Redondance multi-WAN satellite + fibre + 4G : tutoriel 2026

Lecture : 14 minutes · Niveau : avancé · Mise à jour : avril 2026

Tutoriel pas-à-pas pour construire une architecture multi-WAN robuste en PME : combiner Starlink + fibre + 4G/LTE pour zéro coupure, failover automatique, load balancing intelligent. Trois implémentations détaillées : OPNsense (open-source), Mikrotik (industriel), Peplink Balance (commercial premium). Lab reproductible sur banc de test ou directement en production avec rollback prévu.

Voir aussi → Internet par satellite pour PME : guide complet, Starlink Mini installation PME, Internet satellite optimiser connexion.

Sommaire

1. Architecture cible et choix de routeur
2. OPNsense multi-WAN : setup complet
3. Mikrotik RouterOS multi-WAN
4. Peplink Balance : SD-WAN clé en main
5. Failover health check (gateway monitoring)
6. Load balancing par règles de routage
7. VPN site-to-site sur multi-WAN
8. Cas d’usage : VoIP/visio prioritaire
9. Tests de bascule contrôlée
10. Monitoring et alerting
11. FAQ

1. Architecture cible et choix de routeur

Architecture cible :

[Fibre]      [Starlink]      [4G/LTE modem]
    │             │                  │
    └─────────────┼──────────────────┘
                  ▼
        [Routeur Multi-WAN]
                  │
       ┌──────────┼──────────┐
       ▼          ▼          ▼
    [LAN PC]  [Wi-Fi]    [VLAN IoT]

Choix de routeur multi-WAN :

Recommandation PME :
– Démarrage / maîtrise budget : OPNsense sur mini PC
– Production sérieuse, simplicité : Peplink Balance 20 ou similaire
– Multi-sites : Cisco Meraki ou Peplink SD-WAN

2. OPNsense multi-WAN : setup complet

Hardware suggéré : Mini PC x86 fanless avec 4+ ports Ethernet (Protectli, Topton, Qotom). Compter ~200-400 USD.

Installation OPNsense :

# Télécharger ISO opnsense.org
# Flash USB avec balenaEtcher
# Boot mini PC sur USB → installer

Configuration WAN1 (fibre) :
– Interfaces → Assignments → WAN1 = igb0 (premier port)
– Config IP : DHCP ou fixe selon FAI
– Test : ping -S WAN1 1.1.1.1

Configuration WAN2 (Starlink) :
– Connecter port LAN du routeur Starlink en mode bypass (ou directement) au port igb1
– Interfaces → Assignments → WAN2 = igb1
– IP DHCP

Configuration WAN3 (4G/LTE) :
– Modem 4G USB ou Ethernet (Huawei B535, Cudy LT500, etc.)
– WAN3 = igb2 (si modem Ethernet)
– IP DHCP ou statique selon modem

Gateway groups :

System → Gateways → Group → Add :
– Tier 1 : WAN1 (fibre principal)
– Tier 2 : WAN2 (Starlink backup)
– Tier 3 : WAN3 (4G dernier recours)
– Trigger : Member down

Règles de pare-feu :
– LAN → any : gateway = group multi-WAN
– WAN1/2/3 entrant : règles strictes selon services exposés

NAT : automatique sur les WAN, vérifier dans Firewall → NAT → Outbound (mode hybride).

3. Mikrotik RouterOS multi-WAN

Mikrotik = robuste, performant, ScriptOS puissant. CLI ou WinBox/WebFig.

Hardware : RB5009 (haut de gamme) ou hAP ax3 (PME standard).

Configuration ports :

/interface print
# ether1 = WAN1 (fibre)
# ether2 = WAN2 (Starlink)
# ether3 = WAN3 (4G)
# ether4-bridge = LAN

DHCP clients sur WAN :

/ip dhcp-client add interface=ether1 disabled=no
/ip dhcp-client add interface=ether2 disabled=no
/ip dhcp-client add interface=ether3 disabled=no

Marquer le trafic sortant pour load balancing :

/ip firewall mangle
add chain=prerouting in-interface=bridge-LAN connection-mark=no-mark \
  per-connection-classifier=both-addresses:3/0 action=mark-connection \
  new-connection-mark=fibre-conn passthrough=yes
add chain=prerouting in-interface=bridge-LAN connection-mark=no-mark \
  per-connection-classifier=both-addresses:3/1 action=mark-connection \
  new-connection-mark=starlink-conn passthrough=yes
add chain=prerouting in-interface=bridge-LAN connection-mark=no-mark \
  per-connection-classifier=both-addresses:3/2 action=mark-connection \
  new-connection-mark=4g-conn passthrough=yes

add chain=prerouting connection-mark=fibre-conn action=mark-routing \
  new-routing-mark=via-fibre passthrough=no
add chain=prerouting connection-mark=starlink-conn action=mark-routing \
  new-routing-mark=via-starlink passthrough=no
add chain=prerouting connection-mark=4g-conn action=mark-routing \
  new-routing-mark=via-4g passthrough=no

