Kill Switch dans VPN : configuration et résolution de problèmes 2026

Si vous utilisez un VPN pour contourner les blocages de YouTube, Instagram ou Telegram, vous avez probablement déjà rencontré la situation : la connexion a disparu pendant une seconde — et le site est de nouveau inaccessible. C'est pour de tels cas qu'existekill switch. Cet article parle de la configuration du kill switch VPN : résolution de problèmes spécifiques sur Windows, Android, iPhone et routeur, y compris les situations où, après son activation, toute la connexion Internet disparaît.

Qu'est-ce que le kill switch et pourquoi est-il nécessaire en cas de blocages

Le kill switch est un mécanisme qui bloque complètement le trafic Internet si le tunnel VPN se déconnecte de manière inattendue. Sans lui, votre navigateur, vos messageries et d'autres applications commencent immédiatement à fonctionner via la connexion normale de votre fournisseur — avec une adresse IP réelle et sans contourner les blocages.

En termes simples : que fait le kill switch

Imaginez que le VPN est un pipeline entre vous et Internet. Le kill switch est une vanne d'urgence. Si le pipeline se casse, la vanne bloque le flux jusqu'à ce que le tuyau soit réparé. Rien ne passe — ni données, ni trafic, ni requêtes.

En pratique : vous regardez YouTube via VPN. Le tunnel tombe pendant 3 secondes à cause d'un Wi-Fi instable. Sans kill switch, pendant ces 3 secondes, YouTube reçoit une requête avec votre adresse IP réelle. Avec le kill switch — la page cesse simplement de se charger jusqu'à la restauration de la connexion.

Pourquoi sans lui l'adresse IP réelle fuit vers le fournisseur et Roskomnadzor

Lors de la rupture du tunnel, le système d'exploitation utilise automatiquement le chemin par défaut — c'est-à-dire qu'il se connecte directement à Internet via le fournisseur. Le fournisseur voit immédiatement votre trafic et applique le DPI (Deep Packet Inspection). Roskomnadzor maintient un registre des blocages, selon lequel les systèmes DPI filtrent les requêtes en temps réel.

Résultat : Instagram est de nouveau bloqué, YouTube commence à mettre en mémoire tampon ou ne s'ouvre pas, Telegram se déconnecte. Et tout cela — littéralement en quelques secondes après la rupture du tunnel.

Lorsque le VPN se déconnecte : Wi-Fi instable, changement de réseaux, réinitialisations DPI

Le tunnel tombe plus souvent qu'il n'y paraît. Le passage entre le Wi-Fi et le réseau mobile sur le téléphone — rupture instantanée. La mise en veille de l'ordinateur portable et le réveil — c'est la même chose. Les interruptions dans le routeur domestique — 1-2 secondes sans tunnel.

Une histoire à part — les réinitialisations DPI. Certains fournisseurs russes bloquent activement le trafic VPN en envoyant des paquets TCP RST pour rompre les connexions. Dans ce cas, le tunnel peut se rompre toutes les quelques minutes, et le kill switch désactivera honnêtement Internet à chaque réinitialisation. Ce n'est pas un bug du kill switch — c'est un bug du fournisseur. La solution — passer à des protocoles masqués, à ce sujet ci-dessous.

Kill switch système contre blocage au niveau de l'application

Le kill switch système bloque tout le trafic au niveau du pare-feu ou de la pile réseau. Si le tunnel tombe — aucune application ne sort sur le réseau. C'est la protection maximale.

Le kill switch au niveau de l'application fonctionne uniquement pour les applications sélectionnées — par exemple, le navigateur et Telegram. Les autres continuent à fonctionner via le réseau normal. C'est pratique, mais cela laisse des failles : les mises à jour de Windows, les services en arrière-plan, d'autres messageries — tout cela passera avec l'adresse IP réelle.

