Routeur VPN pas cher 2026 : choix et configuration

Si vous lisez ceci, il est probable que vous ayez déjà essayé d'installer une application VPN sur chaque appareil séparément — et que vous en ayez marre. Le téléphone et l'ordinateur portable, ça va encore, mais une Smart TV, Apple TV ou PlayStation sans client VPN natif devient un véritable casse-tête. Un routeur VPN pas cher résout ce problème une fois pour toutes : un tunnel pour tout le réseau domestique. Mais un autre problème se pose : tout matériel bon marché ne peut pas gérer le chiffrement sans transformer votre internet gigabit en 25 Mbit/s.

Voilà de quoi parle ce matériel : comment choisir un bon routeur VPN pas cher, ne pas acheter une brique, configurer WireGuard et ne pas perdre la moitié de la vitesse.

Pourquoi avoir un VPN sur un routeur et qui en a besoin

La réponse honnête : pas tout le monde. Si vous avez deux appareils — un téléphone et un ordinateur portable — il est plus simple d'installer l'application. Un routeur VPN est justifié lorsque vous avez beaucoup d'appareils, dont certains ne supportent pas le VPN, et que vous souhaitez contourner les blocages de YouTube, Instagram, Facebook, Twitter/X sans avoir à jongler avec chaque appareil.

Un VPN pour tous les appareils à la maison en même temps

Un routeur avec VPN est un proxy pour tout le réseau. Une fois connecté, votre téléphone, tablette, ordinateur portable, télévision et console passent déjà par le tunnel. Rien à configurer sur chaque appareil séparément. Les invités viennent chez vous, se connectent à votre Wi-Fi — et sont aussi automatiquement sous VPN.

Quand le routeur est plus pratique qu'une application sur le téléphone

L'application sur le téléphone doit être activée manuellement, elle se déconnecte parfois, il faut la mettre à jour. Un routeur avec un VPN correctement configuré fonctionne en permanence, dès qu'il est allumé. C'est particulièrement important pour les appareils IoT : ampoules intelligentes, télévisions, consoles — elles ne savent pas du tout utiliser des clients VPN.

Smart TV, Apple TV et consoles sans support pour les applications VPN

Sur Android TV, vous pouvez encore installer un client quelconque. Mais Samsung Tizen, LG webOS, Apple TV, PlayStation, Xbox — oubliez le VPN natif. Le seul moyen de faire passer leur trafic par un tunnel est de le faire au niveau du routeur. C'est ici qu'un routeur VPN est indispensable.

Inconvénients : canal partagé, vitesse divisée entre tous

Et ici se trouve le principal problème du matériel bon marché. Tout le trafic de tout le réseau domestique est chiffré par un seul processeur du routeur. Si ce processeur est faible, la vitesse est divisée non seulement entre les appareils, mais est également réduite par le chiffrement lui-même. Si vous lancez une vidéo 4K sur la télévision et un téléchargement sur l'ordinateur portable, le routeur peut tout simplement ne pas s'en sortir.

Que signifie « pas cher » et où se situe la limite d'économie

Un routeur à 1500 ₽ et un routeur à 4000 ₽ — ce ne sont pas la même chose. Le prix dans le segment des modèles bon marché est directement corrélé à la puissance du SoC. Ce n'est pas du marketing, c'est de la physique : le chiffrement AES256 ou ChaCha20 nécessite des cycles de processeur, et une puce faible ne suit tout simplement pas.

Budget jusqu'à 3000 ₽ : que peut-on réellement attendre

Dans cette gamme, vous trouverez des routeurs sur MediaTek MT7621, Qualcomm IPQ4018/4019 et similaires. Le MT7621, par exemple, se trouve dans le Xiaomi Mi Router 3G et plusieurs TP-Link Archer. Avec WireGuard, ce matériel offre entre 50 et 150 Mbit/s — cela dépend de la puce spécifique et du firmware. Avec OpenVPN, on peut raisonnablement attendre 20–50 Mbit/s.

