Comprendre les types de NAT, c'est la première étape pour diagnostiquer pourquoi tes appareils peinent parfois à communiquer en ligne. Un appel vidéo qui coupe, un jeu multijoueur qui refuse de rejoindre un lobby, ou une appli VoIP qui fonctionne parfaitement à la maison mais plante au bureau - tout ça peut se résumer à un seul concept : la translation d'adresses réseau. Savoir ce que fait le NAT, pourquoi il existe différents types, et quelles contraintes chacun impose peut te faire gagner des heures de débogage et t'aider à prendre de meilleures décisions pour ton réseau.
Points clés à retenir :
- La translation d'adresses réseau (NAT) permet à plusieurs appareils de partager une seule adresse IP publique, mais elle introduit des restrictions de connexion qui varient selon le type de NAT.
- Les types NAT ouvert, modéré et strict (ou Type 1, 2 et 3 dans la terminologie des consoles) influencent directement les connexions pair-à-pair, le jeu en ligne et la communication en temps réel.
- Le double NAT - deux routeurs en série - est une cause fréquente de problèmes de connectivité inexpliqués dans les configurations domestiques et les petites entreprises.
- Des solutions concrètes existent pour chaque type de NAT : activation de l'UPnP, configuration du DMZ ou demande d'une IP statique auprès de ton fournisseur d'accès.
Table des matières
Qu'est-ce que la translation d'adresses réseau ?
Chaque appareil connecté à Internet a besoin d'une adresse IP. Le problème, c'est que le pool mondial d'adresses IPv4 est épuisé. RFC 1918 a en partie résolu ce problème en définissant des plages d'adresses IP privées (comme 192.168.x.x et 10.x.x.x) réutilisables à l'intérieur de n'importe quel réseau local. Un routeur NAT se place à la frontière entre ton réseau privé et Internet, en traduisant les adresses privées vers l'unique IP publique que ton fournisseur d'accès t'attribue.
Quand ton ordinateur portable envoie une requête à un serveur web, le routeur NAT réécrit l'adresse source - ton IP privée (par exemple 192.168.1.50) - en ton IP publique avant de transmettre le paquet. Quand la réponse revient, le routeur effectue la translation inverse et livre les données au bon appareil. Du point de vue d'Internet, tous les appareils de ton réseau semblent n'en former qu'un seul.
C'est élégant et pratique, mais ça crée un effet secondaire : les connexions entrantes non sollicitées n'ont pas de destination évidente. Le routeur ne sait pas quel appareil interne doit recevoir un paquet que personne n'a demandé. C'est précisément cette ambiguïté que les différents types de NAT résolvent chacun à leur manière.
Les types de NAT décryptés
La terminologie varie légèrement selon que tu lis de la documentation sur les consoles de jeu ou sur la théorie des réseaux, mais le comportement sous-jacent reste cohérent. Voici comment fonctionnent concrètement les principaux types de NAT.
NAT Full Cone (NAT ouvert / Type 1)
Dès qu'un appareil ouvre une connexion sortante, le routeur crée un mapping qui accepte tout paquet entrant envoyé à cette IP publique et ce port, quelle qu'en soit la source. C'est le type le plus permissif. Les connexions pair-à-pair, les jeux multijoueurs et les applications en temps réel fonctionnent sans friction. On le rencontre souvent quand l'appareil est directement connecté à un modem sans routeur intermédiaire, ou quand un appareil est placé dans le DMZ du routeur.
NAT Cone à restriction d'adresse (NAT modéré / Type 2)
Le routeur n'autorise les paquets entrants que depuis une adresse IP externe que l'appareil interne a déjà contactée. Le port externe, lui, n'a pas d'importance. C'est le type de NAT le plus répandu sur les routeurs domestiques, et il offre un bon équilibre entre sécurité et connectivité. La plupart des jeux en ligne et des appels vidéo fonctionnent bien dans cette configuration, même si certains scénarios pair-à-pair nécessitent une négociation supplémentaire.
NAT Cone à restriction de port
Les paquets entrants ne sont acceptés que s'ils proviennent exactement de l'adresse IP et du numéro de port que l'appareil interne a précédemment contactés. C'est plus restrictif que le NAT à restriction d'adresse. Les outils de communication en temps réel peuvent rencontrer des difficultés, sauf s'ils utilisent des serveurs relais STUN ou TURN pour traverser le NAT.
