VPN TCP ou UDP : que choisir et comment corriger les interruptions
VPN TCP ou UDP : que choisir et comment corriger les interruptions Si le VPN se comporte de manière étrange — se déconnecte, ne se connecte pas ou charge YouTube à la vitesse des années 90 — il est probable que le problème soit lié au choix du protocole de transport. La question VPN TCP vs UDP : com
VPN TCP ou UDP : que choisir et comment corriger les interruptions
Si le VPN se comporte de manière étrange — se déconnecte, ne se connecte pas ou charge YouTube à la vitesse des années 90 — il est probable que le problème soit lié au choix du protocole de transport. La question VPN TCP vs UDP : comment corriger cela sans parcourir les paramètres à l'aveugle — est l'une des plus fréquentes dans le support. Voici des étapes concrètes, sans fioritures.
Réponse courte : que changer tout de suite
La logique est simple. UDP — c'est la vitesse et la stabilité là où le réseau est normal. TCP (surtout le port 443) — c'est le passage à travers des pare-feu stricts et le DPI, lorsque le fournisseur coupe UDP. Retenez cette règle, et 80 % des problèmes se résolvent en deux minutes.
Si le VPN se déconnecte ou ralentit — essayez UDP
La connexion se coupe toutes les 10 minutes, la vitesse fluctue, le ping saute ? Assurez-vous d'abord que UDP est sélectionné. Dans OpenVPN Connect sur Android ou iOS — c'est l'option « Protocole » dans les paramètres du profil. Sur Windows — modification du fichier .ovpn, ligneproto udp. UDP fonctionne plus rapidement précisément parce qu'il ne perd pas de temps à confirmer la livraison des paquets.
Si le VPN ne se connecte pas du tout — passez à TCP
Le VPN reste bloqué sur « Connexion... » et tombe avec une erreur après 30 secondes ? C'est un signe que l'UDP est bloqué ou filtré. Vous changezproto udp enproto tcp dans le fichier .ovpn — et essayez à nouveau. Dans Amnezia, cela se change directement dans l'interface, sans modification manuelle de la configuration.
Port 443 TCP comme « camouflage » sous HTTPS
Le meilleur truc pour contourner les blocages des fournisseurs — TCP sur le port 443. Pour les systèmes DPI, cela ressemble à un trafic HTTPS normal vers un site quelconque. Dans le fichier .ovpn, il faut spécifier à la foisproto tcp etport 443 en même temps. La plupart des services VPN proposent des configurations prêtes avec ces paramètres.
Quelle est la différence entre TCP et UDP en termes simples
Sans cours techniques, mais avec les détails nécessaires — sinon vous ne comprendrez pas pourquoi une solution fonctionne et pas l'autre.
TCP — livraison avec confirmation (fiable, mais plus lent)
TCP — comme une lettre recommandée avec accusé de réception. Vous avez envoyé un paquet — vous attendez la confirmation. Si elle n'est pas arrivée — vous renvoyez. Cela garantit que toutes les données arriveront et dans le bon ordre. Mais chaque confirmation — c'est des millisecondes supplémentaires de latence.
UDP — livraison sans confirmation (rapide, mais sans garanties)
UDP — une carte postale. Vous l'avez mise dans la boîte et oublié. Elle est arrivée ou non — on ne sait pas, vous ne poserez pas de questions. Pour le streaming vidéo et les jeux en ligne, c'est normal : la perte d'une image n'est pas critique. C'est pourquoi YouTube, Zoom et la plupart des jeux fonctionnent sur UDP.
Pourquoi c'est plus important pour le VPN qu'il n'y paraît
Le VPN ajoute une couche supplémentaire au-dessus de votre trafic. Le choix du protocole influence non seulement la vitesse, mais aussi si le fournisseur laissera passer ce trafic. Les fournisseurs russes, sous la pression de Roskomnadzor, appliquent activement le DPI, qui peut déterminer le type de trafic et le ralentir ou le bloquer sélectivement.
« TCP sur TCP » — la raison cachée des ralentissements
Voici ce que la plupart des concurrents gardent pour eux. Lorsque vous utilisez OpenVPN sur TCP et que vous ouvrez simultanément un site via HTTPS (également TCP), cela crée un effet « TCP sur TCP ». En cas de perte de paquets, les deux couches commencent à demander simultanément une nouvelle envoi. Cela crée une avalanche de demandes qui étouffe la vitesse jusqu'au niveau d'une connexion modem. Sur un bon réseau, vous ne le remarquez pas. Sur un internet mobile instable ou avec un fournisseur surchargé — la différence est colossale.
