Comment choisir son type de tunnel IP ?

Quand on doit relier plusieurs sites, transporter des IP publiques ou étendre un réseau entre différents environnements, on tombe vite sur une série d’acronymes : GRE, IPIP, WireGuard, VXLAN, GRETAP, L2TPv3, BGP. Et souvent, on commence par la mauvaise question : “quel protocole choisir ?”

En réalité, le bon raisonnement commence un peu plus tôt. Avant de comparer les protocoles, il faut d’abord comprendre ce que l’on veut transporter. Dans la majorité des cas, tout se joue sur une distinction simple : faut-il un tunnel Layer 2 ou Layer 3 ?

Un tunnel L3 transporte des paquets IP. Un tunnel L2 transporte des trames Ethernet complètes. Ce n’est pas un détail technique : c’est ce qui détermine l’architecture, les usages possibles, la complexité du déploiement et la façon dont les machines vont communiquer.

Le bon tunnel n’est donc pas “le plus connu” ou “le plus moderne”. C’est celui qui correspond réellement au besoin.

Commencer par la bonne question : L2 ou L3 ?

Choisir un tunnel L3 pour router des IP

Un tunnel Layer 3 est fait pour transporter du trafic IP entre deux points. C’est généralement le bon choix lorsqu’on veut router des adresses IP, distribuer des IP publiques, faire du NAT 1:1, ou construire une architecture réseau propre et lisible.

C’est aussi le choix le plus logique quand on veut éviter d’étendre inutilement un réseau local entre plusieurs sites. Chaque côté garde son propre fonctionnement, et le tunnel sert simplement de lien logique de transport.

Dans la pratique, le L3 est souvent le bon choix si vous voulez :

• attribuer des IP publiques à des serveurs ou des VM ;
• faire du routage propre entre plusieurs environnements ;
• mettre en place du NAT 1:1 ;
• préparer une architecture avec routage dynamique ou BGP ;
• garder un découpage réseau clair.

En résumé : si votre besoin est de transporter des routes ou des IP, vous êtes probablement en L3.

Choisir un tunnel L2 pour étendre un même réseau

Un tunnel Layer 2 fonctionne différemment. Ici, on ne transporte pas seulement des paquets IP, mais des trames Ethernet complètes. En pratique, cela revient à créer une sorte de câble réseau virtuel entre deux sites.

C’est le bon choix lorsqu’on veut prolonger un même réseau local, conserver une logique de bridge, transporter des VLANs, ou faire en sorte que des machines distantes se comportent comme si elles étaient connectées au même switch.

Le L2 est souvent pertinent si vous voulez :

• étendre un même réseau Ethernet entre plusieurs sites ;
• faire transiter des VLANs ;
• conserver un fonctionnement basé sur le bridge ;
• raccorder plusieurs environnements à un même segment réseau logique.

En résumé : si votre besoin est d’étendre un réseau, vous êtes probablement en L2.

La règle simple à retenir

Si vous devez router des IP, partez en L3.
Si vous devez étendre un réseau Ethernet, partez en L2.

Cette première décision évite déjà la majorité des mauvais choix.

Ensuite seulement : choisir le bon protocole

Une fois que l’on sait si l’on a besoin de L2 ou de L3, le choix devient beaucoup plus simple. À ce moment-là, on peut comparer les protocoles selon quelques critères vraiment utiles :

• le comportement derrière un NAT ;
• le besoin ou non de chiffrement ;
• la compatibilité avec le matériel existant ;
• la simplicité de configuration ;
• l’overhead et l’impact sur la MTU.

L’objectif n’est pas de trouver un protocole “meilleur dans l’absolu”, mais le meilleur compromis pour son contexte.

Côté L3 : comment choisir entre WireGuard, GRE et IPIP ?

