Meilleur VPN pour routeurs DD-WRT : sécurisé et haute performance
Meilleurs VPN pour routeurs DD-WRT. Nous avons testé les performances OpenVPN et WireGuard sur le firmware DD-WRT avec des guides de configuration étape par étape.
Top VPNs for DD-WRT
Conclusion : Le firmware DD-WRT déverrouille les fonctionnalités avancées des clients VPN que le firmware stock des routeurs ne propose tout simplement pas. En configurant un VPN directement dans le panneau d’administration DD-WRT, vous chiffrez le trafic pour chaque appareil du réseau sans installer d’applications sur chacun d’eux. Cependant, tous les fournisseurs VPN ne fonctionnent pas de manière fiable sur les builds DD-WRT, donc le choix d’un fournisseur avec un support DD-WRT vérifié est important.
Pourquoi les routeurs DD-WRT sont idéaux pour la protection VPN à l’échelle du réseau
La plupart des routeurs de consommation sont livrés avec un firmware verrouillé qui bloque la configuration du client VPN. DD-WRT change cela. Ce firmware gratuit et open-source remplace le logiciel stock de votre routeur et ouvre un client OpenVPN (ou WireGuard) directement dans l’interface Web du routeur. Cela signifie que chaque téléphone, ordinateur portable, téléviseur intelligent et appareil IoT connecté à votre Wi-Fi bénéficie automatiquement de la protection VPN.
Si vous explorez plus largement les configurations VPN sur routeur, DD-WRT n’est qu’une option parmi Tomato et OPNsense. Mais DD-WRT se distingue car il prend en charge plus de 200 modèles de routeurs, dispose d’une communauté open-source active et offre un contrôle granulaire des règles de routage VPN. Le projet DD-WRT maintient une base de données de routeurs consultable où vous pouvez confirmer votre modèle matériel exact et la version de build requise avant le flashage.
Un VPN crée un tunnel chiffré entre votre appareil et Internet. Pour une explication complète du fonctionnement des VPN, consultez notre guide. Lorsque vous configurez ce tunnel au niveau du routeur via DD-WRT, vous éliminez les installations d’applications par appareil. Ceci est particulièrement utile pour les appareils qui ne supportent pas nativement les applications VPN : consoles de jeux, enceintes intelligentes, caméras de sécurité et anciens lecteurs de streaming.
Avantages spécifiques à DD-WRT par rapport au firmware stock
Les capacités VPN de DD-WRT vont au-delà de ce que tout firmware stock propose :
- Client OpenVPN intégré dans le panneau d’administration. Accédez à Services → VPN dans l’interface Web DD-WRT pour coller votre configuration .ovpn du fournisseur directement.
- Routage basé sur les stratégies. Routez uniquement des appareils spécifiques via le VPN tandis que d’autres utilisent votre connexion Internet ordinaire. Ceci est configuré sous le champ « Policy Based Routing » dans l’onglet client OpenVPN.
- Prévention des fuites DNS. DD-WRT vous permet de définir manuellement les serveurs DNS (par exemple, 10.8.8.1 ou le DNS de votre fournisseur VPN) sous Configuration → Configuration de base, empêchant les requêtes DNS de fuir en dehors du tunnel.
- Kill switch via iptables. DD-WRT prend en charge les règles de pare-feu personnalisées. Vous pouvez ajouter des commandes iptables sous Administration → Commandes pour bloquer tout le trafic si le tunnel VPN tombe. DD-WRT n’a pas de kill switch intégré par interface graphique, donc cela nécessite une configuration manuelle des règles de pare-feu.
- Stockage de configuration basé sur NVRAM. DD-WRT stocke les paramètres dans NVRAM. Les routeurs avec moins de 32 KB de NVRAM peuvent ne pas avoir assez d’espace pour les configurations OpenVPN complètes avec certificats. Vérifiez la capacité NVRAM de votre routeur avant de commencer.
Si vous utilisez actuellement un routeur Linksys, de nombreux modèles Linksys (en particulier la série WRT) sont des cibles populaires de flashage DD-WRT. De même, de nombreux routeurs Asus peuvent exécuter DD-WRT, bien que le firmware Merlin d’Asus soit parfois préféré pour ces modèles.
