![]()
L’article XDA sur la location d’un VPS pour contourner CGNAT arrive à un moment où les reverse proxies auto-hébergés sont devenus une couche d’infrastructure omniprésente. Le principe reste le même que le proxy se trouve sur un NAS, un vieux mini PC ou un pont VPS à 5 $ : le trafic arrive sur le port 443, est trié par nom d’hôte et aboutit au bon service interne. Les deux grands changements depuis 2020 sont la facilité avec laquelle le HTTPS automatique est devenu courant—Let’s Encrypt plus l’écosystème Caddy/NGINX/Traefik ont rendu les certificats transparent—et la croissance massive de l’audience. Les ménages exécutant Jellyfin, Vaultwarden, Home Assistant et Immich ont besoin de cette couche.
Nous avons testé 7 des meilleures applications pour reverse proxy auto-hébergé sur ordinateur en 2026, couvrant Linux, Windows et macOS. Le benchmark était spécifique : installer sur une boîte Debian vierge, router trois services via HTTPS avec des certificats renouvelés automatiquement, et survivre à un redémarrage. Les 7 ci-dessous ont tous fait leurs preuves.
Ce qu’il faut chercher dans un reverse proxy auto-hébergé
Les critères qui séparent la pile fonctionnelle d’une année de cauchemars YAML :
- HTTPS automatique. Un reverse proxy 2026 obtient les certificats de Let’s Encrypt (ou ZeroSSL ou Buypass) sans cron manuel. La valeur par défaut devrait être HTTPS, pas une simple case à cocher.
- HTTP/2 et HTTP/3. Les deux sont essentiels maintenant. HTTP/3 en particulier aide les ménages dont la performance TCP de l’ISP est asymétrique.
- Un modèle de configuration que vous pouvez relire dans six mois. YAML, JSON, Caddyfile, style NGINX, choisissez le langage dont vous vous souviendrez quand la règle cassée n’est pas celle que vous avez écrite la semaine dernière.
- Conscience Docker ou service discovery. Un proxy qui surveille le daemon Docker, Kubernetes ou Consul et ajoute automatiquement les nouveaux services est le type d’automatisation dont un ménage occupé a besoin.
- Un moyen d’exposer le proxy depuis derrière CGNAT. Soit un pont VPS public, un Tailscale Funnel, un Cloudflare Tunnel, ou votre propre saut Pangolin/WireGuard. L’article XDA expliquait clairement cette partie.
Comparaison rapide
| Application | Meilleure pour | Style de configuration | HTTPS automatique | Prix de départ |
|---|---|---|---|---|
| NGINX Proxy Manager | Interface graphique conviviale pour débutants | Interface Web au-dessus de NGINX | Oui, intégré | Gratuit |
| Caddy | HTTPS automatique par défaut | Caddyfile (simple) | Oui, par défaut | Gratuit |
| Traefik | Routage dynamique natif Docker | YAML / labels | Oui, ACME | Gratuit, niveau Enterprise existe |
| NGINX | Performances classiques brutes | nginx.conf | Manuel (Certbot, acme.sh) | Gratuit, Plus à partir de 2 500 $/an |
| HAProxy | Équilibrage de charge + proxy | haproxy.cfg | Manuel ou plugins Lua | Gratuit, niveau Enterprise existe |
| SWAG | NGINX + preset Let’s Encrypt | Configs NGINX dans Docker | Oui, certbot | Gratuit |
| Pangolin | Tunnel auto-hébergé + proxy | Interface Web | Oui | Gratuit |
Les 7 meilleures applications pour un reverse proxy auto-hébergé
1. NGINX Proxy Manager, meilleure interface graphique conviviale pour les débutants
NGINX Proxy Manager enveloppe NGINX dans une interface Web qui transforme « ajouter un domaine, le pointer vers ce service interne, obtenir un certificat Let’s Encrypt » en une opération à trois champs de formulaire. Il s’exécute comme un seul conteneur Docker avec un backend SQLite ou MySQL. Chaque hôte proxy est une ligne dans la base de données ; l’interface génère la configuration NGINX en arrière-plan. NPM pour reverse proxy auto-hébergé en 2026 est le bon choix pour le personne qui auto-héberge chez elle et veut HTTPS pour Jellyfin et Vaultwarden sans apprendre d’abord la syntaxe NGINX.
Où il montre ses limites : L’interface Web masque la configuration NGINX sous-jacente, ce qui est correct jusqu’à ce que vous ayez besoin d’une fonction que l’interface n’expose pas. Les utilisateurs avancés ont tendance à passer à NGINX brut ou Caddy. L’installation par défaut n’active pas HTTP/3 d’emblée.
