Les VPN d’entreprise ont longtemps reposé sur des protocoles lourds et robustes comme IPsec ou PPTP.
Puis OpenVPN a imposé une approche plus souple, plus compatible, et plus facile à intégrer dans les environnements hétérogènes.
Aujourd’hui, WireGuard pousse encore plus loin la logique d’efficacité et de simplicité.
Mais entre les deux, le choix n’est pas qu’une question de performance : c’est une question d’architecture, d’administration et d’usage.
1. OpenVPN : la souplesse du modèle centralisé
OpenVPN s’appuie sur un modèle serveur central qui distribue les paramètres réseau aux clients.
Le serveur gère l’authentification, les routes, et peut pousser dynamiquement la configuration aux postes distants.
C’est un fonctionnement de type “Road Warrior managé”, idéal pour des utilisateurs nomades qui se connectent au réseau interne de l’entreprise.
Les points forts :
- Authentification complète via certificats, login/mot de passe, ou RADIUS/LDAP.
- Attribution IP dynamique via DHCP ou serveur interne.
- Gestion centralisée des routes : le serveur décide si le client envoie tout son trafic dans le tunnel ou seulement les sous-réseaux internes.
- Support natif du push DNS, du split tunneling, et de la redirection de passerelle.
- Très mature, compatible avec tous les systèmes et appliances.
Les limites :
- Consommation CPU élevée : chiffrement en espace utilisateur, encapsulation TLS, overhead de 15–20 %.
- Débits plafonnés sur les liens gigabit.
- Démarrage lent à cause du handshake TLS complet.
- Infrastructure PKI lourde à maintenir (certificats, révocations, CRL).
OpenVPN reste une valeur sûre pour les infrastructures complexes et les environnements à fort contrôle administratif.
Mais il demande un vrai serveur d’autorité et un minimum de babysitting technique.
2. WireGuard : la rapidité du modèle minimaliste
WireGuard, lui, supprime presque tout.
Pas de PKI, pas de gestion centralisée : juste des paires de clés publiques/privées, et des fichiers plats de configuration.
Chaque pair connaît les IP autorisées de l’autre, et le tunnel s’établit automatiquement à la première communication.
Les points forts :
- Performances exceptionnelles : jusqu’à 950 Mbit/s sur CPU moderne.
- Latence très faible (1–3 ms).
- Code source minimal, auditable, intégré au noyau Linux.
- Démarrage instantané, pas de TLS ni de négociation complexe.
- Très stable, parfait pour les mobiles, serveurs cloud et petits équipements.
Les limites :
- Administration point à point : chaque client doit avoir une IP fixe, une clé privée et une clé publique déclarée sur le serveur.
- Pas de DHCP, pas de
push route: toutes les routes doivent être écrites à la main côté client. - Pas de gestion native des comptes, ni d’intégration AD/RADIUS.
- Complexité croissante quand on dépasse une dizaine de pairs (serveur à reconfigurer à chaque ajout).
WireGuard est un bijou de performance et de simplicité, mais il repose sur une logique de pairing manuel.
Là où OpenVPN déploie dynamiquement, WireGuard exige une gestion précise de chaque lien.
3. Sécurité et topologie : deux philosophies
| Aspect | OpenVPN | WireGuard |
|---|---|---|
| Authentification | 🟢 PKI complète (CA, certificats, CRL, login) | 🟢 Clés publiques/privées simples |
| Gestion centralisée | 🟢 Oui (serveur maître) | 🔴 Non, configuration distribuée |
| Attribution IP | 🟢 Automatique (DHCP interne) | 🔴 Statique (définie dans chaque peer) |
| Push routes | 🟢 Oui, côté serveur | 🔴 Non, côté client uniquement |
| Sortie totale du trafic (redirect-gateway) | 🟢 Oui, via push "redirect-gateway" | 🟢 Oui, via AllowedIPs = 0.0.0.0/0 côté client |
| Journalisation / audit | 🟢 Très complet | 🔴 Minimaliste |
| Maintenance | 🔴 Lourde, mais automatisable | 🟢 Légère, mais manuelle |
| Cas d’usage optimal | 🟢 VPN d’entreprise multi-utilisateurs | 🟢 Connexions rapides, IoT, Road Warrior, multi-WAN |
4. Sécurité fonctionnelle : le paradoxe du Road Warrior
Un point souvent négligé : le contrôle du trafic sortant.
Avec OpenVPN, le serveur pousse les routes et DNS. Il peut forcer tout le trafic d’un client nomade à passer par le tunnel (utile en environnement d’entreprise, pour surveiller ou filtrer).
WireGuard, en revanche, laisse cette décision au client.
Si la config locale ne définit pas AllowedIPs = 0.0.0.0/0, le poste enverra une partie de son trafic directement sur Internet.
Autrement dit : WireGuard est ultra-rapide, mais il faut être rigoureux dans les configurations, sinon le VPN devient partiel.
5. Performances et latence : avantage WireGuard
Sur un matériel équivalent (CPU x86, AES-NI activé) :
| Test | OpenVPN | WireGuard |
|---|---|---|
| Débit moyen | 300 Mbit/s | 850 Mbit/s |
| Temps d’établissement | 1,5 s | 80 ms |
| Overhead CPU | 🔴 Élevé | 🟢 Faible |
| Consommation mémoire | 🟡 Moyenne | 🟢 Très faible |
WireGuard profite d’une crypto moderne et d’une intégration noyau qui le rend imbattable sur les liens à faible latence ou les environnements virtualisés.
6. En pratique : choisir selon le contexte
| Contexte | Protocole recommandé | Raison principale |
|---|---|---|
| Télétravail multi-utilisateurs | 🟢 OpenVPN | Gestion centralisée, routes dynamiques |
| Lien site-à-site fixe | 🟢 WireGuard | Stabilité et performance |
| Nomades (Road Warrior) | 🟢 WireGuard | Rapidité et simplicité |
| Réseau interne administré (AD, LDAP) | 🟢 OpenVPN | Authentification et politique d’accès |
| Multi-WAN / bonding 5G + fibre | 🟢 WireGuard | Faible latence, reprise rapide |
| IoT / Edge devices | 🟢 WireGuard | Configuration légère, clé statique |
| Parc Windows hétérogène | 🟢 OpenVPN | Compatibilité et gestion des certificats |
7. Conclusion : deux outils, deux logiques
OpenVPN et WireGuard ne s’opposent pas : ils se complètent.
Le premier offre une gestion fine et centralisée, idéale pour les environnements structurés.
Le second apporte une légèreté et une vitesse inégalées, taillées pour les infrastructures modernes, mobiles ou hybrides.
OpenVPN, c’est la maîtrise.
WireGuard, c’est l’efficacité.
Le bon choix, c’est celui qui correspond à la topologie, au niveau de contrôle souhaité et à la maturité de ton administration réseau.
