VPN classique vs VPN site-à-site : la différence qui change tout

Un VPN classique, c'est ce que vous activez sur votre téléphone pour sécuriser votre connexion dans un café ou pour accéder à votre bureau à distance. Vous l'allumez, vous l'éteignez. C'est manuel, c'est personnel.

Un VPN site-à-site, c'est autre chose. C'est un tunnel permanent et automatique entre deux réseaux physiques. Le bureau de Digne et l'entrepôt de Manosque se voient en permanence, comme s'ils étaient sur le même réseau local. Pas besoin de se connecter à chaque fois. Pas besoin que chaque employé installe quoi que ce soit.

C'est cette différence qui en fait un outil taillé pour les entreprises multi-sites, même les plus petites.

Si vous avez des doutes sur ce qu'est un VPN en général, lisez d'abord notre article VPN : à quoi ça sert vraiment ? — ça posera les bases.

Pourquoi une TPE des Alpes-de-Haute-Provence a besoin d'un VPN site-à-site

Dans le 04, les entreprises sont souvent dispersées. Un cabinet comptable avec un bureau à Digne et un associé à Sisteron. Un artisan avec son atelier à Château-Arnoux et son administration à Digne-les-Bains. Un commerce avec une réserve éloignée.

Sans VPN site-à-site, voilà ce qui se passe :

  • Chaque site a ses propres fichiers, personne ne partage la même version
  • Accéder au logiciel de gestion du site principal nécessite des manipulations complexes
  • Les sauvegardes ne sont pas centralisées — et on le découvre souvent trop tard
  • Les impressions réseau, les caméras IP, le NAS… rien n'est accessible depuis l'autre site

Un VPN site-à-site règle tous ces problèmes d'un coup, de manière transparente pour vos équipes.

Les 3 solutions adaptées aux TPE (avec leurs vrais coûts)

1. Le VPN sur routeur — la solution la plus solide

Vous équipez chaque site d'un routeur capable de gérer du VPN (Ubiquiti, MikroTik, pfSense sur mini-PC…). Les deux routeurs établissent automatiquement le tunnel entre eux. C'est la solution la plus fiable et la plus évolutive.

Coût estimé : 80 à 300 € par site en matériel, selon la marque. Ubiquiti UniFi ou MikroTik sont les plus courants dans cette gamme. Zéro abonnement mensuel une fois installé.

Protocoles courants : IPsec, WireGuard ou OpenVPN selon le routeur. WireGuard est actuellement le plus performant et le plus simple à configurer.

2. Le VPN en cloud (SD-WAN managé)

Des services comme Tailscale, ZeroTier ou Cloudflare Tunnel permettent de relier vos sites sans toucher à votre routeur. Vous installez un petit logiciel sur une machine de chaque site, et le tunnel se crée automatiquement via le cloud.

Avantage : Fonctionne même derrière une box opérateur basique (pas d'IP fixe nécessaire). Idéal pour démarrer rapidement.

Coût : Tailscale est gratuit jusqu'à 3 utilisateurs. ZeroTier propose un plan gratuit pour jusqu'à 25 appareils. Les versions payantes démarrent à 5 à 10 € par mois — très raisonnable pour une TPE.

3. Le VPN via pare-feu dédié (pfSense / OPNsense)

Un vieux PC récupéré ou un mini-PC à 80 € devient un routeur-pare-feu puissant avec pfSense ou OPNsense (deux logiciels gratuits et open source). C'est la solution des pros qui veulent le maximum de contrôle sans payer de licence.

Parfait pour : les entreprises qui veulent aussi filtrer le trafic, créer des VLAN, ou gérer la bande passante.

Étape 1 — Vérifier que vous avez une adresse IP fixe (ou pas)

Pour établir un tunnel VPN entre deux routeurs, il faut que chaque routeur sache où trouver l'autre sur Internet. C'est là qu'une IP fixe est utile.

