Monter son VPN perso WireGuard sur un VPS : une IP française dès ~3 €/mois

Vous vous connectez au Wi-Fi d’un café, d’un aéroport ou d’un hôtel, et vous vous demandez qui peut lire ce qui transite. Ou bien vous êtes à l’étranger et un service français vous bloque parce que votre IP n’est pas dans le bon pays. Ou encore, vous voulez accéder à distance à votre serveur sans l’exposer à tout Internet. Pour ces trois besoins, la réponse tient en un mot : WireGuard, un VPN moderne que vous hébergez vous-même sur un VPS loué.

WireGuard est un protocole de VPN apparu en 2020, intégré directement au noyau Linux. Il est réputé pour être rapide, ultra-léger et simple comparé au vieux OpenVPN : quelques centaines de lignes de code, un chiffrement moderne, et des débits proches de votre connexion native. Auto-hébergé sur un VPS, il transforme ce petit serveur en votre propre serveur VPN : tout votre trafic ressort par l’IP publique du VPS, chiffré de bout en bout entre votre appareil et le serveur. C’est exactement le cas d’usage pour lequel un VPS est taillé — contrairement à un service auto-hébergé chez vous, vous avez besoin d’une IP publique distante pour qu’un VPN ait un sens.

Soyons honnêtes d’emblée sur ce qu’un VPN perso WireGuard remplace et ne remplace pas. Il ne vous rend pas anonyme : l’IP du VPS est louée à votre nom, votre fournisseur connaît votre identité, et vous êtes le seul utilisateur de cette adresse — l’inverse d’un NordVPN où des milliers de personnes partagent les mêmes IP. En revanche, il vous donne une IP française fixe, sécurise vos connexions sur les réseaux Wi-Fi publics, et vous permet d’accéder à distance à votre VPS ou à d’autres services que vous y hébergez. Ce sont des usages différents, et c’est important de le comprendre avant de se lancer.

VPN perso WireGuard ou VPN commercial (NordVPN) : lequel ?

C’est la première question à se poser, et la réponse n’est pas « l’un est meilleur que l’autre » — ils répondent à des besoins distincts.

Un VPN commercial (NordVPN, Surfshark, ProtonVPN…) excelle pour l’anonymat relatif et le contournement géographique. Comme des milliers d’utilisateurs partagent les mêmes IP réparties dans des dizaines de pays, votre activité se noie dans la masse, et vous pouvez « apparaître » aux États-Unis, au Japon ou ailleurs en un clic. C’est l’outil adapté pour débloquer un catalogue de streaming étranger ou masquer son IP réelle.

Un VPN perso WireGuard fait l’inverse, et c’est sa force pour d’autres usages :

• Une IP fixe et à vous seul. Personne d’autre n’utilise cette adresse. Pratique pour des services qui exigent une IP stable (whitelist d’accès, administration distante).
• Sécuriser le Wi-Fi public. Sur un réseau ouvert, tout votre trafic passe chiffré jusqu’à votre VPS avant de rejoindre Internet. Le café ne voit qu’un tunnel illisible.
• Accéder à votre réseau. Vous pouvez atteindre les autres services hébergés sur le même VPS (ou un réseau privé) sans les exposer publiquement.
• Une transparence totale. Vous savez exactement qui gère le serveur : vous. Aucune politique de logs floue à croire sur parole.

Le revers : pas d’anonymat (l’IP vous est rattachée), souvent un seul pays (celui de votre VPS), et le streaming géo-bloqué fonctionne mal car les plateformes repèrent et bloquent les plages d’IP des datacenters. Pour résumer : si votre objectif est de regarder Netflix US ou de masquer votre identité, restez sur un VPN commercial. Si votre objectif est la sécurité, une IP française fixe et l’accès distant, le VPN perso est imbattable — surtout qu’il se mutualise avec d’autres applications sur le même serveur.

Configuration requise : quel VPS pour WireGuard ?

C’est probablement l’application la plus légère que vous puissiez auto-héberger.

WireGuard est d’une frugalité remarquable : en fonctionnement, le service consomme typiquement entre 50 et 128 Mo de RAM, et la charge CPU reste négligeable même avec plusieurs appareils connectés. Concrètement, le plus petit VPS du marché suffit — inutile de payer pour 4 Go de RAM. L’interface web wg-easy ajoute un léger surcoût (Node.js), d’où la recommandation de 256 Mo pour être confortable, mais 128 Mo tiennent la route.

