VIGIL MESH

Documentation

Le VPN expliqué de zéro : tunnels, ports, SSH et RDP

Cette page est un cours, pas une fiche produit. On part de zéro : comment vos machines se parlent sur Internet, ce qu'un VPN change vraiment, ce que sont les ports et pourquoi on les bloque, puis comment un terminal SSH et un bureau à distance RDP fonctionnent — jusqu'au cas où tout cela tourne dans un simple onglet de navigateur. Chaque notion est illustrée par une analogie et un exemple concret. À la fin, vous saurez non seulement quoi faire, mais pourquoi.

Point de départ : comment vos machines se parlent

Commençons par l'image la plus simple. Sur Internet, chaque machine possède une adresse IP — pensez-y comme à une adresse postale. Quand votre ordinateur envoie des données, il les découpe en petits paquets, écrit l'adresse du destinataire sur chacun, et les confie au réseau. Chaque routeur traversé joue le rôle d'un centre de tri : il lit l'adresse et fait suivre. Vos données passent donc entre beaucoup de mains qui ne vous appartiennent pas.

Le chiffrement du web (le cadenas HTTPS) protège le contenu d'une conversation avec un site. C'est indispensable, mais cela ne résout pas le problème qui nous occupe : vos propres machines — le PC de la maison, le serveur du bureau, la caméra de l'atelier, le portable en 4G — vivent chacune derrière une box ou un réseau mobile, ne se voient pas entre elles, et n'ont aucun moyen sûr de se joindre à distance. Pour qu'elles se parlent, la méthode naïve consiste à les exposer sur Internet public. C'est exactement ce qu'il faut éviter, et toute la suite explique pourquoi et comment.

Le VPN : un tunnel privé au milieu d'Internet

VPN signifie Virtual Private Network, réseau privé virtuel. L'analogie la plus juste est celle du tunnel : imaginez un couloir privé et blindé construit à travers l'espace public, qui relie directement vos bâtiments entre eux. De l'extérieur, on ne voit qu'une paroi opaque — impossible de savoir ce qui y circule. À l'intérieur, vos machines se comportent comme si elles étaient dans le même bâtiment, branchées sur le même réseau local.

Techniquement, voici ce qui se passe : chaque machine membre reçoit une adresse privée, valable uniquement dans votre réseau. Quand une machine écrit à une autre, le paquet est chiffré sur place, transporté sur Internet comme n'importe quel trafic (les centres de tri ne voient qu'une enveloppe opaque), puis déchiffré uniquement à l'arrivée, par le destinataire. Personne d'autre — ni les routeurs traversés, ni les relais, ni l'opérateur du service — ne détient la clé.

Exemple concret : votre PC est à Toulouse, votre serveur à Paris, votre téléphone en 4G sur un chantier. Une fois les trois enrôlés dans le même réseau VIGIL-MESH, chacun voit les deux autres par leur adresse privée ou leur nom. Depuis le chantier, taper le nom du serveur suffit — comme s'il était dans la pièce d'à côté :

Depuis n'importe quel membre du réseau
# Joindre le serveur par son nom (MagicDNS), où qu'il soit
ping serveur-paris

# Ouvrir un terminal à distance dessus — port 22 jamais exposé sur Internet
ssh admin@serveur-paris

Dernier point de vocabulaire : les VPN d'entreprise classiques font tout transiter par un serveur central (topologie « en étoile »). VIGIL-MESH est un VPN mesh : les machines se parlent directement, de pair à pair, ce qui raccourcit les chemins et supprime le point de panne central. La comparaison détaillée est dans VPN mesh nouvelle génération.

Créer son réseau : identités et carte des membres

Comment le tunnel sait-il qui a le droit d'entrer ? Pensez à un club très strict. À l'entrée, un registre des membres fait foi : c'est le rôle du contrôleur. Chaque machine qui rejoint le réseau reçoit une carte d'identité infalsifiable : une paire de clés cryptographiques, générée sur la machine elle-même — la clé privée n'en sort jamais. Le contrôleur distribue ensuite à tous la carte du réseau signée : qui est membre, sous quelle adresse, avec quels droits.

  1. 1
    Créer l'espace de travailC'est votre club : un espace où vivront vos réseaux, vos machines et vos règles. Il se crée en quelques clics depuis la console.
  2. 2
    Enrôler chaque machineSur chaque machine, le client génère sa paire de clés puis se présente au contrôleur (clé d'enrôlement, invitation ou approbation manuelle). Une fois acceptée, la machine reçoit son adresse privée stable.
  3. 3
    Les machines se voient par leur nomGrâce à MagicDNS, chaque membre est joignable par un nom lisible (serveur-paris, camera-atelier) plutôt que par une adresse à retenir. Le réseau est prêt.

Le pas-à-pas détaillé, captures à l'appui, est dans Compte et espace de travail puis Enrôler sa première machine.

