Qu'est-ce que la redirection de port ?

La redirection de port est un réglage de box qui envoie le trafic internet entrant arrivant sur un port précis vers un appareil et un port choisis dans votre réseau domestique. Par défaut votre box bloque les connexions entrantes non sollicitées (via le NAT), donc rien d'extérieur ne peut joindre un service tournant chez vous. Une règle de redirection crée une porte délibérée : le trafic vers, disons, le port 51820 est routé vers l'IP locale de votre serveur WireGuard. C'est ainsi qu'on rend un VPN auto-hébergé, un serveur de jeu ou un NAS joignable depuis internet.

Comment configurer la redirection de port ?

Connectez-vous à la page d'admin de votre box (souvent 192.168.1.1 ou 192.168.0.1), trouvez la section Redirection de port (parfois « Serveur virtuel » ou « NAT »), et ajoutez une règle : le port externe, le protocole (TCP et/ou UDP — WireGuard utilise UDP), et l'IP et le port internes de l'appareil cible. Donnez d'abord à cet appareil une IP locale fixe/réservée, pour que la règle ne casse pas quand son adresse change. Enregistrez, puis testez depuis un réseau extérieur (données mobiles) que le port est joignable.

La redirection de port est-elle sûre ?

Elle est sûre si vous ne redirigez que le nécessaire et sécurisez le service derrière. Chaque port redirigé est une porte ouverte vers un service précis, donc le risque est d'exposer quelque chose de faible — une appli non corrigée, un mot de passe par défaut, un panneau d'admin. Redirigez le minimum, gardez ce service à jour et authentifié, et préférez un VPN bien configuré (comme WireGuard) comme unique point d'entrée redirigé plutôt que d'exposer plusieurs services directement. Ne redirigez jamais un port vers un service que vous n'avez pas durci.

Pourquoi ma redirection de port ne marche pas ?

Causes courantes : l'IP locale de l'appareil a changé (utilisez une IP fixe/réservée) ; le mauvais protocole (WireGuard a besoin d'UDP, pas TCP) ; un pare-feu sur l'appareil lui-même bloquant le port ; un test depuis votre propre réseau (beaucoup de box ne font pas de loopback — testez en données mobiles) ; ou, le plus souvent, votre FAI utilise le CGNAT, donc vous n'avez pas de vraie IP publique et la redirection entrante est impossible. Vérifiez si votre IP publique correspond à celle qu'affiche votre box ; sinon, vous êtes derrière du CGNAT.

Quelle alternative à la redirection de port si j'ai du CGNAT ?

Si votre FAI vous place derrière du CGNAT, aucune règle de redirection de box ne peut marcher car vous n'avez pas de vraie IP publique. Options : demander à votre FAI une IP publique/fixe (parfois disponible, souvent payante) ; utiliser un réseau overlay comme Tailscale ou NetBird qui relie les appareils sans port entrant ; ou faire tourner votre service sur un VPS bon marché à IP publique permanente et y relier votre maison. La voie VPS est la plus fiable pour un VPN dont vous dépendez.

La redirection de port expliquée : joindre un serveur derrière votre box (2026)

Vous montez un serveur WireGuard, un serveur de jeu ou un NAS à la maison — et de l'extérieur, rien ne se connecte. La pièce manquante est presque toujours la redirection de port : le réglage de box qui ouvre une porte délibérée vers un service de votre réseau. Ce guide explique ce qu'est la redirection de port, comment la configurer, les risques de sécurité à respecter, et le mur du CGNAT qui l'arrête — avec l'alternative le cas échéant.

Ce qu'est la redirection de port

Par défaut, votre box utilise le NAT pour partager une seule IP publique entre tous vos appareils, et elle bloque les connexions entrantes non sollicitées — donc rien sur internet ne peut joindre un service tournant chez vous. Bon pour la sécurité, mais votre serveur auto-hébergé est alors injoignable.

La redirection de port crée une exception contrôlée : une règle qui dit « le trafic arrivant sur le port externe X va vers l'IP locale et le port de cet appareil ». Envoyez le port UDP de WireGuard vers le 192.168.1.50 de votre serveur, et soudain votre tunnel est joignable de partout.

