VPNSmith
self-host-vpnINFO

WireGuard derrière le CGNAT : pourquoi la redirection de port échoue et comment corriger (2026)

WireGuard marche sur votre réseau local mais pas depuis l'extérieur ? Le coupable est souvent le CGNAT - votre FAI partage une IP publique, donc la redirection de port ne sert à rien. Comment le confirmer et les solutions honnêtes, du VPS à IP publique aux réseaux à traversée de NAT.

Par Eric Gerard · Fondateur · VPNSmith - Spécialiste self-host VPN & VPS GDPR4 min de lecturePhoto via Pexels

Vous avez installé WireGuard sur votre serveur maison, ouvert l'UDP 51820, redirigé le port sur votre box - et ça refuse toujours de se connecter depuis l'extérieur. Avant de revérifier la config pour la dixième fois, soupçonnez le réseau : la raison la plus fréquente pour laquelle un VPN auto-hébergé n'est pas joignable depuis Internet est le CGNAT, et aucune configuration de box ne le corrige. Voici ce que c'est, comment le confirmer, et les solutions qui marchent vraiment.

Ce qu'est le CGNAT, et pourquoi il casse l'auto-hébergement

Le CGNAT (carrier-grade NAT) est la façon dont beaucoup de FAI gèrent la pénurie d'adresses IPv4 : au lieu de donner à chaque client sa propre IP publique, ils placent de nombreux clients derrière une seule adresse publique partagée. Le côté WAN de votre box reçoit une adresse de plage privée (souvent dans 100.64.0.0/10), et c'est le NAT du FAI qui décide de ce qui entre.

La conséquence est simple et frustrante : aucune IP publique ne pointe vers votre ligne, donc les connexions entrantes n'ont nulle part où atterrir. La redirection de port sur votre box ne contrôle que le trafic qui a déjà atteint la box - et avec le CGNAT il n'y arrive jamais, car le blocage est un cran plus haut, chez le FAI.

Comment vérifier si vous êtes derrière un CGNAT

Vous pouvez le confirmer en une minute. Ouvrez la page d'administration de votre box et trouvez son IP WAN. Puis relevez votre IP publique sur un service comme whatismyip. Si les deux ne correspondent pas, vous êtes derrière un CGNAT. Une IP WAN de box dans 100.64.0.0/10, ou une plage privée comme 10.x.x.x ou 192.168.x.x, est un signe qui ne trompe pas.

Une box et un modem de FAI à côté d'un téléviseur - l'appareil qui se trouve derrière le CGNAT, où la redirection de port entrante échoue souvent.
Une box et un modem de FAI à côté d'un téléviseur - l'appareil qui se trouve derrière le CGNAT, où la redirection de port entrante échoue souvent.

Les solutions, de la plus propre à la plus bricolée

  • Un VPS à IP publique (le plus fiable). Hébergez WireGuard sur un VPS bon marché. Il a une vraie IPv4 publique, donc aucun NAT à combattre - vos appareils s'y connectent directement. Si vous devez aussi atteindre votre réseau local, montez un petit tunnel depuis la maison vers le VPS ; cette connexion est sortante, ce que le CGNAT autorise.
  • Un réseau à traversée de NAT (le plus simple). Tailscale, le Headscale auto-hébergé, ou Netbird utilisent des connexions sortantes et des serveurs relais pour relier deux appareils derrière un NAT, sans aucune redirection de port. Voir ce qu'est Tailscale et comment ça marche.
  • Demandez une IP publique à votre FAI. Certains vous sortiront du CGNAT ou vous vendront une IP fixe, parfois pour un petit supplément.
  • IPv6. Si votre FAI fournit une IPv6 réelle et routable, WireGuard en IPv6 évite le problème de l'IPv4 partagée - à condition que les deux extrémités aient une IPv6 fonctionnelle.
  • Tunnels inverses. Cloudflare Tunnel, wstunnel ou un tunnel SSH inverse s'initient en sortie depuis la maison vers un point public, donc ils passent aussi le CGNAT.

Quelle que soit la voie choisie, il vous faudra un nom stable pour l'atteindre ; notre guide du DNS dynamique explique comment garder un nom d'hôte pointé vers une adresse qui change.

