IPsec : performant, standard, idéal site-à-site permanent. SSL VPN : pour utilisateurs nomades, plus simple côté client. Les deux peuvent coexister sur un même appareil.

Throughput VPN à viser ?

Compter 100 Mbps minimum pour un site moyen, 500 Mbps - 1 Gbps pour datacenter. Avec AES-256-GCM et hardware acceleration, FortiGate 100F atteint 11 Gbps IPsec.

VPN MPLS, SD-WAN ou VPN IPsec ?

MPLS : SLA strict mais coûteux. SD-WAN : flexible, économique, sécurité intégrée. IPsec : option historique simple. SD-WAN est la tendance majeure 2026.

Meilleur router VPN professionnel site-à-site

April 15, 2026·5 min read·997 words

VPN site-à-site : le pilier de l'interconnexion multi-sites

Le VPN site-à-site (ou VPN IPsec site-to-site) est un tunnel chiffré permanent entre deux équipements network (firewall, router) situés sur of sites géographiques différents. Le trafic entre les deux sites est chiffré en AES-256 and authentifié — un observateur sur Internet ne voit que of paquets ESP chiffrés, pas le contenu. C'est l'alternative économique au MPLS : un VPN IPsec sur Internet coûte le prix of the fibre (~60€/mois) vs un lien MPLS équivalent (~800€/mois).

En 2026, le VPN site-à-site est used par 85% of entrepriits multi-sites françaises. Même les entrepriits with of MPLS ajoutent un VPN IPsec backup sur Internet for la redundancy. Et with le SD-WAN, les tunnels IPsec sont devenus le transport principal (overlay) sur lewhich s'appuient les politiques applicatives.

Critères de choix d'un router VPN

Throughput IPsec réel : le chiffre qui compte

Le throughput VPN IPsec affiché dans les datasheets varie énormément selon le type de chiffrement, la taille of paquets, and le hardware. Toujours comparer sur AES-256-GCM with of paquets IMIX (mélange réaliste). Les chiffres 'IPsec throughput' marketing sont mesurés en AES-128 with of paquets de 1400 octets — pas représentatif.

FortiGate 60F : 6.5 Gbps IPsec (AES-256-GCM, ASIC NP6 accéléré). Le meilleur rapport throughput/prix of marché.
FortiGate 100F : 11.5 Gbps IPsec. For les hubs VPN multi-sites.
FortiGate 200F : 27 Gbps IPsec. For les concentrateurs centraux.
Cisco ISR 4321 : 250 Mbps IPsec (CPU x86, pas d'ASIC). Suffisant for petites branches.
Cisco Catalyst 8200 : 1 Gbps IPsec. Branche SD-WAN.
Cisco ASR 1001-X : 5 Gbps IPsec. Concentration VPN enterprise.
Juniper SRX300 : 300 Mbps IPsec. SMB/branche basique.
Juniper SRX1500 : 4.5 Gbps IPsec. DC milieu de gamme.

IKEv2 : le seul protocole to usesr en 2026

IKEv1 est obsolète — vulnérabilités connues, pas de support EAP natif, pas de MOBIKE. IKEv2 (RFC 7296) est le standard : négociation plus rapide (2 échanges vs 6 for IKEv1), support NAT-T natif, support EAP for l'authentification, MOBIKE for la mobilité (failover WAN transparent).

Algorithmes recommandés 2026 : AES-256-GCM (chiffrement + intégrité combinés), SHA-384 (intégrité IKE), DH groupe 19 or 20 (ECC P-256/P-384). Parfois appelé 'Suite B' or 'Next Generation Encryption'.
Éviter absolument : DES, 3DES, MD5, SHA-1, DH groupe 1/2/5. These algorithmes sont cassés or affaiblis.
PFS (Perfect Forward Secrecy) : toujours activer with DH groupe 19. Garantit que la compromission d'une clé ne permet pas de déchiffrer les sessions passées.

FortiGate : le champion of VPN IPsec

FortiGate domine le marché VPN site-à-site for une raiits simple : l'ASIC NP7/NP6 accélère matériellement l'IPsec. Un FortiGate 60F to ~700€ provides 6.5 Gbps IPsec — un Cisco ISR 4321 to ~2 500€ plafonne to 250 Mbps. Le ratio est de x26 en faveur de FortiGate to budget équivalent.