Pour contourner les blocages, dans la plupart des cas, un kill switch système est nécessaire. Au niveau de l'application — seulement si vous savez exactement quelles applications vous protégez.

Configuration du kill switch sur différents appareils

Les étapes spécifiques dépendent de la plateforme. La configuration du kill switch VPN : la solution pour chacune d'elles diffère — parfois c'est une simple case à cocher, parfois des règles manuelles de pare-feu sont nécessaires.

Windows : configuration via le client VPN et via le pare-feu

La plupart des clients VPN sous Windows ont un kill switch intégré. Dans les paramètres, recherchez « Network Lock », « Kill Switch », « Blocage du trafic » ou « Blocage Internet ». Vous l'activez — le client ajoute automatiquement des règles au pare-feu Windows Defender.

Si le client ne prend pas en charge le kill switch, vous pouvez le faire manuellement. Ouvrez le pare-feu Windows Defender avec sécurité avancée (wf.msc), créez une règle de trafic sortant de type « Block » pour tous les programmes, puis ajoutez une règle d'autorisation uniquement pour l'interface TAP (OpenVPN) ou l'adaptateur WireGuard. L'ordre des règles est important : la règle d'autorisation doit être au-dessus de la règle de blocage.

Point important : les antivirus comme Kaspersky Internet Security ou ESET entrent parfois en conflit avec de telles règles. Si le kill switch ne fonctionne pas ou bloque tout — désactivez temporairement le pare-feu tiers et vérifiez le comportement.

Android : option « VPN permanent » et « Bloquer sans VPN »

Sur Android, le kill switch intégré est réalisé via les paramètres système. Chemin : Paramètres → Réseau et Internet → VPN → appuyez sur l'engrenage à côté de la connexion VPN souhaitée → activez « VPN permanent » et « Bloquer les connexions sans VPN ».

C'est un kill switch système au niveau du noyau Android — il fonctionne indépendamment du client que vous utilisez. Mais il y a un détail : la fonction ne fonctionne qu'avec des profils VPN ajoutés via l'interface système ou via une application utilisant l'API VpnService. Certaines applications VPN utilisent leur propre implémentation et peuvent entrer en conflit avec l'option système.

Lors du passage du Wi-Fi à la LTE, même avec « VPN permanent » activé, il peut y avoir un délai de 1 à 3 secondes pendant que le système reconnecte le tunnel. Pendant ce temps, une partie du trafic peut passer. La solution — des protocoles avec une reconnexion rapide, WireGuard s'en sort mieux que tous.

iPhone et iPad : limitations d'iOS et contournement via profil/On-Demand

Honnêtement : sur iOS, il n'y a pas de kill switch complet dans les clients VPN ordinaires de l'App Store. Apple ne donne pas aux applications ce niveau d'accès à la pile réseau.

Il existe deux solutions de contournement. La première — Always-On VPN via un profil MDM. C'est une solution d'entreprise : l'administrateur crée un profil MDM qui interdit tout trafic sans un tunnel VPN actif. Convient aux organisations, mais pas à l'utilisateur ordinaire — un accès à l'infrastructure MDM est nécessaire. Si un profil MDM d'entreprise ou parental est déjà installé sur votre iPhone, il peut bloquer l'installation d'Always-On d'un autre fournisseur.

Le deuxième moyen — le mode On-Demand dans la configuration WireGuard ou IKEv2. Dans la configuration, vous pouvez spécifier des règles : « connecter le VPN toujours pour toute requête réseau ». Ce n'est pas un kill switch idéal, mais cela réduit considérablement les fenêtres de fuite. La configuration doit être importée manuellement via l'application WireGuard ou le client officiel.

Mac : paramètres système et clients tiers

Sur macOS, il n'y a pas de kill switch intégré dans les paramètres système. Les options de travail — clients tiers prenant en charge l'extension réseau (Tunnelblick pour OpenVPN, client officiel WireGuard de l'App Store Mac) ou Little Snitch pour créer des règles de pare-feu.