UDP est exempt de cet effet — il ne redemande tout simplement pas. C'est pourquoi, sur un réseau instable, UDP montre paradoxalement de meilleures performances que le « fiable » TCP.
Pourquoi le fournisseur coupe l'UDP et quel est le rapport avec le DPI
De nombreux utilisateurs remarquent : à la maison sur Wi-Fi, le VPN fonctionne, mais sur le réseau mobile — non. Ou il fonctionnait, puis a cessé. Ce n'est pas un hasard.
Comment le DPI (Deep Packet Inspection) reconnaît le trafic VPN
Le DPI n'est pas simplement un pare-feu qui regarde les ports. Il analyse le contenu des paquets, leur taille, le timing, l'entropie des données. OpenVPN et WireGuard ont des signatures caractéristiques : des motifs spécifiques de poignée de main, des en-têtes fixes. Les systèmes DPI modernes (en Russie, les solutions TSPU de Roskomnadzor sont répandues) savent les reconnaître indépendamment du port.
Blocages et ralentissements de la part des fournisseurs et de Roskomnadzor
Depuis 2021, Roskomnadzor met activement en œuvre le TSPU sur les réseaux des grands opérateurs. Au fil du temps, Twitter/X, YouTube, ainsi que le trafic VPN avec des signatures caractéristiques ont été soumis à des ralentissements. L'UDP sur des ports non standards est le plus facile à bloquer — il suffit de filtrer tout ce qui n'est pas DNS, QUIC ou des services connus.
Quand UDP fonctionne et que TCP ne fonctionne pas — et vice versa
Sur les réseaux d'entreprise et dans les Wi-Fi publics, la situation est inverse : seul le trafic HTTP/HTTPS est souvent autorisé, c'est-à-dire TCP sur les ports 80 et 443. UDP peut être complètement bloqué — c'est une pratique standard des pare-feu d'entreprise. Le double NAT dans les hôtels et les aéroports ne laisse souvent passer que TCP 443.
Pourquoi il est plus difficile de bloquer TCP 443
Bloquer TCP 443 signifie bloquer tout le HTTPS. Aucun fournisseur sain d'esprit ne fera cela : les banques, les services publics, tout s'effondrera. C'est pourquoi TCP sur le port 443 reste la dernière ligne de défense lorsque tout le reste est bloqué. Mais je souligne : ce n'est pas une panacée — un DPI intelligent sait distinguer OpenVPN TLS du véritable HTTPS même sur le port 443.
Étape par étape : comment basculer entre TCP/UDP sur différents appareils
Étapes spécifiques pour chaque plateforme. Je ne ferai pas de captures d'écran — les interfaces changent à chaque mise à jour, tandis que les descriptions restent pertinentes plus longtemps.
OpenVPN sur Android et iPhone
Dans OpenVPN Connect (version 3.x), ouvrez le profil → cliquez sur le crayon → «Avancé» → «Protocole». Là, il y a un interrupteur UDP/TCP. Si le profil a été importé depuis un fichier .ovpn, il est plus simple de modifier le fichier lui-même : trouvez la ligneproto udp ouproto tcp et remplacez. Ensuite, supprimez l'ancien profil et importez le fichier mis à jour à nouveau.
Sur iPhone avec Amnezia — dans la section des paramètres du serveur spécifique, il y a un menu déroulant de protocoles, y compris OpenVPN TCP et UDP.
OpenVPN sur Windows et Mac
Les fichiers .ovpn se trouvent généralement dansC:\Users\[nom]\OpenVPN\config\ sur Windows et dans~/.config/openvpn/ sur Mac (ou dans le répertoire de l'application Tunnelblick). Ouvrez avec un éditeur de texte, modifiez la ligneproto, enregistrez. Pour TCP 443, il faut également changer le port :remote server.example.com 443 tcp. Après modification — reconnectez le tunnel.