Si votre opérateur (Orange, SFR, Bouygues, Free…) vous fournit une IP dynamique qui change régulièrement, deux options :

  • Demander une IP fixe à votre opérateur (souvent 5 à 15 €/mois en option pro)
  • Utiliser un service DDNS (Dynamic DNS) gratuit comme DuckDNS ou No-IP — votre routeur met à jour automatiquement son adresse
  • Passer par Tailscale ou ZeroTier qui gèrent ça pour vous nativement

Étape 2 — Choisir le bon protocole VPN

Le protocole, c'est la langue que parlent les deux routeurs pour chiffrer le tunnel. En 2026, voilà ce qu'il faut retenir :

  • WireGuard : le meilleur choix pour les TPE. Rapide, moderne, simple à configurer. Supporté par Ubiquiti, MikroTik, pfSense.
  • IPsec : plus ancien, plus complexe, mais très compatible. Utile si vous devez vous connecter à un équipement d'entreprise existant.
  • OpenVPN : fiable et open source, mais plus lent que WireGuard. Encore très utilisé.

Si vous partez de zéro, choisissez WireGuard. Si votre prestataire informatique vous propose autre chose, demandez-lui pourquoi.

Étape 3 — Planifier les plages IP de chaque site

C'est l'étape la plus technique, mais elle est critique. Vos deux sites ne peuvent pas utiliser la même plage d'adresses IP locales. Sinon, les deux réseaux se confondent et rien ne fonctionne.

Exemple concret :

  • Site A (Digne) : 192.168.1.0/24
  • Site B (Manosque) : 192.168.2.0/24

Avec ça, chaque appareil a une adresse unique sur l'ensemble du réseau. Le serveur de Site A répond à 192.168.1.10, l'imprimante de Site B à 192.168.2.50. Pas de conflit possible.

Si les deux sites utilisent déjà 192.168.1.x (ce que font 90 % des box opérateurs par défaut), il faudra reconfigurer l'un des deux réseaux avant de créer le VPN. C'est souvent là que les TPE butent sans accompagnement.

Étape 4 — Configurer le tunnel sur vos routeurs

La configuration exacte dépend de votre matériel. Voici les grandes étapes sur un routeur WireGuard typique :

  1. Générer une paire de clés (publique/privée) sur chaque routeur
  2. Saisir la clé publique du Site B dans la config du Site A, et inversement
  3. Indiquer l'IP publique (ou DDNS) de chaque site
  4. Définir les routes — c'est-à-dire dire au routeur A que pour atteindre 192.168.2.0/24, il doit passer par le tunnel
  5. Tester la connectivité en pingant une machine de l'autre site

Sur Ubiquiti UniFi, tout ça se fait en quelques clics depuis l'interface web. Sur MikroTik ou pfSense, c'est un peu plus technique mais très bien documenté.

Étape 5 — Sécuriser le tunnel (et ne pas oublier le firewall)

Un VPN chiffre le trafic entre les sites — mais ça ne veut pas dire que tout le monde peut tout voir de partout. Il faut configurer des règles firewall pour limiter ce qui transite par le tunnel.

Par exemple : un employé de Site B doit accéder au serveur de fichiers de Site A, mais pas à l'interface d'administration du routeur de Site A. Ces règles s'écrivent sur votre pare-feu.

C'est aussi le moment de vérifier que vos mots de passe d'administration réseau sont solides. Un tunnel VPN bien configuré est inutile si le mot de passe de votre routeur est "admin". Consultez notre article sur la protection contre les ransomwares pour une vue d'ensemble de la sécurité en entreprise.

Étape 6 — Tester et monitorer

Une fois le tunnel en place, testez systématiquement :

  • Ping entre deux machines des deux sites
  • Accès aux partages réseau (dossiers partagés, NAS)
  • Accès aux imprimantes réseau distantes
  • Accès aux logiciels métier ou ERP hébergés sur le site principal
  • Ce qui se passe quand la connexion Internet coupe et revient (le tunnel doit se rétablir automatiquement)

Configurez aussi une alerte si le tunnel tombe. pfSense, Ubiquiti et la plupart des solutions pro permettent d'envoyer un email ou une notification quand la connexion est interrompue.

Si vous avez un NAS sur l'un des sites, le VPN site-à-site permet de le partager entre les deux sites sans l'exposer sur Internet. Lisez notre guide sur le NAS pour TPE à Digne pour en tirer le maximum.

Étape 7 — Documenter et maintenir

C'est l'étape que tout le monde oublie. Un VPN site-à-site qui fonctionne parfaitement pendant 2 ans, et dont personne ne se souvient de la configuration le jour où un routeur lâche… c'est une catastrophe.