Des options vraiment bon marché jusqu'à 2000 ₽ — des routeurs sur MT7628 ou AR9341 — c'est déjà vraiment mauvais. Là, on a 10–30 Mbit/s sur OpenVPN, et il ne faut pas s'étonner.

Le principal paramètre — le processeur et le support du chiffrement matériel

Regardez deux paramètres : la fréquence du CPU (vous voulez au moins 800–880 MHz) et la présence d'accélération matérielle AES. Le MT7621 prend en charge l'AES matériel, mais seulement dans les firmwares d'origine — dans OpenWrt, il est souvent non utilisé. L'IPQ4019 avec un moteur crypto matériel fonctionne mieux. RAM — minimum 128 Mo, sinon OpenWrt ne pourra tout simplement pas s'installer correctement.

Pourquoi un routeur bon marché réduit la vitesse de WireGuard et OpenVPN

WireGuard utilise ChaCha20 — un algorithme optimisé pour le chiffrement logiciel sans matériel spécial. Sur un CPU faible, il fonctionne mieux que l'AES. OpenVPN, quant à lui, ajoute des frais généraux pour la poignée de main TLS, fonctionne dans l'espace utilisateur via une interface tun et charge le processeur davantage. La différence peut être double sur le même routeur.

Un routeur d'occasion avec support pour un firmware personnalisé comme option

C'est vraiment une bonne idée, dont peu de gens parlent. Keenetic Giga ou Ultra des générations précédentes coûtent entre 1500 et 2500 ₽ sur Avito et ont un processeur normal, un support pour WireGuard dans le firmware d'origine et une grande communauté. L'Asus RT-AC68U d'occasion à 2000–3000 ₽ gère Asus Merlin et OpenVPN à des vitesses décentes. L'essentiel est de vérifier que le firmware est compatible avec la révision spécifique de la carte.

Quels protocoles un routeur bon marché peut gérer : WireGuard, OpenVPN, IKEv2

Le choix du protocole sur un routeur bon marché est un compromis entre la charge sur le CPU, la compatibilité et la résistance à la détection par le fournisseur. Roskomnadzor utilise depuis longtemps le DPI — des systèmes d'inspection approfondie des paquets — et certains fournisseurs ralentissent activement le trafic VPN.

WireGuard — le plus léger pour le matériel faible

WireGuard fonctionne dans le noyau Linux depuis la version 5.6, utilise une cryptographie moderne (ChaCha20, Poly1305, Curve25519) et a une base de code minimaliste. Sur le même MT7621, WireGuard offre environ 2 à 3 fois plus de vitesse que OpenVPN. Si votre fournisseur VPN prend en charge WireGuard — optez pour lui.

OpenVPN — le plus exigeant, réduit la vitesse plus que tous

OpenVPN fonctionne dans l'espace utilisateur, chaque paquet passe par TLS, et le processeur subit une charge sérieuse. Sur les routeurs d'entrée de gamme, cela donne 15–40 Mbit/s au lieu des 100+ possibles. La compatibilité d'OpenVPN est la meilleure de l'industrie — il fonctionne partout. Mais pour un routeur bon marché, ce n'est pas le premier choix.

IKEv2/IPsec — compromis sur la charge

IKEv2 fonctionne dans l'espace noyau et charge le processeur moins qu'OpenVPN. Sur les routeurs avec accélération matérielle IPsec (par exemple, certains Keenetic), c'est même rapide. Inconvénient : la configuration est plus complexe, et tous les fournisseurs ne prennent pas en charge IKEv2 pour les routeurs.

Shadowsocks, VLESS/XRay et Amnezia contre le DPI et le ralentissement

C'est là que ça devient intéressant. Les standards WireGuard et OpenVPN ont des signatures reconnaissables — le DPI les voit. Si le fournisseur coupe activement le trafic VPN, le tunnel peut se lever, mais la vitesse sera nulle. Shadowsocks masque le trafic en le faisant passer pour un flux aléatoire, VLESS/XRay imite le HTTPS, Amnezia — un fork de WireGuard avec obfuscation des en-têtes.

