Actualités
16 min de lecture

OpenConnect : configuration et connexion en 2026

OpenConnect : configuration et connexion en 2026 Si vous avez entre les mains la configuration d'un serveur ocserv ou si on vous a donné des identifiants pour un AnyConnect d'entreprise, et que le client affiche une erreur au démarrage — vous êtes au bon endroit. OpenConnect : configuration et conne

OpenConnect : configuration et connexion en 2026

Si vous avez entre les mains la configuration d'un serveur ocserv ou si on vous a donné des identifiants pour un AnyConnect d'entreprise, et que le client affiche une erreur au démarrage — vous êtes au bon endroit. OpenConnect : configuration et connexion — un sujet que la plupart des articles abordent juste jusqu'à la première capture d'écran, puis abandonnent. Ici, je vais passer en revue tout le processus : du choix du client au diagnostic des conflits de routes et du comportement en cas de DPI actif.

Qu'est-ce qu'OpenConnect et quand en a-t-on besoin

OpenConnect est un client VPN open source, initialement écrit comme une alternative libre à Cisco AnyConnect. Il peut se connecter à des serveurs basés sur ocserv (Open anyconnect-compatible Server) et à des passerelles Cisco d'entreprise. Le client et le serveur sont des choses différentes, et les débutants se trompent souvent : openconnect est ce qui est sur votre appareil, ocserv est ce qui fonctionne sur le serveur.

OpenConnect en tant que client pour les serveurs ocserv et Cisco AnyConnect

Le protocole sous le capot s'appelle DTLS/TLS. La connexion est établie via TLS sur le port 443 — celui-là même sur lequel fonctionne n'importe quel site HTTPS. Si DTLS n'est pas disponible, le client tombe sur du TLS/TCP pur. C'est là le principal atout du protocole.

Sur les serveurs d'entreprise Cisco AnyConnect, le host-check est souvent activé — une vérification obligatoire de la version et du type de client. Un OpenConnect tiers ne passera pas ce contrôle. Si vous vous connectez à une passerelle d'entreprise, vérifiez auprès de l'administrateur système si les clients tiers sont autorisés. Pour les serveurs ocserv personnels, cette restriction est généralement désactivée.

En quoi OpenConnect se distingue de WireGuard, OpenVPN et IKEv2

WireGuard fonctionne sur UDP et affiche une excellente vitesse — mais sa signature est facilement lisible par n'importe quel DPI. Bloquer WireGuard est plus facile que de bloquer un site spécifique. OpenVPN en mode UDP est détecté à peu près de la même manière ; en mode TCP, le masquage est meilleur, mais la vitesse diminue. IKEv2/IPSec est un bon choix pour les réseaux mobiles, mais les ports 500/4500 sont bloqués en un clin d'œil.

OpenConnect gagne précisément en matière de masquage : le trafic sur le port 443 avec un handshake TLS est extérieurement indiscernable d'un HTTPS ordinaire lors d'une inspection peu approfondie. Il perd en vitesse — la surcharge TCP et la couche TLS se font sentir, surtout sur du matériel faible. Sur les appareils mobiles, la batterie se décharge un peu plus vite qu'avec WireGuard.

Pourquoi le protocole basé sur TLS est plus difficile à bloquer via DPI

L'inspection approfondie des paquets — c'est lorsque le fournisseur ne se contente pas de regarder l'IP et le port, mais analyse le contenu des paquets. WireGuard est immédiatement visible par son format de handshake spécifique. Le trafic TLS sur le port 443 ne peut pas être entièrement bloqué — toutes les banques, magasins et courriels tomberaient. C'est pourquoi le DPI essaie de reconnaître le handshake AnyConnect par des indices indirects.

Honnêtement : les systèmes avancés savent le faire. Surtout si le fournisseur utilise du matériel de TSPU (Moyens techniques de lutte contre les menaces) — celui qui coupe YouTube. Si un blocage ordinaire sur le port 443 ne vous touche pas, des protocoles obfusqués sont nécessaires : Shadowsocks, VLESS/XRay, Amnezia VPN.