Routes par marque :

/ip route
add gateway=GW_FIBRE routing-mark=via-fibre check-gateway=ping
add gateway=GW_STARLINK routing-mark=via-starlink check-gateway=ping
add gateway=GW_4G routing-mark=via-4g check-gateway=ping

# Default route avec failover (Distance)
add gateway=GW_FIBRE distance=1 check-gateway=ping
add gateway=GW_STARLINK distance=2 check-gateway=ping
add gateway=GW_4G distance=3 check-gateway=ping

NAT :

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

4. Peplink Balance : SD-WAN clé en main

Peplink = solution commerciale spécialisée multi-WAN. Interface visuelle, pas besoin de CLI.

Modèles :
– Balance 20X : 2 WAN + 1 emplacement modem 4G — PME 5-15 employés
– Balance 30 : 3 WAN — PME 15-30
– Balance One : 4-7 WAN — PME 30-100+

Setup typique :
1. Brancher chaque WAN sur port dédié
2. Web UI → WAN → Auto-config (DHCP)
3. Activer SpeedFusion (technologie Peplink) pour bonding multi-WAN
4. Configurer Health Check par WAN
5. Activer Failover automatique

SpeedFusion = bonding propriétaire qui combine multiple WAN en un canal logique. Avantages :
– Sessions ininterrompues lors de bascule (pas de réinit TCP)
– Bande passante cumulée (si Cloud SF activé)
– Latence du WAN le plus rapide

Coût : Balance 20X autour de 1000-1500 USD selon distributeur. Cloud SF abonnement annuel additionnel.

Recommandation : pour PME qui veut zéro souci et budget, Peplink est imbattable en simplicité.

5. Failover health check (gateway monitoring)

Le simple « lien Ethernet up » ne suffit pas — Starlink peut être « up » mais avec 80% de packet loss.

Health check idéal : ping périodique vers cible externe (1.1.1.1, 8.8.8.8) toutes les 5-10 secondes. Si N pings consécutifs échouent → marquer WAN comme down.

OPNsense : System → Gateways → Edit → Advanced → Monitor IP = 1.1.1.1, Loss thresholds.

Mikrotik : check-gateway=ping activé par défaut sur les routes.

Peplink : Health Check tab par WAN, configurer URL/IP cible.

Indicateurs avancés :
– DNS check (résolution Google.com)
– HTTP HEAD vers URL stable
– Custom script si besoin

Hystérésis : ne pas basculer trop vite. Typiquement attendre 3-5 échecs consécutifs pour déclarer « down » + 10-30 secondes « up » avant retour automatique. Évite les flapping inutiles.

6. Load balancing par règles de routage

Au-delà du failover, on peut utiliser plusieurs WAN simultanément.

Stratégies :

1. Per-connection (round-robin) :
– Chaque nouvelle connexion alternativement vers WAN1, WAN2, WAN3
– Maximise la bande passante globale
– Limites : certains sites se perdent (Google n’aime pas voir 2 IPs source pour une session)

2. Per-application :
– Office 365 / Cloud / backups → WAN avec gros débit (fibre)
– VoIP / visio → WAN avec faible latence (fibre ou Starlink LEO)
– Mises à jour OS → WAN à coût marginal faible (4G illimité ?)

3. Per-IP source :
– IP comptable / dirigeants → WAN principal (qualité)
– IP visiteurs → WAN secondaire
– IP CCTV / IoT → WAN dédié

Configuration OPNsense par règles :
– Firewall → Rules → LAN → règle spécifique source/dest → Gateway = WAN spécifique

Règle anti-asymétrie : pour services exposés (web entrant), forcer le retour par le même WAN que la connexion entrante. Sinon le client voit « TCP reset » car retour différent.

7. VPN site-to-site sur multi-WAN

WireGuard sur OPNsense :
– Interface WireGuard sur chaque WAN
– Side B (autre site) configure en client multi-endpoints
– Failover automatique si endpoint principal down

SD-WAN / SpeedFusion (Peplink) :
– Tunnel maillé entre sites Peplink
– Utilise simultanément tous les WAN disponibles
– Aggregation bande passante + failover transparent

Tailscale comme VPN multi-WAN simplifié :
– Tailscale traverse NAT et change de chemin automatiquement si WAN principal down
– Chaque site PME = subnet router
– Mesh complet entre tous les sites

8. Cas d’usage : VoIP/visio prioritaire

Problème typique : lors d’un appel VoIP, quelqu’un télécharge un fichier 5 GB → l’appel coupe.

