Quel port WireGuard utilise-t-il par défaut ?

WireGuard écoute sur le port UDP 51820 par défaut. C'est le port conventionnel défini par l'option `ListenPort` dans la config de l'interface (wg0.conf), et c'est exclusivement de l'UDP — WireGuard n'utilise pas du tout TCP. Le défaut n'est qu'une convention, pas une obligation : tu peux choisir n'importe quel port UDP libre entre 1 et 65535. Pour un serveur joignable depuis internet, le port choisi doit être ouvert dans le pare-feu du serveur et, si le serveur est derrière un routeur, redirigé vers lui. Les clients se connectent à l'adresse publique du serveur sur ce port exact (le `Endpoint` de leur config).

Le port WireGuard est-il TCP ou UDP ?

UDP, toujours. WireGuard est conçu autour de l'UDP et n'a aucun mode TCP — c'est en partie ce qui le rend rapide et simple, mais ça veut aussi dire que les pare-feu qui n'autorisent que le TCP, ou les réseaux qui bloquent l'UDP, l'empêcheront de fonctionner. Le port UDP 51820 par défaut est celui que tu ouvres et rediriges. Sur un réseau restrictif qui bloque l'UDP (certains Wi-Fi d'entreprise ou publics, pays censurés), WireGuard brut ne se connectera pas ; il faut alors le tunneliser dans autre chose (par ex. une couche d'obfuscation TCP) plutôt que de simplement changer le numéro de port.

Comment changer le port WireGuard ?

Modifie la section `[Interface]` de la config serveur (généralement /etc/wireguard/wg0.conf) et mets `ListenPort = `, puis redémarre le tunnel (`wg-quick down wg0 && wg-quick up wg0`, ou `systemctl restart wg-quick@wg0`). Tu dois aussi aligner trois choses : ouvrir le nouveau port dans le pare-feu du serveur, rediriger le nouveau port sur le routeur le cas échéant, et changer la ligne `Endpoint = ip-serveur: ` dans chaque config client. Si l'un d'eux pointe encore l'ancien port, les clients ne se connecteront pas. Changer le port n'ajoute pas de vraie sécurité en soi — ça réduit seulement le bruit des scanners automatisés.

Comment ouvrir et rediriger le port WireGuard ?

Deux couches. Sur le pare-feu du serveur, autorise le port en UDP — par ex. avec UFW : `sudo ufw allow 51820/udp`. Si le serveur est derrière un routeur domestique (pas un VPS à IP publique), ajoute une règle de redirection de port dans l'admin du routeur : rediriger l'UDP 51820 (externe) vers l'IP locale du serveur sur l'UDP 51820 (interne). Un VPS chez un hébergeur a généralement une IP publique directe, donc tu n'as besoin que de la règle pare-feu, pas de la redirection routeur. Ensuite, teste depuis l'extérieur de ton réseau — un client en données mobiles doit pouvoir joindre `ip-publique-serveur:51820`.

Faut-il changer le port par défaut pour cacher son VPN ?

Changer le port pour une valeur non-standard réduit le bruit de logs des bots qui scannent 51820, mais ce n'est pas de la vraie furtivité — un réseau qui fait de l'inspection profonde de paquets peut toujours identifier la poignée de main UDP caractéristique de WireGuard quel que soit le port. Un port différent est donc un durcissement léger, mais si l'objectif est de passer un pare-feu qui bloque ou détecte activement les VPN, il faut de l'obfuscation (envelopper le tunnel), pas juste un changement de port. Vois notre guide des setups furtifs pour ce cas.

Quel port utilise WireGuard ? Port par défaut, le changer & l'ouvrir (2026)

Le réseau de WireGuard est d'une simplicité agréable — mais le nombre qui fait trébucher tout le monde, c'est le port. Par défaut WireGuard écoute sur l'UDP 51820, et presque tous les « mon VPN auto-hébergé ne se connecte pas » se résument à ce port non ouvert, non redirigé, ou ne correspondant pas à la config client. Ce guide couvre le défaut, comment le changer, et comment l'ouvrir et le rediriger correctement.