Que préparer avant la configuration

Avant d'ouvrir n'importe quel client, rassemblez toutes les données. Sans elles, la configuration se transformera en devinette.

Données du serveur : adresse, port, identifiant et mot de passe ou certificat

L'ensemble minimal : nom d'hôte ou adresse IP du serveur, port (le plus souvent 443, plus rarement 8443 ou non standard), identifiant et mot de passe. Si le serveur est configuré pour l'authentification par certificat — un fichier au format .p12 (PKCS#12) et son mot de passe. Certains serveurs nécessitent une authentification à deux facteurs : un code TOTP est généré toutes les 30 secondes, et le client standard peut le demander dans un champ séparé — assurez-vous d'avoir une application comme Aegis ou Google Authenticator avec le bon compte.

Vérification de la compatibilité du serveur (ocserv, AnyConnect)

Essayez d'ouvrir l'adresse du serveur dans un navigateur :https://vpn.example.com. Si vous voyez la page de connexion AnyConnect ou ocserv — tout va bien. Si une erreur SSL avec un CA inconnu apparaît — il est possible que le serveur utilise un certificat auto-signé, et vous aurez besoin de son empreinte (fingerprint) pour le paramètre--servercert.

Choix du client pour votre plateforme

Client console officielopenconnect — pour Linux et macOS. Windows : OpenConnect-GUI (openconnect-gui.github.io) ou Cisco Secure Client (si serveur d'entreprise). Android : l'application « OpenConnect » du développeur Cebe sur Google Play. iOS : Cisco Secure Client ou clients compatibles depuis l'App Store. N'installez pas de clients provenant de sources inconnues — le risque d'obtenir une version falsifiée avec interception de trafic est réel.

Configuration étape par étape d'OpenConnect sur différents appareils

OpenConnect : configuration et connexion en pratique varient selon la plateforme. Ci-dessous — étapes concrètes sans fioritures.

Windows : OpenConnect-GUI et commande via le terminal

Téléchargez l'installateur OpenConnect-GUI depuis le dépôt officiel GitHub (version 1.5.3 au moment de la rédaction). Lancez l'installation, puis ouvrez le programme. Cliquez sur « Nouveau profil », entrez le nom du profil et l'adresse du serveur dans le champ Passerelle. Dans le champ Protocole, sélectionnez « AnyConnect ». Entrez l'identifiant dans le champ Nom d'utilisateur.

Si le serveur utilise un certificat auto-signé, la première connexion affichera un avertissement avec l'empreinte — comparez-la avec celle fournie par l'administrateur du serveur, et cliquez sur « Accepter » uniquement si elle correspond. Via le terminal, cela ressemble à ceci :

openconnect --protocol=anyconnect --user=yourusername vpn.example.com:443

Le drapeau--servercertajoutez-le si le CA n'est pas reconnu par le système :

openconnect --protocol=anyconnect --servercert sha256:EMPREINTE --user=yourusername vpn.example.com

Android : application OpenConnect et importation de certificat

Installez l'application OpenConnect depuis Google Play. Ouvrez-la, appuyez sur « + » pour un nouveau profil. Dans le champ Hostname, entrez l'adresse du serveur. Identifiant et mot de passe — dans les champs correspondants. Si un certificat est nécessaire : allez dans Paramètres → Certificats, appuyez sur « Importer », sélectionnez le fichier .p12 depuis l'appareil, entrez le mot de passe du certificat. Après l'importation, revenez au profil et associez le certificat dans le champ Certificat.

Important : ne conservez pas le fichier .p12 dans le dossier « Téléchargements » en permanence. Après l'importation, déplacez-le dans un stockage chiffré ou supprimez-le de l'appareil.

iPhone et iPad : connexion via un client compatible

Sur iOS, Cisco Secure Client (anciennement AnyConnect) fonctionne. Installez-le depuis l'App Store. Ouvrez l'application, appuyez sur « Connexions » → « Ajouter une connexion VPN ». Entrez l'adresse du serveur, l'identifiant et le mot de passe. Si le certificat .p12 est protégé par un mot de passe, iOS le demandera lors de l'importation séparément, via le menu « Fichiers » ou AirDrop. La procédure est légèrement différente de celle d'Android : commencez par ouvrir le fichier .p12 via « Partager » → « Cisco Secure Client », l'application proposera de l'importer.

