Un VPN en 0.0.0.0/0 avale tout le trafic, y compris l’accès au réseau local. Le bon AllowedIPs garde le tunnel actif et rend la main sur le LAN.
Le VPN monte, le tunnel est actif, et soudain l’imprimante, le NAS et la box ne répondent plus. Le poste route tout vers le VPN, y compris ce qui devrait rester local.
Pourquoi 0.0.0.0/0 avale le LAN
Un AllowedIPs en 0.0.0.0/0 dit au client de router l’intégralité du trafic IPv4 dans le tunnel. C’est exactement ce qu’on veut pour un full-tunnel sortant. Mais cette route couvre aussi 192.168.0.0/16 et 10.0.0.0/8, donc le réseau local.
Résultat : un paquet vers l’imprimante LAN part dans le tunnel, ressort à l’autre bout, et ne revient jamais. Le LAN n’est pas coupé, il est mal routé.
Découper AllowedIPs au lieu de tout prendre
La solution n’est pas de désactiver le tunnel. C’est de retirer le préfixe du LAN de la route VPN. On remplace 0.0.0.0/0 par la liste des sous-réseaux à router moins celui du LAN, ou on ajoute une route plus spécifique vers le LAN via la passerelle locale.
Une route plus spécifique gagne toujours sur une route plus large. Un /24 vers le LAN bat le /0 du VPN. Le tunnel reste actif pour tout le reste.
Le principe à retenir : AllowedIPs n’est pas un filtre de sécurité, c’est une table de routage. On choisit ce qui entre dans le tunnel, on laisse le local au local.