Comment installer un VPN sur le routeur Keenetic en 2026 : étape par étape

Si vous voulez comprendre comment installer un VPN sur Keenetic de manière à ce que tout le trafic dans la maison passe par un tunnel — sans applications séparées sur chaque téléphone, Smart TV et PlayStation — vous êtes au bon endroit. Keenetic le permet, mais il existe plusieurs méthodes, et elles diffèrent beaucoup en termes de complexité et de fonctionnalités.

La question principale tout de suite : avez-vous juste besoin de contourner les sites bloqués ou aussi de cacher le trafic VPN lui-même du DPI du fournisseur ? Cela détermine tout. Nous examinerons les deux scénarios.

Quelles méthodes existent pour installer un VPN sur Keenetic

KeeneticOS — le firmware que Keenetic développe lui-même — contient déjà des clients VPN prêts à l'emploi. Ils sont disponibles via l'interface web my.keenetic.net dans les sections « Autres connexions » et « Filtres Internet ». C'est le moyen le plus simple, et pour la plupart des tâches, cela suffit.

Mais il existe aussi un itinéraire avancé : l'installation d'Entware (gestionnaire de paquets pour routeurs) et de paquets supplémentaires comme XKeen ou Shadowsocks. C'est déjà pour ceux dont le fournisseur coupe le WireGuard lui-même via le DPI.

Clients VPN intégrés de KeeneticOS

KeeneticOS prend en charge WireGuard, OpenVPN, IKEv2/IPsec, SSTP, L2TP/IPsec et PPTP. PPTP — oubliez-le, il n'est pas sécurisé et ne chiffre en fait pas les données. Les autres fonctionnent normalement, mais le choix dépend de la tâche et du modèle de routeur.

Les composants s'installent dans la section « Paramètres généraux » → « Modifier l'ensemble des composants ». Si WireGuard n'est pas là — la version du firmware est ancienne, il faut mettre à jour au moins vers KeeneticOS 3.7.

Composant «Proxy Cloudflare DNS over HTTPS» et contournement DPI

Ce n'est pas un VPN, mais cela aide parfois avec certains blocages. DoH chiffre les requêtes DNS, de sorte que le fournisseur ne voit pas quels domaines vous consultez. Mais l'adresse IP de destination reste visible. Pour YouTube, qui est ralenti au niveau IP, ce n'est pas une solution.

Installation via Entware et paquets tiers

Entware est un dépôt de paquets que l'on peut installer sur une clé USB connectée au routeur. À travers lui, on installe XKeen (un wrapper pour XRay avec support VLESS/XTLS), Shadowsocks-libev, AmneziaWG et d'autres outils. C'est puissant, mais nécessite une compréhension de base des commandes Linux et du temps pour la configuration.

Quand le client intégré suffit et quand Entware est nécessaire

Le WireGuard intégré fonctionnera si votre fournisseur bloque simplement les sites par IP ou domaine — c'est la plupart des cas en 2026. Si le fournisseur filtre activement le trafic via DPI et bloque le protocole WireGuard lui-même (ce qui est le cas pour certains FAI régionaux) — il faut AmneziaWG ou XKeen/VLESS. Si vous n'êtes pas sûr — commencez par le WireGuard intégré et voyez si cela fonctionne.

Configuration de WireGuard sur Keenetic étape par étape

WireGuard est le meilleur choix pour la plupart des réseaux domestiques. Rapide, économe en CPU, et se configure en 10 minutes. Voici comment installer un VPN sur Keenetic précisément via WireGuard.

Étape 1. Installation du composant WireGuard dans KeeneticOS

Allez sur my.keenetic.net → «Paramètres généraux» → «Modifier l'ensemble des composants». Trouvez «Client VPN WireGuard» dans la section «Réseau» et cochez la case. Le routeur téléchargera le composant et redémarrera. Cela prend environ 2 à 3 minutes.

Si le composant n'est pas dans la liste — mettez d'abord à jour le firmware via «Paramètres généraux» → «Mise à jour KeeneticOS». Sans le composant WireGuard, il n'est pas utile de continuer.

