Quel est le MTU optimal pour WireGuard ?

WireGuard fixe le MTU de son interface à 1420 par défaut, ce qui s'adapte à un chemin standard de 1500 octets : 1500 moins 40 octets d'en-tête IPv6 externe et 8 octets d'UDP laisse 1452, et WireGuard garde une marge supplémentaire pour atteindre 1420. Cette valeur fonctionne sur la plupart des liens fibre et câble. Si votre lien sous-jacent transporte moins de 1500 octets — PPPoE/DSL (1492), mobile/5G, ou un tunnel dans un tunnel — vous devez l'abaisser. Ne devinez pas : mesurez le chemin avec un ping sans fragmentation et retranchez les 80 octets de surcharge de WireGuard.

Pourquoi WireGuard se connecte mais sans internet ni chargement des pages ?

La cause la plus fréquente quand le handshake réussit mais que le trafic se bloque est le MTU. Les petits paquets (un ping, une requête DNS, le handshake TCP) passent et réussissent, donc le tunnel paraît vivant. Les gros paquets (une page web complète, un transfert SSH, une image) dépassent le MTU du chemin, sont rejetés, et comme l'ICMP « fragmentation nécessaire » est souvent filtré, rien ne demande à l'émetteur de réduire. Résultat : un tunnel qui répond au ping mais bloque sur tout ce qui est volumineux. Abaisser le MTU WireGuard règle le problème.

Comment trouver la bonne valeur de MTU ?

Lancez un ping sans fragmentation vers l'adresse réelle du serveur, en réduisant la charge utile jusqu'à ce qu'elle passe : `ping -M do -s 1472 IP_SERVEUR` (1472 + 28 octets d'en-tête ICMP/IP = 1500). Si 1472 échoue, descendez à 1464, 1400, etc. jusqu'à obtenir une réponse. Prenez la plus grande charge utile qui passe, ajoutez 28 pour obtenir le MTU du chemin, puis retranchez 80 pour la surcharge de WireGuard. Exemple : plus grand ping qui passe 1400 → MTU du chemin 1428 → MTU WireGuard 1348 (arrondir à 1340).

Quelle valeur utiliser pour PPPoE ou le mobile ?

Le PPPoE (la plupart des DSL) plafonne le chemin à 1492 octets, donc un MTU WireGuard d'environ 1412 convient, et 1400 est un nombre rond sûr. Le mobile, la 5G et le CGNAT varient et transportent souvent moins ; 1280 est le minimum IPv6 que tout chemin doit supporter et c'est le repli infaillible quand vous ne pouvez pas mesurer. Mettez MTU = 1280 sur l'interface client et le blocage disparaît, au prix d'un peu d'efficacité par paquet.

Faut-il changer le MTU côté client ou serveur ?

Changez-le du côté dont le lien est contraint — généralement le client (votre connexion maison, mobile ou bureau). Le MTU WireGuard n'affecte que les paquets émis par cette interface, donc l'abaisser sur le client nomade suffit dans la plupart des cas. Si le serveur lui-même est derrière un lien inférieur à 1500, abaissez-le aussi. Dans le doute, mettez d'abord un MTU prudent côté client et testez avant de toucher au serveur.

MTU WireGuard : la bonne valeur et comment réparer le tunnel bloqué (2026)

Transparence affiliation — Cet article contient des liens affiliés Contabo. Si vous prenez un VPS via eux, nous touchons une commission sans surcoût pour vous. Chaque commande et valeur ci-dessous est documentée à partir des sources officielles WireGuard et écrite pour être reproductible sur votre machine.

Votre tunnel WireGuard indique « connecté ». wg show montre un handshake récent, le ping vers le serveur répond instantanément — et pourtant les pages web tournent sans fin, SSH gèle en plein transfert, et les gros téléchargements meurent au bout de quelques kilooctets. Neuf fois sur dix, le coupable est le MTU : la taille maximale de paquet que votre tunnel peut transporter. Ce guide explique pourquoi le MTU casse un tunnel qui paraît parfaitement sain, comment mesurer la bonne valeur pour votre lien, et exactement quoi régler.

Si votre handshake n'aboutit jamais au départ, le MTU n'est pas encore votre problème — commencez par la liste complète des correctifs du handshake WireGuard et revenez ici une fois le tunnel monté mais bloqué.