Linux et macOS : configuration via la ligne de commande

Sur Ubuntu/Debian :sudo apt install openconnect network-manager-openconnect. Sur macOS via Homebrew :brew install openconnect. La commande de base pour se connecter :

sudo openconnect --protocol=anyconnect --user=yourusername vpn.example.com

Pour l'authentification par certificat, ajoutez--certificate=client.p12 --sslkey=client.p12. Le drapeau--background mettra le processus en arrière-plan. Les DNS après la connexion sont configurés via vpnc-script — assurez-vous que le paquetvpnc est installé, sinon les routes ne seront pas ajoutées et Internet disparaîtra.

Routeurs avec OpenWrt : paquet openconnect

Sur OpenWrt 23.05 et supérieur :opkg install openconnect vpnc-scripts. Créez une interface dans Réseau → Interfaces → Ajouter une nouvelle interface, protocole — OpenConnect. Indiquez l'adresse du serveur, les identifiants. Un routeur faible avec un CPU sans AES-NI matériel fera passer le chiffrement TLS sur le processeur — c'est nettement plus lent que WireGuard sur le même matériel. Sur des routeurs comme GL.iNet MT3000 ou Xiaomi AX3000T avec un CPU normal, le résultat est acceptable. Sur un ancien TP-Link TL-WR841N avec 32 Mo de RAM, n'essayez même pas.

L'avantage du VPN routeur est évident : tout le trafic du réseau, y compris Smart TV, Apple TV, consoles de jeux, passe par le tunnel sans client sur chaque appareil.

Contournement des blocages et DPI lors de l'utilisation d'OpenConnect

Fonctionnement via le port 443 et déguisement en HTTPS

OpenConnect utilise par défaut le port 443 — le même que HTTPS. Lors d'une inspection peu approfondie des paquets, le fournisseur voit une connexion TLS et ne peut pas la distinguer d'une visite normale sur le site d'une banque. C'est pourquoi il est plus souvent utilisé là où WireGuard et OpenVPN sont déjà bloqués.

Mais le fournisseur peut bloquer l'adresse IP du serveur lui-même — alors le port 443 ne sauve pas. C'est une autre histoire : si le ping vers le serveur ne passe pas du tout, le protocole n'y est pour rien, il faut changer de serveur ou utiliser le front CDN. Un autre cas non évident : les opérateurs mobiles bloquent le trafic par l'extension SNI directement à l'intérieur du handshake TLS — même sur le port 443. Cela s'appelle le filtrage SNI, et pour cela, des solutions avec SNI chiffré (ECH) ou d'autres protocoles sont nécessaires.

Déblocage de YouTube, Instagram, Facebook, Twitter/X

YouTube en 2026 ralentit via TSPU pour la plupart des fournisseurs russes. OpenConnect via le port 443 contourne efficacement ce ralentissement — le trafic ressemble à un HTTPS ordinaire et n'est pas soumis aux règles spécifiques pour le CDN de YouTube. Instagram (bloqué par Roskomnadzor), Facebook et Twitter/X — de même, le blocage principal repose sur des listes IP et en partie sur DNS, et le tunnel VPN contourne les deux méthodes.

Accès à TikTok, Telegram et WhatsApp en cas de restrictions du fournisseur

TikTok n'est officiellement pas bloqué, mais certains fournisseurs coupent son trafic à leur discrétion ou sur demande. Via le tunnel OpenConnect, TikTok fonctionne normalement. Telegram — c'est une histoire à part : en Russie, il a été débloqué officiellement, mais certains opérateurs maintiennent encore d'anciennes règles ou bloquent des ports spécifiques. Le tunnel VPN élimine complètement ce problème. WhatsApp fonctionne sans blocages, mais les appels vocaux et vidéo peuvent souffrir de latence — le surcoût TLS/TCP y est perceptible.