Versions de build DD-WRT et NVRAM : ce que vous devez savoir
Tous les builds DD-WRT ne sont pas égaux en matière de fonctionnalité VPN. Les anciens builds peuvent manquer complètement de support OpenVPN ou contenir des bugs d’instabilité connus avec les tunnels VPN. Voici ce qu’il faut vérifier avant de flasher :
- La version de build r47525 ou plus récente est requise pour le support du module noyau WireGuard. Les builds plus anciens ne supportent que OpenVPN.
- Une capacité NVRAM minimum de 32 KB est nécessaire pour stocker les certificats OpenVPN, les clés et les chaînes de configuration supplémentaires. Les routeurs avec 64 KB de NVRAM permettent plusieurs profils VPN.
- Le type de build importe. Utilisez les builds « mega » ou « big » pour assurer l’inclusion des modules OpenVPN et iptables. Les builds « mini » et « micro » suppriment la fonctionnalité VPN pour économiser l’espace.
- Vérifiez la base de données des routeurs DD-WRT pour votre numéro de modèle exact. Certains routeurs ont plusieurs révisions matérielles (par exemple, Netgear R7000 v1 vs. v2), et le mauvais build peut endommager l’appareil.
Exécutez nvram show | grep size dans le shell de commande DD-WRT (Administration → Commandes) pour vérifier votre utilisation NVRAM actuelle. Si la NVRAM libre chute en dessous de 5 KB après collage des configurations VPN, le routeur peut devenir instable.
Comportement des fuites DNS sur les builds DD-WRT
Les fuites DNS sont un problème courant sur DD-WRT quand le tunnel VPN est actif mais que les requêtes DNS passent toujours par votre FAI. Cela se produit car DD-WRT utilise par défaut les serveurs DNS attribués par votre FAI à moins que vous les remplaciez manuellement.
Pour prévenir les fuites DNS sur DD-WRT :
- Allez dans Configuration → Configuration de base dans le panneau d’administration DD-WRT.
- Remplacez les champs DNS du FAI par les serveurs DNS de votre fournisseur VPN. NordVPN utilise 103.86.96.100 et 103.86.99.100. PIA utilise 10.0.0.243.
- Alternativement, utilisez un résolveur axé sur la confidentialité comme Quad9 (9.9.9.9) ou Cloudflare (1.1.1.1), bien que le DNS de votre fournisseur VPN soit préféré pour la prévention complète des fuites.
- Sous Services → Options DNSMasq supplémentaires, ajoutez
no-resolvpour empêcher DNSMasq de revenir au DNS du FAI.
Après application de ces paramètres, vérifiez sur un site de test de fuite DNS que toutes les requêtes sont résolues via le tunnel VPN. Certains anciens builds DD-WRT (pré-r40000) ont des bugs DNSMasq connus qui peuvent causer des fuites intermittentes même avec une configuration correcte.
Meilleurs VPN testés sur le firmware DD-WRT
Nous avons évalué les fournisseurs VPN spécifiquement pour la compatibilité DD-WRT. Les critères ci-dessous reflètent ce qui compte réellement lors de la configuration d’un VPN dans l’interface Web DD-WRT, et non seulement la qualité générale du VPN.
