VPN interrompt la connexion : raisons et solutions 2026

Si le VPN se déconnecte constamment — quelques secondes après la connexion, lors du verrouillage de l'écran ou exactement aux heures de pointe — ce n'est pas un hasard. Chaque scénario de déconnexion a une cause spécifique et un traitement spécifique. Cet article traite de la déconnexion VPN : la solution dépend de ce qui se passe chez vous. Ne devinez pas — diagnostiquez.

Pourquoi le VPN interrompt la connexion : 7 principales raisons

Commençons par l'essentiel : toutes les déconnexions ne sont pas identiques. Un fournisseur avec un DPI agressif réinitialise la connexion différemment d'un serveur VPN surchargé ou d'un routeur faible sous charge. Le tableau ci-dessous vous aidera à vous orienter rapidement.

Symptôme	Cause probable	Section
Déconnexion après 5 à 30 secondes après la connexion, se répète	Le DPI du fournisseur reconnaît le protocole	Changement de protocole / obfuscation
Déconnexions aléatoires toutes les quelques minutes sur tous les réseaux	Surcharge du serveur ou MTU	MTU, changement de serveur
Se déconnecte lors du verrouillage de l'écran ou de la sortie de l'application	Économie d'énergie du système d'exploitation	VPN toujours actif, paramètres de batterie
Uniquement sur Internet mobile, le Wi-Fi est stable	DPI agressif de l'opérateur mobile	Obfuscation, IKEv2
Déconnexions le soir, aux heures de pointe	Ralentissement du canal par le fournisseur / surcharge	Changement de serveur, de port
Se déconnecte sur le routeur, reste sur le téléphone	Processeur faible du routeur	Routeur et Smart TV
Conflit avec un antivirus ou un autre VPN	Blocage du trafic par un logiciel tiers	Conflit avec un pare-feu

DPI et blocages actifs du fournisseur (Roskomnadzor)

C'est la raison la plus sournoise — et les concurrents n'expliquent presque jamais cela correctement. Le DPI (Deep Packet Inspection) ne bloque pas nécessairement le VPN complètement. Au lieu de cela, le système reconnaît la signature du protocole — disons, la poignée de main caractéristique de WireGuard ou OpenVPN — et réinitialise la connexion après quelques secondes.

C'est pourquoi votre VPN « se connecte », fonctionne quelques secondes, puis tombe à nouveau. Ce n'est pas un bug technique du client — c'est le fournisseur qui tue délibérément le tunnel. Cela est particulièrement agressif de la part des opérateurs mobiles et de certains FAI domestiques qui opèrent sous les exigences de Roskomnadzor.

Protocole inadapté à votre réseau

WireGuard est un excellent protocole. Rapide, léger, moderne. Mais il a une signature reconnaissable, que le DPI voit instantanément. OpenVPN sur UDP est également facilement détectable. Si votre fournisseur applique une filtration, les protocoles nus sans obfuscation seront déconnectés.

Surcharge ou instabilité du serveur VPN

Si le serveur choisi est surchargé — en particulier les nœuds populaires aux Pays-Bas ou en Allemagne — les paquets sont perdus, les keepalive ne passent pas, et le tunnel se déconnecte. Cela se manifeste par des déconnexions aléatoires sans lien avec un réseau ou un moment de la journée spécifique.

Problèmes de Wi-Fi, de réseau mobile et de commutation entre eux

Lorsque le téléphone passe de Wi-Fi à Internet mobile (ou vice versa), l'adresse IP change. La plupart des protocoles déconnectent le tunnel à ce moment-là — en particulier OpenVPN et IKEv2 dans certaines configurations. WireGuard théoriquement gère le changement d'IP, mais pas toujours.

MTU et fragmentation des paquets

MTU — c'est la taille maximale d'un paquet en octets. S'il est mal configuré, les paquets sont fragmentés, une partie d'entre eux est perdue, et la connexion devient instable. Un symptôme typique : le VPN semble fonctionner, mais se fige ou se déconnecte périodiquement sans raison apparente.

Économie d'énergie et restrictions en arrière-plan sur le téléphone

Android et iOS tuent agressivement les processus en arrière-plan pour préserver la batterie. Le client VPN peut être « gelé » par le système, et le tunnel se rompt silencieusement. Sur MIUI, EMUI et OneUI, c'est particulièrement douloureux — l'économie d'énergie y est particulièrement stricte.

