Qu’est-ce que la fonction « VPN Passthrough » et comment ça marche ?

Stephen Mash

By Stephen Mash . 30 novembre 2023

IT Specialist

Justin Oyaro

Fact-Checked this

Dans ce guide, je vais expliquer ce qu’est un « VPN passthrough » et comment il fonctionne.

Qu’est-ce qu’un « VPN passthrough » ?
En quelques mots, un « VPN passthrough » est une fonctionnalité de routeur qui permet à tout appareil connecté à ce routeur d’établir une connexion VPN sortante. En revanche, un routeur VPN est un appareil qui implémente activement une connexion VPN. Le « VPN passthrough » est un facilitateur passif pour le trafic VPN.

Lisez ci-dessous pour en savoir plus sur le fonctionnement d’un « VPN passthrough ».
Utilisez le menu de navigation sur la droite (desktop) ou ci-dessous (mobile) pour accéder rapidement aux sections pertinentes.

VPN Passthrough

Pourquoi certains routeurs ont-ils besoin d'une fonction "VPN Passthrough" ?

Il existe principalement deux types de routeurs : ceux qui acceptent nativement une connexion VPN et ceux qui ne le font pas.

Les routeurs qui acceptent nativement une connexion VPN prendront en charge des technologies telles que IPsec (Sécurité du protocole Internet), PPTP (Protocole de tunnel point à point) ou L2TP (Protocole de tunnel de couche deux).

Vous pouvez configurer ce routeur pour qu’il fonctionne comme un serveur VPN ou créer un VPN site à site avec une autre passerelle VPN.

La conception de certains routeurs ne permet pas leur utilisation comme serveurs VPN. Ils ne supportent pas nativement ce type de technologie et bloquent donc le trafic VPN. Pour utiliser un VPN, vous devez contourner cette limitation.

Vous pouvez le faire grâce à la fonction « VPN passthrough ». Lorsqu’elle est activée, le trafic du client VPN passera par Internet et atteindra la passerelle VPN.

La fonction « VPN passthrough » est disponible sur de nombreux routeurs domestiques, et ceux qui la proposent sont largement reconnus comme la norme car ils prennent en charge à la fois les VPN PPTP et les VPN IPsec.

En d’autres termes, cette fonction permettra aux ordinateurs d’un réseau privé d’établir des VPN sortants. Elle n’affecte ni ne perturbe le bon fonctionnement des connexions VPN entrantes.

Le nom vient du fait que cette fonction permet au trafic VPN de passer à travers le routeur. Vous n’avez pas besoin d’ouvrir de ports pour cela. Le processus est entièrement automatique.

Quelle est la différence entre un VPN et un "VPN Passthrough"?

Cette fonction est principalement présente dans les dispositifs de passerelle Internet pour petites entreprises et les routeurs VPN grand public. Ces appareils fonctionnent avec des protocoles VPN tels qu’IPsec, PPTP, L2TP ou même la technologie VPN SSL (Secure Sockets Layer).

Cela signifie qu’ils pourront se connecter à un serveur central ou à la passerelle VPN sans qu’un client VPN soit présent. Ce type de client est incompatible avec un tel routeur, et vous perdrez simplement du temps en essayant de les combiner.

Les dispositifs de réseau pour petites entreprises qui supportent la fonction « VPN passthrough » permettront aux paquets de données du client VPN d’être chiffrés avec la technologie VPN et d’atteindre Internet.

Pourquoi avez-vous besoin du "VPN Passthrough"?

La plupart des routeurs sur le marché sont équipés d’un « VPN passthrough » intégré. Il est nécessaire pour utiliser un VPN qui utilise les protocoles IPsec ou PPTP.

Cependant, le remplacement de ces protocoles de sécurité par des protocoles plus rapides et plus sécurisés, tels qu’OpenVPN et IKEv2/IPsec, a rendu cette fonction obsolète.

Les protocoles VPN sont naturellement incompatibles avec les technologies NAT (Network Address Translation) et PAT (Port Address Translation).

Cette incompatibilité pose problème si vous utilisez des dispositifs en réseau basés sur ces technologies pour partager la même connexion Internet entre plusieurs ordinateurs.

