IPsec : performant, standard, idéal site-à-site permanent. SSL VPN : pour utilisateurs nomades, plus simple côté client. Les deux peuvent coexister sur un même appareil.

Throughput VPN à viser ?

Compter 100 Mbps minimum pour un site moyen, 500 Mbps - 1 Gbps pour datacenter. Avec AES-256-GCM et hardware acceleration, FortiGate 100F atteint 11 Gbps IPsec.

VPN MPLS, SD-WAN ou VPN IPsec ?

MPLS : SLA strict mais coûteux. SD-WAN : flexible, économique, sécurité intégrée. IPsec : option historique simple. SD-WAN est la tendance majeure 2026.

Meilleur routeur VPN professionnel site-à-site

15 avril 2026·5 min de lecture·997 mots

VPN site-à-site : le pilier de l'interconnexion multi-sites

Le VPN site-à-site (ou VPN IPsec site-to-site) est un tunnel chiffré permanent entre deux équipements réseau (firewall, routeur) situés sur des sites géographiques différents. Le trafic entre les deux sites est chiffré en AES-256 et authentifié — un observateur sur Internet ne voit que des paquets ESP chiffrés, pas le contenu. C'est l'alternative économique au MPLS : un VPN IPsec sur Internet coûte le prix de la fibre (~60€/mois) vs un lien MPLS équivalent (~800€/mois).

En 2026, le VPN site-à-site est utilisé par 85% des entreprises multi-sites françaises. Même les entreprises avec du MPLS ajoutent un VPN IPsec backup sur Internet pour la redondance. Et avec le SD-WAN, les tunnels IPsec sont devenus le transport principal (overlay) sur lequel s'appuient les politiques applicatives.

Critères de choix d'un routeur VPN

Débit IPsec réel : le chiffre qui compte

Le débit VPN IPsec affiché dans les datasheets varie énormément selon le type de chiffrement, la taille des paquets, et le hardware. Toujours comparer sur AES-256-GCM avec des paquets IMIX (mélange réaliste). Les chiffres 'IPsec throughput' marketing sont mesurés en AES-128 avec des paquets de 1400 octets — pas représentatif.

FortiGate 60F : 6.5 Gbps IPsec (AES-256-GCM, ASIC NP6 accéléré). Le meilleur rapport débit/prix du marché.
FortiGate 100F : 11.5 Gbps IPsec. Pour les hubs VPN multi-sites.
FortiGate 200F : 27 Gbps IPsec. Pour les concentrateurs centraux.
Cisco ISR 4321 : 250 Mbps IPsec (CPU x86, pas d'ASIC). Suffisant pour petites branches.
Cisco Catalyst 8200 : 1 Gbps IPsec. Branche SD-WAN.
Cisco ASR 1001-X : 5 Gbps IPsec. Concentration VPN enterprise.
Juniper SRX300 : 300 Mbps IPsec. PME/branche basique.
Juniper SRX1500 : 4.5 Gbps IPsec. DC milieu de gamme.

IKEv2 : le seul protocole à utiliser en 2026

IKEv1 est obsolète — vulnérabilités connues, pas de support EAP natif, pas de MOBIKE. IKEv2 (RFC 7296) est le standard : négociation plus rapide (2 échanges vs 6 pour IKEv1), support NAT-T natif, support EAP pour l'authentification, MOBIKE pour la mobilité (failover WAN transparent).

Algorithmes recommandés 2026 : AES-256-GCM (chiffrement + intégrité combinés), SHA-384 (intégrité IKE), DH groupe 19 ou 20 (ECC P-256/P-384). Parfois appelé 'Suite B' ou 'Next Generation Encryption'.
Éviter absolument : DES, 3DES, MD5, SHA-1, DH groupe 1/2/5. Ces algorithmes sont cassés ou affaiblis.
PFS (Perfect Forward Secrecy) : toujours activer avec DH groupe 19. Garantit que la compromission d'une clé ne permet pas de déchiffrer les sessions passées.

FortiGate : le champion du VPN IPsec

FortiGate domine le marché VPN site-à-site pour une raison simple : l'ASIC NP7/NP6 accélère matériellement l'IPsec. Un FortiGate 60F à ~700€ fournit 6.5 Gbps IPsec — un Cisco ISR 4321 à ~2 500€ plafonne à 250 Mbps. Le ratio est de x26 en faveur de FortiGate à budget équivalent.