| Fournisseur VPN | Guide de configuration DD-WRT | Protocole pris en charge sur DD-WRT | NVRAM minimale requise | Split Tunneling sur DD-WRT | WireGuard sur DD-WRT | Méthode Kill Switch | Vitesse moyenne sur DD-WRT (% de base) |
|---|---|---|---|---|---|---|---|
| NordVPN | Oui — guide d’interface Web DD-WRT étape par étape | OpenVPN (UDP/TCP) | 32 KB+ | Oui, via routage basé sur les stratégies | Partiel (builds plus récents uniquement) | Règles iptables manuelles | ~65-75% |
| ExpressVPN | Oui — spécifique à DD-WRT avec captures d’écran | OpenVPN, Lightway (manuel) | 32 KB+ | Oui, via routage basé sur les stratégies | Pas de support natif | Règles iptables manuelles | ~70-80% |
| Private Internet Access | Oui — wiki DD-WRT avec fichiers .ovpn | OpenVPN, WireGuard | 32 KB+ | Oui, via routage basé sur les stratégies | Oui (builds r47525+) | Règles iptables manuelles | ~70-78% |
| Surfshark | Oui — tutoriel DD-WRT disponible | OpenVPN | 32 KB+ | Oui, via routage basé sur les stratégies | Pas de support natif | Règles iptables manuelles | ~60-70% |
| Mullvad | Oui — fournit les configurations brutes .ovpn et WireGuard | OpenVPN, WireGuard | 32 KB+ | Oui, via routage basé sur les stratégies | Oui (builds r47525+) | Règles iptables manuelles | ~72-80% |
NordVPN offre le plus grand réseau de serveurs pour DD-WRT
NordVPN publie un tutoriel DD-WRT dédié qui vous guide étape par étape dans la configuration de l’onglet Services → VPN. Il fournit des fichiers .ovpn prégénérés pour chaque localisation de serveur, que vous collez directement dans les champs du client OpenVPN DD-WRT.
Les serveurs offusqués de NordVPN aident à contourner la limitation de bande passante du trafic VPN par le FAI. L’obfuscation nécessite des configurations .ovpn spécifiques et les builds OpenVPN patchés XOR disponibles dans le firmware mega DD-WRT. Sur DD-WRT, attendez-vous à des vitesses autour de 65-75% de votre connexion de base en raison de la surcharge OpenVPN sur le matériel du routeur de consommateur. NordVPN ne prend pas actuellement en charge WireGuard nativement sur DD-WRT, bien que NordLynx (leur implémentation WireGuard) fonctionne sur les installations basées sur des applications.
Le guide DD-WRT de NordVPN couvre l’ensemble du processus : télécharger le bon fichier .ovpn, coller le certificat CA et la clé TLS dans les champs DD-WRT, et définir le chiffrement sur AES-256-CBC. Leur guide comprend également les commandes iptables du kill switch spécifiques à leur configuration de serveur.
Meilleur pour : Les utilisateurs qui veulent un grand réseau de serveurs (plus de 6 300 serveurs dans 111 pays) avec des configurations OpenVPN fiables pour DD-WRT.
ExpressVPN fournit la documentation DD-WRT la plus détaillée
ExpressVPN offre l’un des guides de configuration DD-WRT les plus détaillés de l’industrie, complet avec des captures d’écran de chaque champ du panneau d’administration DD-WRT. Ils fournissent des fichiers .ovpn organisés par localisation de serveur et protocole (UDP vs. TCP).
Le protocole Lightway d’ExpressVPN est plus rapide qu’OpenVPN mais nécessite une configuration manuelle sur DD-WRT et peut ne pas fonctionner sur tous les builds. Restez avec OpenVPN pour une fiabilité maximale. La rétention de vitesse sur le matériel DD-WRT atterrit généralement autour de 70-80%, ce qui est solide pour le chiffrement au niveau du routeur.
Un avantage de la documentation DD-WRT d’ExpressVPN : elle couvre les étapes de dépannage pour les problèmes courants comme les échecs de poignée de main TLS et les erreurs d’inadéquation MTU. Ce sont des points de friction fréquents lors de la configuration VPN DD-WRT que d’autres guides de fournisseurs omettent.
Meilleur pour : Les utilisateurs qui veulent une documentation DD-WRT étape par étape et des vitesses cohérentes sur tous les emplacements de serveur.
Private Internet Access prend en charge WireGuard sur DD-WRT
PIA se distingue pour les utilisateurs DD-WRT car elle prend en charge WireGuard sur les builds DD-WRT r47525 et plus récents. WireGuard est considérablement plus rapide qu’OpenVPN sur le matériel du routeur car il utilise moins de CPU. PIA permet également une personnalisation profonde des niveaux de chiffrement, vous permettant d’échanger une certaine sécurité pour la vitesse sur les routeurs moins puissants.
