Documentation
Le VPN expliqué de zéro : tunnels, ports, SSH et RDP
Cette page est un cours, pas une fiche produit. On part de zéro : comment vos machines se parlent sur Internet, ce qu'un VPN change vraiment, ce que sont les ports et pourquoi on les bloque, puis comment un terminal SSH et un bureau à distance RDP fonctionnent — jusqu'au cas où tout cela tourne dans un simple onglet de navigateur. Chaque notion est illustrée par une analogie et un exemple concret. À la fin, vous saurez non seulement quoi faire, mais pourquoi.
Point de départ : comment vos machines se parlent
Commençons par l'image la plus simple. Sur Internet, chaque machine possède une adresse IP — pensez-y comme à une adresse postale. Quand votre ordinateur envoie des données, il les découpe en petits paquets, écrit l'adresse du destinataire sur chacun, et les confie au réseau. Chaque routeur traversé joue le rôle d'un centre de tri : il lit l'adresse et fait suivre. Vos données passent donc entre beaucoup de mains qui ne vous appartiennent pas.
Le chiffrement du web (le cadenas HTTPS) protège le contenu d'une conversation avec un site. C'est indispensable, mais cela ne résout pas le problème qui nous occupe : vos propres machines — le PC de la maison, le serveur du bureau, la caméra de l'atelier, le portable en 4G — vivent chacune derrière une box ou un réseau mobile, ne se voient pas entre elles, et n'ont aucun moyen sûr de se joindre à distance. Pour qu'elles se parlent, la méthode naïve consiste à les exposer sur Internet public. C'est exactement ce qu'il faut éviter, et toute la suite explique pourquoi et comment.
Le VPN : un tunnel privé au milieu d'Internet
VPN signifie Virtual Private Network, réseau privé virtuel. L'analogie la plus juste est celle du tunnel : imaginez un couloir privé et blindé construit à travers l'espace public, qui relie directement vos bâtiments entre eux. De l'extérieur, on ne voit qu'une paroi opaque — impossible de savoir ce qui y circule. À l'intérieur, vos machines se comportent comme si elles étaient dans le même bâtiment, branchées sur le même réseau local.
Techniquement, voici ce qui se passe : chaque machine membre reçoit une adresse privée, valable uniquement dans votre réseau. Quand une machine écrit à une autre, le paquet est chiffré sur place, transporté sur Internet comme n'importe quel trafic (les centres de tri ne voient qu'une enveloppe opaque), puis déchiffré uniquement à l'arrivée, par le destinataire. Personne d'autre — ni les routeurs traversés, ni les relais, ni l'opérateur du service — ne détient la clé.
Exemple concret : votre PC est à Toulouse, votre serveur à Paris, votre téléphone en 4G sur un chantier. Une fois les trois enrôlés dans le même réseau VIGIL-MESH, chacun voit les deux autres par leur adresse privée ou leur nom. Depuis le chantier, taper le nom du serveur suffit — comme s'il était dans la pièce d'à côté :
# Joindre le serveur par son nom (MagicDNS), où qu'il soit
ping serveur-paris
# Ouvrir un terminal à distance dessus — port 22 jamais exposé sur Internet
ssh admin@serveur-parisDernier point de vocabulaire : les VPN d'entreprise classiques font tout transiter par un serveur central (topologie « en étoile »). VIGIL-MESH est un VPN mesh : les machines se parlent directement, de pair à pair, ce qui raccourcit les chemins et supprime le point de panne central. La comparaison détaillée est dans VPN mesh nouvelle génération.
Créer son réseau : identités et carte des membres
Comment le tunnel sait-il qui a le droit d'entrer ? Pensez à un club très strict. À l'entrée, un registre des membres fait foi : c'est le rôle du contrôleur. Chaque machine qui rejoint le réseau reçoit une carte d'identité infalsifiable : une paire de clés cryptographiques, générée sur la machine elle-même — la clé privée n'en sort jamais. Le contrôleur distribue ensuite à tous la carte du réseau signée : qui est membre, sous quelle adresse, avec quels droits.
- 1Créer l'espace de travailC'est votre club : un espace où vivront vos réseaux, vos machines et vos règles. Il se crée en quelques clics depuis la console.
- 2Enrôler chaque machineSur chaque machine, le client génère sa paire de clés puis se présente au contrôleur (clé d'enrôlement, invitation ou approbation manuelle). Une fois acceptée, la machine reçoit son adresse privée stable.
- 3Les machines se voient par leur nomGrâce à MagicDNS, chaque membre est joignable par un nom lisible (serveur-paris, camera-atelier) plutôt que par une adresse à retenir. Le réseau est prêt.
Le pas-à-pas détaillé, captures à l'appui, est dans Compte et espace de travail puis Enrôler sa première machine.
Les ports : les portes numérotées de chaque machine
Une adresse IP désigne une machine, mais une machine rend souvent plusieurs services à la fois. Voici l'analogie à retenir : une machine est un immeuble, son adresse IP est l'adresse de l'immeuble, et ses ports sont 65 535 portes numérotées. Derrière certaines portes, quelqu'un attend : un service. Derrière la porte 22, un serveur SSH écoute ; derrière la 3389, un bureau à distance RDP ; derrière la 443, un serveur web ; derrière la 554, le flux vidéo d'une caméra. Frapper à une porte, c'est ouvrir une connexion vers ce port.
| Porte (port) | Service qui écoute derrière | À quoi ça sert |
|---|---|---|
| 22 | SSH | Terminal à distance, transfert de fichiers |
| 80 / 443 | HTTP / HTTPS | Sites et API web |
| 554 | RTSP | Flux vidéo d'une caméra IP |
| 3389 | RDP | Bureau à distance Windows |
| 5432 | PostgreSQL | Base de données |
« Ouvrir un port sur sa box », c'est percer une porte de son immeuble directement sur la rue. Or Internet est une rue très fréquentée : des robots la parcourent en permanence et frappent à toutes les portes de toutes les adresses, méthodiquement. Une porte 3389 (RDP) ouverte sur Internet reçoit ses premières tentatives de connexion en quelques minutes, puis des essais de mots de passe en continu. La plupart des intrusions ne sont pas des attaques ciblées : ce sont des portes laissées sur la rue.