Étape 2. Importation de la configuration (fichier .conf ou saisie manuelle des clés)

Allez dans «Autres connexions» → «Connexions VPN» → bouton «Ajouter». Sélectionnez «WireGuard». Ici, il y a deux options : importer un fichier .conf prêt à l'emploi (plus simple) ou saisir les paramètres manuellement.

Le fichier .conf prêt est fourni par le fournisseur VPN — NvoVPN, Mullvad, ProtonVPN et d'autres le donnent dans leur espace client. Le fichier ressemble à ceci :

Cliquez sur «Importer la configuration», téléchargez le fichier — tous les champs se rempliront automatiquement. Lors de la saisie manuelle, remplissez chaque champ séparément : PrivateKey, PublicKey, Endpoint (adresse du serveur et port séparés par deux-points), AllowedIPs.

Étape 3. Configuration de la table de routage et de la priorité de connexion

Après avoir créé la connexion, trouvez l'interrupteur «Utiliser pour accéder à Internet» — activez-le. Sans cela, le VPN se lèvera, mais le trafic ne passera pas par lui. Le routeur pensera qu'il s'agit d'un tunnel supplémentaire, et non du chemin principal.

Dans la section «Priorité des connexions», assurez-vous que WireGuard est au-dessus de la connexion WAN principale. Sinon, après un redémarrage, le routeur peut à nouveau se connecter directement.

Si vous avez besoin d'un routage sélectif (certains sites via VPN, d'autres directement) — désactivez «Utiliser pour accéder à Internet» et configurez les politiques d'accès pour les appareils ou domaines nécessaires via la section «Politiques d'accès à Internet».

Étape 4. Vérification de la connexion et des fuites DNS

Allez sur ipleak.net ou dnsleaktest.com depuis n'importe quel appareil sur le réseau. L'IP du serveur VPN doit apparaître, et non votre réelle. Les serveurs DNS doivent également être ceux du fournisseur VPN, pas de votre FAI. Si vous voyez votre véritable IP dans DNS — la configuration a un DNS incorrect ou n'en a pas du tout.

Configuration d'OpenVPN et IKEv2 sur Keenetic

OpenVPN et IKEv2 sont des alternatives à WireGuard, chacune avec ses avantages et inconvénients. Il est logique de choisir entre eux seulement si WireGuard ne convient pas pour une raison quelconque.

Importation d'un fichier .ovpn via la section OpenVPN

Le principe est le même : «Autres connexions» → «Connexions VPN» → «Ajouter» → «OpenVPN». Téléchargez le fichier .ovpn fourni par le fournisseur. Le fichier contient des certificats, des clés et des paramètres — il n'est presque pas nécessaire de saisir manuellement quoi que ce soit.

Le problème est ailleurs : OpenVPN est lourd pour le processeur du routeur. Sur Keenetic Giga ou Ultra, cela ne se remarque pas. Sur Keenetic Lite ou Start, la vitesse chutera à 20-40 Mbit/s même avec une connexion de 100+ Mbit — le processeur ne parvient tout simplement pas à gérer le chiffrement. Ce n'est pas un bug, c'est une limitation physique.

Configuration d'IKEv2/IPsec pour une connexion stable

IKEv2 s'ajoute via la même interface. Il faut indiquer l'adresse du serveur, l'identifiant, le nom d'utilisateur et le mot de passe ou le certificat — cela dépend de ce que fournit le fournisseur. IKEv2 peut se reconnecter lors du changement de réseau (de Wi-Fi à Internet mobile et vice versa) sans interruption de session. Pour les appareils mobiles, c'est pratique, mais la configuration est un peu plus complexe que WireGuard.

Quand choisir OpenVPN, et quand IKEv2 ou WireGuard

WireGuard est presque toujours le premier choix. Plus rapide, plus léger, plus simple. OpenVPN — si le fournisseur VPN ne prend pas en charge WireGuard, ou si une compatibilité maximale avec du matériel ancien est nécessaire. IKEv2 — si la charge principale provient d'appareils mobiles et que la stabilité lors du changement de réseaux est importante.