NAT Symétrique (NAT strict / Type 3)
Chaque connexion sortante reçoit un mapping de port externe unique, et les paquets entrants ne sont acceptés que depuis la destination exacte que l'appareil interne a initialement contactée. Deux appareils tous les deux derrière un NAT symétrique ne peuvent pas établir de connexion pair-à-pair directe. Le NAT strict est courant sur les pare-feux d'entreprise et certains équipements de niveau opérateur. C'est le plus sécurisé, mais aussi le plus contraignant pour les applications en temps réel.
| Type de NAT | Terme console | Règle entrante | P2P / Jeu en ligne |
|---|---|---|---|
| Full Cone | Ouvert / Type 1 | Toute source autorisée | Excellent |
| Cone à restriction d'adresse | Modéré / Type 2 | IP connue uniquement | Bon |
| Cone à restriction de port | Modéré / Type 2 | IP + port connus | Passable |
| Symétrique | Strict / Type 3 | Destination exacte uniquement | Médiocre |
La translation d'adresses de port et son rôle
La translation d'adresses de port (PAT) est souvent utilisée comme synonyme de NAT, mais il existe une distinction utile. Alors que le NAT de base associe une IP privée à une IP publique, le PAT associe de nombreuses IP privées à une seule IP publique en suivant des numéros de port uniques pour chaque session. Quand ton routeur gère simultanément le trafic d'un ordinateur portable, d'un smartphone et d'une télévision connectée, c'est le PAT qui fait le gros du travail.
C'est grâce au PAT que ton routeur peut distinguer un flux Netflix sur ta TV d'une session de navigation sur ton ordinateur, même si les deux semblent provenir de la même IP publique. Chaque connexion sortante reçoit un port source unique dans la table de translation. Quand les réponses arrivent, le routeur associe le port de destination au bon appareil interne.
C'est aussi pour ça que les applications qui dépendent de numéros de port spécifiques peuvent dysfonctionner derrière un routeur NAT. Si deux appareils essaient tous les deux d'utiliser le port source 5000, le routeur doit en remapper un, et si l'application destinataire attend un port fixe, la connexion échoue. C'est un problème courant avec le VoIP basé sur SIP et certains anciens protocoles pair-à-pair.
Le problème du double NAT
Le double NAT se produit quand deux routeurs effectuent la translation d'adresses en série. Scénario typique : ton fournisseur d'accès te fournit un boîtier modem-routeur qui effectue déjà du NAT. Tu y connectes ensuite ton propre routeur pour une meilleure couverture Wi-Fi ou plus de contrôle. Résultat : chaque appareil de ton réseau traverse deux couches de NAT avant d'atteindre Internet.
Les symptômes sont subtils mais frustrants. Les règles de redirection de port que tu configures sur ton routeur interne n'ont aucun effet, car le routeur externe ne sait pas qu'il doit lui transmettre le trafic. L'UPnP peut fonctionner de façon erratique. Les clients VPN peuvent échouer à établir des tunnels. Les consoles de jeu afficheront presque toujours un NAT strict ou modéré, même après une configuration correcte du routeur interne.
Tu peux confirmer la présence d'un double NAT en comparant l'adresse IP WAN affichée dans le panneau d'administration de ton routeur avec ton IP publique réelle. Si elles diffèrent et que l'IP WAN appartient à une plage privée (10.x.x.x, 172.16-31.x.x ou 192.168.x.x), tu es derrière un double NAT. Utilise notre outil de vérification d'IP pour trouver ton IP publique réelle et la comparer à l'adresse WAN indiquée par ton routeur.
La solution la plus propre consiste à mettre le boîtier de ton fournisseur d'accès en mode bridge, ce qui désactive sa fonction NAT pour que seul ton routeur gère la translation. Si ton fournisseur d'accès ne permet pas le mode bridge, tu peux placer ton routeur interne dans le DMZ du routeur externe, ce qui lui donne en pratique un accès direct à Internet.