WireGuard : simple, moderne et souvent le plus pratique

WireGuard est souvent le choix le plus confortable lorsqu’on cherche un tunnel L3 simple à déployer, moderne et chiffré. Il est particulièrement intéressant quand le routeur ou le firewall est derrière une box opérateur, ou dès qu’il faut traverser un NAT proprement.

Son gros avantage, c’est qu’il combine simplicité, performances et sécurité. Il évite aussi beaucoup des complications classiques liées aux protocoles réseau plus anciens.

WireGuard est souvent un bon choix si :

• vous avez besoin de chiffrement ;
• votre équipement est derrière une box ;
• vous cherchez quelque chose de simple à exploiter ;
• vous voulez limiter les problèmes liés au NAT.

En revanche, dans certains environnements plus anciens ou très orientés matériel réseau traditionnel, il n’est pas toujours le plus naturel à intégrer.

GRE : le grand classique

GRE reste un grand classique du tunnel L3. Il est connu, largement utilisé, et bien supporté dans beaucoup d’environnements réseau traditionnels. C’est souvent un bon choix lorsqu’on veut un tunnel simple, compréhensible et compatible avec des équipements réseau historiques.

Son principal inconvénient n’est pas tant technique que pratique : derrière un NAT ou une box, il peut être plus contraignant à faire passer. Là où un protocole basé sur UDP sera plus souple, GRE demande souvent davantage d’ajustements.

GRE est pertinent si :

• vous travaillez avec des équipements qui le supportent bien ;
• vous voulez une logique réseau classique ;
• vous n’avez pas besoin de chiffrement natif ;
• le NAT n’est pas une contrainte majeure.

IPIP : minimaliste et léger

IPIP est une approche encore plus minimaliste. C’est une solution simple, légère, efficace, surtout quand on cherche à faire du transport IP sans sophistication supplémentaire.

C’est souvent une bonne option si :

• vous cherchez le minimum d’overhead ;
• vous avez un environnement réseau bien maîtrisé ;
• vous voulez une solution directe et sobre ;
• vous n’avez pas besoin de chiffrement.

Comme souvent, sa sobriété est aussi sa limite : ce n’est pas le plus souple si l’environnement réseau est compliqué, ni le plus adapté si le chiffrement est un besoin fort.

Côté L2 : comment choisir entre VXLAN, GRETAP et L2TPv3 ?

VXLAN : le choix moderne pour étendre un réseau

VXLAN est aujourd’hui l’un des choix les plus naturels dès qu’il faut faire du L2 entre plusieurs sites. Il est particulièrement adapté aux environnements modernes et aux architectures où l’on veut étendre un réseau Ethernet de manière souple.

Son fonctionnement le rend souvent plus simple à intégrer dans des contextes avec NAT ou firewall qu’un protocole plus ancien. C’est aussi une solution très adaptée quand on veut prolonger proprement un réseau entre plusieurs emplacements.

VXLAN est souvent un bon choix si :

• vous voulez étendre un réseau Ethernet entre plusieurs sites ;
• vous avez des contraintes NAT ;
• vous cherchez une solution L2 moderne ;
• vous travaillez dans une logique d’infrastructure récente.

Il demande cependant une bonne gestion du bridging et ajoute davantage d’overhead que certaines alternatives plus simples.

GRETAP : l’approche L2 dans la logique GRE

GRETAP reprend une philosophie proche de GRE, mais pour du transport de trames Ethernet. Il est utile lorsqu’on veut faire du L2 avec un mécanisme simple et connu, surtout dans des environnements déjà familiers avec GRE.

C’est souvent un bon choix si :

• vous connaissez déjà bien GRE ;
• vous voulez rester sur une logique simple ;
• votre environnement réseau est bien maîtrisé ;
• vous n’êtes pas fortement contraint par le NAT.

Comme GRE, son principal point faible apparaît souvent derrière une box ou un NAT, où son déploiement devient moins confortable.

L2TPv3 : plus configurable, plus technique

L2TPv3 est souvent choisi lorsqu’on veut davantage de souplesse dans la configuration du tunnel L2. Il permet des scénarios plus précis et peut être intéressant dans des architectures un peu plus techniques ou sur certains équipements spécifiques.