FortiGate 60F (FG-60F) : 6.5 Gbps IPsec. 200 tunnels site-to-site. Pour hub PME 5-20 sites. Prix OPTINOC : ~700€ HT.
FortiGate 100F (FG-100F) : 11.5 Gbps IPsec. 2000 tunnels. Pour hub ETI 20-100 sites. Prix : ~2 800€ HT.
FortiGate 200F (FG-200F) : 27 Gbps IPsec. 10000 tunnels. Pour concentrateur datacenter. Prix : ~5 500€ HT.
Configuration type : VPN → IPsec → Create New → Site to Site. Phase 1 : IKEv2, AES-256-GCM, SHA384, DH19, PSK ou certificat. Phase 2 : selectors (subnets), AES-256-GCM, PFS DH19.
FortiManager : centralise la gestion VPN multi-sites. Templates de tunnel, monitoring état, alerting sur tunnel down. Indispensable à partir de 10 sites.

Cisco ISR / Catalyst 8000 : l'alternative enterprise

Cisco reste le choix pour les entreprises avec compétences CCNP en interne et besoin de routing avancé (BGP, MPLS, Segment Routing). Le VPN IPsec sur Cisco est solide mais le débit est limité par l'architecture CPU x86 (pas d'ASIC dédié IPsec sauf sur ASR).

ISR 4321 (ISR4321/K9) : 250 Mbps IPsec. 2 ports GbE WAN + 2 ports GbE LAN. Pour petites branches simples. Prix OPTINOC : ~2 200€ HT.
Catalyst 8200 (C8200-1N-4T) : 1 Gbps IPsec. SD-WAN Viptela compatible. Pour branches enterprise. Prix : ~3 000€ HT.
ASR 1001-X : 5 Gbps IPsec. Pour concentration VPN enterprise. Prix : ~8 000€ HT.
Configuration : crypto ikev2 proposal → encryption aes-gcm-256 / integrity sha384 / group 19. crypto ikev2 keyring → peer SITE-B / address X.X.X.X / pre-shared-key.

Juniper SRX : le VPN avec routing Junos

Le SRX combine firewall + VPN + routing avancé sous Junos OS. L'avantage : si vous avez besoin de BGP/OSPF avancé dans le tunnel VPN (redistribution, route leaking entre VRFs), Junos est le plus expressif. L'inconvénient : le débit IPsec est modeste comparé à FortiGate (architecture CPU, pas d'ASIC dédié).

SRX300 : 300 Mbps IPsec. Pour PME/branche. Prix OPTINOC : ~1 200€ HT.
SRX320 : 300 Mbps IPsec + 8 ports PoE intégrés. Pour branche avec AP/téléphones. Prix : ~1 500€ HT.
SRX1500 : 4.5 Gbps IPsec. Pour DC milieu de gamme. Prix : ~8 000€ HT.
Configuration Junos : set security ike proposal P1 authentication-method pre-shared-keys / dh-group group19 / encryption-algorithm aes-256-gcm.

Dimensionnement multi-sites

5-10 sites (PME) : 1 FortiGate 60F en hub central + 1 FortiGate 40F par site distant. VPN IPsec hub-and-spoke. Budget : ~3 000-5 000€ HT total.
10-50 sites (ETI) : 1 FortiGate 100F hub + FortiGate 60F par site. FortiManager VM pour orchestration. Budget : ~25 000-50 000€ HT.
50-200 sites (grande entreprise) : 2× FortiGate 200F en hub HA + FortiGate 60F-100F par site. FortiManager + FortiAnalyzer. Considérer SD-WAN au lieu de VPN simple. Budget : ~100K-200K€ HT.
200+ sites : SD-WAN Fortinet ou Cisco Viptela — le VPN site-à-site pur ne scale plus opérationnellement (gestion des tunnels, failover, monitoring).

Recommandations OPTINOC

Pour 90% des cas VPN multi-sites : FortiGate. Le débit IPsec accéléré par ASIC, le SD-WAN inclus sans licence, et le TCO imbattable en font la solution évidente. Pour les cas avec routing BGP/MPLS avancé ou écosystème Cisco/Juniper existant, les alternatives restent pertinentes.

OPTINOC distribue FortiGate, Cisco ISR/Catalyst 8000/ASR, et Juniper SRX en garantie constructeur. Configuration VPN pré-livrée possible sur demande. Livraison Europe 24-72h.