Le prix de PIA figure parmi les plus bas pour les fournisseurs compatibles DD-WRT, généralement autour de 2,03 $/mois sur les plans multi-années. Leur wiki DD-WRT inclut des fichiers .ovpn, des détails de certificats et des modèles de règles de pare-feu pour la configuration du kill switch. PIA documente également comment configurer le split tunneling via le routage basé sur les stratégies de DD-WRT, en spécifiant quelles adresses IP LAN doivent contourner le tunnel.
Meilleur pour : Les utilisateurs soucieux de leur budget avec des builds DD-WRT plus récents qui veulent le support WireGuard sur leur routeur.
Surfshark fonctionne sur DD-WRT mais manque du support WireGuard pour routeur
Surfshark fournit un tutoriel DD-WRT et des fichiers de configuration .ovpn pour OpenVPN. Il prend en charge les connexions simultanées illimitées, ce qui est moins pertinent au niveau du routeur (puisque le routeur lui-même compte comme une connexion) mais utile si vous installez également le VPN sur des appareils individuels en dehors de votre réseau domestique.
La rétention de vitesse sur DD-WRT est légèrement inférieure à 60-70%, en partie parce que Surfshark ne prend pas en charge WireGuard sur DD-WRT. Pour les utilisateurs avec des routeurs alimentés par des processeurs basés sur ARM (comme le Netgear R7000), les performances OpenVPN sont acceptables pour le streaming en 1080p. Cependant, le streaming 4K via le tunnel VPN peut être saccadé sur Surfshark avec les routeurs basés sur MIPS.
Meilleur pour : Les ménages qui ont besoin de connexions d’appareils illimitées sur le routeur DD-WRT et les applications mobiles/laptop.
Mullvad maximise la confidentialité avec WireGuard sur DD-WRT
Mullvad adopte une approche maximale de la confidentialité. Il accepte les paiements anonymes (y compris l’argent par courrier), ne nécessite pas d’e-mail pour s’inscrire et fournit des fichiers de configuration WireGuard et OpenVPN bruts qui fonctionnent sur DD-WRT sans modification.
Mullvad prend en charge WireGuard sur les builds DD-WRT r47525+, ce qui améliore considérablement les vitesses sur le matériel du routeur. La rétention de vitesse de 72-80% en fait l’une des options les plus rapides pour DD-WRT. Le compromis : Mullvad a un réseau de serveurs plus petit (~700 serveurs dans 46 pays) par rapport à NordVPN ou ExpressVPN.
Les configurations WireGuard de Mullvad sont particulièrement propres pour DD-WRT. Vous collez la clé privée, l’adresse du point de terminaison et les IP autorisées directement dans les champs du client WireGuard DD-WRT. Aucune gestion de certificat requise, ce qui économise l’espace NVRAM.
Meilleur pour : Les utilisateurs soucieux de la confidentialité qui veulent WireGuard sur DD-WRT et une collecte minimale de données de leur fournisseur VPN.
Comment configurer un VPN sur DD-WRT : étapes clés
Ceci est un aperçu condensé du processus de configuration à l’intérieur du panneau d’administration DD-WRT. Votre guide DD-WRT du fournisseur VPN aura les détails spécifiques au serveur.
- Flasher le firmware DD-WRT. Téléchargez la version correcte de votre modèle de routeur à partir de la base de données des routeurs DD-WRT. Suivez exactement les instructions de flashage. Un mauvais build peut endommager votre routeur.
- Accédez au panneau d’administration DD-WRT. Ouvrez un navigateur et accédez à
192.168.1.1(par défaut). Connectez-vous avec vos identifiants administrateur. - Accédez à Services → VPN. Activez le client OpenVPN. Vous verrez des champs pour l’adresse IP/nom du serveur, le port, l’appareil tunnel (TUN), le protocole tunnel (UDP) et le chiffrement.
- Collez la configuration de votre fournisseur. Copiez le contenu du fichier .ovpn de votre fournisseur dans le champ « Configuration supplémentaire ». Collez le certificat CA, la clé d’authentification TLS et le certificat client dans leurs champs respectifs.
- Définissez DNS manuellement. Allez dans Configuration → Configuration de base et remplacez les serveurs DNS de votre FAI par les adresses DNS de votre fournisseur VPN (ou utilisez un DNS axé sur la confidentialité comme 9.9.9.9).
