VIGIL MESH

Documentation

Accéder à son PC à distance : le bureau Windows, où que vous soyez

Retrouver son poste de travail depuis la maison, dépanner le PC d’un parent, piloter une station de montage puissante depuis un portable léger : accéder à son PC à distance est un besoin quotidien — et la pire façon d’y répondre est d’ouvrir le port RDP sur Internet. VIGIL-MESH fait entrer le PC dans un réseau privé chiffré de bout en bout, où il reste invisible du reste du monde : vous ouvrez alors son bureau avec le client Bureau à distance de Windows en visant simplement son nom, ou directement dans un onglet de navigateur, sans rien installer sur le poste d’où vous intervenez. Zéro port entrant, zéro configuration de box.

Trois situations où l'on veut son PC à distance

Le besoin est toujours le même — voir l’écran d’une machine Windows et agir dessus comme si l’on y était — mais il se présente sous des visages très différents. Trois scénarios reviennent sans cesse :

Le poste du bureau, depuis la maison (et inversement)

Vos logiciels métier, vos licences, vos fichiers vivent sur le poste du bureau. Plutôt que de tout dupliquer, vous ouvrez son bureau depuis chez vous et travaillez dessus, dans son environnement exact. Le soir, le mouvement inverse : récupérer un document resté sur le PC de la maison depuis le bureau. Une fois les deux machines membres du même réseau, l’accès marche dans les deux sens.

Le PC d'un parent, pour l'assistance

« Ça ne marche plus » au téléphone se règle mal ; devant l’écran, en quelques minutes. Enrôlez une fois le PC du parent dans votre réseau privé : vous pourrez ensuite ouvrir son bureau quand il vous appelle, sans redonner d’instructions techniques à distance, et sans que sa machine soit joignable par qui que ce soit d’autre que vous.

La station puissante, depuis un portable léger

La station de montage vidéo, de CAO ou de calcul reste au bureau, avec sa carte graphique et ses disques rapides. Vous vous déplacez avec un portable léger et ouvrez son bureau à distance : l’application tourne sur la machine puissante, seul l’affichage voyage. Le portable n’a besoin ni de la puissance, ni des licences, ni des données.

Windows embarque déjà l’outil pour cela : le Bureau à distance (RDP), intégré au système, avec un rendu fidèle et réactif du poste. Tout le problème est ailleurs : comment joindre ce PC depuis l’extérieur sans le rendre joignable par tout Internet ?

Pourquoi il ne faut jamais exposer le port 3389

Petit rappel utile : une machine est comme un immeuble, son adresse IP est l’adresse de l’immeuble, et ses ports sont des portes numérotées derrière lesquelles des services écoutent. Le Bureau à distance de Windows écoute derrière la porte 3389. La méthode « historique » pour y accéder de l’extérieur consiste à créer une redirection de port sur la box : ce qui arrive sur le port 3389 de votre adresse publique est envoyé au PC. Cela revient à percer cette porte directement sur la rue.

Or Internet est une rue extrêmement fréquentée. Des robots la parcourent en permanence et frappent méthodiquement à toutes les portes de toutes les adresses. Un port RDP ouvert sur Internet est une cible d’attaque classique et massivement documentée : il est repéré par les balayages automatiques, puis soumis à des essais de mots de passe en continu et visé dès qu’une faille du service est publiée. La plupart des intrusions ne sont pas des attaques ciblées — ce sont des portes laissées sur la rue.

  • La redirection de port expose — le service devient joignable par vous, mais aussi par n’importe qui. Sa sécurité repose alors entièrement sur un mot de passe et sur l’absence de faille du logiciel qui écoute.
  • Elle est souvent impossible — sur une connexion 4G/5G ou sur de nombreux accès en CGNAT, le NAT appartient à l’opérateur : il n’y a tout simplement aucun port à ouvrir.
  • Elle est fragile — adresse publique qui change, box remplacée, règle à refaire : l’accès casse précisément le jour où l’on en a besoin, loin de la machine.