Mais il y a un détail : ces protocoles ne sont pas toujours pris en charge par les routeurs bon marché. Sur OpenWrt, Shadowsocks s'installe via le paquet shadowsocks-libev, XRay — via une compilation séparée. Cela fonctionne, mais nécessite des connaissances et du temps.

Pourquoi un VPN classique ne contourne parfois pas les blocages du fournisseur

Les fournisseurs, sur ordre de Roskomnadzor, utilisent des TSPU (moyens techniques de contre-action aux menaces) — c'est du matériel avec DPI, capable de ralentir des types de trafic spécifiques sans rompre la connexion. Le tunnel est là, les paquets passent, mais à une vitesse de 1 à 2 Mbit/s. Dans ce cas, seuls les protocoles masquants aident. Keenetic ou OpenWrt avec Amnezia WireGuard — une solution fonctionnelle.

Firmwares pour routeurs VPN : OpenWrt, Keenetic, Padavan, Asus Merlin

De nombreux routeurs économiques prennent en charge le VPN au niveau PPTP ou L2TP — ce sont des protocoles obsolètes avec une sécurité minimale. WireGuard et un OpenVPN correct nécessitent soit un fabricant approprié (Keenetic, Asus), soit un changement de firmware.

Firmware d'origine vs firmware personnalisé

Si le routeur est un Keenetic ou un Asus, le firmware d'origine est généralement suffisant. Les séries économiques de Xiaomi, TP-Link, Tenda — leur OpenVPN d'origine est soit inexistant, soit tel qu'il vaudrait mieux qu'il n'existe pas. Pour eux, OpenWrt ou Padavan sont nécessaires. Avertissement : le reflashage peut transformer le routeur en brique, surtout si vous prenez la mauvaise version pour votre révision de carte. Vérifiez le tableau de compatibilité sur wiki.openwrt.org.

OpenWrt — flexibilité et support de WireGuard

OpenWrt prend en charge WireGuard à partir de la version 19.07, paquet kmod-wireguard. Il y a une interface web LuCI avec le plugin luci-app-wireguard. C'est un Linux complet, vous pouvez installer n'importe quoi : Shadowsocks, XRay, Amnezia. Inconvénient — l'interface n'est pas la plus conviviale, et pour certains SoC, l'accélération matérielle AES dans OpenWrt ne fonctionne pas, ce qui réduit la vitesse.

Keenetic KeenDNS et client VPN intégré

Keenetic est sans doute la meilleure option pour ceux qui ne veulent pas fouiller dans la console. Les modèles sur Mediatek MT7628 (Keenetic Lite) prennent en charge WireGuard via le gestionnaire de paquets OPKG. Les modèles plus anciens sur IPQ4019 (Keenetic Giga) gèrent WireGuard à des vitesses décentes. L'interface est claire, le support est normal.

Asus Merlin pour les routeurs Asus

Asus Merlin est un firmware personnalisé basé sur le firmware officiel d'Asus, avec des fonctionnalités étendues. Il fonctionne sur RT-AC68U, RT-AC86U et d'autres. Prend en charge OpenVPN, WireGuard (à partir de la version 386.x), et des scripts pour configurer le routage. Le risque de reflashage est minimal — le firmware est proche de l'officiel.

Support d'Amnezia et contournement du DPI sur le routeur

Amnezia WG sur le routeur est possible, mais pas prêt à l'emploi. Vous avez besoin d'une version d'OpenWrt avec support amnezia-wg (le paquet est apparu en 2025), ou d'une compilation manuelle. XRay sur le routeur s'installe via le paquet xray-core dans OpenWrt. Cela fonctionne, mais soyez prêt à ce que ce ne soit pas « téléchargé et oublié » — il faudra passer une ou deux heures.