Dans Tunnelblick, il existe une option expérimentale de kill switch via les paramètres de script. Dans des clients comme Mullvad ou ProtonVPN pour Mac, le kill switch est intégré et fonctionne via l'API Network Extension de macOS — c'est plus fiable que les solutions maison.

Routeur et Smart TV : kill switch au niveau de tout le réseau

Sur le routeur, le kill switch protège tous les appareils — Smart TV, consoles de jeux, Apple TV, enceintes intelligentes — sans avoir besoin d'installer des clients sur chacun d'eux. C'est la seule option réelle pour les appareils qui n'ont pas de client VPN normal.

Sur OpenWrt : configuration via les règles de pare-feu ou le script hotplug, qui bloque la route par défaut lors de la chute de l'interface tun/wg. Sur Keenetic : les politiques de routage permettent de diriger le trafic uniquement via l'interface VPN et de bloquer tout en son absence.

Il y a un effet secondaire peu évident : le kill switch sur le routeur peut bloquer l'accès à l'interface web du routeur lui-même (192.168.1.1), si les règles sont trop agressives. La solution consiste à ajouter une exception pour le sous-réseau LAN avant la règle de blocage.

Solution aux problèmes fréquents avec le kill switch

C'est la partie la plus importante. Configuration du kill switch VPN : résolution des problèmes — c'est ici que la plupart des guides se terminent par des phrases générales. Je vais examiner des cas concrets.

Après activation, toute la connexion Internet a disparu — que faire

Le kill switch fonctionne correctement — il vous dit honnêtement que le VPN n'est pas connecté. Ce n'est pas un bug, c'est une fonctionnalité. Mais si le VPN doit être connecté et ne l'est pas — le problème vient de la connexion elle-même.

Liste de contrôle dans l'ordre : vérifiez si le client atteint le serveur VPN (essayez de désactiver temporairement le kill switch et de vérifier la connexion) ; changez de protocole — si OpenVPN est bloqué par le fournisseur, essayez WireGuard ou Amnezia WG ; vérifiez si le port n'est pas bloqué (le port standard OpenVPN 1194/UDP est souvent bloqué, essayez TCP 443) ; changez de serveur — un serveur spécifique peut être inaccessible depuis votre réseau.

Si après le changement de protocole vers WireGuard la connexion est rétablie — cela signifie que le fournisseur bloquait le protocole précédent via DPI. Le kill switch a donc fonctionné correctement dans ce cas.

Le kill switch ne s'active pas et l'IP fuit quand même

Le plus souvent, la raison est que le kill switch au niveau de l'application est activé au lieu de celui au niveau système. Vérifiez les paramètres du client : y a-t-il une option « Système » ou « Tout le trafic » par opposition à « Applications sélectionnées » ? Changez pour le niveau système.

La deuxième raison est que le kill switch est implémenté au niveau du client, mais en cas de crash de l'application elle-même, les règles du pare-feu ne s'appliquent pas. Une solution plus fiable est le kill switch système via les règles de l'OS (Windows Firewall, Android VpnService), et non via la logique de l'application.

Conflit avec le réseau local, l'imprimante et DLNA

Le kill switch système bloque par défaut le trafic vers le réseau local. L'imprimante sur 192.168.1.100 devient inaccessible, le serveur DLNA cesse de voir les fichiers multimédias, l'interface web du routeur ne s'ouvre pas.

La solution est standard : ajouter une exception pour le sous-réseau LAN. Dans la plupart des clients, c'est l'option « Autoriser LAN » ou « Contournement du réseau local ». Si vous configurez manuellement via le pare-feu — créez une règle d'autorisation pour les adresses 192.168.0.0/16 et 10.0.0.0/8 avant la règle de blocage.