Deux chemins vers le même bureau

Avec VIGIL-MESH, le PC rejoint un réseau privé où seules vos machines existent. Chaque membre n’établit que des connexions sortantes — un seul flux en 443 UDP, comme un navigateur web —, reçoit une adresse stable et un nom lisible (MagicDNS), et n’est joignable que par les membres que vos règles autorisent. À partir de là, deux chemins mènent au bureau du PC, selon l’appareil d’où vous partez.

Client Bureau à distance (natif)Bureau dans le navigateur
À installer côté clientLe client VIGIL-MESH + le client RDP de votre systèmeRien : un navigateur suffit
Comment on joint le PCPar son nom MagicDNS, comme s'il était sur le réseau localDepuis la console, onglet Administration du réseau
Idéal pourVos appareils habituels, enrôlés dans le réseauUn poste de passage, un appareil non enrôlé
DisponibilitéDisponible avec tout client RDP standardTerminal SSH disponible ; bureau RDP en construction sur le même socle

Les deux chemins partagent le même fondement : le port 3389 du PC n’est jamais exposé à Internet. Il n’est joignable que par son adresse du réseau privé, sous le contrôle des politiques d’accès.

Chemin 1 : le client Bureau à distance, à travers le mesh

Le premier chemin est le plus naturel si vous utilisez déjà le Bureau à distance sur votre réseau local : rien ne change, sinon la portée. Le PC cible et votre appareil (portable, autre poste, téléphone Android) sont membres du même réseau VIGIL-MESH. Dans le client Bureau à distance, vous saisissez le nom du PC — « pc-bureau », par exemple — au lieu d’une adresse IP : MagicDNS le résout localement en son adresse stable sur le mesh, et la session RDP s’établit à travers le tunnel chiffré.

  • Le même client que d’habitude — la Connexion Bureau à distance de Windows, ou toute application RDP standard capable de viser un nom d’hôte, y compris depuis Android une fois le téléphone enrôlé.
  • Un nom qui ne casse jamais — l’adresse du PC sur le mesh est stable (espace 100.64.0.0/10) et son nom la suit : vos raccourcis et fichiers .rdp restent valides où que vous soyez, sur la fibre de la maison comme en partage de connexion.
  • Rien à reconfigurer en déplacement — le chemin réseau change (Wi-Fi, 4G, hôtel), la session, elle, vise toujours le même nom.

Chemin 2 : le bureau dans un onglet de navigateur

Le second chemin ne demande rien d’installé côté client : n’importe quel navigateur suffit. Dans la console VIGIL-MESH, l’onglet Administration d’un réseau liste les machines en ligne et permet d’ouvrir une session directement dans la page. Le mécanisme est singulier : le cœur du nœud est compilé en WebAssembly et s’exécute dans l’onglet, qui devient un vrai membre — éphémère — du réseau. Le client RDP tourne alors dans votre navigateur et se connecte au port 3389 du PC à travers le mesh.

La différence avec une « passerelle web » classique est essentielle : un bastion web termine la session sur un serveur intermédiaire, qui voit donc votre écran et vos identifiants en clair. Ici, il n’y a pas de terminaison intermédiaire : le protocole commence dans votre onglet et se termine sur le PC. Vos identifiants sont consommés par le client qui s’exécute dans la page ; ils ne transitent jamais par nos serveurs, et le relais ne voit que des paquets opaques.

  • Zéro logiciel côté client — un poste de passage, un appareil prêté ou un ordinateur non enrôlé suffisent : vous vous connectez à votre compte, et l’onglet rejoint le réseau le temps de la session.
  • Y compris depuis un Mac — le chemin navigateur ne dépend pas du système : tout appareil doté d’un navigateur moderne peut ouvrir la console.
  • Une clé qui meurt avec l’onglet — le nœud navigateur est éphémère : sa clé privée est générée dans la page et disparaît en la fermant. Protégez l’accès au compte (MFA) en conséquence.