Solution multi-WAN + QoS :

1. Identifier flux VoIP (port SIP 5060, RTP 10000-20000) ou via Class de Service DSCP
2. Forcer ce trafic via Starlink (LEO low latency) ou fibre principale
3. Réserver bande passante minimale pour VoIP (1 Mbps suffit par appel)
4. Reste du trafic peut utiliser autres WAN librement

OPNsense :
– Services → Traffic Shaper → Rules → match SIP/RTP → priority high → gateway WAN1

Test :
– Lancer iperf3 saturation sur WAN principal
– En parallèle un appel VoIP → doit rester clair
– Si coupure : QoS pas appliquée correctement, debug

9. Tests de bascule contrôlée

Test sain : tirer un câble.

1. Configurer monitoring : ping 1.1.1.1 -i 1 -W 1 dans terminal
2. Ouvrir un Zoom / appel VoIP en direct
3. Débrancher physiquement le WAN principal
4. Observer :
   – Combien de pings perdus avant bascule ?
   – L’appel survie-t-il ?
   – Combien de temps avant retour automatique au rebrancher ?

Métriques attendues :
– Bascule en 5-15 secondes (perte de 5-15 pings consécutifs)
– Appel VoIP : selon implémentation, peut couper 2-3s ou survivre (Peplink SpeedFusion)
– Retour automatique en 30-60 secondes après reconnect

Test maliens (ne pas faire en production aux heures de pointe) :
– Couper Starlink pendant que fibre OK : doit être transparent
– Couper fibre puis Starlink simultanés : 4G doit prendre le relais
– Saturer bande passante d’un WAN : QoS doit prioriser correctement

Documentation : consigner chaque test (date, résultat, problèmes) dans un journal pour amélioration continue.

10. Monitoring et alerting

Prometheus + Grafana :
– Exporters : node_exporter sur OPNsense, snmp_exporter pour Mikrotik
– Métriques : uptime par WAN, débit, latence, packet loss
– Dashboard Grafana avec graphes par WAN

Alerting :
– Webhook Slack/WhatsApp si WAN principal down > 1 min
– Email si tous les WAN down
– Daily report uptime % par WAN

Logs centralisés :
– Syslog sur Pi (rsyslog ou Loki)
– Recherche : événements de bascule, gateway down, connection drops

Métrique business :
– % uptime « any internet » (au moins un WAN)
– % uptime « fibre primary » (qualité)
– Coût par GB par WAN (pour optimisation)

FAQ

Combien coûte un setup multi-WAN PME ?

• OPNsense DIY : matériel ~300 USD + 0 € licence + temps interne. Total annuel ~300 USD.
• Mikrotik : ~200-500 USD selon modèle, 0 € licence.
• Peplink Balance 20X : ~1000-1500 USD initial + cloud SF abonnement optionnel.
• Cisco Meraki : très significatif, abonnement annuel.

Faut-il vraiment 3 WAN différents ?

2 WAN minimum pour redondance (fibre + Starlink, ou fibre + 4G). 3e WAN si activité critique 24/7. Pour la majorité des PME : fibre + Starlink suffit.

Le bonding cumule-t-il vraiment les bandes passantes ?

Per-flow load balancing : non — chaque session reste sur un WAN. Real bonding (Peplink SpeedFusion Cloud) : oui, peut cumuler. Coût et complexité plus élevés.

Multi-WAN survivra-t-il à une grosse panne FAI national ?

Oui si vos WAN sont sur opérateurs différents (fibre Sonatel + Starlink + 4G Orange ≠ tous chez Sonatel). Diversifier les opérateurs est aussi important que diversifier les liens.

Comment éviter de payer 3 abonnements à plein tarif ?

Plans light pour redondance : Starlink basic (pas Business si juste backup), 4G prepay (pour usage urgence), fibre principale plein. Optimisation coût récurrent.

Mon visio coupe lors de bascule — comment l’éviter ?

SpeedFusion Peplink : transparent (sessions persistent). Autres : tolérance applicative requise (Zoom reconnecte vite, mais 2-3s de coupure). Pour zero-coupure visio mission-critical : Peplink ou redondance applicative.

IPv6 fonctionne-t-il en multi-WAN ?

Plus complexe car les préfixes IPv6 viennent du FAI. Souvent : choisir un WAN principal pour IPv6, autres en IPv4 only failover. OPNsense et Peplink gèrent désormais correctement.

Peut-on avoir multi-WAN avec un seul Starlink ?

Si Starlink + 4G : oui. Si plusieurs Starlink : techniquement possible mais cher. Plus pertinent : Starlink + autre opérateur (fibre/4G).

Articles liés (cluster Internet satellite)

• 👉 Internet par satellite pour PME : guide complet
• 👉 Starlink Mini installation pour PME : tutoriel
• 👉 Internet satellite : optimiser la connexion

Voir aussi : Linux administration avancée pour PME, Sécurité IoT MQTT firmware.

Article mis à jour le 25 avril 2026. Pour signaler une erreur ou suggérer une amélioration, écrivez-nous.