Ce qu'est le MTU et pourquoi WireGuard s'en soucie

Le MTU (Maximum Transmission Unit) est le plus gros paquet, en octets, qu'une interface envoie sans le fragmenter. Sur un lien Ethernet ou fibre normal, c'est 1500 octets. WireGuard enveloppe chacun de vos paquets dans son propre paquet UDP, et cette enveloppe coûte de la place :

En-tête externe IPv4 : 20 octets
En-tête externe IPv6 : 40 octets
En-tête UDP : 8 octets
En-tête de données WireGuard : 32 octets

Un paquet WireGuard sur IPv6 a donc besoin d'environ 80 octets de surcharge. Retirez-les d'un chemin de 1500 octets et il vous reste environ 1420 octets dans le tunnel — c'est exactement pourquoi WireGuard met son interface à 1420 par défaut. Vérifiez la valeur par défaut sur n'importe quel tunnel actif :

ip link show wg0
# ... mtu 1420 ...

Deux câbles fibre optique orange avec connecteurs métalliques ST, le câble enroulé étiqueté en arrière-plan

Le problème commence quand le chemin entre vous et votre serveur transporte moins de 1500 octets. Alors 1420 est trop gros, votre vrai trafic déborde, et les paquets en trop disparaissent silencieusement.

Pourquoi le tunnel répond au ping mais les pages bloquent

C'est le symptôme caractéristique, et il déroute tout le monde la première fois :

Un ping est minuscule — il tient dans n'importe quel MTU, donc il réussit et vous convainc que le tunnel fonctionne.
Une requête DNS et le handshake TCP en trois temps sont minuscules aussi, donc les connexions démarrent.
Le premier paquet pleine taille — une page web, une image, un bloc de fichier — dépasse le MTU du chemin et est rejeté.

Normalement un routeur renverrait un message ICMP « fragmentation nécessaire » indiquant à l'émetteur d'utiliser des paquets plus petits (c'est la découverte du MTU de chemin, PMTUD). Mais l'ICMP est filtré sur une énorme partie d'internet, donc ce message n'arrive jamais. L'émetteur continue d'envoyer des paquets surdimensionnés dans le vide. C'est un trou noir PMTU, et voilà pourquoi un tunnel peut paraître vivant tout en étant inutilisable pour le vrai travail.

La même logique explique les rapports « connecté mais sans internet » : le petit trafic de contrôle passe, les grosses données non. Si vous avez écarté le transfert IP et la règle de masquerade (couverts dans le guide d'installation Contabo + WireGuard), le MTU est le suspect suivant.

Mesurer le bon MTU pour votre lien

Ne copiez pas un nombre trouvé sur un forum. Mesurez votre propre chemin avec un ping sans fragmentation vers l'IP publique réelle du serveur (pas son IP de tunnel), en réduisant la charge utile jusqu'à ce que les paquets passent :

# -M do = ne pas fragmenter, -s = taille de charge utile
ping -M do -s 1472 IP_PUBLIQUE_SERVEUR

La charge utile -s 1472 plus 28 octets d'en-tête ICMP+IP égale 1500. Si cela échoue avec « message too long » ou sans réponse, descendez et réessayez :

ping -M do -s 1464 IP_PUBLIQUE_SERVEUR
ping -M do -s 1400 IP_PUBLIQUE_SERVEUR
ping -M do -s 1372 IP_PUBLIQUE_SERVEUR

Sous Windows, l'équivalent est ping -f -l 1472 IP_PUBLIQUE_SERVEUR ; sous macOS, ping -D -s 1472 IP_PUBLIQUE_SERVEUR.

Prenez la plus grande charge utile qui passe, puis faites le calcul :

Plus grande charge utile qui passe + 28 = votre MTU de chemin.
MTU de chemin − 80 = un MTU WireGuard sûr (utilisez 80 pour le cas IPv6 ; les chemins IPv4 uniquement peuvent utiliser −60, mais −80 est le choix universel sûr).

Exemple chiffré. Supposons que -s 1400 soit le plus grand qui réponde et que -s 1408 échoue. MTU de chemin = 1400 + 28 = 1428. MTU WireGuard = 1428 − 80 = 1348 → arrondi à un 1340 propre.