Conflit avec un antivirus, un pare-feu ou un autre VPN

Kaspersky, ESET, Bitdefender et les solutions EDR d'entreprise interceptent souvent le trafic réseau et peuvent entrer en conflit avec le tunnel VPN. Deux clients VPN lancés simultanément — c'est le chemin sûr vers des déconnexions constantes. Cela se rencontre souvent sur des ordinateurs portables d'entreprise avec un VPN imposé par l'employeur.

Comment diagnostiquer rapidement la cause de la déconnexion

Avant de changer les paramètres — déterminez ce qui se casse exactement. Cinq minutes de diagnostic économisent une heure d'expérimentations chaotiques.

Déconnexion immédiatement après la connexion vs après quelques minutes

Déconnexion dans les 5 à 30 secondes, qui se répète de manière stable — c'est le DPI. Le fournisseur détecte le protocole et coupe la connexion au stade de l'établissement. Si le tunnel tient quelques minutes, puis tombe — c'est probablement le serveur, le MTU ou l'économie d'énergie.

Vérification : se déconnecte sur tous les réseaux ou seulement chez un fournisseur

Partagez Internet depuis votre téléphone (point d'accès mobile) et connectez-vous via celui-ci. Si le VPN tient — le problème vient de votre fournisseur domestique et de son DPI. S'il se rompt partout — la cause est du côté du service VPN ou de votre appareil.

Test sur Internet mobile contre Wi-Fi domestique

Les opérateurs mobiles — MTS, Beeline, MegaFon, Tele2 — appliquent souvent une filtration plus agressive que les fournisseurs domestiques. Si ça se rompt en 4G/5G, mais fonctionne sur le Wi-Fi domestique — un camouflage ou IKEv2 est nécessaire.

Vérification des journaux du client (WireGuard, OpenVPN, Amnezia)

Dans WireGuard sur Windows, les journaux sont visibles directement dans l'interface — regardez les lignes avec « handshake » et les délais d'attente. Dans OpenVPN Connect, il y a un onglet avec les journaux. Dans Amnezia — un journal intégré. Cherchez un motif : si le handshake s'établit, puis expire — DPI. Si le handshake ne passe pas du tout — serveur ou réseau.

Ping et stabilité avant de se connecter au VPN

Lancezping 8.8.8.8 sans VPN et regardez s'il y a des pertes de paquets. Si même sans VPN, Internet est instable — le problème vient de votre réseau, pas du client VPN. Réparez d'abord la connexion de base.

Solutions par causes : étape par étape

Voici où se trouve la véritable déconnexion VPN : une solution pour chaque scénario spécifique. Ne devinez pas — appliquez ce qui correspond à votre diagnostic de la section précédente.

Changement de protocole : WireGuard, OpenVPN, IKEv2, Shadowsocks, VLESS/XRay, Amnezia

WireGuard — rapide, mais sa signature est facilement détectable. Si le fournisseur coupe WireGuard, passez à des options obfusquées.

WireGuard — est bon là où il n'y a pas de DPI. Rapide, stable, consomme peu de batterie.
IKEv2 — est le meilleur choix lors de changements fréquents entre Wi-Fi et réseau mobile. Il gère le changement d'IP sans déconnexion.
OpenVPN TCP/443 — se camoufle sous le trafic HTTPS. Plus lent, mais tient là où l'UDP est bloqué.
Shadowsocks — conçu pour contourner le pare-feu chinois, fonctionne également contre le DPI russe. Le trafic ressemble à un flux chiffré aléatoire.
VLESS/XRay — une alternative plus moderne à Shadowsocks. Prend en charge le camouflage sous HTTPS avec un SNI réel.
Amnezia WireGuard (AmneziaWG) — WireGuard modifié avec randomisation des en-têtes. Contourne le DPI tout en conservant la vitesse de l'original.

Certains services, y compris NvoVPN, prennent en charge les protocoles obfusqués directement depuis l'application — vous pouvez changer en quelques clics, sans configuration manuelle.