Configuration étape par étape du VPN sur le routeur (exemple avec WireGuard)

Je vais montrer avec un exemple de Keenetic avec le paquet WireGuard installé, mais les étapes pour OpenWrt sont similaires — seuls les noms des éléments de menu diffèrent.

Étape 1 : obtenir la configuration VPN auprès du fournisseur

Connectez-vous à votre compte de service VPN et téléchargez la configuration WireGuard. C'est un fichier .conf avec des sections [Interface] et [Peer]. Il contiendra PrivateKey, Address, DNS et les paramètres du serveur (PublicKey, Endpoint, AllowedIPs). Si vous utilisez NvoVPN, la configuration pour le routeur est disponible dans la section « Mes appareils » — vous pouvez également choisir le serveur souhaité.

Étape 2 : accéder à l'interface d'administration du routeur

Par défaut, c'est 192.168.1.1 ou 192.168.0.1, à ouvrir dans un navigateur. Sur Keenetic — my.keenetic.net. Assurez-vous d'être sur une connexion filaire ou un Wi-Fi fiable — pendant la configuration, Internet disparaîtra temporairement.

Étape 3 : ajouter un tunnel WireGuard et importer la configuration

Sur Keenetic : Gestion → Applications → WireGuard → Ajouter une configuration. Vous pouvez coller le contenu du fichier .conf en entier. Dans OpenWrt : Réseau → Interfaces → Ajouter une nouvelle interface → Protocole : WireGuard. Les champs sont remplis manuellement — Clé Privée, Port d'Écoute (peut rester vide), puis vous ajoutez le peer avec Clé Publique, Endpoint, IPs Autorisées.

Étape 4 : routage — tout le trafic ou sélectif

AllowedIPs = 0.0.0.0/0 signifie que tout le trafic passe par le VPN. C'est plus simple, mais la charge sur le routeur est maximale. Si vous souhaitez faire passer uniquement le Smart TV par le VPN, et le portable directement, cela s'appelle le split-tunneling ou le routage basé sur des politiques.

Dans OpenWrt, cela se fait via ip rule et des tables de routage séparées par adresse IP de l'appareil. Dans Keenetic — via la section « Routes » et l'association à des appareils spécifiques sur le réseau. Dans Asus Merlin — via des scripts dans /jffs/scripts/. L'avantage est réel : la télévision passe par le VPN, l'ordinateur portable obtient la pleine vitesse du fournisseur sans chiffrement.

Étape 5 : vérification des fuites DNS et IP

Après avoir activé le tunnel, accédez depuis n'importe quel appareil sur le réseau à ipleak.net ou dnsleak.com. Vous devez voir l'IP du serveur VPN, et non votre réelle. Les serveurs DNS doivent également être ceux du VPN, et non ceux du fournisseur. Si vous voyez les adresses de votre fournisseur dans les DNS — c'est une fuite. Cela se corrige en ajoutant les serveurs DNS du VPN dans les paramètres de l'interface du routeur (champ DNS dans la section [Interface] de la configuration WireGuard).

Étape 6 : test de vitesse avant et après

La méthode est simple : mesurez la vitesse sur speedtest.net avant d'activer le VPN, puis avec le tunnel activé. Lancez le test depuis un ordinateur portable par câble, pour exclure le Wi-Fi comme facteur. Une chute normale sur WireGuard et un routeur économique est de 20 à 40 %. Si cela tombe à 70 % ou plus — le problème est soit dans un processeur faible, soit dans le choix du serveur (prenez le plus proche géographiquement).

Contourner les blocages sur Smart TV et consoles via le routeur

C'est la principale raison pour laquelle les gens envisagent un routeur VPN. Sur Smart TV, il n'y a pas d'application VPN correcte, et YouTube est parfois ralenti par les fournisseurs — regarder en 4K devient un diaporama.