Exemple concret : une console de jeu derrière un routeur
Imagine que tu connectes une PlayStation 5 à un routeur domestique. L'IP WAN du routeur est 203.0.113.45 (une vraie IP publique fournie par ton opérateur). Ta console reçoit l'adresse privée 192.168.1.10.
Quand tu lances un jeu multijoueur, la console se connecte au serveur de matchmaking du jeu à l'adresse 198.51.100.22 sur le port 3478. Ton routeur crée une entrée PAT : l'adresse interne 192.168.1.10:49152 est mappée vers l'adresse externe 203.0.113.45:49152. Le serveur de matchmaking répond et la session fonctionne. Jusqu'ici, tout va bien.
Maintenant, le jeu essaie d'établir une connexion vocale pair-à-pair directe avec un autre joueur. La console de ce joueur envoie un paquet directement à 203.0.113.45:49153. Si ton routeur utilise un NAT cone à restriction d'adresse, il vérifie si 192.168.1.10 a déjà contacté l'IP de l'autre joueur. Si le serveur de matchmaking les a mis en relation, c'est le cas, et la connexion réussit. Si ton routeur utilise un NAT symétrique, il a attribué un port externe différent pour chaque flux sortant, donc le paquet entrant arrive sur un port que le routeur ne reconnaît pas, et il le rejette. Le chat vocal échoue silencieusement.
Dans ce cas, la solution consiste soit à activer l'UPnP (pour que la console puisse demander un mapping de port cohérent), soit à attribuer une IP privée statique à la console et à ajouter une règle de redirection de port, soit à placer la console dans le DMZ. Chaque approche a ses compromis, détaillés dans la section suivante.
Comment améliorer ton type de NAT
La bonne solution dépend de ta configuration spécifique et du niveau de sécurité que tu es prêt à sacrifier pour gagner en connectivité. Voici les options les plus pratiques, classées de la moins à la plus invasive.
1. Activer l'UPnP sur ton routeur
L'Universal Plug and Play permet aux applications de demander automatiquement des mappings de port à ton routeur. La plupart des routeurs grand public le supportent. Connecte-toi au panneau d'administration de ton routeur (généralement accessible à l'adresse 192.168.1.1 ou 192.168.0.1), trouve le paramètre UPnP dans les réglages avancés ou WAN, et active-le. Redémarre l'appareil pour lequel tu veux améliorer le NAT, puis vérifie à nouveau. L'UPnP est pratique, mais présente des risques de sécurité sur les réseaux avec des appareils non fiables - utilise-le uniquement sur des réseaux domestiques de confiance.
2. Configurer la redirection de port statique
Attribue une IP privée statique à l'appareil que tu veux améliorer (via la réservation DHCP dans ton routeur), puis crée une règle de redirection de port qui mappe le port externe requis vers l'IP interne de cet appareil. C'est plus sécurisé que l'UPnP, car tu contrôles exactement quels ports sont ouverts. Consulte la documentation de ton application pour savoir quels ports elle utilise.
3. Résoudre le double NAT
Comme décrit plus haut, mets le boîtier de ton fournisseur d'accès en mode bridge, ou place ton routeur dans le DMZ du boîtier opérateur. Si tu évalues des outils SaaS dépendants du réseau, le double NAT est l'une des premières causes à éliminer quand un produit se comporte de façon incohérente selon les sites. Tu peux aussi vérifier si ton adresse IP se retrouve sur des listes de blocage suite à un routage mal configuré en utilisant notre vérificateur de liste noire d'IP.
4. Demander une IP publique statique
Si ton fournisseur d'accès t'attribue une IP dynamique qui change régulièrement, la redirection de port peut devenir instable. Une IP publique statique coûte un petit supplément mensuel chez la plupart des opérateurs, mais rend la redirection de port fiable et simplifie les configurations d'accès à distance. Pour les entreprises qui utilisent des outils SaaS nécessitant des webhooks entrants ou des callbacks d'API, c'est souvent un investissement qui vaut le coup.
5. Envisager IPv6
IPv6 élimine entièrement le besoin de NAT, car chaque appareil reçoit une adresse globalement unique. IPv6 (RFC 8200) est de plus en plus pris en charge par les fournisseurs d'accès et les systèmes d'exploitation. Si ton opérateur propose IPv6, l'activer sur ton routeur peut résoudre de nombreux problèmes liés au NAT pour les applications qui supportent le réseau dual-stack. Vérifie ta version IP actuelle et ta connectivité avec notre outil d'adresse IP.