Erreurs typiques dans les journaux et comment les lire

Consultez les journaux dans «Diagnostic» → «Journal système». Filtrez par mots-clés : «WireGuard», «OpenVPN», «IPsec». Erreurs fréquentes : «handshake timeout» pour WireGuard — PublicKey incorrect ou Endpoint inaccessible ; «TLS Error» pour OpenVPN — certificat expiré ou CA incorrect ; «No proposal chosen» pour IKEv2 — désaccord sur les algorithmes de chiffrement entre le client et le serveur.

Contournement DPI et blocages de YouTube, Instagram, Telegram sur Keenetic

C'est la section la plus importante pour ceux qui vivent en Russie. Le WireGuard standard contourne les blocages de sites — YouTube, Instagram, Twitter/X, Telegram, TikTok s'ouvrent normalement. Mais Roskomnadzor et les fournisseurs en 2026 savent bloquer non seulement les sites, mais aussi les protocoles VPN eux-mêmes via DPI (Deep Packet Inspection). Si le fournisseur voit un motif WireGuard dans le trafic — il le coupe.

Pourquoi le WireGuard ordinaire ne contourne pas toujours le DPI du fournisseur

WireGuard a une signature caractéristique — un format spécifique de paquets handshake par UDP. Les systèmes DPI modernes le reconnaissent et bloquent la connexion avant même que le tunnel ne soit établi. Si vous voyez que WireGuard essaie constamment de se connecter, mais ne peut pas, alors que le ping vers le serveur passe — il s'agit probablement de DPI.

C'est simple à vérifier : essayez de vous connecter via Internet mobile d'un autre opérateur. Si cela fonctionne là-bas, mais pas chez vous — votre fournisseur domestique filtre le protocole.

Installation de XKeen (XRay/VLESS) via Entware sur une clé USB

XKeen est un paquet pour Keenetic qui installe XRay avec support VLESS+XTLS-Reality. Le trafic VLESS est pratiquement indistinguable du HTTPS ordinaire — le DPI ne le voit pas. Mais pour l'installation, une clé USB est nécessaire (minimum 1 Go, formatée en ext4) et un routeur avec un port USB.

Ordre des actions : connectez la clé USB → dans KeeneticOS dans la section « Gestion » → « Disques USB » assurez-vous qu'elle est reconnue → installez le composant « OPKG Gestionnaire de paquets » → via SSH ou le terminal web lancez l'installation d'Entware avec la commandeopkg install entware. Après cela, viaopkg install xkeen vous installez le XKeen lui-même.

Si la clé USB n'est pas reconnue, elle est probablement formatée en NTFS ou FAT32. KeeneticOS pour Entware nécessite ext2/ext3/ext4. Formatez via GParted ou dans Linux avec la commandemkfs.ext4 /dev/sdX.

Shadowsocks et Amnezia WG (AmneziaWG) comme protection contre les blocages de protocole

AmneziaWG est un fork de WireGuard avec ajout d'obfuscation. Le trafic est masqué sous un bruit aléatoire, le DPI ne le reconnaît pas comme WireGuard. En 2026, plusieurs services VPN le prennent en charge, et c'est le moyen le plus simple de contourner le blocage de protocole — la configuration est presque la même que celle de WireGuard ordinaire, seule la configuration est différente.

Shadowsocks est un outil éprouvé, particulièrement populaire pour contourner le pare-feu chinois. Il fonctionne de manière stable, mais nécessite une installation via Entware. La vitesse est généralement inférieure à celle de WireGuard, mais supérieure à celle d'OpenVPN.

Routage sélectif : faire passer uniquement les sites nécessaires par le VPN

Lorsque le VPN est activé pour tout le trafic, les banques russes et les services publics peuvent parfois refuser de fonctionner — elles peuvent bloquer les adresses IP étrangères. La solution est le routage sélectif.