Le défaut : UDP 51820

WireGuard écoute sur le port UDP 51820 par convention, défini par la ligne ListenPort dans la section [Interface] du serveur. Deux choses comptent :

C'est de l'UDP, pas du TCP. WireGuard n'a aucun mode TCP. Les pare-feu ou réseaux qui bloquent l'UDP l'arrêtent net.
51820 n'est que le défaut, pas une règle — tu peux utiliser n'importe quel port UDP libre de 1 à 65535.

Les clients joignent le serveur via la ligne Endpoint = <ip-publique>:51820 de leur config. Ce port doit correspondre exactement au ListenPort du serveur.

Un switch réseau avec des rangées de ports numérotés

Ouvrir le port dans le pare-feu

Sur le serveur, le port doit être autorisé en UDP. Avec UFW :

sudo ufw allow 51820/udp
sudo ufw reload

Avec iptables c'est -A INPUT -p udp --dport 51820 -j ACCEPT. C'est la cause la plus fréquente d'un serveur qui « tourne » mais n'accepte jamais de connexions : le service WireGuard est actif, mais le pare-feu jette silencieusement les paquets.

Rediriger le port via un routeur

L'endroit où vit ton serveur décide si tu as aussi besoin de redirection de port :

Sur un VPS (serveur loué à IP publique) : pas de redirection — la règle pare-feu suffit, car l'IP publique pointe directement la machine.
Sur un serveur maison derrière un routeur : ajoute une règle de redirection dans l'admin du routeur — rediriger l'UDP 51820 (externe) vers l'IP locale du serveur en UDP 51820 (interne). Sans ça, les paquets venus d'internet n'atteignent jamais le serveur.

Teste depuis l'extérieur de ton réseau (par ex. un téléphone en données mobiles, Wi-Fi coupé) : un client doit joindre ip-publique-serveur:51820. Si ça marche sur ton LAN mais pas de l'extérieur, la redirection est la pièce manquante.

Changer le port

Pour utiliser un autre port, définis-le dans le [Interface] du serveur :

[Interface]
ListenPort = 51821

Puis redémarre le tunnel (systemctl restart wg-quick@wg0) et mets à jour tout ce qui référençait l'ancien port :

la règle pare-feu (autoriser le nouveau port UDP),
la redirection routeur (le cas échéant),
la ligne Endpoint dans chaque config client.

Oublie-en un seul et les clients ne se connecteront pas. Un VPS auto-hébergé simplifie tout ça car tu contrôles le pare-feu et l'IP publique directement.

★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis

Un VPS avec IP publique — pas de redirection routeur → ContaboIPv4 publique · Tu contrôles le pare-feu et le port · Héberge WireGuard joignable de partout→

Changer le port cache-t-il ton VPN ?

Un port non-standard réduit le bruit des bots qui scannent 51820, mais ce n'est pas de la furtivité. L'inspection profonde de paquets identifie la poignée de main UDP caractéristique de WireGuard quel que soit le port. Si tu dois passer un pare-feu qui bloque ou détecte activement les VPN, il te faut de l'obfuscation (envelopper le tunnel), pas juste un autre port — vois WireGuard avec port knocking / furtivité. Pour router un trafic précis ou rediriger des services dans le tunnel, vois la redirection de port.

En résumé

WireGuard utilise l'UDP 51820 par défaut — UDP uniquement, pas de TCP. Pour rendre un serveur auto-hébergé joignable : ouvre le port en UDP dans le pare-feu, redirige-le sur le routeur si le serveur est derrière un (un VPS à IP publique évite ça), et assure-toi que le Endpoint de chaque client correspond. Change le port si tu veux pour moins de bruit de scan, mais traite ça comme un durcissement léger, pas une vraie furtivité.

★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis

Héberge ton VPN sur ton propre VPS → ContaboAccès root complet · IPv4 publique · choisis ta région→

Quel port utilise WireGuard ? Port par défaut, le changer & l'ouvrir (2026)

Le défaut : UDP 51820

Ouvrir le port dans le pare-feu

Rediriger le port via un routeur

Changer le port

Changer le port cache-t-il ton VPN ?

En résumé

Pour aller plus loin

WireGuard sur iPhone & iPad : configuration iOS complète (2026)

WireGuard sur Android : guide de configuration complet (2026)

Qu'est-ce que le NAT ? La traduction d'adresses réseau expliquée (2026)