Que faire en cas de ralentissement des sites et de DPI actif de Roskomnadzor

Si openconnect se connecte, mais que la vitesse n'est pas satisfaisante — vérifiez s'il y a un split-tunnel. Certains serveurs dirigent seulement une partie du trafic via le VPN, et les serveurs CDN russes de YouTube passent par le chemin local, où TSPU fonctionne. Demandez à l'administrateur du serveur d'activer le full-tunnel ou configurez un chemin forcé via le VPN vous-même.

Si un DPI avancé reconnaît le handshake AnyConnect et le bloque précisément — OpenConnect ne sera plus utile. Dans ce cas, les options fonctionnelles sont : Amnezia VPN avec WireGuard obfusqué, VLESS/XRay avec XTLS-Reality, ou Shadowsocks-2022. NvoVPN, par exemple, prend en charge plusieurs protocoles simultanément — utile lorsque vous ne voulez pas vous embêter avec un serveur autonome, mais que vous avez besoin d'un changement rapide de protocole en cas de blocage.

Erreurs de connexion fréquentes et leurs solutions

Erreur Certificate verify failed et problèmes de certificat

L'erreur la plus fréquente ressemble àÉchec de la connexion SSL ouÉchec de la vérification du certificat. Il y a plusieurs raisons. Première : le certificat du serveur a expiré — vérifiez la date viaopenssl s_client -connect vpn.example.com:443 et regardez le champ «Not After». Deuxième : le certificat est signé par une CA qui n'est pas dans le magasin système — ajoutez le drapeau--cafile=/path/to/ca.crt. Troisième : certificat auto-signé — demandez l'empreinte SHA256 à l'administrateur et transmettez-la via--servercert sha256:EMPREINTE.

N'utilisez jamais le drapeau--no-cert-check en production — cela désactive complètement la vérification du certificat et ouvre la voie à une attaque MITM.

Délai de connexion dépassé et rupture de tunnel

Si la connexion se bloque sur «Establishing HTTPS tunnel» — il est probable que le fournisseur coupe les paquets vers le serveur. Vérifiez :curl -v https://vpn.example.com. Si le délai d'attente se produit — ce n'est pas un problème du client. Essayez un port non standard (8443, 10443) — cela aide parfois, si le blocage est basé sur la signature et non sur l'IP. Si c'est coupé par IP — il n'y a que le changement d'adresse du serveur ou de CDN.

Les ruptures après quelques minutes de fonctionnement — vérifiez les paramètres de keepalive du serveur. Le drapeau--reconnect-timeout=30 obligera le client à rétablir la connexion de manière plus agressive.

Pas d'accès à Internet après la connexion (routes et DNS)

Connecté, le tunnel est monté, mais pas d'Internet — problème courant sur Linux. La raison est généralement dans le vpnc-script : si le script ne s'est pas exécuté, les routes ne sont pas ajoutées. Vérifiez :ip route show — il doit y avoir une route via l'interface tun. Vérifiez également le DNS :cat /etc/resolv.conf — il doit y avoir un serveur DNS du VPN, et non local 192.168.x.x.

Fuite DNS — sujet à part : si les requêtes DNS passent à côté du tunnel, le fournisseur voit quels sites vous visitez, même si le trafic est chiffré. Sur Linux, utilisezresolvconf ousystemd-resolved pour un changement correct de DNS lors de l'établissement du tunnel.

Vitesse lente et ping élevé

OpenConnect fonctionne sur TCP, et TCP sur TCP — c'est un double contrôle de flux, et c'est lent par définition. Si DTLS (UDP) est disponible, le client basculera automatiquement — dans les logs, vous verrez «Échec de la poignée de main DTLS» ou «Connecté en tant que ... utilisant DTLS». Assurez-vous que le port UDP 443 n'est pas bloqué par le fournisseur.

Ping élevé (200+ ms là où sans VPN 30 ms) — signe d'un serveur surchargé ou d'une grande distance géographique. Les tests de vitesse doivent être effectués par vous-même sur un serveur spécifique et un fournisseur spécifique — tous les «chiffres moyens» dans les articles sont des inventions, dépendant de trop de variables.