Camouflage du trafic sous un HTTPS normal pour contourner le DPI

Essentiel : le trafic VPN doit apparaître pour le DPI comme une requête HTTPS normale à un navigateur. Pour cela, on utilise le port 443, un enveloppement TLS et, dans le cas de VLESS/XRay, un SNI réel (nom de domaine) auquel appartient le certificat. Le DPI voit un « site normal » et laisse passer le trafic.

Shadowsocks et Amnezia le font un peu différemment — ils n'imitent pas HTTPS, mais suppriment simplement les signatures reconnaissables du protocole, rendant le trafic « opaque » pour l'analyse.

Changement de port (443, 80) et passage à TCP au lieu de UDP

Si WireGuard ou OpenVPN sont configurés sur des ports non standards — essayez le port 443 (HTTPS) ou 80 (HTTP). Les fournisseurs coupent rarement le trafic sur ces ports, car c'est là que passe tout l'internet de navigateur habituel.

Passer de UDP à TCP réduit la vitesse, mais rend la connexion plus fiable dans des réseaux instables et lors d'une filtration agressive. Dans OpenVPN, c'est le paramètreproto tcp dans le fichier de configuration.

Configuration manuelle de MTU (valeurs pour WireGuard et OpenVPN)

Pour WireGuard, la valeur standard de MTU est 1420. Si la connexion est instable, essayez de réduire à 1380, puis à 1340. Dans le fichier de configuration de WireGuard, c'est la ligneMTU = 1380 dans la section[Interface].

Pour OpenVPN, ajoutez dans le config les lignestun-mtu 1400 etmssfix 1360. Vérifiez le MTU optimal actuel avec la commandeping -f -l 1400 8.8.8.8 sur Windows (ouping -M do -s 1400 8.8.8.8 sur Linux/Mac) — si le paquet ne passe pas, réduisez la valeur jusqu'à ce qu'il passe.

Activation du keepalive permanent

Le keepalive est des paquets périodiques que le VPN envoie pour maintenir le tunnel actif. Sans eux, certains routeurs et dispositifs NAT « oublient » la connexion après quelques minutes d'inactivité.

Dans WireGuard, c'est le paramètrePersistentKeepalive = 25 dans la section[Peer]. La valeur de 25 secondes est la recommandation standard. Dans OpenVPN :keepalive 10 60.

Choix d'un serveur moins chargé et plus proche

Si le serveur à Amsterdam est constamment surchargé — essayez Francfort, Varsovie ou Helsinki. Un serveur géographiquement proche donne un RTT plus faible et moins de chances de timeout. Aux heures de pointe (19h00–23h00), les nœuds populaires peuvent se dégrader — changez de serveur, pas de protocole.

Désactivation de l'économie d'énergie pour l'application VPN sur Android et iOS

Android : Paramètres → Batterie → Optimisation de la batterie → trouvez l'application VPN → sélectionnez « Ne pas optimiser ». Sur MIUI en plus : Paramètres → Applications → Application VPN → Autostart → activer. Sur Samsung OneUI : Paramètres → Batterie → Mode veille → exclure l'application.

iOS : Dans iOS, il n'y a pas de contrôle direct de l'économie d'énergie pour les applications, mais le profil VPN peut être configuré pour se connecter automatiquement via un profil de configuration. Si vous utilisez le client VPN intégré d'iOS — assurez-vous que dans les paramètres VPN, le paramètre « Se connecter à la demande » est activé avec les bonnes règles.

Kill Switch et reconnexion automatique : pour que la coupure ne révèle pas l'IP réelle

Lors de coupures fréquentes, il y a un problème plus sérieux que simplement « internet ne fonctionne pas ». Au moment de la rupture du tunnel, tout le trafic passe directement par le fournisseur — il voit vos requêtes vers YouTube, Instagram, Telegram.Kill Switch résout précisément cela.

Qu'est-ce que le Kill Switch et pourquoi est-il nécessaire avec un VPN instable

Le Kill Switch bloque tout le trafic Internet au moment où le tunnel VPN se rompt. Tant que le tunnel n'est pas rétabli, rien ne passe. C'est gênant, mais cela protège contre la fuite de l'IP réelle et des données sur les ressources visitées.

