Documentation
Alternative à OpenVPN : du serveur central au mesh
OpenVPN est un vétéran respecté : un VPN serveur-clients open source, éprouvé par des années de déploiement. Mais son modèle implique d'héberger et d'exposer un serveur, d'entretenir une PKI de certificats, et de faire remonter le trafic par un point central. Chercher une alternative à OpenVPN, ce n'est pas chercher « le même en mieux » : c'est souvent changer de topologie. Cette page compare honnêtement le modèle serveur-clients et le modèle mesh de VIGIL-MESH — connexions directes chiffrées en QUIC/TLS 1.3, zéro port entrant, zéro certificat à gérer soi-même — et montre comment migrer sans tout casser.
Ce qu'OpenVPN fait bien
Commençons par rendre justice à l'original. OpenVPN est open source, étudié et déployé depuis des années, et il fonctionne à peu près partout. Son modèle est limpide : un serveur qui écoute, des clients qui s'y connectent, une autorité de certification qui décide qui entre. Quand on veut tout héberger soi-même, du serveur aux certificats, c'est un choix parfaitement défendable.
- Éprouvé : des années de production, un protocole audité et largement documenté.
- Open source de bout en bout : le serveur, les clients et la PKI sont à vous, sur vos machines.
- Souple sur le transport : il fonctionne en UDP ou en TCP (TLS), ce qui aide sur les réseaux qui ne laissent passer que le TCP.
- Maîtrise totale de l'admission : c'est votre autorité de certification qui signe — ou révoque — chaque client.
Ce que change une topologie mesh
Un VPN mesh part d'un autre postulat : au lieu de faire converger tous les clients vers un serveur, chaque machine devient un pair du réseau et parle directement aux autres. Trois corvées du modèle serveur-clients disparaissent d'un coup.
Plus de serveur à héberger ni à exposer
Avec un VPN serveur-clients, il faut une machine qui écoute sur un port joignable depuis Internet : redirection sur la box, adresse stable, service exposé et scanné en permanence. Avec VIGIL-MESH, aucun nœud n'ouvre de port entrant : chaque machine établit un seul flux sortant en 443 UDP, comme un navigateur — y compris derrière une box, un pare-feu d'entreprise ou un CGNAT 4G/5G.
Plus de PKI à gérer soi-même
Le modèle classique repose sur une autorité de certification à créer, des certificats à générer, distribuer, renouveler et révoquer. Avec VIGIL-MESH, chaque machine possède une identité par clés Ed25519 et s'enrôle avec une clé à usage unique ; la révocation d'un membre se fait dans la console et prend effet immédiatement. Personne n'entretient d'autorité de certification.
Des chemins directs, pas un détour central
En étoile, le trafic entre deux machines remonte au serveur avant de redescendre : chemin allongé, serveur à dimensionner, point de panne unique. En mesh, le trafic va en direct de machine à machine par le chemin le plus court ; quand le direct n'est pas encore établi, un relais aveugle — sans les clés de session — fait le pont, puis la session migre sans coupure.
Adresses stables et noms
Chaque machine reçoit une adresse stable (dans 100.64.0.0/10) qui la suit sur tous ses réseaux physiques, et un nom court via MagicDNS. Les politiques d'accès (ACL, refus par défaut) décrivent qui joint quoi, réseau par réseau.
Différences de transport : QUIC face à OpenVPN
Au-delà de la topologie, le transport diffère. Chaque session VIGIL-MESH est une connexion QUIC (TLS 1.3), le protocole qui fait tourner HTTP/3 : le chiffrement est intégré au transport, et la session est identifiée indépendamment de l'adresse IP. Le tableau compare des faits, sans jugement de valeur.
| Critère | VIGIL-MESH (QUIC) | OpenVPN |
|---|---|---|
| Topologie | Mesh : pairs en connexion directe | Serveur-clients (étoile par défaut) |
| Transport | QUIC / UDP (TLS 1.3) | UDP ou TCP (TLS) |
| Port par défaut | 443 UDP, comme HTTP/3 | 1194 (configurable) |
| Ressemble à du trafic web | Oui (comme HTTP/3) | Partiellement (TLS) |
| Changement de réseau ou d'adresse IP | Migration de session sans coupure | Reconnexion |
| Port entrant à ouvrir | Aucun, nulle part | Côté serveur, oui |
| Identités | Clés Ed25519 par machine, enrôlement à clé unique | Certificats signés par votre autorité de certification |
| Post-quantique | Hybride X25519 + ML-KEM768 par défaut | Non natif |
La migration de session mérite un mot : quand un portable passe du Wi-Fi à la 4G, la connexion QUIC survit au changement d'adresse — rien ne se rétablit, le trafic change simplement de route. Détail du transport sur /docs/vpn-quic, et de la traversée NAT sur /docs/vpn-sans-ouvrir-de-port.
À qui OpenVPN reste adapté
Une page honnête le dit clairement : il existe des situations où OpenVPN reste le bon choix, et où une alternative mesh n'apporterait rien — voire retirerait quelque chose.
- Vous voulez un contrôle open source total, de bout en bout : avec OpenVPN, le serveur, les clients et la PKI tournent intégralement chez vous. Avec VIGIL-MESH, vous pouvez auto-héberger le relais (la vigie privée), mais le plan de contrôle reste un service géré.
- Vous voulez précisément un point de passage central : si votre architecture exige que tout le trafic converge en un point unique que vous opérez, le modèle serveur-clients fait exactement cela — c'est sa nature, pas son défaut.
- Votre réseau ne laisse sortir que du TCP : OpenVPN sait fonctionner en TCP, quand VIGIL-MESH s'appuie sur un flux sortant en 443 UDP.
- Votre PKI existe déjà et vous tenez à la garder : si l'autorité de certification est un rouage assumé de votre organisation, la faire disparaître n'est pas un gain.
Migrer en douceur, sans rien casser
Le mesh opère au niveau des machines, indépendamment de votre tunnel existant : les deux peuvent cohabiter le temps de la transition. Enrôlez d'abord quelques machines pilotes, vérifiez les flux qui comptent, puis étendez — et décommissionnez le serveur OpenVPN au rythme qui vous convient.
- 1Créez un compte et un espace de travailC'est le point d'entrée de la console : appareils, réseaux et politiques d'accès s'y gèrent en un seul endroit. Gratuit pour un usage personnel.
- 2Installez le client sur les machines concernéesCommencez par un périmètre pilote : le serveur qui héberge le service et une ou deux machines qui doivent l'atteindre. Clients disponibles pour Windows, Linux, Android, NVIDIA Jetson et le navigateur.
- 3Enrôlez chaque machineDans la console : Réseaux → Machines → « Ajouter une machine », puis la clé à usage unique sur la machine. Pas de certificat à générer, pas d'autorité de certification à créer.
- 4Vérifiez la connectivitéChaque machine reçoit une adresse stable et un nom MagicDNS : un ping entre deux pairs suffit à confirmer que le mesh est en place — pendant que votre tunnel OpenVPN continue de fonctionner à côté.
- 5Basculez les usages, puis décommissionnezAccédez aux services via l'adresse stable ou le nom de la machine, comme en local. Quand tous les usages sont passés sur le mesh, le serveur OpenVPN peut être éteint — et avec lui le port exposé et la PKI.