Ce qui compte réellement pour un VPN, ce n’est pas la puissance, ce sont deux autres critères :

1. La bande passante incluse. Tout votre trafic transite par le VPS. Vérifiez le trafic mensuel inclus et le débit du port réseau (souvent 100 Mbit/s à 1 Gbit/s selon l’offre). Un VPN, ça consomme de la donnée.
2. L’emplacement du datacenter. Il détermine la nationalité de votre IP et la latence. Pour une IP française, choisissez un datacenter en France (voir plus bas).

Le stockage est anecdotique (2 à 5 Go suffisent largement pour le système et les configs), et aucune base de données n’est nécessaire. Si vous hésitez sur le dimensionnement, notre guide combien de RAM pour l’auto-hébergement détaille les besoins réels par type d’application — WireGuard y figure tout en bas de l’échelle.

Comment avoir une IP française avec son VPN ?

C’est l’un des principaux atouts d’un VPN perso, et c’est très simple : votre IP de sortie est celle du VPS. Donc pour avoir une IP française, il suffit de louer un VPS dont le datacenter est situé en France.

Plusieurs hébergeurs proposent des datacenters sur le territoire :

• OVH — datacenters à Roubaix, Gravelines et Strasbourg. C’est l’option française historique, avec une excellente connectivité.
• Scaleway — datacenters en région parisienne (Paris, Amsterdam et Varsovie au choix). Filiale du groupe Iliad/Free, 100 % français.

Une fois votre VPN actif sur un VPS français, où que vous soyez dans le monde, votre trafic ressort avec une IP française. C’est extrêmement pratique dans plusieurs situations : accéder à votre banque en ligne, à un service public (impôts, Ameli) ou à un site marchand FR qui bloque ou complique l’accès depuis l’étranger ; lire la presse française géo-restreinte ; ou simplement retrouver « comme à la maison » lors d’un voyage ou d’une expatriation. À l’inverse, si vous voulez une IP allemande, un VPS chez Hetzner (datacenters en Allemagne) vous la donnera. Vous choisissez votre nationalité d’IP… en choisissant l’emplacement de votre serveur.

Combien coûte un VPN WireGuard auto-hébergé ?

Voici le calcul honnête, sans embellir.

Un VPN commercial comme NordVPN ou Surfshark coûte environ 3 à 5 €/mois en promotion (souvent sur engagement de 2 ans, le tarif remontant ensuite). Pour ce prix, vous obtenez des serveurs dans des dizaines de pays, des applications soignées, et l’anonymat de l’IP partagée. C’est beaucoup de valeur si vous avez besoin de ces fonctions.

Un VPS pour WireGuard coûte lui aussi 3 à 5 €/mois environ pour le plus petit modèle. Pour ce prix, vous obtenez une seule IP, dans un seul pays, mais avec deux différences de taille :

• Cette IP est à vous. Pas de partage, pas de blocage lié à l’usage d’autres utilisateurs, contrôle total.
• Le serveur est mutualisable. C’est là que l’équation change vraiment. Le même VPS qui fait tourner votre VPN peut simultanément héberger votre coffre-fort de mots de passe, un moniteur de disponibilité, un serveur multimédia… WireGuard consomme si peu de ressources qu’il cohabite gratuitement avec d’autres applications.

Autrement dit : si vous comparez « un VPN contre un VPN », le VPN commercial est plus polyvalent pour le même prix. Mais si vous avez déjà un VPS (ou prévoyez d’en louer un pour d’autres usages), ajouter WireGuard ne coûte rien de plus — c’est un bonus offert par la mutualisation. Beaucoup d’auto-hébergeurs n’achètent pas un VPS pour le VPN ; ils ajoutent le VPN à un VPS qu’ils ont déjà.

Quel hébergeur choisir pour un VPN WireGuard ?

Le critère de choix se résume à trois points : l’emplacement (pour la nationalité de l’IP), la bande passante incluse (un VPN brasse beaucoup de trafic) et le prix de la plus petite offre (puisque WireGuard se contente de presque rien). OVH et Scaleway sont les références pour une IP française. Hetzner, en Allemagne, propose un excellent rapport ressources/prix et une bande passante très généreuse si une IP allemande vous convient ou si vous cherchez simplement le VPS le moins cher pour un usage multi-applications.