Bloquer et autoriser : les ACL, votre concierge
Mettre toutes les portes à l'abri du tunnel est un immense progrès, mais il reste une question : à l'intérieur du réseau privé, tout le monde doit-il pouvoir ouvrir toutes les portes ? Non. Le stagiaire n'a pas à se connecter à la base de production, et la caméra n'a aucune raison de parler au serveur de paie. C'est le rôle des listes de contrôle d'accès (ACL) : un concierge posté devant chaque porte, qui vérifie le badge de celui qui frappe avant d'ouvrir.
Le principe fondamental s'appelle le refus par défaut : ce qui n'est pas explicitement autorisé est interdit. On n'écrit jamais la liste de ce qu'on bloque — elle serait infinie. On écrit la courte liste de ce qu'on autorise, et tout le reste est refusé d'office. Les règles se lisent de haut en bas, la première qui correspond décide :
| Source | Destination | Action |
|---|---|---|
| groupe:admins | réseau:prod (tous services) | Autoriser |
| groupe:supervision | tag:cameras (RTSP) | Autoriser |
| machine:prestataire | machine:serveur-ged (port 443) | Autoriser |
| (toute source) | (toute destination) | Refuser par défaut |
Lisez ce tableau comme des phrases : « les admins peuvent tout faire sur la prod » ; « le poste de supervision peut voir les caméras, et uniquement leur flux vidéo » ; « le prestataire ne joint qu'une seule machine, sur un seul port ». Une machine volée ou compromise ne peut frapper qu'aux portes que sa carte d'identité lui permet — et vous pouvez révoquer cette carte à tout moment depuis la console.
Le fonctionnement complet — règles ordonnées, générations signées, vérification hors ligne — est détaillé dans Politiques et ACL.
Le terminal SSH : un clavier à distance dans le tunnel
Le terminal est la plus ancienne et la plus efficace des interfaces : on parle à la machine en texte. On tape une commande, elle répond. SSH (Secure Shell) prolonge cette idée à distance : c'est un clavier branché sur une autre machine, à travers une liaison chiffrée. Chaque touche que vous frappez voyage chiffrée jusqu'à la machine distante ; chaque caractère qu'elle affiche revient chiffré vers votre écran. Celui qui observerait la ligne ne verrait que du bruit.
Concrètement, la machine distante fait tourner un serveur SSH qui écoute derrière la porte 22. Votre client SSH s'y connecte, les deux vérifient leurs clés (la machine prouve qu'elle est bien elle ; vous prouvez que vous êtes bien vous), puis la session commence. Dans un réseau VIGIL-MESH, cette connexion emprunte le tunnel : la porte 22 n'existe que côté réseau privé, jamais côté rue.
# Le nom MagicDNS suffit — pas d'IP publique, pas de port ouvert sur la box
ssh admin@serveur-atelier
# Une fois connecté, vous êtes « dans » la machine distante :
admin@serveur-atelier:~$ systemctl status capteurs
admin@serveur-atelier:~$ tail -f /var/log/production.logPourquoi est-ce si précieux ? Parce qu'un terminal texte ne pèse presque rien : quelques octets par frappe. Même sur une liaison 4G médiocre depuis un chantier, administrer un serveur en SSH reste fluide. C'est l'outil de prédilection pour tout ce qui est serveur, robot, passerelle industrielle ou machine sans écran.
Le bilan : pourquoi tout faire comme ça
Reprenons l'ensemble du cours en une image. Sans réseau privé : des portes percées sur la rue, des robots qui frappent jour et nuit, des services exposés au premier mot de passe faible. Avec un réseau privé bien tenu : plus aucune porte sur la rue, un tunnel blindé entre vos machines, un concierge devant chaque porte, et vos outils d'administration — terminal comme bureau — accessibles de partout, jusque depuis un onglet de navigateur.
Zéro porte sur la rue
Aucun port ouvert sur la box, rien à scanner : vos services sont invisibles depuis Internet public. La surface d'attaque entrante disparaît.
Chiffré de bout en bout
Chaque session est chiffrée de votre machine à la machine cible. Relais et infrastructure transportent des octets opaques, sans jamais détenir la clé.
Des droits au badge près
Les ACL appliquent le refus par défaut : chaque machine ne joint que ce que sa fonction exige. Une machine compromise reste enfermée dans ses droits.
Accessible de partout
Mêmes adresses, mêmes noms, mêmes règles depuis le bureau, la maison, la 4G — et jusque dans un onglet de navigateur, sans rien installer.
C'est le renversement à retenir : la sécurité ne repose plus sur une accumulation d'exceptions (« ce port-là, ouvert pour ce besoin-là, temporairement ») mais sur un état par défaut sain — tout est fermé, tout est chiffré, et l'on n'ouvre que l'explicite, à l'intérieur d'un réseau qui n'appartient qu'à vous.