C’est souvent un bon candidat si :

• vous avez besoin de réglages plus fins ;
• vous gérez plusieurs tunnels ou plusieurs sessions ;
• votre matériel le supporte bien ;
• vous acceptez une configuration plus technique.

En contrepartie, il est généralement moins simple à prendre en main que VXLAN ou GRETAP.

Le NAT est souvent le vrai juge de paix

Dans beaucoup de projets, le protocole idéal “sur le papier” n’est pas celui qu’on finit par retenir. Ce qui fait la différence, c’est souvent le contexte réel : présence d’une box opérateur, firewall intermédiaire, NAT strict, impossibilité d’ouvrir certains flux, ou besoin de déployer rapidement sans bricolage.

C’est pour cela que :

• WireGuard est souvent très apprécié dans les environnements derrière NAT ;
• VXLAN est souvent plus pratique que certains anciens protocoles en contexte multi-sites moderne ;
• GRE et GRETAP sont souvent plus à l’aise dans des environnements réseau maîtrisés ;
• L2TPv3 demande un peu plus de rigueur dans le choix de son mode de transport.

Autrement dit, un tunnel ne se choisit pas seulement en fonction de sa fiche technique, mais aussi en fonction de la réalité du terrain.

Et BGP dans tout ça ?

BGP n’est pas un tunnel. C’est une brique de routage qui vient au-dessus, lorsque l’on veut annoncer des préfixes IP, gérer plusieurs chemins réseau, ou construire une logique de failover plus avancée.

Pour simplifier :

• le tunnel sert à transporter le trafic ;
• BGP sert à piloter le routage.

Tout le monde n’a pas besoin de BGP. Si votre objectif est simplement d’utiliser des IP publiques ou de relier deux environnements proprement, un tunnel bien choisi suffit souvent. En revanche, dès que l’on parle de multihoming, de résilience avancée ou d’annonce de ses propres préfixes, BGP entre dans l’équation.

Comment choisir rapidement ?

Si vous voulez aller à l’essentiel :

Choisissez L3 si vous devez :

• router des IP publiques ;
• faire du NAT 1:1 ;
• attribuer des IP à plusieurs machines ;
• construire une architecture réseau propre et évolutive.

Choisissez L2 si vous devez :

• étendre un même réseau Ethernet ;
• transporter des VLANs ;
• conserver une logique de bridge entre plusieurs sites.

Ensuite :

• choisissez WireGuard pour un L3 simple, moderne et chiffré ;
• choisissez GRE pour un L3 classique et largement supporté ;
• choisissez IPIP pour un L3 minimaliste ;
• choisissez VXLAN pour un L2 moderne ;
• choisissez GRETAP pour un L2 dans une logique proche de GRE ;
• choisissez L2TPv3 pour un L2 plus configurable.

Conclusion

Le bon choix ne commence pas par le protocole. Il commence par le besoin.

Si vous devez transporter des routes et des IP, pensez L3.
Si vous devez étendre un réseau Ethernet, pensez L2.

Ensuite seulement, comparez les protocoles selon vos contraintes réelles : NAT, chiffrement, matériel, simplicité d’exploitation, performance et évolutivité.

C’est cette méthode qui permet de choisir un tunnel adapté, plutôt que de choisir un nom de protocole au hasard.

Vous êtes en train de cadrer un besoin réseau multi-sites, IP publiques ou backup opérateur ? Commencez par valider si votre besoin relève du L2 ou du L3.
Vous hésitez encore entre deux approches ? Un rapide cadrage technique du contexte réel suffit souvent à faire apparaître la bonne option.
Et si vous cherchez ensuite une solution pour la mettre en œuvre, vous pourrez comparer les offres du marché selon des critères concrets : protocoles disponibles, facilité de déploiement, gestion du routage et supervision.