Notez et conservez en lieu sûr :

  • Les adresses IP de chaque site et de chaque interface VPN
  • Les clés publiques WireGuard (ou les credentials IPsec)
  • Les règles firewall appliquées
  • Le modèle et la version firmware de chaque routeur
  • Le contact de votre prestataire réseau

Un bon réseau multi-sites, c'est aussi un réseau qu'on peut reconstruire en une heure si besoin.

Combien ça coûte vraiment pour une TPE ?

Voici une fourchette réaliste pour deux sites :

  • Solution Tailscale / ZeroTier (logicielle) : 0 à 20 €/mois, installation en 1 à 2h — idéal pour tester ou pour des besoins simples
  • Solution routeurs Ubiquiti UniFi : 300 à 600 € de matériel (une fois), 3 à 5h d'installation — fiable et professionnel
  • Solution pfSense sur mini-PC : 150 à 400 € de matériel, 4 à 6h d'installation — le meilleur rapport qualité/prix si votre prestataire maîtrise

Dans tous les cas, prévoyez 2 à 4h de prestation pour la configuration initiale et les tests. Pour les entreprises autour de Digne-les-Bains, on se déplace sur site pour l'installation et la configuration — pas besoin de gérer ça seul.

Si votre infrastructure est plus complexe (plusieurs sites, VLANs, besoins de performance élevés), un contrat de maintenance infogérance peut être plus adapté qu'une installation ponctuelle.

Quand faire appel à un professionnel plutôt que de faire soi-même ?

Faire soi-même est possible si vous êtes à l'aise avec les réseaux. Mais dans ces cas, faites appel à un pro :

  • Vous n'avez jamais configuré un routeur au-delà de la box opérateur
  • Votre réseau actuel est mal organisé (même plage IP partout, mots de passe par défaut…)
  • Vous avez des logiciels métier critiques qui doivent fonctionner sans interruption
  • Vous manipulez des données sensibles (santé, comptabilité, données clients…)
  • Vous avez plus de deux sites à relier

Une erreur de configuration réseau peut bloquer toute votre activité pendant des heures. Ce n'est pas le bon endroit pour économiser une heure de prestation.

FAQ — VPN site-à-site pour TPE

Peut-on mettre en place un VPN site-à-site avec une simple box opérateur ?

Certaines box pro (SFR Business, Orange Pro) intègrent une fonction VPN basique. Mais leurs capacités sont limitées et la configuration est souvent peu documentée. Pour un tunnel fiable et évolutif, un routeur dédié (même d'entrée de gamme) est fortement conseillé. Les box grand public ne proposent généralement pas cette fonction.

Le VPN site-à-site ralentit-il la connexion Internet ?

Avec WireGuard, l'impact sur les performances est minime — moins de 5 % de perte de débit en conditions normales. IPsec et OpenVPN sont un peu plus gourmands en ressources processeur. Si votre connexion Internet est déjà lente dans le 04 (zone rurale, ADSL…), le VPN n'arrangera pas les choses, mais il ne sera pas non plus votre principal problème.

Quelle est la différence entre un VPN site-à-site et un accès bureau à distance (RDP / TeamViewer) ?

L'accès bureau à distance vous permet de contrôler un ordinateur distant. Le VPN site-à-site, lui, connecte les deux réseaux entiers. Avec le VPN, vous pouvez accéder aux fichiers partagés, aux imprimantes réseau, aux logiciels hébergés sur le serveur distant — exactement comme si vous étiez sur place. C'est bien plus transparent et bien plus pratique pour une utilisation quotidienne.

Faut-il une IP fixe obligatoirement pour un VPN site-à-site ?

Non, pas obligatoirement. Les solutions cloud comme Tailscale ou ZeroTier fonctionnent sans IP fixe. Avec un routeur dédié, un service DDNS gratuit (DuckDNS, No-IP) fait le travail dans la plupart des cas. L'IP fixe reste plus fiable et plus simple à maintenir, mais elle n'est pas indispensable pour démarrer.

Professionnels

Besoin d'un VPN site-à-site pour votre entreprise dans le 04 ?

Lun→Ven 14h–18h • Digne-les-Bains • 06 50 81 05 81

Articles liés