Performance : pourquoi le chemin direct compte

Un bureau à distance transporte l’écran entier — un flux d’images continu, bien plus exigeant que le texte d’un terminal. La qualité perçue dépend donc directement du chemin que prennent les paquets. C’est ici que l’architecture de VIGIL-MESH pèse : la connexion s’établit immédiatement via un relais, puis migre sans coupure vers le chemin direct de pair à pair dès que la traversée NAT l’a trouvé. En direct, vos paquets vont d’une machine à l’autre sans détour par un serveur : la latence et le débit sont ceux de vos accès Internet des deux côtés, pas ceux d’un intermédiaire.

Soyons honnêtes sur la limite : le chemin direct n’est pas garanti. Quand les deux extrémités sont derrière un NAT symétrique — deux connexions 4G en CGNAT, par exemple —, le trafic reste relayé en permanence par la vigie : la session fonctionne, simplement par un chemin plus long. La vigie est structurellement aveugle (elle ne détient pas les clés), et vous pouvez héberger la vôtre pour que même le chemin relayé passe par une machine à vous.

Verrouiller l'accès : seul votre compte atteint le port RDP

Faire disparaître le PC d’Internet est la première moitié du travail. La seconde est de décider qui, à l’intérieur du réseau privé, a le droit de frapper à sa porte 3389. C’est le rôle des politiques d’accès (ACL), en refus par défaut : ce qui n’est pas explicitement autorisé est interdit. Une seule règle suffit — votre identité, vers ce PC, sur le port du Bureau à distance — et tout le reste du réseau est aveugle à ce service.

  • Des règles par identité — les ACL parlent de comptes, de machines et de groupes, pas d’adresses : la politique survit aux changements d’appareils.
  • Chiffrement dans le chiffrement — la session RDP voyage dans une connexion QUIC/TLS 1.3 de bout en bout, avec échange de clés hybride post-quantique X25519 + ML-KEM. Relais compris, personne au milieu ne détient les clés.
  • Révocation immédiate — un portable perdu ou volé se révoque depuis la console : il sort de la carte du réseau et ses sessions tombent aussitôt.
  • Les protections de Windows restent en place — gardez le mot de passe du compte solide et l’authentification au niveau du réseau (NLA) activée, comme Windows la propose par défaut. Le réseau privé s’ajoute à ces défenses, il ne les remplace pas.

Mettre en place l'accès, pas à pas

  1. 1
    Créez votre espace de travailCréez un compte et un espace de travail dans la console VIGIL-MESH. C’est gratuit pour un usage personnel.
  2. 2
    Installez le client sur les machines concernéesLe PC cible d’abord, puis les appareils depuis lesquels vous voulez y accéder : portable, autre poste, téléphone Android. Le poste de passage qui n’utilisera que le navigateur n’a rien à installer.
  3. 3
    Enrôlez chaque machineDans la console, page Réseaux → Machines → « Ajouter une machine » : l’assistant remet une clé d’enrôlement à usage unique à passer au client.
  4. 4
    Vérifiez la connectivitéChaque machine reçoit son adresse stable et son nom MagicDNS. Un ping vers le nom du PC confirme que le chemin est en place.
  5. 5
    Activez le Bureau à distance sur le PCCôté Windows (édition Pro ou Enterprise) : Paramètres → Système → Bureau à distance, puis activez l’interrupteur. Le compte utilisé doit avoir un mot de passe. Aucune option « accès depuis Internet » à configurer : le réseau privé s’en charge sans exposition.
  6. 6
    Connectez-vous par le nom du PCOuvrez la Connexion Bureau à distance sur votre appareil et saisissez le nom MagicDNS du PC — comme s’il était dans la pièce d’à côté. Ajustez ensuite les ACL pour que seul votre compte atteigne son port RDP.