Amnezia (AmneziaWG / OpenVPN)
Amnezia est sans doute la solution la plus pratique pour changer de protocoles sans se soucier des fichiers. Dans l'application, sélectionnez la connexion → «Paramètres» → «Protocole». OpenVPN UDP, OpenVPN TCP, AmneziaWG et Shadowsocks sont disponibles. Le changement s'applique sans redémarrer l'application. C'est l'une des raisons pour lesquelles Amnezia est populaire pour contourner les blocages russes.
Configuration sur le routeur
Sur les routeurs avec OpenWrt ou des firmwares comme Keenetic, changerproto nécessite de modifier la configuration via SSH ou l'interface web et de redémarrer le service OpenVPN avec la commandeservice openvpn restart. Il ne suffit pas de fermer et d'ouvrir l'application sur le téléphone — le tunnel se lève du côté du routeur. C'est important pour les Smart TV et les consoles de jeux : elles ne savent pas choisir le protocole, seul le routeur le fait.
Comment savoir quel protocole est actuellement actif
Dans les journaux d'OpenVPN Connect, cherchez une ligne de typeProto : UDP ouTCP juste après la connexion. Dans le terminal sur Linux/Mac, la commandess -tunp | grep openvpn affichera les connexions actives avec le protocole. Dans Amnezia, le protocole actuel est affiché sur l'écran principal sous le nom du serveur.
Si ni TCP ni UDP ne fonctionnent : que faire ensuite
Conversation honnête. Si vous avez lu jusqu'ici et que le changement TCP/UDP n'a pas aidé, cela signifie que le problème est plus profond. La question VPN TCP vs UDP : comment résoudre la situation lorsque les méthodes classiques ne fonctionnent pas a une seule réponse : il faut de l'obfuscation.
Changement de port : 1194, 443, 80
Le port 1194 UDP est standard pour OpenVPN, et c'est celui qui est bloqué en premier. Essayez successivement : 443 TCP, puis 80 TCP (HTTP), puis 8080 TCP. Certains fournisseurs coupent les ports non standards en gros, ne laissant que 80 et 443. Si le serveur VPN prend en charge plusieurs ports, le test prendra moins de cinq minutes.
Passage à des protocoles obfusqués : Shadowsocks, VLESS/XRay, AmneziaWG
Le DPI moderne peut détecter OpenVPN et WireGuard même sur le port 443 — par les motifs de poignée de main et la structure du trafic. Shadowsocks chiffre non seulement les données, mais aussi les en-têtes, rendant le trafic statistiquement similaire à du bruit aléatoire. VLESS/XRay vont encore plus loin : ils se cachent à l'intérieur d'une connexion WebSocket ou gRPC légitime vers un vrai domaine. AmneziaWG ajoute des paquets poubelles à WireGuard, brisant sa signature.
Des services comme NvoVPN et des solutions basées sur Amnezia prennent en charge ces protocoles sans configuration manuelle — c'est une option si vous ne voulez pas déployer votre propre serveur. Pour une configuration autonome, un VPS et une heure de temps avec la documentation XRay ou 3x-ui sont nécessaires.
Lorsque le problème n'est pas dans le protocole, mais dans le MTU
Symptôme : le VPN se connecte, statut « connecté », mais les sites ne se chargent pas du tout ou s'ouvrent partiellement — le texte est là, les images ne le sont pas. C'est un signe classique de conflit MTU. Le VPN ajoute des en-têtes aux paquets, augmentant leur taille au-delà du MTU autorisé de 1500 octets. Les paquets commencent à se fragmenter ou à se perdre.
Solution pour OpenVPN : ajoutez dans le fichier .ovpn les lignesmssfix 1400 etfragment 1400. Pour WireGuard, dans les paramètres de l'interface, définissez le MTU à 1380. Vous pouvez trouver la valeur exacte avec la commandeping -M do -s 1400 8.8.8.8 (Linux/Mac) — réduisez la taille jusqu'à ce que le ping cesse de signaler une erreur de fragmentation.
Vérification côté serveur et changement de localisation
Parfois, le problème ne vient pas des paramètres du client. Le serveur VPN peut être surchargé, son IP a pu être mise sur liste noire par Roskomnadzor, ou l'hébergement a des problèmes de routage vers les réseaux russes. Essayez de vous connecter à un autre serveur dans un autre pays — si cela fonctionne, cela signifie que le problème était dans un nœud spécifique. Les Pays-Bas et la Finlande passent traditionnellement mieux par les fournisseurs russes que, par exemple, les États-Unis ou l'Australie.