Quelle est la différence entre OpenConnect et OpenVPN ?

Ce sont des protocoles fondamentalement différents, et non des versions d'un même. OpenConnect est compatible avec le protocole Cisco AnyConnect et les serveurs ocserv, fonctionne sur TLS sur le port 443 et se masque extérieurement en tant que HTTPS. OpenVPN — un protocole propriétaire avec son propre format de paquets ; en mode UDP, il est plus rapide, mais il est plus facile à détecter par DPI. En mode TCP, OpenVPN se comporte plus comme OpenConnect, mais la poignée de main est tout de même différente. Si le fournisseur bloque OpenVPN, OpenConnect passe parfois — et vice versa.

OpenConnect contourne-t-il les blocages de Roskomnadzor et DPI ?

Souvent oui. Le trafic sur le port 443 avec un enveloppement TLS est difficile à distinguer du HTTPS ordinaire lors d'une inspection de base. En pratique, il passe là où WireGuard et OpenVPN sont déjà bloqués. Mais le matériel TSPU peut reconnaître la poignée de main AnyConnect par des signes comportementaux — dans ce cas, le tunnel est tout de même coupé. Il n'y a aucune garantie à 0 % pour aucun protocole. Si OpenConnect cesse de fonctionner — la prochaine étape est Amnezia ou VLESS/XRay.

Comment importer un certificat dans OpenConnect sur Android ?

Ouvrez l'application OpenConnect, allez dans Paramètres → Certificats, appuyez sur «Importer le certificat». Sélectionnez le fichier .p12 via le gestionnaire de fichiers, entrez le mot de passe du certificat. Après une importation réussie, allez dans les paramètres du profil souhaité et sélectionnez le certificat nouvellement ajouté dans le champ Certificat. Important : ne conservez pas le fichier .p12 dans des dossiers ouverts comme «Téléchargements» — c'est votre clé privée, sa compromission signifie la compromission de toute la connexion.

Pourquoi l'Internet disparaît-il après la connexion OpenConnect ?

Le plus souvent, c'est la faute du vpnc-script — il doit ajouter des routes et changer le DNS lors de l'établissement du tunnel. Vérifiez si le paquet vpnc est installé (sur Linux). Lancezip route show et assurez-vous que le trafic passe par l'interface tun. Vérifiez/etc/resolv.conf — s'il y a un DNS local, les requêtes passent à côté du VPN. Sur Windows, le même problème se résout via les paramètres de l'adaptateur : assurez-vous que le DNS pour l'interface VPN est spécifié explicitement.

Peut-on configurer OpenConnect sur le routeur ?

Oui, sur le firmware OpenWrt via les paquets openconnect et vpnc-scripts. Après la configuration, le VPN fonctionne pour tout le réseau en même temps : Smart TV, Apple TV, PlayStation, Xbox — tout passe par le tunnel sans client sur chaque appareil. La principale limitation : un routeur avec un CPU lent sans AES matériel ralentira considérablement sur le chiffrement TLS par rapport à WireGuard. Avant de choisir cette option, vérifiez les caractéristiques de votre routeur.

OpenConnect est-il plus lent que WireGuard ?

En général, oui. TLS sur TCP ajoute un overhead — chaque paquet perdu entraîne une retransmission au niveau TCP, et en plus, TCP de l'application fonctionne également. WireGuard sur UDP ne fait pas cela. La différence est perceptible sur des canaux chargés et en cas de forte perte de paquets. Mais WireGuard est également plus facilement détectable. Le choix est simple : si la vitesse est une priorité et que le fournisseur ne bloque pas WireGuard — optez pour WireGuard. Si vous avez besoin de résistance aux blocages — OpenConnect ou des protocoles obfusqués. Les chiffres spécifiques dépendent du serveur, du canal et du fournisseur — ne croyez pas les articles avec des « résultats de tests » sans méthodologie.

Articles similaires

Cela pourrait aussi vous intéresser