- Ajoutez un kill switch (optionnel mais recommandé). Sous Administration → Commandes, collez les règles iptables qui bloquent le trafic WAN quand le tunnel VPN est inactif. Enregistrez comme un script de démarrage.
- Appliquez les paramètres et redémarrez. Cliquez sur « Appliquer les paramètres », puis redémarrez le routeur. Vérifiez le statut VPN sous Statut → OpenVPN pour confirmer que le tunnel est actif.
Performance VPN DD-WRT : à quoi s’attendre
Un VPN au niveau du routeur est toujours plus lent qu’exécuter une application VPN sur un ordinateur portable ou un téléphone moderne. Le goulot d’étranglement est le CPU de votre routeur, qui gère tout le chiffrement et le déchiffrement pour chaque appareil du réseau.
Benchmarks de vitesse typiques sur le matériel DD-WRT :
| Modèle de routeur | CPU | Vitesse OpenVPN | Vitesse WireGuard (si supporté) |
|---|---|---|---|
| Linksys WRT3200ACM | 1.8 GHz ARM (Marvell) | 50-80 Mbps | 100-150 Mbps |
| Netgear R7000 | ARM dual-core 1 GHz | 25-40 Mbps | 60-90 Mbps |
| TP-Link Archer C7 | 720 MHz MIPS | 10-18 Mbps | Non supporté |
| Linksys WRT1900ACS | 1.6 GHz ARM | 40-65 Mbps | 80-120 Mbps |
Si vous avez besoin de vitesses supérieures à 100 Mbps via le tunnel VPN, vous aurez besoin soit d’un routeur haut de gamme basé sur ARM avec support WireGuard, soit d’un appareil passerelle VPN dédié.
| Méthode de configuration | Difficulté | Meilleur protocole | Couverture |
|---|---|---|---|
| Routeur DD-WRT avec VPN configuré | Avancé | OpenVPN ou WireGuard | Chaque appareil du réseau |
| Application VPN sur appareil individuel | Facile | WireGuard / IKEv2 | Un appareil à la fois |
| PC/Mac partageant la connexion VPN | Moyen | N'importe quel protocole | Appareils connectés via point d'accès/Ethernet |
Dépannage des problèmes courants de VPN DD-WRT
Même avec une configuration correcte, les configurations VPN DD-WRT peuvent rencontrer des problèmes spécifiques. Voici les problèmes les plus fréquents et leurs solutions :
Échec de la poignée de main TLS. Cela signifie généralement que le certificat CA ou la clé TLS a été collé incorrectement. Re-copiez tout le bloc de certificat, y compris les lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----. Confirmez également que l’horloge de votre routeur est correctement définie sous Configuration → Configuration de base, car les certificats TLS expirés ou datés du futur échoueront.
Le VPN se connecte mais aucun trafic Internet ne s’écoule. Vérifiez que l’option « Redirect default Gateway » est activée dans les paramètres du client OpenVPN DD-WRT. Vérifiez également que le pare-feu ne bloque pas le trafic sur l’interface tun0. Ajoutez iptables -I FORWARD -i tun0 -j ACCEPT sous Administration → Commandes si nécessaire.
Vitesses lentes après connexion VPN. Réduisez le chiffrement de AES-256-CBC à AES-128-CBC pour un coup de pouce de vitesse sur les CPU plus faibles. Mieux encore, passez à WireGuard si votre build le supporte. Vérifiez également que l’accélération NAT matérielle est désactivée, car elle entre en conflit avec le tunneling VPN sur certains builds DD-WRT.
Le routeur plante ou redémarre après activation du VPN. Cela indique souvent une NVRAM ou une RAM insuffisante. Vérifiez la mémoire libre sous Statut → Mémoire. Les routeurs avec moins de 128 MB de RAM peuvent avoir du mal à maintenir des tunnels OpenVPN stables, surtout avec plusieurs appareils connectés.
Questions fréquemment posées
Comment configure-t-on un kill switch sur DD-WRT ?
