Routing VPN custom sur Contabo : bypass DPI Iran / Chine 2026

Disclosure affiliée — Cet article contient des liens d'affiliation (Contabo, NordVPN). Si tu prends un VPS ou un abonnement via nos liens, on touche une commission sans surcoût pour toi. Ça n'influe pas sur le contenu : on documente ce qu'on teste réellement en production, y compris quand un produit affilié ne convient pas à ton cas.

Tu as suivi notre guide WireGuard self-host sur Contabo, tout marche depuis Paris ou Berlin, et puis tu pars deux semaines à Shanghai ou Téhéran. Surprise : le tunnel se connecte 3 secondes, puis silence. Pas de timeout franc, juste des paquets perdus. Bienvenue dans le monde du Deep Packet Inspection (DPI), où les firewalls nationaux savent identifier WireGuard à l'octet près.

Ce guide explique pourquoi WireGuard nu se fait éclater par le GFW (Great Firewall of China) ou SmartFilter (Iran), et donne 3 setups testés sur VPS Contabo pour passer à travers : V2Ray + WebSocket + TLS, Cloak en frontend, et Shadowsocks 2022. Aucun n'est magique — chacun a un coût en latence, en débit et en complexité — mais l'un des trois marche presque toujours selon le pays.

Comment fonctionne le Deep Packet Inspection

Un firewall classique filtre sur IP source/dest et port. Un DPI va plus loin : il inspecte le contenu du paquet, identifie le protocole indépendamment du port, et applique des règles. Les trois censeurs notoires en 2026 :

• GFW (Chine continentale) — Le plus sophistiqué. Combine signature matching (handshake patterns), entropy analysis (un paquet chiffré a une entropie spécifique), active probing (le firewall ouvre une connexion sortante vers ton serveur pour tester le comportement) et machine learning sur le timing inter-paquets. Travaux de référence : Hoang et al., "How Great is the Great Firewall?" (USENIX Security 2021) et Wu et al., "Great Wall of China".
• SmartFilter (Iran, TCI) — Moins sophistiqué que le GFW mais agressif. Bloque sur signatures connues (OpenVPN, WireGuard, IKEv2) et fait du throttling sur les flux TLS suspects vers IPs non whitelistées. Pendant les manifestations (sept 2022, nov 2024), passe en mode "internet quasi-fermé" avec whitelist d'IPs domestiques.
• TSPU (Russie, Roskomnadzor) — Déployé depuis 2021, en montée en puissance. Bloque progressivement Tor, OpenVPN, WireGuard. Plus laxiste sur les flux TLS vers Cloudflare, mais ça change tous les mois.

Le WireGuard handshake initial est distinctly identifiable : 148 octets, structure fixe (message type 1), pas de padding. Un DPI moderne le repère en <50 ms. C'est ce qui fait que WireGuard nu marche partout… sauf là où on en a vraiment besoin.

L'objectif des trois setups ci-dessous : rendre le trafic VPN indistinguable d'un trafic HTTPS légitime vers un domaine résidentiel. Si le firewall ne peut pas distinguer ton flux d'une session Cloudflare CDN, il ne peut pas bloquer sans casser une partie d'internet.

Setup 1 — V2Ray + WebSocket + TLS (Trojan-Go) sur Contabo

C'est notre default pick pour la Chine. Le trafic ressemble à un visiteur qui consulte un site WordPress en HTTPS. Le GFW peut détecter WebSocket avec analyse temporelle longue, mais la combinaison TLS 1.3 + SNI réel + reverse proxy Caddy le rend très difficile à filtrer sans collateral damage.

Pré-requis :

• VPS Contabo VPS S (4,99 €/mois) — datacenter Singapour ou Tokyo pour des latences Chine acceptables (~50-80 ms vs 250 ms depuis l'Europe). Si tu n'as pas encore de VPS, voir l'offre Contabo VPS S 24 mois.
• Un domaine réel que tu contrôles (ex. cdn.tondomaine.com) pointant vers l'IP du VPS. Pas de domaine = pas de TLS = pas de bypass.
• Cloudflare en proxy DNS (orange cloud), optionnel mais conseillé pour masquer l'IP origin.