Pourquoi la voie du VPS est en général la meilleure

Pour un VPN sur lequel vous comptez, un VPS avec sa propre IP publique supprime toute cette catégorie de problèmes. Vous obtenez une adresse prévisible, le contrôle total du pare-feu et du port, aucune dépendance à la bonne volonté du FAI, et il fait aussi office de nœud de sortie si vous en voulez un. Le compromis honnête, c'est quelques euros par mois et la petite responsabilité de garder le serveur à jour.

Des câbles fibre patchés dans un switch réseau dans un centre de données - un VPS vous donne une IP publique là-bas, contournant entièrement le CGNAT domestique.
Des câbles fibre patchés dans un switch réseau dans un centre de données - un VPS vous donne une IP publique là-bas, contournant entièrement le CGNAT domestique.

★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis

Obtenez une IP publique avec un VPS - sans redirection de port → ContaboVraie IPv4 publique · Vous contrôlez le pare-feu et le port · Hébergez WireGuard joignable de partout, au-delà du CGNAT

En résumé

Si WireGuard se connecte bien sur votre réseau local mais jamais depuis l'extérieur, soupçonnez le CGNAT avant votre config. Confirmez-le avec le test IP WAN contre IP publique, puis choisissez une solution : un VPS à IP publique est le plus fiable et celui sur lequel s'arrêtent la plupart des auto-hébergeurs, un réseau à traversée de NAT est l'option sans redirection la plus simple, et l'IPv6 ou une IP publique du FAI marchent bien là où elles sont disponibles. Le problème, c'est le partage d'adresses de votre FAI, pas votre fichier WireGuard.

★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis

Héberge ton VPN sur ton propre VPS → ContaboAccès root complet · IPv4 publique · choisis ta région

Questions fréquentes

Comment savoir si je suis derrière un CGNAT ?
Comparez deux adresses. Connectez-vous à votre box et notez son IP WAN ; puis vérifiez votre IP publique sur un site comme whatismyip. Si elles diffèrent - ou si l'IP WAN de la box est dans 100.64.0.0/10 (la plage CGNAT réservée), ou une plage privée comme 10.x ou 192.168.x - vous êtes derrière un CGNAT. Le mobile, l'internet 4G/5G à domicile et certaines offres fibre l'utilisent le plus. Un traceroute montrant un saut FAI supplémentaire avant Internet est un autre indice.
Puis-je rediriger le port WireGuard derrière un CGNAT ?
Non. Rediriger l'UDP 51820 sur votre propre box ne fait rien, car le NAT bloquant est en amont chez votre FAI, pas sur votre box. Vous n'avez pas de vraie IP publique vers laquelle rediriger. Les solutions contournent tout ça : héberger WireGuard sur un VPS à IP publique, utiliser un réseau à traversée de NAT (Tailscale, Headscale, Netbird), utiliser l'IPv6 si votre FAI en fournit, ou demander à votre FAI une IP publique hors CGNAT.
Un VPS règle-t-il WireGuard derrière un CGNAT ?
Oui, et c'est en général la solution la plus fiable. Un VPS a une vraie IPv4 publique routable, donc aucun NAT à combattre. Soit vous hébergez WireGuard directement sur le VPS, soit vous montez un petit tunnel sortant depuis votre serveur maison vers le VPS - les connexions sortantes passent sans problème le CGNAT, donc votre machine maison reste joignable via le VPS. Vous contrôlez le pare-feu et le port, sans dépendre du FAI.
Tailscale ou Headscale fonctionnent-ils derrière un CGNAT ?
En général oui. Les réseaux à traversée de NAT comme Tailscale, son plan de contrôle auto-hébergé Headscale, et Netbird sont faits pour ça : ils établissent des connexions sortantes et utilisent des serveurs relais (DERP) pour relier deux appareils tous deux derrière un NAT, sans aucune redirection de port. C'est l'option la plus simple, sans configuration, quand WireGuard nu ne peut pas obtenir de port entrant.
L'IPv6 est-elle une solution au CGNAT ?
Elle peut l'être. Beaucoup de configurations CGNAT fournissent tout de même une IPv6 réelle et routable, et WireGuard tourne très bien en IPv6 - ce qui évite entièrement le goulot de l'IPv4 partagée. Le hic : l'IPv6 doit vraiment fonctionner de bout en bout : votre serveur a besoin d'une adresse IPv6 stable et d'une règle de pare-feu, et le réseau du client doit aussi gérer l'IPv6. Là où c'est le cas, c'est une solution propre et gratuite ; sinon, repliez-vous sur un VPS ou un réseau maillé.