Deux solutions sont possibles dans ce scénario : un « passthrough » PPTP ou un « passthrough » IPsec.

« Passthrough » PPTP et son fonctionnement

La plupart des routeurs se connectent à Internet en utilisant un protocole NAT incompatible avec PPTP. Le « passthrough » PPTP contourne ce problème, permettant aux connexions VPN de traverser le contexte NAT. Cependant, le NAT nécessite l’utilisation de ports pour fonctionner correctement.

PPTP utilise le canal TCP (Transmission Control Protocol) sur le port 1723 pour le contrôle et le protocole GRE (Generic Routing Encapsulation) pour regrouper les données et créer le tunnel VPN, ce qui se fait sans utiliser de ports.

Le GRE natif de PPTP n’a pas besoin de ports pour établir le tunnel VPN. Comme le NAT nécessite une adresse IP valide et un numéro de port, il y a un conflit.

La fonction « passthrough » PPTP fonctionne en reconfigurant la fonction GRE et en améliorant quelques-uns de ses services. Le plus important, c’est qu’il ajoute l’ID d’appel.

Lorsqu’un client PPTP se connecte à un serveur, il crée un ID d’appel unique qu’il insère dans l’en-tête modifié. Cet ID d’appel est alors disponible comme substitut aux ports dans la traduction NAT.

Les ID d’appel sont largement utilisés dans la cartographie des ports PPTP pour identifier de manière unique les clients PPTP qui utilisent NAT.

Il est censé agir nativement comme un substitut uniquement pour le trafic PPTP, mais c’est une procédure non standard qui n’est pas automatiquement reconnue par le routeur.

La fonction « passthrough » PPTP permet au PPTP de passer par le routeur NAT. Elle force le routeur à passer du port standard à celui indiqué par l’ID de l’appelant lorsqu’il rencontre un trafic PPTP.

Cette fonction permet aux clients VPN d’établir des connexions PPTP sortantes.

« Passthrough » IPsec et son fonctionnement

Le « passthrough » IPsec fonctionne en utilisant un NAT-T, le traversal du traducteur d’adresse réseau. La mise en œuvre de cette procédure réseau établira et maintiendra en toute sécurité des connexions IP via des passerelles nécessitant un NAT.

Les VPN IPsec doivent utiliser NAT-T pour fonctionner correctement avec le protocole NAT. Sinon, le trafic ne sera pas chiffré, et aucun tunneling VPN ne sera créé.

Le NAT-T encapsule la charge utile de sécurité dans un paquet UDP (User Datagram Protocol), que NAT reconnaît.

Le processus est bien plus efficace car la base d’IPsec est des protocoles qui doivent être activés complètement pour traverser les pare-feux et les traducteurs d’adresse réseau :

  • Échange de clés Internet (IKE) – le protocole User Datagram (UDP) port 500
  • Traversée NAT IPsec – port UDP 4500, lorsque la traversée NAT est fonctionnelle
  • Charge utile de sécurité encapsulante (ESP) – numéro de protocole IP 50
  • En-tête d’authentification (AH) – numéro de protocole IP 51

De nombreux routeurs ont des fonctions spécifiques intégrées dans leur programme, appelées « passthrough » IPsec. Toutes les versions prises en charge de Microsoft Windows ont la traversée NAT activée par défaut, vous n’avez donc rien à modifier.

Devrais-je désactiver le VPN Passthrough?

Il serait préférable de ne désactiver le VPN passthrough que lorsque cela améliore la sécurité globale. Les ports de communication à travers le pare-feu qui étaient auparavant ouverts et accessibles seront désormais bloqués.

Cependant, cela signifie que tout utilisateur derrière la passerelle ne pourra ni créer ni maintenir une connexion VPN. Cette restriction résultera du blocage des ports VPN au niveau du pare-feu.

Les utilisateurs de VPN sur un réseau SOHO (Small Office Home Office) ne devraient pas bloquer ces ports.

Conclusion

Un VPN passthrough est nécessaire si vous devez utiliser un ancien protocole VPN non pris en charge par le routeur que vous utilisez pour vous connecter à votre réseau ou à Internet.