Coupures fréquentes à cause de DPI et comment les réduire

Si le tunnel se coupe toutes les 2-5 minutes — il est probable que le fournisseur détecte activement et réinitialise le trafic VPN via DPI. Le kill switch coupe alors honnêtement Internet à chaque rupture, ce qui rend l'utilisation insupportable.

Les systèmes DPI utilisés par les grands fournisseurs russes savent reconnaître OpenVPN, IKEv2 et parfois WireGuard par les motifs de trafic — tailles de paquets caractéristiques et motifs de timing.

La solution consiste en des protocoles masqués. Shadowsocks masque le trafic sous un HTTPS ordinaire. VLESS/XRay avec XTLS-Reality ressemble à une demande vers un véritable site TLS — même une analyse approfondie ne suffit pas. Amnezia WireGuard ajoute de l'obfuscation au WireGuard standard. Après le passage à un tel protocole, la fréquence des coupures diminue généralement de manière significative, et le kill switch cesse d'être irritant.

Le kill switch empêche de contourner les blocages de Telegram et WhatsApp

Si Telegram ou WhatsApp ne fonctionne pas avec le kill switch activé — le problème ne vient pas du kill switch. Il montre simplement honnêtement que le VPN n'est pas connecté ou ne contourne pas le blocage d'un service spécifique.

Exception — si vous utilisez le split tunneling en même temps que le kill switch. Dans cette configuration, une partie du trafic passe intentionnellement en contournant le VPN. Le kill switch doit alors s'appliquer uniquement au trafic protégé, mais certaines implémentations l'appliquent à toutes les connexions, y compris celles qui sont directement tunnelées. Vérifiez les paramètres de split tunneling dans le client — assurez-vous que Telegram et WhatsApp sont soit dans le tunnel VPN, soit explicitement exclus avec compréhension des risques.

Comment vérifier que le kill switch fonctionne réellement

Il ne faut pas croire le client sur parole. Voici une procédure de vérification reproductible — répétez-la vous-même en 5 minutes.

Test de fuite IP et DNS avant et après la rupture

Étape 1 : connectez-vous au VPN et ouvrez ipleak.net ou browserleaks.com/ip. Notez (ou prenez une photo) l'adresse IP et les serveurs DNS affichés — ils doivent appartenir à votre fournisseur VPN, et non à votre fournisseur d'accès Internet réel.

Étape 2 : sans fermer la page, simulez une rupture de tunnel (voir ci-dessous). Actualisez la page. Si le kill switch fonctionne — la page ne se chargera pas du tout ou affichera une erreur de connexion. Si elle s'est chargée et a montré votre véritable IP — le kill switch ne fonctionne pas.

Rupture forcée du tunnel pour vérification

Sur Windows : ouvrez le Gestionnaire des tâches → onglet « Services », trouvez le service de votre client VPN ou du tunnel WireGuard, cliquez sur « Arrêter ». Ou via PowerShell :Stop-Service WireGuardTunnel$nom_du_tunnel.

Sur Android : allez dans Paramètres → Réseau et Internet → VPN et cliquez sur « Désactiver » à côté du VPN actif. Si « VPN permanent » est activé, le système demandera une confirmation.

Sur le routeur : débranchez le câble WAN pendant 5 secondes ou redémarrez l'interface VPN via SSH avec la commandeifdown vpn&& ifup vpn (OpenWrt).

Vérification de la fuite WebRTC dans le navigateur

Le kill switch ne protège pas contre les fuites WebRTC — c'est une autre histoire. WebRTC est une technologie de navigateur pour les appels vidéo, qui peut révéler votre véritable IP même avec un tunnel VPN actif.

Vérification : ouvrez browserleaks.com/webrtc lorsque le VPN est connecté. Si dans la section « Vos adresses IP » vous voyez une adresse de votre réseau local (10.x.x.x, 192.168.x.x) — c'est normal. Si vous voyez votre véritable IP publique de fournisseur — WebRTC fuit. Solution : désactiver WebRTC dans le navigateur (dans Firefox via about:config → media.peerconnection.enabled → false) ou installer l'extension WebRTC Network Limiter pour Chrome.