Un ordinateur portable ouvert affichant du code sur un bureau

Comment la configurer

Donnez à l'appareil une IP locale fixe (réservez-la dans le DHCP de la box) pour que la règle ne casse pas plus tard.
Ouvrez la page d'admin de la box (souvent 192.168.1.1), trouvez Redirection de port (alias « Serveur virtuel » ou « NAT »).
Ajoutez une règle : port externe, protocole (WireGuard = UDP), et IP et port internes de l'appareil.
Enregistrez et testez depuis l'extérieur — en données mobiles, pas votre propre Wi-Fi (beaucoup de box ne font pas de loopback).

Pour le serveur WireGuard lui-même, voyez auto-héberger un VPN sur Contabo avec WireGuard, et associez la redirection de port au DNS dynamique pour qu'une IP maison changeante ne casse pas l'accès.

Le volet sécurité

Chaque port redirigé est une porte ouverte vers un service — le risque est donc d'exposer quelque chose de faible :

Redirigez le minimum — idéalement un seul point d'entrée bien sécurisé.
Gardez ce service à jour et authentifié (pas de mots de passe par défaut, pas de panneaux d'admin exposés).
Préférez un VPN bien configuré (WireGuard) comme unique port redirigé, puis joignez tout le reste via le tunnel, plutôt que de rediriger plusieurs services directement.

Ne redirigez jamais un port vers un service que vous n'avez pas durci.

Un éditeur de code — un port redirigé route le trafic extérieur vers un service précis, comme un serveur WireGuard sur votre LAN.

Le mur du CGNAT — et la solution

La raison la plus fréquente pour laquelle la redirection « ne marche pas » n'est pas une règle mal configurée — c'est le CGNAT. Beaucoup de FAI (surtout mobile et certaines fibres) vous placent derrière du Carrier-Grade NAT, où vous partagez une IP publique avec d'autres clients et n'avez aucune vraie IP publique à vous. Aucune règle de box ne peut rediriger un port que vous ne contrôlez pas.

Vérifiez : si l'IP WAN rapportée par votre box ne correspond pas à celle d'un site « quelle est mon IP », vous êtes derrière du CGNAT. Les solutions : demander une IP publique à votre FAI, utiliser un réseau overlay (Tailscale/NetBird) sans port entrant, ou faire tourner votre service sur un VPS bon marché à IP publique permanente. Un VPS Contabo à 4,99 €/mois vous donne une vraie IP publique et un point d'entrée WireGuard propre, sans casse-tête de redirection ni de CGNAT — comparez les hébergeurs dans notre guide du meilleur VPN auto-hébergé.

En résumé

La redirection de port ouvre une porte délibérée à travers le NAT de votre box pour qu'internet joigne un service chez vous — essentielle pour un serveur WireGuard auto-hébergé, et au mieux associée à une IP locale fixe et au DNS dynamique. Ne redirigez que ce que vous avez sécurisé, préférez un unique point d'entrée VPN, et si le CGNAT vous bloque, un VPS bon marché à IP publique permanente est la solution propre.

Guide éditorial fondé sur le fonctionnement du NAT, de la redirection de port et du CGNAT sur les réseaux domestiques. Les résultats dépendent de votre FAI et de votre box. Les liens commerciaux portent l'attribut rel="sponsored nofollow" ; une commission d'affiliation peut s'appliquer sans surcoût pour vous.

★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis

Héberge ton VPN sur ton propre VPS → ContaboAccès root complet · IPv4 publique · choisis ta région→

La redirection de port expliquée : joindre un serveur derrière votre box (2026)

Ce qu'est la redirection de port

Comment la configurer

Le volet sécurité

Le mur du CGNAT — et la solution

En résumé

Pour aller plus loin

Quel port utilise WireGuard ? Port par défaut, le changer & l'ouvrir (2026)

WireGuard sur iPhone & iPad : configuration iOS complète (2026)

WireGuard sur Android : guide de configuration complet (2026)