Si vous utilisez une technologie ancienne, c’est une fonction que vous pourriez avoir besoin d’activer, mais il y a de fortes chances qu’aujourd’hui, elle soit simplement d’intérêt historique.

Routeurs qui supportent le VPN Passthrough

Le routeur le plus fiable et efficace dans ce cas qui est devenu la norme pour le VPN passthrough est le routeur sans fil Netgear WGR614. Il prend en charge pas moins de trois connexions VPN simultanées.

Ensuite, il y a le Netgear FWAG114 ProSafe. Bien qu’un peu plus cher que le précédent, celui-ci prend également en charge les VPN de bout en bout, mieux connus sous le nom de VPN de site à site.

Au final, vous pouvez voir que la procédure VPN passthrough présente de nombreux avantages et presque aucun inconvénient. Elle vous permet efficacement d’utiliser des VPN avec pratiquement tous les routeurs en surmontant leurs paramètres système par défaut.

Maintenant, vous savez quoi faire quand votre routeur ne peut pas se connecter à un VPN. Exécutez le IPSec ou le VPN passthrough PPTP, en fonction du routeur lui-même, et respirez l’air frais de la confidentialité.

Résumé : Dans ce guide, je plonge dans le concept du VPN passthrough, une fonctionnalité du routeur qui permet aux appareils connectés au routeur d’établir des connexions VPN sortantes.
Je discute des raisons pour lesquelles vous pourriez avoir besoin d’un VPN passthrough, des différences entre un VPN et un VPN passthrough, et de la manière dont fonctionnent les passthroughs PPTP et IPsec.

De plus, j’aborde la question de savoir quand désactiver la fonction VPN passthrough et fournis des exemples de routeurs qui supportent cette fonctionnalité.

Ce guide est parfait pour quiconque s’intéresse à comprendre comment fonctionne le VPN passthrough et comment il peut être bénéfique pour les anciens protocoles VPN.

Questions Fréquemment Posées

Certaines personnes ont trouvé utiles les réponses à ces questions

Devrais-je autoriser le VPN passthrough ?

Si votre connexion VPN repose sur d'anciens protocoles VPN tels que PPTP et L2TP, alors oui. Ces protocoles ne s'entendent pas bien avec le NAT. Les routeurs utilisent le NAT pour savoir comment mapper et acheminer les paquets sur les appareils du réseau. Cependant, si vous utilisez une connexion VPN moderne, il n'est pas nécessaire d'activer le VPN passthrough. Les protocoles modernes fonctionnent avec le NAT.


Comment activer mon VPN passthrough ?

Pour vérifier si votre VPN passthrough est activé, vous devez accéder à la page de configuration web de votre routeur. Sur la plupart des routeurs, le réglage du VPN passthrough se trouvera sous l'onglet sécurité ou l'onglet VPN. Assurez-vous que les options suivantes sont activées : IPSec Passthrough, PPTP Passthrough, et L2TP Passthrough. Si elles le sont, vous devriez pouvoir établir une connexion VPN.


Le VPN passthrough est-il sûr ?

Les protocoles proposés pour le VPN passthrough ne sont pas sécurisés. Ils offriront les vitesses les plus rapides au détriment de votre sécurité. Si la sécurité en ligne est une préoccupation pour vous, vous devriez désactiver le VPN passthrough et utiliser des connexions VPN avec des protocoles de sécurité modernes tels que le protocole OpenVPN.


Tous les routeurs disposent-ils d'un VPN passthrough ?

La plupart des routeurs populaires sont équipés d'un VPN passthrough intégré. Cela s'adresse aux utilisateurs historiques qui utilisent encore des connexions VPN basées sur les protocoles IPSec, PPTP et L2TP. Si vous n'utilisez pas ces protocoles, activer cette fonction est inutile.


Devrais-je désactiver le NAT ?

Non. Le NAT est utile car il permet aux routeurs de rediriger le trafic internet vers vos appareils. Votre routeur se connecte généralement à internet avec une adresse IP externe enregistrée. Les appareils connectés à votre routeur utilisent des adresses IP privées. Désactiver le NAT signifie que vous perdrez la connexion internet.


Leave a Comment