Un passthrough VPN(nouvelle fenêtre) est une fonctionnalité de routeur qui permet au trafic VPN de traverser votre pare-feu et la traduction d’adresses réseau (NAT)(nouvelle fenêtre). Il ne crée pas la connexion VPN lui-même, mais garantit que votre routeur ne bloque pas la connexion d’un appareil de votre réseau à un VPN externe.

Pour la plupart des entreprises, il ne s’agit pas de quelque chose que vous devez configurer ou auquel vous devez penser. Les VPN approuvés comme Proton VPN sont conçus pour fonctionner avec le NAT par défaut, de sorte que les routeurs gèrent automatiquement le trafic sans qu’il soit nécessaire de configurer des règles spéciales.

Pourquoi le passthrough VPN existe-t-il ?

Un passthrough VPN résout les problèmes de compatibilité entre les anciens protocoles VPN et les infrastructures réseau plus récentes. La plupart des réseaux utilisent le NAT pour permettre à plusieurs appareils de partager une seule adresse IP publique. Bien que cela fonctionne pour le trafic standard, certains anciens VPN n’ont pas été conçus pour le NAT.

Comme les anciens protocoles VPN n’utilisent pas toujours des ports ou des structures standards que le NAT peut interpréter, le routeur ne peut pas déterminer à qui appartiennent les données, et la connexion échoue. Un passthrough VPN sert de solution de contournement pour aider le routeur à reconnaître et à acheminer correctement ce type de trafic.

Comment fonctionne le passthrough VPN ?

Un passthrough VPN est un ensemble de mécanismes intégrés aux routeurs pour prendre en charge des protocoles VPN spécifiques. Lorsqu’il est activé, le routeur :

  • Identifie le trafic VPN à l’aide de protocoles ou de ports spécifiques
  • Applique des règles de traitement spéciales afin que les paquets chiffrés ne soient pas rejetés
  • Permet à la connexion de traverser correctement le NAT

Sans passthrough VPN, le routeur risque de bloquer ou de mal acheminer le trafic, empêchant ainsi le VPN de se connecter.

Types de passthrough VPN

Différents VPN gèrent les données différemment, il n’existe donc pas de type unique de passthrough. Si vous travaillez avec des systèmes plus anciens, vous pouvez voir différents types de passthrough VPN selon le protocole utilisé.

Passthrough PPTP

Le protocole de tunnel de point à point (PPTP) est l’un des types de VPN les plus anciens. Il utilise un protocole appelé Generic Routing Encapsulation (GRE) pour envoyer et recevoir des données. Cependant, le NAT nécessite un numéro de port pour diriger le trafic, et le GRE n’utilise pas de ports, ce qui crée un conflit provoquant la coupure de la connexion.

Le passthrough PPTP résout ce problème en ajoutant un identifiant d’appel (Call ID) aux données. Le routeur traite cet identifiant comme un numéro de port, ce qui permet au trafic de traverser correctement le pare-feu.

Passthrough L2TP

Le protocole de tunnel de niveau 2 (L2TP) fonctionne de manière similaire au PPTP. Pour surmonter l’obstacle du NAT, le passthrough L2TP attribue un identifiant de session (Session ID) aux paquets de données. Cet identifiant remplace le numéro de port, permettant au routeur d’identifier et d’acheminer le trafic vers le bon appareil.

Passthrough IPSec

L’IPSec (Internet Protocol Security) utilise une technologie appelée NAT Traversal (NAT-T) pour naviguer à travers les routeurs. Il encapsule les données IPSec chiffrées dans un paquet UDP standard.

Comme les routeurs savent déjà comment gérer les paquets UDP, le passthrough IPSec peut établir une connexion à l’aide d’un port spécifique (UDP 4500). Cela permet au routeur de mapper et d’acheminer correctement la connexion tout en préservant la sécurité et l’intégrité des données chiffrées.

Quelle est la différence entre un VPN et un passthrough VPN ?

Un VPN est le service qui protège vos données. Il chiffre votre trafic internet et masque votre adresse IP en acheminant votre connexion via un serveur distant sécurisé.

Un passthrough VPN est une fonctionnalité de votre routeur. Il ne chiffre pas vos données, ne masque pas votre adresse IP(nouvelle fenêtre) et n’assure aucune sécurité en soi. Son seul rôle est de reconnaître le trafic VPN et de lui permettre de traverser le pare-feu du routeur.

Si vous utilisez un bon VPN, vous n’avez généralement pas à vous soucier des paramètres de passthrough, car le routeur s’en chargera automatiquement.

Passthrough VPN vs routeur VPN

Ces deux notions sont souvent confondues, mais elles répondent à des besoins très différents :

  • Un routeur VPN chiffre et achemine activement le trafic de chaque appareil qui y est connecté.
  • Un passthrough VPN permet à un appareil individuel de votre réseau de se connecter à un VPN externe.

Les VPN ont-ils besoin du passthrough ?

