VIGIL MESH

Documentation

Alternative à OpenVPN : du serveur central au mesh

OpenVPN est un vétéran respecté : un VPN serveur-clients open source, éprouvé par des années de déploiement. Mais son modèle implique d'héberger et d'exposer un serveur, d'entretenir une PKI de certificats, et de faire remonter le trafic par un point central. Chercher une alternative à OpenVPN, ce n'est pas chercher « le même en mieux » : c'est souvent changer de topologie. Cette page compare honnêtement le modèle serveur-clients et le modèle mesh de VIGIL-MESH — connexions directes chiffrées en QUIC/TLS 1.3, zéro port entrant, zéro certificat à gérer soi-même — et montre comment migrer sans tout casser.

Ce qu'OpenVPN fait bien

Commençons par rendre justice à l'original. OpenVPN est open source, étudié et déployé depuis des années, et il fonctionne à peu près partout. Son modèle est limpide : un serveur qui écoute, des clients qui s'y connectent, une autorité de certification qui décide qui entre. Quand on veut tout héberger soi-même, du serveur aux certificats, c'est un choix parfaitement défendable.

  • Éprouvé : des années de production, un protocole audité et largement documenté.
  • Open source de bout en bout : le serveur, les clients et la PKI sont à vous, sur vos machines.
  • Souple sur le transport : il fonctionne en UDP ou en TCP (TLS), ce qui aide sur les réseaux qui ne laissent passer que le TCP.
  • Maîtrise totale de l'admission : c'est votre autorité de certification qui signe — ou révoque — chaque client.

Ce que change une topologie mesh

Un VPN mesh part d'un autre postulat : au lieu de faire converger tous les clients vers un serveur, chaque machine devient un pair du réseau et parle directement aux autres. Trois corvées du modèle serveur-clients disparaissent d'un coup.

Plus de serveur à héberger ni à exposer

Avec un VPN serveur-clients, il faut une machine qui écoute sur un port joignable depuis Internet : redirection sur la box, adresse stable, service exposé et scanné en permanence. Avec VIGIL-MESH, aucun nœud n'ouvre de port entrant : chaque machine établit un seul flux sortant en 443 UDP, comme un navigateur — y compris derrière une box, un pare-feu d'entreprise ou un CGNAT 4G/5G.

Plus de PKI à gérer soi-même

Le modèle classique repose sur une autorité de certification à créer, des certificats à générer, distribuer, renouveler et révoquer. Avec VIGIL-MESH, chaque machine possède une identité par clés Ed25519 et s'enrôle avec une clé à usage unique ; la révocation d'un membre se fait dans la console et prend effet immédiatement. Personne n'entretient d'autorité de certification.

Des chemins directs, pas un détour central

En étoile, le trafic entre deux machines remonte au serveur avant de redescendre : chemin allongé, serveur à dimensionner, point de panne unique. En mesh, le trafic va en direct de machine à machine par le chemin le plus court ; quand le direct n'est pas encore établi, un relais aveugle — sans les clés de session — fait le pont, puis la session migre sans coupure.

Adresses stables et noms

Chaque machine reçoit une adresse stable (dans 100.64.0.0/10) qui la suit sur tous ses réseaux physiques, et un nom court via MagicDNS. Les politiques d'accès (ACL, refus par défaut) décrivent qui joint quoi, réseau par réseau.

Différences de transport : QUIC face à OpenVPN

Au-delà de la topologie, le transport diffère. Chaque session VIGIL-MESH est une connexion QUIC (TLS 1.3), le protocole qui fait tourner HTTP/3 : le chiffrement est intégré au transport, et la session est identifiée indépendamment de l'adresse IP. Le tableau compare des faits, sans jugement de valeur.

CritèreVIGIL-MESH (QUIC)OpenVPN
TopologieMesh : pairs en connexion directeServeur-clients (étoile par défaut)
TransportQUIC / UDP (TLS 1.3)UDP ou TCP (TLS)
Port par défaut443 UDP, comme HTTP/31194 (configurable)
Ressemble à du trafic webOui (comme HTTP/3)Partiellement (TLS)
Changement de réseau ou d'adresse IPMigration de session sans coupureReconnexion
Port entrant à ouvrirAucun, nulle partCôté serveur, oui
IdentitésClés Ed25519 par machine, enrôlement à clé uniqueCertificats signés par votre autorité de certification
Post-quantiqueHybride X25519 + ML-KEM768 par défautNon natif

La migration de session mérite un mot : quand un portable passe du Wi-Fi à la 4G, la connexion QUIC survit au changement d'adresse — rien ne se rétablit, le trafic change simplement de route. Détail du transport sur /docs/vpn-quic, et de la traversée NAT sur /docs/vpn-sans-ouvrir-de-port.