Installation (Ubuntu 24.04 LTS, en root) :

# 1. Caddy en reverse proxy + cert Let's Encrypt auto
apt update && apt install -y debian-keyring debian-archive-keyring apt-transport-https
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | tee /etc/apt/sources.list.d/caddy-stable.list
apt update && apt install -y caddy

# 2. V2Ray
bash <(curl -L https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh)

Configuration /usr/local/etc/v2ray/config.json :

{
  "inbounds": [{
    "port": 10000,
    "listen": "127.0.0.1",
    "protocol": "vmess",
    "settings": {
      "clients": [{ "id": "UUID-GENERE-AVEC-uuidgen", "alterId": 0 }]
    },
    "streamSettings": {
      "network": "ws",
      "wsSettings": { "path": "/cdn-static/v3/assets" }
    }
  }],
  "outbounds": [{ "protocol": "freedom" }]
}

Configuration Caddy /etc/caddy/Caddyfile :

cdn.tondomaine.com {
  root * /var/www/html
  file_server
  handle /cdn-static/v3/assets {
    reverse_proxy 127.0.0.1:10000
  }
}

Place une vraie page HTML statique dans /var/www/html/index.html (un blog de cuisine, un portfolio bidon — peu importe, ça doit avoir l'air légitime quand le GFW probe ton domaine). Active :

systemctl enable --now caddy v2ray

Sur le client (V2RayN Windows, V2Box iOS, v2rayNG Android), configure un serveur VMess WS+TLS pointant vers cdn.tondomaine.com:443, path /cdn-static/v3/assets, UUID identique. Test : ouvre le client en Chine, ça doit passer sans drop.

Overhead mesuré depuis Pékin via Contabo Singapour : latence +15 ms vs WireGuard nu (impossible en Chine), débit ~85 Mbps (vs 195 sustained du WireGuard nu en Europe). Acceptable pour navigation, mediocre pour streaming HD.

Setup 2 — Cloak (frontend pour WireGuard / OpenVPN)

Cloak est un wrapper TLS plus simple que V2Ray, qui se met devant un tunnel existant (WireGuard, OpenVPN, Shadowsocks). Pour quelqu'un qui a déjà un setup WireGuard fonctionnel et veut juste ajouter une couche d'obfuscation : c'est la voie la plus rapide.

Avantages :

• Configuration en 15 minutes, pas de gestion de domaine/TLS complexe (cert auto via ACME intégré).
• Marche bien en Iran et Turquie où le DPI est moins agressif que GFW.
• Empreinte CPU faible : ~5 % d'un vCPU pour 100 Mbps de trafic.

Inconvénients :

• Le GFW peut détecter Cloak avec analyse comportementale (timing patterns spécifiques). On a vu des connexions tenir 3-7 jours puis se faire bloquer en Chine continentale.
• Moins maintenu que V2Ray (dernier commit majeur 2023). Pas mort, mais évolution lente.

Installation serveur :

wget https://github.com/cbeuw/Cloak/releases/download/v2.7.0/ck-server-linux-amd64-v2.7.0
chmod +x ck-server-linux-amd64-v2.7.0 && mv $_ /usr/local/bin/ck-server
ck-server -k  # génère keypair

Crée /etc/cloak/ckserver.json :

{
  "ProxyBook": {
    "wireguard": ["udp", "127.0.0.1:51820"]
  },
  "BindAddr": [":443"],
  "BypassUID": ["UID-GENERE"],
  "RedirAddr": "www.bing.com",
  "PrivateKey": "TA_CLE_PRIVEE"
}

RedirAddr est crucial : si le firewall probe ton serveur sans handshake Cloak valide, il est redirigé vers www.bing.com (camouflage). Choisis un domaine populaire, pas blacklisté dans le pays cible (évite Google en Chine).

Démarre :

systemctl enable --now ck-server

Côté client, l'app ck-client (binaire dispo Linux/macOS/Win/Android) prend la même config + le PublicKey correspondant. Le tunnel WireGuard est ensuite monté par dessus Cloak — depuis l'app WireGuard, ton endpoint pointe vers 127.0.0.1:port-cloak-local au lieu de l'IP du VPS.

Setup 3 — Shadowsocks 2022 (chacha20-ietf-poly1305)

Shadowsocks est l'ancêtre des outils anti-censure (créé par "clowwindy" en Chine en 2012). La version 2022 (spec officielle) corrige plusieurs faiblesses cryptographiques de la v1 et reste recommandée par les utilisateurs chinois pour son ratio simplicité/performance.

Cas d'usage idéal :

• Iran, Turquie, EAU — passe presque toujours.
• Chine continentale en backup quand V2Ray a une mauvaise journée.
• Tu veux un setup léger (binaire 5 Mo, configuration 10 lignes).