YouTube et ralentissement sur la télévision

Certains fournisseurs en Russie ralentissent YouTube au niveau du réseau via le TSPU. La télévision ne peut rien faire d'elle-même. Mais si son trafic passe par un routeur VPN avec un protocole fonctionnel — le ralentissement est levé, car le fournisseur voit un tunnel chiffré, et non le trafic YouTube. Important : si le DPI commence à détecter WireGuard lui-même, une obfuscation est nécessaire.

Instagram, Facebook, Twitter/X sur Smart TV et Apple TV

Instagram, Facebook et Twitter/X sont bloqués en Russie au niveau de Roskomnadzor. Sur Apple TV, il n'y a pas d'applications VPN du tout. Un routeur avec VPN est la seule solution. Après avoir connecté l'Apple TV à votre réseau, le trafic passe automatiquement par le tunnel, et le navigateur sur Apple TV ou les applications ouvrent des ressources bloquées sans réglages supplémentaires sur l'appareil lui-même.

TikTok et WhatsApp sur des appareils sans applications VPN

TikTok fonctionne en Russie en 2026, mais avec des instabilités et des ralentissements périodiques chez certains fournisseurs. WhatsApp — de même. Si vous avez une télévision intelligente avec un navigateur ou une console de jeux avec fonction navigateur, un routeur VPN résout le problème sans aucun réglage sur l'appareil lui-même.

Telegram et contournement des restrictions sur les consoles

Telegram fonctionne techniquement en Russie, mais subit périodiquement des ralentissements ou des restrictions ciblées. Sur PlayStation et Xbox, il n'y a pas d'applications Telegram, mais si le navigateur de la console se heurte à des blocages — un routeur avec VPN le résout de manière transparente pour l'appareil.

Un petit détail : les Smart TV mettent parfois en cache la géolocalisation. Si la télévision a déterminé votre région avant d'activer le routeur VPN — elle peut continuer à restreindre le contenu même après le changement d'IP. Solution : redémarrez la Smart TV après avoir activé le tunnel VPN sur le routeur, et dans certains cas, il est nécessaire de vider le cache DNS dans les paramètres de la télévision.

Situations fréquentes dont personne ne prévient

Quelques véritables pièges sur lesquels on tombe lors de la configuration d'un routeur VPN économique.

IP gris derrière le NAT chez le fournisseur. Si le fournisseur vous attribue une adresse du range 10.x.x.x ou 100.64.x.x — vous êtes derrière un double NAT. Certaines configurations VPN avec redirection de ports ne fonctionneront pas. WireGuard avec un serveur externe (client → serveur) fonctionne normalement — il ne nécessite pas de connexions entrantes.

Routeur du fournisseur avec un firmware bloqué. De nombreux fournisseurs louent des routeurs avec la possibilité de changer le firmware bloquée et un accès restreint aux paramètres avancés. La seule option est d'acheter votre propre routeur et de le connecter en mode client DHCP.

Double NAT. Si vous connectez votre routeur derrière celui du fournisseur — vous avez deux réseaux : 192.168.1.x pour le fournisseur et 192.168.0.x pour vous. Le VPN fonctionne généralement, mais la vitesse peut chuter à cause de la double translation. Essayez de mettre votre routeur en DMZ sur celui du fournisseur, ou d'utiliser le mode bridge/transparent.

DPI détecte WireGuard. Le tunnel est établi, le handshake a réussi, mais le ping ne passe pas ou passe à une vitesse de 1 Mbit/s. C'est le TSPU qui coupe le trafic par signature. Passez à Amnezia WG ou Shadowsocks.

OpenWrt sans AES matériel. Sur certaines puces, OpenWrt n'utilise pas le crypto-engine matériel. Par exemple, sur MT7621, l'AES matériel n'est disponible que via un patch spécial ou dans le firmware du fabricant. Dans l'OpenWrt standard sur le même matériel, la vitesse d'OpenVPN peut être 3 à 4 fois inférieure à celle du firmware d'origine. Ce n'est pas un bug — c'est une caractéristique de l'implémentation. Solution : WireGuard au lieu d'OpenVPN, ou une version d'OpenWrt avec le patch hwcrypto.