Dans KeeneticOS, cela s'appelle « Politiques d'accès à Internet ». Vous pouvez créer une politique « Via VPN » et l'attribuer à des appareils spécifiques (Smart TV, téléphone) ou configurer le routage par domaines via XKeen, où les listes de sites sont définies dans la configuration de XRay. Les ressources russes (Sberbank, services publics, VKontakte) passent directement, les bloquées (YouTube, Instagram, Telegram) passent par le tunnel.

Vérification du fonctionnement du VPN et résolution des problèmes

Après avoir compris comment installer le VPN sur Keenetic et avoir terminé la configuration, il faut s'assurer que tout fonctionne correctement, et pas seulement « connecté ».

Comment vérifier que tout le trafic passe par le VPN (test d'IP et de fuites DNS)

Le moyen le plus fiable est de se rendre sur ipleak.net avec un téléphone ou un ordinateur de votre réseau. Le service affichera l'adresse IP, la géolocalisation et les serveurs DNS. L'image correcte : l'IP appartient au serveur VPN, les serveurs DNS proviennent également du fournisseur VPN, pas de votre FAI.

Le deuxième outil est dnsleaktest.com, Test Étendu. Il effectue plusieurs requêtes DNS et montre par quels serveurs elles sont passées. Si vous voyez des serveurs de votre fournisseur, vous avez une fuite DNS. Cela se résout en spécifiant manuellement les DNS dans la configuration de WireGuard ou dans les paramètres DHCP du routeur.

Test de vitesse avant et après la connexion au VPN

Méthodologie : faites un test sur fast.com ou speedtest.net sans VPN, notez le résultat. Ensuite, connectez le VPN et répétez. La différence de vitesse dépend du modèle de routeur et du protocole. Ne vous fiez pas aux chiffres des autres — ils sont mesurés sur un autre matériel et un autre canal. Seuls vos propres tests donneront une image réelle.

Si la vitesse a fortement chuté, vérifiez d'abord si OpenVPN est sélectionné sur le routeur économique. Essayez un autre serveur du fournisseur VPN, de préférence géographiquement proche.

Que faire si le VPN se connecte, mais qu'il n'y a pas d'internet

C'est le problème le plus courant. Liste de contrôle dans l'ordre :

• L'interrupteur « Utiliser pour accéder à Internet » est-il activé dans les paramètres de connexion VPN ?
• Dans la configuration, AllowedIPs est-il défini sur0.0.0.0/0, et non sur un sous-réseau spécifique ?
• Le DNS est-il spécifié dans la configuration — le champ DNS n'est-il pas vide ?
• Y a-t-il un conflit avec le double NAT — le routeur n'est-il pas derrière le routeur du fournisseur ?
• La priorité de la connexion VPN est-elle supérieure à celle du WAN principal dans la section des priorités ?

Le double NAT est une histoire à part. Si votre routeur est connecté au routeur du fournisseur (et non directement à la ligne), il arrive parfois que l'on ne puisse pas activer WireGuard en raison du blocage des ports UDP. La solution consiste à demander au fournisseur de fournir une IP externe ou de transférer le port du routeur en DMZ sur l'appareil du fournisseur.

Pourquoi la vitesse chute et comment l'augmenter

Sur les Keenetic économiques (Lite, Start), le goulet d'étranglement est le processeur MIPS sans accélération matérielle du chiffrement. OpenVPN le charge à 100 % à des vitesses supérieures à 50 Mbit/s. WireGuard est plus économe — sur le même matériel, il permet de passer 2 à 3 fois plus de trafic. AmneziaWG est légèrement plus lent que WireGuard ordinaire en raison de l'obfuscation, mais la différence est minime.

Si la vitesse est toujours faible, activez le routage sélectif. Laissez passer uniquement les services bloqués par le VPN, et le reste du trafic directement. La charge sur le processeur diminuera proportionnellement au volume de trafic qui passe réellement par le tunnel.