Questions fréquentes
Qu'est-ce qui est plus rapide pour le VPN — TCP ou UDP ?
UDP est presque toujours plus rapide et donne une latence plus faible — il n'y a pas de frais généraux pour les confirmations et les retransmissions. Sur un réseau normal, la différence est de 10 à 30 % en vitesse et une différence notable en ping. TCP est choisi pour sa capacité à passer à travers les pare-feu et le DPI, sacrifiant délibérément la vitesse. Garder TCP comme protocole principal sans raison est une mauvaise idée.
Pourquoi mon VPN ne fonctionne-t-il qu'en TCP, alors que l'UDP ne se connecte pas ?
Le fournisseur ou le système DPI coupe le trafic UDP sur des ports non standards. TCP sur le port 443 se masque sous un HTTPS ordinaire — c'est pourquoi il passe là où l'UDP échoue. C'est un signe direct de filtrage actif du trafic. Sur Internet mobile (LTE/5G), cela se produit plus souvent que sur la fibre optique domestique.
Quel protocole choisir pour contourner les blocages de YouTube, Instagram et Telegram ?
Commencez par l'UDP — il donnera une bonne vitesse pour la vidéo et le streaming. Si l'UDP est coupé par le fournisseur, passez à TCP 443. Si cela ne fonctionne pas non plus, et que Telegram ou Instagram ne s'ouvrent toujours pas, alors il faudra recourir à des protocoles obfusqués (VLESS/XRay, Shadowsocks, AmneziaWG). Le simple choix entre TCP/UDP contre le DPI moderne n'est que le premier pas.
WireGuard a-t-il le choix entre TCP ou UDP ?
Non. WireGuard fonctionne exclusivement sur UDP — c'est une partie de son architecture. Si votre fournisseur bloque l'UDP, WireGuard ne se connectera pas avec des paramètres côté client. Solutions : passer à OpenVPN avec TCP, utiliser AmneziaWG (qui ajoute de l'obfuscation au-dessus de WireGuard) ou envelopper udp2raw, qui tunnelise l'UDP dans le TCP. C'est l'une des principales raisons pour lesquelles WireGuard est bloqué plus souvent que OpenVPN TCP.
Le VPN se connecte, mais il n'y a pas d'Internet ou les sites se chargent partiellement — quel rapport avec TCP/UDP ?
Le problème vient probablement du MTU, et non du choix du protocole. Les en-têtes VPN augmentent la taille des paquets, et ils ne passent pas entièrement à travers le tunnel. Essayez d'ajoutermssfix 1400 etfragment 1400 dans la configuration OpenVPN ou de réduire le MTU à 1380 dans les paramètres de WireGuard. Vérifiez également le changement de port et de localisation du serveur — parfois, le problème se trouve là.
Est-il dangereux de rester constamment sur TCP au lieu de l'UDP ?
Ce n'est pas dangereux en termes de sécurité. Mais sur un réseau instable, TCP est nettement plus lent en raison de l'effet « TCP sur TCP » : les doubles retransmissions de paquets en cas de pertes étouffent la vitesse. Sur une bonne fibre optique, la différence est faible. Sur Internet mobile avec des pertes de paquets de 2 à 5 % — c'est très perceptible. Gardez le TCP comme option de secours pour passer les blocages, mais dès que possible, revenez à l'UDP.
Pour résumer brièvement tout ce qui a été dit sur VPN TCP vs UDP : comment résoudre la plupart des problèmes — commencez par l'UDP, en cas de blocages, passez à TCP 443, et si cela ne fonctionne pas non plus, regardez du côté de l'obfuscation. Le choix entre TCP et UDP est le premier outil dans l'arsenal, mais pas le dernier.
Articles similaires
Cela pourrait aussi vous intéresser
OpenConnect : configuration et connexion en 2026
OpenConnect : configuration et connexion en 2026 Si vous avez entre les mains la configuration d'un...
Lire la suiteTUIC : configuration et connexion VPN en 2026
TUIC : configuration et connexion VPN en 2026 Si tu as déjà essayé VLESS et Shadowsocks, mais que le...
Lire la suiteCloak obfuscation : configuration et connexion en 2026
Cloak obfuscation : configuration et connexion en 2026 Si le fournisseur coupe WireGuard ou OpenVPN...
Lire la suite