Si vous vous connectez souvent à des sites bloqués et que le VPN est instable, le Kill Switch n'est pas une option, mais une nécessité. Sans lui, chaque rupture est une fenêtre par laquelle le fournisseur peut voir.

Activation du Kill Switch sur Windows, Mac, Android, iOS

Windows : Dans la plupart des clients VPN, c'est un paramètre dans la section « Sécurité » ou « Avancé ». Dans NvoVPN et des applications similaires, il y a un interrupteur Kill Switch séparé. Alternativement, vous pouvez le configurer via le pare-feu Windows avec des règles bloquant le trafic qui ne passe pas par l'interface VPN.

macOS : Il n'y a pas de Kill Switch intégré. Utilisez des applications prenant en charge cette fonction ou Little Snitch pour configurer manuellement les règles.

Android : Paramètres → Réseau et Internet → VPN → icône d'engrenage à côté de votre VPN → activer « VPN toujours activé » et « Bloquer les connexions sans VPN ». C'est un Kill Switch intégré au niveau du système d'exploitation.

iOS : Il n'y a pas de Kill Switch intégré. Utilisez des applications prenant en charge Always-on VPN via un profil de gestion d'appareil, ou des applications avec leur propre implémentation (par exemple, via Network Extension).

Reconnecter automatiquement et always-on VPN sur Android

Always-on VPN sur Android n'est pas simplement une reconnexion automatique. Le système empêche les applications d'accéder à Internet en contournant le tunnel VPN. Cela s'active au même endroit que le Kill Switch (point ci-dessus). En cas de rupture, Android rétablit lui-même la connexion et bloque le trafic jusqu'à ce moment.

Risque de fuite DNS et de trafic au moment de la rupture

Même sans Kill Switch, il est possible de se protéger partiellement en configurant les serveurs DNS du fournisseur VPN dans les paramètres réseau au lieu de ceux du fournisseur. Mais ce n'est pas un remplacement complet — les requêtes DNS peuvent fuir, emportant avec elles des informations sur les domaines visités. Vous pouvez vérifier la fuite DNS sur le site dnsleaktest.com.

Ruptures sur le routeur, Smart TV et Apple TV

Sur le téléphone, le VPN fonctionne, mais sur le routeur, il se rompt constamment — c'est une histoire typique. La raison est presque toujours la même.

Pourquoi le VPN se rompt-il plus souvent sur le routeur que sur le téléphone ?

Le chiffrement est une opération coûteuse en calcul. Un smartphone avec un processeur moderne s'en sort facilement. Un routeur bon marché avec un MediaTek MT7621 ou une puce similaire a déjà du mal. Sous la charge de plusieurs appareils, le processeur du routeur s'étouffe, les paquets se perdent et le tunnel se rompt.

Processeur faible du routeur et chiffrement WireGuard/OpenVPN

WireGuard consomme nettement moins de ressources CPU que OpenVPN — c'est son principal avantage sur du matériel faible. Si le routeur ne peut pas gérer OpenVPN, essayez WireGuard. Si WireGuard surcharge également, limitez le nombre d'appareils ou déplacez le VPN sur un appareil séparé plus puissant (par exemple, un ancien ordinateur ou un Raspberry Pi 4).

Firmwares prenant en charge VPN et obfuscation

Le firmware d'origine de la plupart des routeurs ne prend en charge que OpenVPN et ne prend pas du tout en charge l'obfuscation. OpenWrt ou Padavan donnent accès à WireGuard, Shadowsocks et d'autres protocoles. Les routeurs Keenetic avec un firmware récent prennent en charge WireGuard nativement et s'en sortent beaucoup mieux que les TP-Link ou D-Link bon marché.

Configuration du VPN pour Smart TV, Apple TV et consoles via le routeur

Les Smart TV sous Tizen, Android TV, Apple TV et les consoles de jeux ne prennent pas en charge le VPN nativement. La seule option correcte est un routeur avec VPN, distribuant un trafic sécurisé à tous les appareils. Alternative : créer un point d'accès sur un ordinateur portable avec un VPN déjà fonctionnel et y connecter la TV.

Pour Apple TV, il y a une autre option : utiliser la fonction « Mode développeur » avec un profil VPN, mais c'est compliqué et cela ne fonctionne pas sur toutes les versions de tvOS. Le routeur est plus simple.

