère tous les certificats, configure le pare-feu et le routage, et gère les fichiers clients - les parties qui rendent une installation manuelle d'OpenVPN pénible. Téléchargez-le et rendez-le exécutable :
curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh
Étape 3 : Le lancer et répondre aux questions
Démarrez l'installateur :
./openvpn-install.sh
Il pose une courte liste de questions. Pour la plupart des gens, les valeurs par défaut sont les bonnes - voici quoi choisir :
- IP publique : il détecte automatiquement l'IP de votre serveur. Acceptez-la, sauf si le serveur est derrière un NAT.
- Protocole :
UDPest la valeur par défaut et le plus rapide - gardez-le pour un usage quotidien. Ne choisissezTCPque si vous avez spécifiquement besoin de vous cacher sur le port 443 (voir l'astuce ci-dessous). - Port : gardez la valeur par défaut
1194pour l'UDP. Si vous avez choisi TCP pour passer un pare-feu strict, réglez le port sur443. - DNS : choisissez un résolveur public tel que Cloudflare ou Quad9 afin que vos requêtes ne fuient pas vers votre fournisseur local.
- Chiffrement et certificat : acceptez simplement les valeurs par défaut - le script utilise des réglages modernes et sûrs (AES-128-GCM, ECDSA).
- Nom du client : tapez un nom court pour votre premier appareil, par exemple
phone. - Protection par mot de passe : le script demande si le client doit être sans mot de passe ou protégé par mot de passe. Ajouter un mot de passe rend un fichier
.ovpnvolé inutilisable sans celui-ci - ça vaut le coup pour un téléphone ou un ordinateur portable qui pourrait être perdu.
Le script tourne pendant une minute et se termine en créant un fichier de configuration client se terminant par .ovpn dans le dossier /root.
TCP et le port 443 à ces questions - décidez maintenant, car pour changer le protocole ou le port plus tard, vous devrez désinstaller OpenVPN et le réinstaller. Sur 443, votre VPN utilise le même port que le HTTPS, il se faufile donc à travers les pare-feux d'hôtels, de cafés et d'aéroports qui ne filtrent que par numéro de port. Il n'est pas invisible pour autant : un DPI intelligent peut quand même détecter que c'est un VPN, donc ce n'est pas un moyen de contourner la censure (pour cela, utilisez VLESS + Reality, lié ci-dessus). Et le TCP est nettement plus lent - encapsuler votre trafic TCP dans un tunnel TCP peut s'effondrer en cas de perte de paquets (l'effet « TCP meltdown ») - alors ne l'utilisez que lorsqu'un réseau bloque l'UDP.Étape 4 : Transférer le fichier .ovpn sur votre appareil
Tout ce dont un client a besoin se trouve dans ce seul fichier .ovpn - clés, certificats et paramètres. Copiez-le du serveur vers votre ordinateur avec scp (exécutez ceci sur votre ordinateur, en remplaçant le nom et l'IP) :
scp root@YOUR_SERVER_IP:/root/phone.ovpn .
Pour le transférer sur un téléphone, utilisez ce qui est le plus pratique : envoyez-vous le fichier .ovpn dans les « Messages enregistrés » d'une messagerie, déposez-le dans votre espace de stockage cloud puis supprimez-le ensuite, ou récupérez-le depuis le serveur avec une application SFTP graphique comme Cyberduck ou FileZilla. Traitez le fichier comme un mot de passe - quiconque le possède peut se connecter en votre nom, alors supprimez les copies traînantes une fois votre appareil configuré.
Étape 5 : Installer une application client et se connecter
L'application officielle OpenVPN Connect fonctionne sur toutes les plateformes ; sur ordinateur, vous pouvez aussi utiliser des alternatives plus légères. Choisissez la vôtre, importez le fichier .ovpn, et connectez-vous.
Android : installez OpenVPN Connect depuis Google Play. Ouvrez-la, choisissez Import Profile -> File, sélectionnez votre fichier .ovpn, puis appuyez sur l'interrupteur pour vous connecter.
iPhone et iPad : installez OpenVPN Connect depuis l'App Store. Partagez le fichier .ovpn vers l'application (ou utilisez Import -> File), puis activez-la et autorisez le profil VPN.
Windows : installez OpenVPN Connect, cliquez sur Import Profile -> Upload File, sélectionnez votre .ovpn, puis appuyez sur connecter.
macOS : installez OpenVPN Connect ou le logiciel gratuit Tunnelblick. Importez le fichier .ovpn et connectez-vous.
Bureau Linux : installez le CLI avec apt install openvpn et connectez-vous avec openvpn --config phone.ovpn, ou importez le fichier dans NetworkManager pour un interrupteur de connexion en un clic.
Étape 6 : Ajouter ou retirer des appareils plus tard
Donnez à chaque appareil son propre profil afin de pouvoir en révoquer un sans perturber les autres. Pour ajouter un ordinateur portable ou révoquer un téléphone perdu, relancez simplement l'installateur - il détecte le serveur existant et propose un menu :
./openvpn-install.sh
Choisissez Add a new user pour créer un autre .ovpn, ou Revoke existing user pour couper définitivement l'accès à un appareil.
Étape 7 : Vérifier que ça fonctionne
Une fois le client connecté, vérifiez deux choses sur notre page Outils réseau. D'abord, internet devrait maintenant afficher l'IP de votre serveur - indiquée en haut de la page. Ensuite, ouvrez l'onglet DNS Leak Test : les résolveurs listés devraient être le DNS que vous avez choisi à l'étape 3, jamais votre FAI domestique. Si les deux sont corrects, votre tunnel OpenVPN est actif.
Erreurs courantes
- Pare-feu de l'hébergeur cloud. Les grands hébergeurs - AWS, Oracle Cloud, Azure, Google Cloud - ont leurs propres Security Groups dans le panneau web, distincts du pare-feu d'Ubuntu, et votre port y est souvent fermé par défaut. Ouvrez le port choisi (
1194/udp, ou443/tcp) dans le panneau de l'hébergeur aussi, pas seulement dansufw. - Mauvaises attentes sur le protocole. L'UDP est plus rapide mais certains réseaux restrictifs le bloquent - si un Wi-Fi public refuse de se connecter, c'est là que la version TCP-443 prouve son utilité.
- Partager un seul profil. Charger le même
.ovpnsur deux appareils en même temps provoque des coupures. Générez un profil distinct par appareil. - OpenVPN contre la censure. OpenVPN brut, même sur le port 443, est détectable par un DPI avancé. Sur les réseaux fortement censurés, utilisez plutôt VLESS + Reality.
Les limites honnêtes
Un serveur OpenVPN auto-hébergé est privé vis-à-vis de votre réseau local et de votre FAI, mais les limites habituelles de l'auto-hébergement s'appliquent toujours : votre hébergeur VPS peut voir les adresses IP qui se connectent au serveur et, sur une machine virtuelle, peut faire un instantané de sa mémoire vive. Pour réduire ce que votre propre serveur garde sur le disque, poursuivez avec notre guide sur comment faire en sorte que votre VPS ne conserve aucun journal. Et comme toujours, un VPN change l'endroit d'où votre trafic semble provenir - il ne vous place pas au-dessus de la loi de l'endroit où vous vivez.
/etc/openvpn/ dans un endroit sûr, gardez le système à jour avec apt upgrade, et révoquez tout profil que vous n'utilisez plus. Si vous voulez un jour tout supprimer, relancez l'installateur et choisissez Remove OpenVPN.