Les ports : les portes numérotées de chaque machine

Une adresse IP désigne une machine, mais une machine rend souvent plusieurs services à la fois. Voici l'analogie à retenir : une machine est un immeuble, son adresse IP est l'adresse de l'immeuble, et ses ports sont 65 535 portes numérotées. Derrière certaines portes, quelqu'un attend : un service. Derrière la porte 22, un serveur SSH écoute ; derrière la 3389, un bureau à distance RDP ; derrière la 443, un serveur web ; derrière la 554, le flux vidéo d'une caméra. Frapper à une porte, c'est ouvrir une connexion vers ce port.

Porte (port)Service qui écoute derrièreÀ quoi ça sert
22SSHTerminal à distance, transfert de fichiers
80 / 443HTTP / HTTPSSites et API web
554RTSPFlux vidéo d'une caméra IP
3389RDPBureau à distance Windows
5432PostgreSQLBase de données

« Ouvrir un port sur sa box », c'est percer une porte de son immeuble directement sur la rue. Or Internet est une rue très fréquentée : des robots la parcourent en permanence et frappent à toutes les portes de toutes les adresses, méthodiquement. Une porte 3389 (RDP) ouverte sur Internet reçoit ses premières tentatives de connexion en quelques minutes, puis des essais de mots de passe en continu. La plupart des intrusions ne sont pas des attaques ciblées : ce sont des portes laissées sur la rue.

Bloquer et autoriser : les ACL, votre concierge

Mettre toutes les portes à l'abri du tunnel est un immense progrès, mais il reste une question : à l'intérieur du réseau privé, tout le monde doit-il pouvoir ouvrir toutes les portes ? Non. Le stagiaire n'a pas à se connecter à la base de production, et la caméra n'a aucune raison de parler au serveur de paie. C'est le rôle des listes de contrôle d'accès (ACL) : un concierge posté devant chaque porte, qui vérifie le badge de celui qui frappe avant d'ouvrir.

Le principe fondamental s'appelle le refus par défaut : ce qui n'est pas explicitement autorisé est interdit. On n'écrit jamais la liste de ce qu'on bloque — elle serait infinie. On écrit la courte liste de ce qu'on autorise, et tout le reste est refusé d'office. Les règles se lisent de haut en bas, la première qui correspond décide :

SourceDestinationAction
groupe:adminsréseau:prod (tous services)Autoriser
groupe:supervisiontag:cameras (RTSP)Autoriser
machine:prestatairemachine:serveur-ged (port 443)Autoriser
(toute source)(toute destination)Refuser par défaut

Lisez ce tableau comme des phrases : « les admins peuvent tout faire sur la prod » ; « le poste de supervision peut voir les caméras, et uniquement leur flux vidéo » ; « le prestataire ne joint qu'une seule machine, sur un seul port ». Une machine volée ou compromise ne peut frapper qu'aux portes que sa carte d'identité lui permet — et vous pouvez révoquer cette carte à tout moment depuis la console.

Le fonctionnement complet — règles ordonnées, générations signées, vérification hors ligne — est détaillé dans Politiques et ACL.

Le terminal SSH : un clavier à distance dans le tunnel

Le terminal est la plus ancienne et la plus efficace des interfaces : on parle à la machine en texte. On tape une commande, elle répond. SSH (Secure Shell) prolonge cette idée à distance : c'est un clavier branché sur une autre machine, à travers une liaison chiffrée. Chaque touche que vous frappez voyage chiffrée jusqu'à la machine distante ; chaque caractère qu'elle affiche revient chiffré vers votre écran. Celui qui observerait la ligne ne verrait que du bruit.

Concrètement, la machine distante fait tourner un serveur SSH qui écoute derrière la porte 22. Votre client SSH s'y connecte, les deux vérifient leurs clés (la machine prouve qu'elle est bien elle ; vous prouvez que vous êtes bien vous), puis la session commence. Dans un réseau VIGIL-MESH, cette connexion emprunte le tunnel : la porte 22 n'existe que côté réseau privé, jamais côté rue.

Une session SSH à travers le mesh
# Le nom MagicDNS suffit — pas d'IP publique, pas de port ouvert sur la box
ssh admin@serveur-atelier

# Une fois connecté, vous êtes « dans » la machine distante :
admin@serveur-atelier:~$ systemctl status capteurs
admin@serveur-atelier:~$ tail -f /var/log/production.log

Pourquoi est-ce si précieux ? Parce qu'un terminal texte ne pèse presque rien : quelques octets par frappe. Même sur une liaison 4G médiocre depuis un chantier, administrer un serveur en SSH reste fluide. C'est l'outil de prédilection pour tout ce qui est serveur, robot, passerelle industrielle ou machine sans écran.

SSH et RDP depuis un simple onglet de navigateur

SSH transporte du texte. RDP (Remote Desktop Protocol) transporte tout l'écran : vous voyez le bureau de la machine distante, votre souris et votre clavier agissent dessus comme si vous y étiez. C'est l'outil naturel pour un poste Windows, un logiciel graphique, ou pour dépanner un utilisateur. La contrepartie : des images transitent en continu, ce qui demande plus de débit qu'un terminal — et c'est précisément le service qu'il ne faut jamais exposer sur Internet (la porte 3389 est la plus frappée de toutes).