Questions fréquentes

Faut-il ouvrir le port 3389 ou configurer sa box ?
Non, et c'est tout l'intérêt. Chaque machine n'établit que des connexions sortantes — un seul flux en 443 UDP, comme un navigateur web. Le port 3389 du PC n'est joignable que par son adresse du réseau privé, sous le contrôle des ACL. Cela fonctionne aussi derrière une connexion 4G/5G ou un accès en CGNAT, là où la redirection de port est de toute façon impossible.
Mon PC doit-il rester allumé ?
Oui : pour recevoir une session Bureau à distance, le PC doit être allumé et connecté au réseau. Une machine éteinte ou en veille profonde n'exécute pas le client et n'est pas joignable. Le réglage pragmatique consiste à empêcher la mise en veille du PC (l'écran, lui, peut s'éteindre) pendant les périodes où vous voulez pouvoir y accéder.
Le Wake-on-LAN fonctionne-t-il à travers le mesh ?
Prudence sur ce point. Le paquet magique du Wake-on-LAN est une diffusion de niveau 2, et chaque réseau VIGIL-MESH est un domaine de diffusion : la diffusion traverse le mesh entre les membres (voir la page sur la diffusion L2 et le multicast, /docs/l2-multicast). Mais un PC en veille n'exécute plus le client : le montage le plus fiable est d'avoir sur le même réseau local une petite machine allumée en permanence, membre du mesh, depuis laquelle vous émettez le paquet magique en local. Nous ne garantissons pas la sortie de veille elle-même : elle dépend de la carte réseau, du BIOS/UEFI et de leurs réglages.
Et si le PC est sous Windows Famille (Home) ?
Recevoir une connexion RDP est réservé aux éditions Windows Pro et Enterprise — c'est une règle de Windows, que le réseau ne change pas. Une machine sous Windows Famille peut parfaitement rejoindre le réseau et se connecter vers les autres, mais pas servir de cible Bureau à distance. Alternatives : passer la machine en édition Pro, ou l'administrer par un autre canal du mesh, par exemple un terminal SSH (le serveur OpenSSH de Windows s'installe sur toutes les éditions).
Puis-je accéder à mon PC depuis un Mac ou un téléphone ?
Depuis Android, oui : le client VIGIL-MESH fait entrer le téléphone dans le réseau, et toute application Bureau à distance capable de viser un nom d'hôte joint le PC par son nom MagicDNS. Depuis un Mac ou un appareil sans client dédié, le chemin est le navigateur : la console fonctionne dans tout navigateur moderne, et l'onglet devient un membre éphémère du réseau — le terminal y est disponible, le bureau RDP dans l'onglet arrive sur le même socle.
Quelqu'un peut-il voir ma session — vous compris ?
Non. La session RDP est transportée dans une connexion QUIC/TLS 1.3 chiffrée de bout en bout entre vos deux machines ; le relais éventuel est structurellement aveugle et ne détient pas les clés. Dans le chemin navigateur, vos identifiants sont consommés par le client qui s'exécute dans la page : ils ne transitent jamais par nos serveurs, contrairement à un bastion web qui termine la session au milieu.
Que voit-on sur l'écran physique du PC pendant ma session ?
Le comportement standard de Windows s'applique : quand une session Bureau à distance s'ouvre, l'écran physique du PC se verrouille et affiche l'écran de connexion. Personne dans la pièce ne voit ce que vous faites, et à l'inverse RDP n'est pas fait pour partager l'écran avec une personne assise devant la machine — pour de l'assistance « à quatre mains », un outil de partage d'écran reste plus adapté.
Le réseau est bon mais la connexion RDP est refusée — pourquoi ?
Les causes classiques sont côté Windows ou côté règles, pas côté réseau : le Bureau à distance n'est pas activé sur le PC ; le compte visé n'a pas de mot de passe (Windows refuse les connexions RDP sur un compte sans mot de passe) ; la machine est sous Windows Famille, qui ne peut pas recevoir de connexion RDP ; ou l'ACL du réseau n'autorise pas votre identité à joindre le port 3389 de ce PC. Vérifiez ces quatre points dans cet ordre — un ping qui répond alors que RDP échoue pointe presque toujours vers l'un d'eux.
Lire ensuiteTerminal SSH et bureau à distance dans le navigateur