6. Utiliser un VPN avec traversée NAT
Certains protocoles VPN, dont WireGuard, gèrent bien la traversée NAT et peuvent offrir aux appareils derrière un NAT strict un chemin de connexion plus ouvert. C'est particulièrement utile pour les télétravailleurs qui se reconnectent à un réseau d'entreprise depuis une configuration domestique avec un NAT restrictif. Garde à l'esprit qu'ajouter un VPN augmente la latence, ce qui compte pour les applications en temps réel. La documentation WireGuard couvre en détail le comportement de traversée NAT.
Conseil de diagnostic rapide : Si tu soupçonnes que ton adresse IP cause des problèmes de connectivité au-delà du NAT, vérifie si elle apparaît sur des listes de blocage DNS. Les routeurs mal configurés et les adresses IP partagées par les opérateurs se retrouvent parfois signalées. Consulte notre guide sur comment retirer ton IP d'une liste noire pour une procédure pas à pas.
Conclusion
Les types de NAT ne sont pas qu'un concept réseau abstrait. Ils ont des effets directs et mesurables sur la fiabilité des connexions de tes applications, les performances des services pair-à-pair, et l'efficacité de tes règles de redirection de port. Comprendre la différence entre le NAT full cone, le NAT à restriction d'adresse et le NAT symétrique te donne un cadre concret pour diagnostiquer les problèmes de connexion plutôt que de tâtonner. Le double NAT à lui seul est à l'origine d'un nombre surprenant de tickets de support dans les produits SaaS qui dépendent de connexions entrantes. Commence par les étapes de diagnostic ci-dessus, identifie le type de NAT et la topologie avec lesquels tu travailles, puis applique la correction ciblée plutôt que de tester aléatoirement des paramètres de routeur.
Vérifie instantanément ton IP publique et les détails de ta connexion
Découvre ta vraie adresse IP publique, détecte un double NAT et comprends exactement comment ton réseau se présente à Internet - le tout avec un outil gratuit.
Essayer l'outil gratuit →
Le NAT de base associe une IP privée à une IP publique. La translation d'adresses de port (PAT) associe de nombreuses IP privées à une seule IP publique en attribuant des numéros de port uniques à chaque session. La plupart des routeurs domestiques utilisent le PAT, ce qui permet à plusieurs appareils de partager simultanément une seule adresse IP publique sans conflit.
Compare l'IP WAN affichée dans le panneau d'administration de ton routeur avec ton IP publique réelle (vérifiable via un outil de lookup d'IP). Si l'IP WAN de ton routeur appartient à une plage d'adresses privées (10.x.x.x, 172.16-31.x.x ou 192.168.x.x) plutôt que de correspondre à ton IP publique, tu es derrière un double NAT.
L'UPnP peut faire passer ton NAT de strict à modéré ou ouvert en permettant aux applications de demander automatiquement des mappings de port. Cependant, cela ne fonctionne que s'il n'y a qu'une seule couche de NAT. En cas de double NAT, l'UPnP activé sur le routeur interne ne servira à rien, car le routeur externe bloquera quand même le trafic entrant non sollicité.
Le NAT symétrique attribue un port externe unique à chaque connexion sortante distincte. Quand un pair distant essaie de se connecter en utilisant le port qu'il a observé, le routeur ne trouve aucune entrée correspondante et rejette le paquet. Deux appareils derrière un NAT symétrique ne peuvent pas prédire les attributions de port de l'autre, ce qui rend impossible toute connexion pair-à-pair directe sans serveur relais.
Pour le trafic IPv6, oui. IPv6 attribue une adresse globalement unique à chaque appareil, supprimant ainsi le besoin de translation d'adresses. Cependant, la plupart des réseaux transportent encore du trafic IPv4 en parallèle d'IPv6, donc les problèmes de NAT persistent pour les connexions IPv4 tant qu'Internet n'aura pas pleinement migré - ce qui prendra encore plusieurs années dans la plupart des environnements.