Limites honnêtes :

• Sans plugin TLS (v2ray-plugin), Shadowsocks 2022 reste détectable par le GFW en analyse statistique d'entropie. On le conseille avec v2ray-plugin actif.
• Si tu cherches un setup "set and forget" qui survit aux mises à jour du GFW : préfère V2Ray.

Installation :

apt install -y shadowsocks-libev v2ray-plugin

Configuration /etc/shadowsocks-libev/config.json :

{
  "server": "0.0.0.0",
  "server_port": 8443,
  "password": "MOT-DE-PASSE-FORT-32-CHARS",
  "method": "chacha20-ietf-poly1305",
  "plugin": "v2ray-plugin",
  "plugin_opts": "server;tls;host=cdn.tondomaine.com;path=/api/v2"
}

systemctl enable --now shadowsocks-libev

Côté client : Outline (Google Jigsaw) ou Shadowrocket (iOS) supportent SS 2022 + v2ray-plugin nativement. Importe l'URI ss://... générée et c'est connecté.

Quel setup pour quel pays

Tableau basé sur tests réels (Q4 2025 / Q1 2026) depuis des comptes locaux et VPS de saut. Les ratings évoluent vite — toujours croiser avec GFW Report avant un déplacement.

Pour les déplacements pros en Chine, on prévoit toujours un backup : V2Ray principal + Shadowsocks 2022 secondaire sur deux VPS différents (datacenters différents idéalement). Si l'un tombe, l'autre tient.

Performance overhead

Mesures iperf3 + curl, VPS Contabo Singapour, client mobile 5G Pékin (mars 2026, ~10 sessions par méthode) :

Conclusion pragmatique : toutes les méthodes coûtent 40 à 55 % du débit max vs WireGuard nu. C'est normal — chaque couche TLS + WS ajoute de l'overhead, et la double encapsulation (Cloak) double les en-têtes. Pour de la navigation et de la visio 720p, tout passe. Pour du 4K, il faudra un VPS plus musclé (VPS M ou Cloud VPS 10).

Quand un VPN commercial obfusqué est plus simple

Honnêteté éditoriale : si tu pars deux semaines en Chine et que tu n'as pas envie de débugger Caddy à minuit depuis un hôtel, un VPN commercial avec serveurs obfusqués est plus rentable en temps. Notre référence dans cette catégorie : NordVPN avec ses obfuscated servers.

Le pour :

• Apps mobiles natives, kill switch automatique, support 24/7 par chat.
• Obfuscation activable en 2 clics (paramètres avancés → obfuscated servers).
• Marche dans 80 % des cas en Chine. Quand ça casse, ils mettent à jour leurs serveurs en quelques jours.

Le contre :

• Tu partages l'IP avec d'autres utilisateurs (mauvais pour Stripe/Cloudflare hors Chine).
• Coût qui double au renouvellement (cf. notre analyse coût 5 ans).
• En Iran pendant un blackout, même NordVPN tombe — seul un setup self-host avec rotation d'IPs tient.

La combinaison NordVPN pour les déplacements ponctuels + Contabo self-host pour la vie quotidienne est le meilleur compromis pour la plupart des digital nomads qui circulent en Asie ou au Moyen-Orient.

Pour aller plus loin

• Self-host VPN sur Contabo : guide WireGuard complet 2026
• WireGuard vs OpenVPN sur VPS : benchmarks réels 2026
• Contabo vs Hetzner vs OVH : VPS Europe pour VPN self-host 2026

Sources académiques et techniques :

• Hoang, Niaki, Dalek, Cable, Gill, Polychronakis, "How Great is the Great Firewall? Measuring China's DNS Censorship", USENIX Security 2021
• Specification Shadowsocks 2022 (SIP022)
• V2Fly Documentation officielle
• GFW Report — données live blocages
• Cloak GitHub repository

Article publié le 2026-06-02, basé sur tests en conditions réelles Q1 2026. Les techniques anti-DPI évoluent constamment : ce qui marche aujourd'hui peut tomber dans 6 mois. Si tu détectes un changement de comportement du GFW ou SmartFilter, écris-nous à contact@vpnsmith.com — on met à jour.

Rappel légal : self-héberger un VPN est légal dans l'UE, aux US et au Canada. En Chine, Iran, Russie, EAU, l'usage de tunnels non autorisés est illégal localement (peines variables, de l'amende à la prison). VPNSmith publie ce contenu à titre éducatif, tu es seul responsable de ton usage.