Installer WireGuard sur un VPS avec wg-easy (interface web)

L’installation manuelle de WireGuard implique d’éditer des fichiers de configuration, de générer des paires de clés à la main et de gérer le routage. wg-easy élimine tout cela : c’est un conteneur Docker qui embarque WireGuard et une interface web pour gérer vos appareils en quelques clics. C’est l’approche recommandée pour la plupart des gens.

Première étape, sur un VPS fraîchement installé (Debian/Ubuntu), installez Docker :

apt update && apt install -y docker.io docker-compose-plugin

Ensuite, créez un fichier docker-compose.yml. Remplacez VOTRE_IP_PUBLIQUE par l’adresse IP de votre VPS et générez d’abord un hash de mot de passe :

docker run --rm ghcr.io/wg-easy/wg-easy wgpw 'MotDePasseAdminSolide'

Cette commande affiche un hash bcrypt à recopier dans le fichier ci-dessous. Important : dans un fichier docker-compose, doublez chaque $ du hash ($$ au lieu de $), sinon il sera mal interprété.

services:
  wg-easy:
    image: ghcr.io/wg-easy/wg-easy
    container_name: wg-easy
    environment:
      # IP publique du VPS (ou nom de domaine)
      - WG_HOST=VOTRE_IP_PUBLIQUE
      # Hash bcrypt généré avec la commande wgpw (doublez les $ en $$)
      - PASSWORD_HASH=$$2a$$12$$xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
      # Serveurs DNS poussés aux clients
      - WG_DEFAULT_DNS=1.1.1.1
    volumes:
      - ./config:/etc/wireguard
    ports:
      - "51820:51820/udp"   # tunnel WireGuard
      - "51821:51821/tcp"   # interface web d'administration
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1
    restart: unless-stopped

Lancez ensuite le conteneur :

docker compose up -d

WireGuard écoute sur le port UDP 51820 (le tunnel chiffré) et l’interface d’administration sur le port TCP 51821. Il faut ouvrir ces ports dans le pare-feu du VPS. Avec UFW :

ufw allow 51820/udp
ufw allow 51821/tcp

Rendez-vous enfin sur http://VOTRE_IP_PUBLIQUE:51821, connectez-vous avec votre mot de passe admin, cliquez sur « New Client », donnez un nom à l’appareil (« iPhone », « Portable »…) et un QR code apparaît. Ouvrez l’application WireGuard officielle sur votre téléphone (disponible sur iOS et Android), appuyez sur « + » puis « Scanner un QR code », et le tunnel est configuré. Sur ordinateur, vous pouvez télécharger directement le fichier de configuration depuis le panel. C’est tout — votre VPN perso est opérationnel.

Sécuriser son installation WireGuard

Quelques précautions valent la peine d’être prises, car le panel d’administration est exposé sur Internet.

• Changez immédiatement le mot de passe admin par défaut et choisissez-en un long et unique. C’est ce hash qui protège l’accès à la gestion de tous vos profils VPN.
• Restreignez l’accès au panel. Idéalement, n’exposez pas le port 51821 à Internet entier : limitez-le à votre IP, ou rendez-le accessible uniquement via le tunnel WireGuard lui-même une fois connecté. Une autre option consiste à le placer derrière un reverse proxy avec HTTPS.
• Maintenez l’image à jour. Un simple docker compose pull && docker compose up -d récupère les dernières corrections de sécurité. Les VPN sont des cibles sensibles : restez à jour.
• Attention au P2P. La plupart des hébergeurs interdisent le torrent intensif dans leurs CGU. Un usage normal ne pose aucun problème, mais évitez de transformer votre VPS en seedbox sauvage sous peine de suspension.

Votre VPN perso WireGuard tourne désormais sur votre VPS, prêt à chiffrer vos connexions et à vous offrir une IP française partout. Et comme il ne consomme presque rien, profitez-en pour rentabiliser le serveur : couplez-le par exemple avec Vaultwarden, votre coffre-fort de mots de passe auto-hébergé — VPN chiffré plus gestionnaire de mots de passe sur la même machine, c’est un duo sécurité particulièrement cohérent. Et si vous hésitez encore sur la machine à louer, notre guide quel VPS choisir pour l’auto-hébergement compare les offres selon vos besoins.