Régler le MTU WireGuard

Ajoutez une ligne au bloc [Interface] du côté contraint (généralement le client) et redémarrez le tunnel :

[Interface]
PrivateKey = ...
Address = 10.66.66.2/32
MTU = 1340

sudo wg-quick down wg0 && sudo wg-quick up wg0
# ou, sans redémarrage complet :
sudo ip link set dev wg0 mtu 1340

Re-testez aussitôt : chargez une page lourde, lancez un transfert de fichier, ou faites un ping sans fragmentation à travers le tunnel vers l'IP de tunnel du serveur. Si le gros trafic passe désormais, vous tenez votre valeur. Si vous construisez des configs de zéro, les modèles de configuration prêts à l'emploi incluent la ligne MTU au bon endroit pour chaque plateforme.

Valeurs raisonnables par type de lien

Quand vous ne pouvez pas mesurer — ou voulez un point de départ sûr — ces repères documentés couvrent la plupart des liens réels :

Type de lien	MTU de chemin	MTU WireGuard
Ethernet / fibre / câble standard	1500	1420 (défaut)
PPPoE DSL	1492	1400–1412
Mobile / 5G / CGNAT courant	variable, souvent <1400	1280
Tunnel dans un autre VPN/tunnel	réduit deux fois	1280
Minimum IPv6 garanti (infaillible)	1280	1280

1280 est la valeur que tout chemin IPv6 est tenu de transporter, donc c'est le repli sûr quand rien d'autre ne marche : vous perdez un peu d'efficacité mais le blocage disparaît. Préférez toujours une valeur mesurée quand vous pouvez en obtenir une — 1280 laisse de la performance de côté sur un chemin propre de 1500 octets.

Quand le MTU n'est pas la réponse

Abaisser le MTU est le correctif quand les petits paquets passent et les gros non. Si rien ne passe après le handshake, le problème est ailleurs — vérifiez, dans l'ordre :

net.ipv4.ip_forward = 1 et la règle MASQUERADE sur le serveur.
Les AllowedIPs côté serveur sans chevauchement entre pairs.
Un PersistentKeepalive = 25 sur tout pair derrière du NAT.

Les trois sont détaillés dans le guide de dépannage du handshake. Et si vous ne voulez que certaines applis dans le tunnel, abaisser le MTU se marie naturellement avec un routage en split-tunnel pour que l'essentiel de votre trafic évite la surcharge du tunnel.

Un lien propre rend le MTU prévisible

La moitié des soucis de MTU vient d'un chemin désordonné : double NAT, routeur maison capricieux, tunnel empilé sur un tunnel. Un VPS avec une IPv4 publique propre vous offre un seul saut bien élevé, où le défaut standard de 1420 fonctionne généralement tout seul. Un Contabo VPS S à 4,99 €/mois vous donne un root complet et une IP publique sans pare-feu fournisseur à combattre — exactement les conditions où la découverte du MTU de chemin se comporte bien. Suivez l'installation pas à pas Contabo + WireGuard, et si vous hésitez encore sur l'hébergeur, comparez les options dans le guide Contabo vs Hetzner vs OVH.

Pour aller plus loin

Sources et références :

Publié le 2026-06-24. Les chiffres de surcharge proviennent des en-têtes du protocole WireGuard ; la méthode de mesure est la découverte standard du MTU de chemin. Vos conditions de lien diffèrent — confirmez toujours avec un ping sans fragmentation avant de figer une valeur.

Rappel : faire tourner WireGuard et auto-héberger un VPN est légal dans l'UE, aux États-Unis, au Canada et dans la plupart des pays démocratiques. VPNSmith publie ce contenu à des fins éducatives.

★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis

Héberge ton VPN sur ton propre VPS → ContaboAccès root complet · IPv4 publique · choisis ta région→

MTU WireGuard : la bonne valeur et comment réparer le tunnel bloqué (2026)

Ce qu'est le MTU et pourquoi WireGuard s'en soucie

Pourquoi le tunnel répond au ping mais les pages bloquent

Mesurer le bon MTU pour votre lien

Régler le MTU WireGuard

Valeurs raisonnables par type de lien

Quand le MTU n'est pas la réponse

Un lien propre rend le MTU prévisible

Pour aller plus loin

Pour aller plus loin

WireGuard « handshake did not complete » : la liste de fixes complète (2026)

Qu'est-ce que Tailscale ? Le VPN maillé expliqué (2026)

Quel port utilise WireGuard ? Port par défaut, le changer & l'ouvrir (2026)