DD-WRT ne comprend pas de kill switch basé sur l’interface graphique. À la place, vous ajoutez des règles de pare-feu iptables personnalisées sous Administration → Commandes. Ces règles bloquent tout le trafic WAN sortant à moins qu’il ne passe par l’interface du tunnel VPN (tun0). La plupart des fournisseurs VPN avec des guides DD-WRT incluent les commandes iptables spécifiques dont vous avez besoin.
WireGuard fonctionne-t-il sur DD-WRT ?
WireGuard est pris en charge sur les builds DD-WRT r47525 et plus récents. Tous les fournisseurs ne supportent pas encore WireGuard sur DD-WRT. Private Internet Access et Mullvad fournissent tous deux des fichiers de configuration WireGuard qui fonctionnent sur les builds compatibles. WireGuard délivre généralement 2-3 fois le débit d’OpenVPN sur le même matériel de routeur.
De combien de NVRAM mon routeur a-t-il besoin pour un VPN sur DD-WRT ?
Vous avez besoin d’au moins 32 KB de NVRAM disponible pour stocker les certificats et la configuration OpenVPN. Exécutez la commande nvram show | grep size via la ligne de commande DD-WRT (Administration → Commandes) pour vérifier votre NVRAM disponible. Les routeurs avec 64 KB ou plus vous donnent de la marge pour des profils VPN supplémentaires.
Puis-je utiliser un VPN gratuit sur un routeur DD-WRT ?
Techniquement oui, mais les fournisseurs VPN gratuits offrent rarement des guides de configuration DD-WRT, des fichiers .ovpn ou un support technique pour les configurations de routeur. Les services gratuits imposent également des limites de données (généralement 500 MB-10 GB/mois) et des limitations de vitesse qui rendent l’utilisation au niveau du routeur peu pratique. Un fournisseur budgétaire comme Private Internet Access à ~2 $/mois est une option plus fiable pour DD-WRT.
Quels routeurs DD-WRT sont les meilleurs pour la performance VPN ?
Les routeurs basés sur ARM surpassent considérablement les routeurs basés sur MIPS. Le Linksys WRT3200ACM (ARM 1.8 GHz) atteint 50-80 Mbps sur OpenVPN et 100-150 Mbps sur WireGuard. Le Netgear R7000 est une bonne option de milieu de gamme. Évitez les routeurs avec des CPU inférieurs à 700 MHz si vous prévoyez d’exécuter un VPN à temps plein.
Dois-je utiliser OpenVPN ou WireGuard sur DD-WRT ?
Utilisez WireGuard si votre build DD-WRT est r47525 ou plus récent et votre fournisseur VPN fournit des configurations WireGuard. WireGuard utilise moins de cycles CPU et délivre 2-3 fois plus rapide que OpenVPN sur le même matériel. Si votre build ne supporte pas WireGuard, OpenVPN avec UDP est la meilleure option suivante pour équilibrer la vitesse et la compatibilité.
Recommandations finales pour les utilisateurs de VPN DD-WRT
Choisir un VPN pour DD-WRT revient à trois facteurs : le fournisseur publie-t-il un guide de configuration spécifique à DD-WRT, prend-il en charge votre protocole préféré sur les builds DD-WRT, et votre matériel de routeur a-t-il assez de puissance de traitement pour gérer le chiffrement sans paralyser vos vitesses ?
Pour la plupart des utilisateurs, NordVPN offre la meilleure combinaison de couverture de serveurs, de documentation DD-WRT et de fonctionnalités de confidentialité. Si vous voulez WireGuard sur DD-WRT pour de meilleures vitesses, Private Internet Access ou Mullvad sont les options les plus solides sur les builds r47525+. ExpressVPN reste un excellent choix pour les utilisateurs qui valorisent les guides de configuration détaillés avec beaucoup de captures d’écran.
Avant de commencer, confirmez que votre modèle de routeur est dans la base de données des routeurs DD-WRT, vérifiez votre capacité NVRAM et téléchargez le numéro de build correct. Si vous hésitez toujours entre les options de firmware ou les marques de routeurs, notre guide VPN pour routeur général couvre le paysage plus large. Nos pages sur les VPN pour routeurs Asus et les VPN pour routeurs Linksys traitent ces écosystèmes matériels spécifiques.