Dans la plupart des cas, la réponse est non. Les protocoles VPN sont conçus pour gérer automatiquement le NAT. Les protocoles comme WireGuard(nouvelle fenêtre), OpenVPN(nouvelle fenêtre) et IKEv2(nouvelle fenêtre) sont conçus pour permettre aux routeurs de suivre les connexions et d’envoyer des données vers le bon appareil, sans aucune configuration manuelle ni règle spéciale.

Proton VPN s’appuie exclusivement sur des protocoles sécurisés, il est donc compatible par défaut avec les configurations de routeur standards.

  • Aucune configuration manuelle : vous n’avez pas besoin de modifier les paramètres avancés du micrologiciel de votre routeur pour vous connecter.
  • Compatibilité automatique : Proton VPN fonctionne avec la quasi-totalité des équipements réseau domestiques et professionnels, dès sa mise en service.
  • Meilleure sécurité : en évitant les anciens mécanismes de passthrough, vous évitez également les failles de sécurité associées aux protocoles legacy comme le PPTP.

À moins d’utiliser du matériel extrêmement ancien ou un pare-feu d’entreprise très restrictif, vous pouvez vous connecter à Proton VPN sans jamais avoir à ajuster vos paramètres de passthrough.

Avez-vous besoin du passthrough VPN ?

Vous n’aurez peut-être à vous soucier du passthrough VPN que si :

  • Vous utilisez des protocoles VPN legacy comme le PPTP ou le L2TP
  • Vous dépendez d’équipements réseau plus anciens
  • Vous gérez des systèmes spécialisés ou industriels dotés de logiciels obsolètes

Dans le cas contraire, les clients VPN comme Proton VPN gèrent cette compatibilité par défaut.

Le passthrough VPN présente-t-il des risques pour la sécurité ?

La plupart des inquiétudes en matière de sécurité proviennent du fait que le passthrough VPN est conçu pour aider des protocoles plus anciens et moins sécurisés à contourner les protections standards des routeurs.

  • Dépendance à l’égard de protocoles faibles : le passthrough VPN est le plus souvent utilisé pour les protocoles legacy comme le PPTP, qui ne sont plus considérés comme sécurisés et peuvent être facilement exploités lors de cyberattaques.
  • Angles morts du pare-feu : votre pare-feu pourrait ne pas inspecter les données entrant et sortant de la connexion. Si le protocole VPN lui-même est faible, cela crée un chemin d’accès permettant au trafic malveillant de s’introduire sur votre réseau sans être détecté.
  • Surface d’attaque accrue : l’activation du passthrough VPN nécessite souvent l’ouverture de ports de communication spécifiques sur votre routeur. Chaque port ouvert est un point d’entrée potentiel que des attaquants peuvent scanner et tenter d’exploiter.

Meilleures pratiques pour une configuration sécurisée du passthrough VPN

Pour la plupart des entreprises et des particuliers, la meilleure stratégie de sécurité consiste à éviter totalement d’avoir recours au passthrough VPN. Si vous devez l’utiliser, suivez ces étapes pour préserver la sécurité de votre réseau :

  • Privilégiez les protocoles à jour : utilisez des VPN prenant en charge WireGuard ou OpenVPN, qui sont standards pour Proton VPN. Ceux-ci sont conçus pour fonctionner avec les routeurs et le NAT sans nécessiter de passthrough VPN.
  • Désactivez ce que vous n’utilisez pas : Si votre routeur a le VPN passthrough activé par défaut mais que vous utilisez un service comme Proton VPN, vous devriez le désactiver. Réduire le nombre de fonctionnalités actives sur votre routeur diminue votre surface d’attaque.
  • Auditez régulièrement les paramètres de votre routeur : Il est facile d’activer un paramètre pour un dépannage ponctuel et de l’oublier. Vérifiez régulièrement le firmware de votre routeur pour vous assurer que vous ne laissez pas d’accès non sécurisés pour des protocoles legacy que vous n’utilisez plus.
  • Gardez votre matériel mis à jour : Assurez-vous que le firmware de votre routeur est à jour. Les fabricants publient souvent des mises à jour qui corrigent des vulnérabilités liées à la manière dont le routeur gère le trafic chiffré et la gestion des ports.

En fin de compte, vous devriez considérer le VPN passthrough comme un dernier recours pour les systèmes legacy. Si votre infrastructure le permet, passer à une configuration VPN moderne est le moyen le plus efficace d’éliminer ces risques.

L’essentiel

Le VPN passthrough est une solution à un problème de compatibilité entre les anciens protocoles VPN et les réseaux plus récents. Aujourd’hui, il est largement inutile.

La plupart des protocoles VPN, tels que ceux utilisés par Proton VPN, sont conçus pour fonctionner de manière transparente avec le NAT. De ce fait, la plupart des entreprises n’auront jamais besoin de configurer le VPN passthrough. Si vous dépendez encore du passthrough, cela peut indiquer que votre configuration VPN ou votre infrastructure réseau doit être mise à jour.