Pourquoi le VPN se rompt-il exactement quelques secondes après la connexion ?

C'est un signe classique de DPI actif. Le fournisseur reconnaît la signature de WireGuard, OpenVPN ou d'un autre protocole et réinitialise la connexion au stade de l'établissement du tunnel. Le tunnel « s'est connecté » — et s'est immédiatement effondré. Solution : passez à des protocoles obfusqués — Shadowsocks, VLESS/XRay ou AmneziaWG. Ils éliminent les marqueurs reconnaissables du trafic. En outre, essayez le port 443 et TCP au lieu de UDP.

Quel protocole est le plus stable face aux blocages du fournisseur ?

Objectivement : cela dépend du type de blocage. WireGuard est rapide, mais le WireGuard nu est immédiatement détecté par le DPI. Pour contourner les blocages, les options obfusquées sont les plus stables : AmneziaWG, Shadowsocks, VLESS/XRay. OpenVPN avec TCP sur le port 443 est un bon compromis, fonctionnant sur la plupart des réseaux, même s'il est plus lent. IKEv2 est bon lors des changements fréquents entre Wi-Fi et Internet mobile — il gère le changement d'IP sans rompre le tunnel.

Le VPN se rompt uniquement sur Internet mobile, sur Wi-Fi tout fonctionne bien — pourquoi ?

Les opérateurs mobiles appliquent souvent un DPI plus agressif que les fournisseurs domestiques. MTS, Beeline, Tele2 — chacun a sa propre configuration de filtrage. Le WireGuard nu ou OpenVPN sur UDP est plus facilement coupé. Passer à un protocole obfusqué ou à IKEv2 aide. Vérifiez également les paramètres d'économie d'énergie — sur Internet mobile, le système « s'endort » plus souvent et tue les processus en arrière-plan.

Qu'est-ce que le MTU et comment le configurer pour éviter les ruptures ?

MTU (Maximum Transmission Unit) — la taille maximale d'un paquet en octets que le réseau transmet sans fragmentation. Si le MTU est réglé trop haut, les paquets se fragmentent, une partie se perd, la connexion devient instable. Pour WireGuard, la norme est 1420, en cas de problèmes, réduisez à 1380 ou 1340. Dans la configuration de WireGuard : ligneMTU = 1380 dans la section [Interface]. Pour OpenVPN :tun-mtu 1400 +mssfix 1360. Vérifiez avec la commande ping avec le drapeau « ne pas fragmenter » - nous avons trouvé la taille maximale qui passe, nous l'avons réglée moins 28 octets (en-têtes).

Un Kill Switch est-il nécessaire si le VPN se déconnecte constamment ?

Oui, et surtout en cas de déconnexions fréquentes. Chaque déconnexion est un moment où le trafic passe directement par le fournisseur. Il voit les accès à YouTube, Instagram, Telegram - tout ce que le VPN devait cacher. Le Kill Switch bloque tout Internet jusqu'à ce que le tunnel soit rétabli. Sur Android, il s'active dans les paramètres système VPN (« VPN toujours activé » + « Bloquer les connexions sans VPN »). Sur Windows, c'est dans les paramètres de l'application.

Le VPN se déconnecte lorsque l'écran du téléphone est verrouillé - comment résoudre cela ?

C'est la gestion de l'énergie du système d'exploitation qui est en cause. Sur Android : Paramètres → Batterie → Optimisation de la batterie → trouvez l'application VPN → « Ne pas optimiser ». Sur MIUI, activez également le démarrage automatique de l'application. Ensuite, activez Always-on VPN dans les paramètres système - alors Android surveillera le tunnel et le rétablira en cas de déconnexion. Sur iOS, il n'y a pas de contrôle direct, mais le profil VPN peut être configuré pour se reconnecter automatiquement - vérifiez auprès du support de votre service VPN si cela est pris en charge.

Le problème de déconnexion VPN : la solution est toujours spécifique - pas « réinstallez l'application », mais un protocole spécifique, une valeur MTU spécifique, un réglage d'économie d'énergie spécifique. Comprenez le symptôme, trouvez la cause, appliquez le traitement nécessaire. Un réglage aléatoire prend des heures - un diagnostic basé sur les symptômes prend des minutes.