À qui OpenVPN reste adapté

Une page honnête le dit clairement : il existe des situations où OpenVPN reste le bon choix, et où une alternative mesh n'apporterait rien — voire retirerait quelque chose.

  • Vous voulez un contrôle open source total, de bout en bout : avec OpenVPN, le serveur, les clients et la PKI tournent intégralement chez vous. Avec VIGIL-MESH, vous pouvez auto-héberger le relais (la vigie privée), mais le plan de contrôle reste un service géré.
  • Vous voulez précisément un point de passage central : si votre architecture exige que tout le trafic converge en un point unique que vous opérez, le modèle serveur-clients fait exactement cela — c'est sa nature, pas son défaut.
  • Votre réseau ne laisse sortir que du TCP : OpenVPN sait fonctionner en TCP, quand VIGIL-MESH s'appuie sur un flux sortant en 443 UDP.
  • Votre PKI existe déjà et vous tenez à la garder : si l'autorité de certification est un rouage assumé de votre organisation, la faire disparaître n'est pas un gain.

Migrer en douceur, sans rien casser

Le mesh opère au niveau des machines, indépendamment de votre tunnel existant : les deux peuvent cohabiter le temps de la transition. Enrôlez d'abord quelques machines pilotes, vérifiez les flux qui comptent, puis étendez — et décommissionnez le serveur OpenVPN au rythme qui vous convient.

  1. 1
    Créez un compte et un espace de travailC'est le point d'entrée de la console : appareils, réseaux et politiques d'accès s'y gèrent en un seul endroit. Gratuit pour un usage personnel.
  2. 2
    Installez le client sur les machines concernéesCommencez par un périmètre pilote : le serveur qui héberge le service et une ou deux machines qui doivent l'atteindre. Clients disponibles pour Windows, Linux, Android, NVIDIA Jetson et le navigateur.
  3. 3
    Enrôlez chaque machineDans la console : Réseaux → Machines → « Ajouter une machine », puis la clé à usage unique sur la machine. Pas de certificat à générer, pas d'autorité de certification à créer.
  4. 4
    Vérifiez la connectivitéChaque machine reçoit une adresse stable et un nom MagicDNS : un ping entre deux pairs suffit à confirmer que le mesh est en place — pendant que votre tunnel OpenVPN continue de fonctionner à côté.
  5. 5
    Basculez les usages, puis décommissionnezAccédez aux services via l'adresse stable ou le nom de la machine, comme en local. Quand tous les usages sont passés sur le mesh, le serveur OpenVPN peut être éteint — et avec lui le port exposé et la PKI.

Questions fréquentes

Peut-on faire tourner VIGIL-MESH en parallèle d'un serveur OpenVPN existant ?
Oui. Le mesh opère au niveau des machines, indépendamment du tunnel OpenVPN : vous pouvez enrôler un périmètre pilote, vérifier les flux qui comptent, puis étendre machine par machine et décommissionner le serveur quand plus rien n'en dépend.
Faut-il gérer des certificats ou une PKI avec VIGIL-MESH ?
Non. Chaque machine possède une identité par clés Ed25519 et rejoint le réseau avec une clé d'enrôlement à usage unique. Il n'y a pas d'autorité de certification à créer, pas de certificats à distribuer ni à renouveler ; la révocation d'un membre se fait dans la console et prend effet immédiatement.
Faut-il héberger ou exposer un serveur quelque part ?
Non. Aucun nœud n'ouvre de port entrant : chaque machine établit un seul flux sortant en 443 UDP, comme un navigateur web. Quand le chemin direct n'est pas encore établi, un relais structurellement aveugle — sans les clés de session — fait transiter le trafic, et vous pouvez héberger votre propre relais privé si vous le souhaitez.
Dans quels cas vaut-il mieux rester sur OpenVPN ?
Si vous exigez un système open source auto-hébergé de bout en bout (avec VIGIL-MESH, le plan de contrôle reste un service géré), si votre architecture veut précisément un point de passage central que vous opérez, ou si votre réseau ne laisse sortir que du TCP, OpenVPN reste un choix pertinent.
Le chiffrement d'un mesh vaut-il celui d'OpenVPN ?
Les sessions VIGIL-MESH sont des connexions QUIC/TLS 1.3 chiffrées de bout en bout entre les deux machines, avec un échange de clés hybride post-quantique (X25519 + ML-KEM768) par défaut. Relayé ou direct, le chemin ne change rien au chiffrement : le relais ne détient jamais les clés.
Lire ensuiteVPN QUIC : le transport nouvelle génération