FortiGate 60F (FG-60F) : 6.5 Gbps IPsec. 200 tunnels site-to-site. For hub SMB 5-20 sites. Prix OPTINOC : ~700€ HT.
FortiGate 100F (FG-100F) : 11.5 Gbps IPsec. 2000 tunnels. For hub ETI 20-100 sites. Prix : ~2 800€ HT.
FortiGate 200F (FG-200F) : 27 Gbps IPsec. 10000 tunnels. For concentrateur datacenter. Prix : ~5 500€ HT.
Configuration type : VPN → IPsec → Create New → Site to Site. Phase 1 : IKEv2, AES-256-GCM, SHA384, DH19, PSK or certificat. Phase 2 : selectors (subnets), AES-256-GCM, PFS DH19.
FortiManager : centralise la gestion VPN multi-sites. Templates de tunnel, monitoring état, alerting sur tunnel down. Indispensable to partir de 10 sites.

Cisco ISR / Catalyst 8000 : l'alternative enterprise

Cisco reste le choix for les entrepriits with compétenthese CCNP en interne and besoin de routing avancé (BGP, MPLS, Segment Routing). Le VPN IPsec sur Cisco est solide mais le throughput est limité par l'architecture CPU x86 (pas d'ASIC dédié IPsec sauf sur ASR).

ISR 4321 (ISR4321/K9) : 250 Mbps IPsec. 2 ports GbE WAN + 2 ports GbE LAN. For petites branches simples. Prix OPTINOC : ~2 200€ HT.
Catalyst 8200 (C8200-1N-4T) : 1 Gbps IPsec. SD-WAN Viptela compatible. For branches enterprise. Prix : ~3 000€ HT.
ASR 1001-X : 5 Gbps IPsec. For concentration VPN enterprise. Prix : ~8 000€ HT.
Configuration : crypto ikev2 proposal → encryption aes-gcm-256 / integrity sha384 / group 19. crypto ikev2 keyring → peer SITE-B / address X.X.X.X / pre-shared-key.

Juniper SRX : le VPN with routing Junos

Le SRX combine firewall + VPN + routing avancé sous Juour OS. L'avantage : si vous avez besoin de BGP/OSPF avancé dans le tunnel VPN (redistribution, route leaking entre VRFs), Juour est le plus expressif. L'inconvénient : le throughput IPsec est modeste comparé to FortiGate (architecture CPU, pas d'ASIC dédié).

SRX300 : 300 Mbps IPsec. For SMB/branche. Prix OPTINOC : ~1 200€ HT.
SRX320 : 300 Mbps IPsec + 8 ports PoE integrateds. For branche with AP/téléphones. Prix : ~1 500€ HT.
SRX1500 : 4.5 Gbps IPsec. For DC milieu de gamme. Prix : ~8 000€ HT.
Configuration Juour : set security ike proposal P1 authentication-method pre-shared-keys / dh-group group19 / encryption-algorithm aes-256-gcm.

Dimensionnement multi-sites

5-10 sites (SMB) : 1 FortiGate 60F en hub central + 1 FortiGate 40F par site distant. VPN IPsec hub-and-spoke. Budget : ~3 000-5 000€ HT total.
10-50 sites (ETI) : 1 FortiGate 100F hub + FortiGate 60F par site. FortiManager VM for orchestration. Budget : ~25 000-50 000€ HT.
50-200 sites (grande entreprise) : 2× FortiGate 200F en hub HA + FortiGate 60F-100F par site. FortiManager + FortiAnalyzer. Considérer SD-WAN au lieu de VPN simple. Budget : ~100K-200K€ HT.
200+ sites : SD-WAN Fortinet or Cisco Viptela — le VPN site-à-site pur ne scale plus opérationnellement (gestion of tunnels, failover, monitoring).

Recommandations OPTINOC

For 90% of cas VPN multi-sites : FortiGate. Le throughput IPsec accéléré par ASIC, le SD-WAN included without licence, and le TCO imbattable en font la solution évidente. For les cas with routing BGP/MPLS avancé or écosystème Cisco/Juniper existant, les alternatives restent pertinentes.

OPTINOC distribue FortiGate, Cisco ISR/Catalyst 8000/ASR, and Juniper SRX en manufacturer warranty. Configuration VPN pré-livrée possible sur demande. Europe shipping 24-72h.