Ce que montre un kill switch correctement configuré

En cas de rupture forcée du tunnel : le navigateur cesse de charger les pages, le ping vers les IP externes ne passe pas, les applications perdent la connexion. Rien ne doit se charger avec l'IP réelle — ni les pages, ni les fuites dans les services en arrière-plan.

Lors de la restauration du tunnel : la connexion se rétablit automatiquement, ipleak.net montre à nouveau l'IP VPN. Le temps de restauration dépend du protocole — WireGuard se reconnecte généralement en 1 à 3 secondes, OpenVPN peut prendre 10 à 30 secondes.

Kill switch et choix du protocole : quel impact

Kill switch et protocole — des choses liées. Plus le tunnel est stable, moins le kill switch se déclenche et plus le travail est confortable.

WireGuard et Amnezia WG : restauration rapide du tunnel

WireGuard est conçu pour une reconnexion rapide. Lors de la perte de réseau, il ne coupe pas la « session » — il attend simplement qu'un itinéraire vers le serveur apparaisse. Dès que le réseau est rétabli, le tunnel se lève en 1 à 2 secondes sans nouvelle poignée de main.

Amnezia WG est WireGuard avec obfuscation du trafic. Il ajoute des octets aléatoires aux paquets, change le timing, rendant le trafic moins similaire à celui de WireGuard standard. Pour les fournisseurs russes qui bloquent spécifiquement WireGuard — une bonne solution sans perte de vitesse de reconnexion.

OpenVPN et IKEv2 : comportement lors de la perte de réseau

OpenVPN prend en charge le paramètrepersist-tun etping-restart, qui gèrent le comportement lors d'une rupture. Sans configuration correcte, OpenVPN peut prendre 30 à 60 secondes pour se reconnecter, pendant lesquelles le kill switch bloque l'accès à Internet.

IKEv2 implémente le protocole MOBIKE (RFC 4555), qui permet de conserver la session lors du changement d'IP — par exemple, lors du passage de Wi-Fi à LTE. Cela fait d'IKEv2 l'une des meilleures options pour les appareils mobiles : le tunnel se rétablit plus rapidement, le kill switch se déclenche moins souvent.

VLESS/XRay et Shadowsocks : masquage contre DPI

Si le tunnel se rompt à cause du DPI — le changement de protocole est plus important que n'importe quels réglages de kill switch. VLESS avec le transport XTLS-Reality imite la poignée de main TLS avec un véritable serveur public (par exemple, cloudflare.com). Le DPI voit un HTTPS normal vers un domaine connu et laisse passer le trafic.

Shadowsocks fonctionne différemment : il chiffre le trafic de manière à ce qu'il ressemble à un flux chiffré aléatoire sans motifs caractéristiques. Moins résistant à l'exploration active (active probing) que VLESS/Reality, mais beaucoup plus facile à configurer et largement pris en charge.

Lors de l'utilisation de ces protocoles, le kill switch reste nécessaire — il protège en cas de chute de l'application ou du serveur. Mais la fréquence de déclenchement diminue considérablement.

Que choisir si le tunnel se rompt précisément chez votre fournisseur

Il n'y a pas de réponse universelle — cela dépend du fournisseur spécifique et du type de blocage. Approche pratique : commencez par WireGuard, s'il est stable — excellent. S'il est bloqué — essayez Amnezia WG. S'il se rompt aussi — passez à VLESS/Reality ou Shadowsocks.

Certains services, y compris NvoVPN, fournissent des configs pour plusieurs protocoles en même temps — c'est pratique pour tester sans changer de fournisseur. L'essentiel : la configuration du kill switch VPN : la résolution des problèmes de coupures commence toujours par le choix d'un protocole stable, et non par le réglage du kill switch lui-même.