Voici maintenant la partie remarquable. D'ordinaire, il faut installer un client VPN puis un client SSH ou RDP. VIGIL-MESH permet autre chose : l'onglet de navigateur peut devenir un vrai membre du réseau. Le cœur du nœud est compilé en WebAssembly et s'exécute dans la page ; la connexion au mesh passe par WebTransport (QUIC/HTTP3) ; la clé privée est générée dans la page et n'en sort jamais. L'onglet obtient alors sa propre surface de sockets sur le réseau privé — il peut frapper à la porte 22 ou 3389 d'une machine du mesh, exactement comme un client natif.

  1. 1
    La page devient membre du réseauLe cœur WASM s'authentifie avec sa clé, reçoit la carte du réseau signée, et établit sa session chiffrée de bout en bout. Le relais ne voit passer que des octets opaques.
  2. 2
    L'onglet ouvre une connexion TCP dans le tunnelPour un terminal, la page se connecte au port 22 de la machine cible à travers le mesh ; pour un bureau, au port 3389. Aucune passerelle ne déchiffre au milieu : la session SSH ou RDP est négociée entre la page et la machine cible.
  3. 3
    L'interface s'affiche dans la pageLe texte du terminal est rendu dans l'onglet ; pour RDP, l'écran distant est dessiné dans la page et vos frappes repartent par le même chemin chiffré.

Mesurez la différence avec les « bastions web » classiques : ces passerelles terminent la session SSH ou RDP sur leur serveur, puis vous en retransmettent l'affichage — l'opérateur du bastion voit donc votre session en clair. Ici, le déchiffrement n'existe qu'aux deux extrémités : dans votre onglet et sur la machine cible. L'infrastructure transporte, elle ne lit pas.

Terminal SSHBureau RDP
Ce qui transiteDu texte (quelques octets par frappe)L'écran entier (flux d'images)
Idéal pourServeurs, robots, machines sans écranPostes Windows, logiciels graphiques
Besoin en débitMinime — fluide même en 4G faiblePlus élevé — confortable sur bon lien
Porte (port)223389

Le bilan : pourquoi tout faire comme ça

Reprenons l'ensemble du cours en une image. Sans réseau privé : des portes percées sur la rue, des robots qui frappent jour et nuit, des services exposés au premier mot de passe faible. Avec un réseau privé bien tenu : plus aucune porte sur la rue, un tunnel blindé entre vos machines, un concierge devant chaque porte, et vos outils d'administration — terminal comme bureau — accessibles de partout, jusque depuis un onglet de navigateur.

Zéro porte sur la rue

Aucun port ouvert sur la box, rien à scanner : vos services sont invisibles depuis Internet public. La surface d'attaque entrante disparaît.

Chiffré de bout en bout

Chaque session est chiffrée de votre machine à la machine cible. Relais et infrastructure transportent des octets opaques, sans jamais détenir la clé.

Des droits au badge près

Les ACL appliquent le refus par défaut : chaque machine ne joint que ce que sa fonction exige. Une machine compromise reste enfermée dans ses droits.

Accessible de partout

Mêmes adresses, mêmes noms, mêmes règles depuis le bureau, la maison, la 4G — et jusque dans un onglet de navigateur, sans rien installer.

C'est le renversement à retenir : la sécurité ne repose plus sur une accumulation d'exceptions (« ce port-là, ouvert pour ce besoin-là, temporairement ») mais sur un état par défaut sain — tout est fermé, tout est chiffré, et l'on n'ouvre que l'explicite, à l'intérieur d'un réseau qui n'appartient qu'à vous.

Questions fréquentes du débutant

Un VPN me rend-il anonyme sur Internet ?
Non, et ce n'est pas son rôle ici. Les VPN « grand public » promettent de masquer votre adresse en faisant transiter votre navigation par leurs serveurs. Un VPN d'infrastructure comme VIGIL-MESH fait autre chose : il relie vos propres machines dans un réseau privé chiffré. Votre navigation web ordinaire n'y transite pas.
Dois-je encore ouvrir des ports sur ma box ?
Non — c'est précisément l'intérêt. Chaque machine établit elle-même sa connexion sortante vers le réseau ; les services (SSH, RDP, caméras, bases) ne sont joignables que par le tunnel privé. Aucune redirection de port, aucune porte sur Internet public.
SSH ou RDP : lequel utiliser ?
SSH pour tout ce qui se pilote en texte : serveurs Linux, robots, passerelles, machines sans écran. C'est léger et fluide même sur une liaison faible. RDP quand il vous faut l'écran complet : un poste Windows, un logiciel graphique, une session utilisateur à dépanner. Les deux passent par le même tunnel chiffré.
Que se passe-t-il si on me vole un ordinateur enrôlé ?
Vous révoquez sa carte d'identité depuis la console : la machine est retirée de la carte du réseau et ses sessions tombent. Et comme les ACL appliquent le refus par défaut, même avant révocation, la machine volée ne pouvait joindre que ce que ses droits permettaient — pas l'ensemble du réseau.
Lire ensuiteVPN mesh nouvelle génération