Tarification :
- Gratuit : Toutes les fonctionnalités, licence MIT
- Payant : Aucun
- Plateformes : Linux (Docker), Windows (Docker Desktop), macOS (Docker Desktop)
Conclusion : Le choix de démarrage. Si c’est votre premier reverse proxy, installez NPM et ne regardez pas ailleurs jusqu’à ce qu’une exigence spécifique vous pousse à le faire.
2. Caddy, meilleur pour HTTPS automatique par défaut
Caddy est le serveur Web et reverse proxy moderne avec HTTPS automatique comme comportement par défaut plutôt qu’un opt-in. Un Caddyfile en trois lignes configure un reverse proxy avec un certificat Let’s Encrypt, HTTP/2, HTTP/3 et HSTS. La version 2.8 de 2024 a affiné la poignée de main TLS à la demande ; la série 2.9 a apporté des améliorations raffinées du transport HTTP/3. Caddy pour reverse proxy auto-hébergé en 2026 est le bon choix quand le langage de configuration compte autant que l’exécution.
Où il montre ses limites : L’écosystème des plugins Caddy n’est pas aussi riche que celui de NGINX. Certains routages avancés (géo-IP, réécritures complexes) nécessitent xcaddy pour compiler les plugins, ce qui est une petite étape mais une étape quand même.
Tarification :
- Gratuit : Toutes les fonctionnalités, Apache-2
- Payant : Aucun
- Plateformes : Linux, Windows, macOS, FreeBSD
Conclusion : Le choix quand vous voulez un fichier de configuration que vous relirez proprement dans deux ans.
3. Traefik, meilleur routage dynamique natif Docker
Traefik est le reverse proxy construit pour l’ère des conteneurs. Pointez Traefik vers un daemon Docker, ajoutez des labels à vos conteneurs de service, et Traefik les découvre, génère les routes et provisionne les certificats Let’s Encrypt automatiquement. Le même modèle fonctionne pour Kubernetes (Ingress), Consul et ECS. Traefik vs NGINX pour reverse proxy auto-hébergé en 2026 : Traefik gagne sur la découverte automatique des services dans les ménages Docker ; NGINX gagne sur le débit brut et la configurabilité.
Où il montre ses limites : Le modèle de configuration nécessite de lire la documentation. YAML, fournisseurs de fichiers, fournisseurs dynamiques basés sur les labels, et la scission statique vs dynamique de la configuration doivent tous être compris avant que les choses se mettent en place. Le tableau de bord Web est en lecture seule.
Tarification :
- Gratuit : Toutes les fonctionnalités (Traefik Proxy v3)
- Payant : Traefik Enterprise ajoute RBAC et HA, tarification sur demande
- Plateformes : Linux, Windows, macOS
Conclusion : Choisissez ceci quand votre pile est principalement Docker et que vous voulez que le proxy suive automatiquement les services.
4. NGINX, meilleur pour les performances classiques brutes
NGINX est le reverse proxy qui alimente le Web public depuis deux décennies. La configuration est nginx.conf et une arborescence de blocs serveur. HTTPS automatique se fait via Certbot ou acme.sh, une configuration une seule fois, puis il se renouvelle tranquillement. NGINX se met à l’échelle pour des volumes de trafic qu’un ménage ne verra jamais, et la documentation est la plus complète de la catégorie. NGINX vs Caddy en 2026 : NGINX gagne sur la profondeur de l’écosystème, Caddy gagne sur le temps jusqu’au premier HTTPS.
Où il montre ses limites : Configuration manuelle des certificats. Le langage nginx.conf est son propre dialecte. Les erreurs dans un bloc serveur empêchent NGINX de démarrer, ce qui vous coûte quelques minutes la première fois que vous en commettez une.
Tarification :
- Gratuit : NGINX Open Source
- Payant : NGINX Plus à partir de 2 500 $/an (rarement nécessaire pour l’auto-hébergement)
- Plateformes : Linux, Windows, macOS, FreeBSD
Conclusion : Choisissez ceci quand le proxy doit vivre une décennie avec la même configuration et que vous n’hésitez pas à apprendre la syntaxe.
5. HAProxy, meilleur pour l’équilibrage de charge + proxy
HAProxy est l’équilibreur de charge de facto pour les déploiements à trafic élevé depuis 2002 et sert admirablement comme reverse proxy. La version 3.0 LTS de 2024 a ajouté une pile SSL mise à jour et une meilleure gestion HTTP/3. Les scripts Lua et les Stick Tables vous permettent de créer des fonctionnalités que d’autres proxies exigent des services externes. HAProxy pour reverse proxy auto-hébergé en 2026 est le bon choix quand le ménage exécute plusieurs instances du même service et que le proxy doit équilibrer entre elles.
Où il montre ses limites : HTTPS automatique est manuel ou via des plugins Lua, pas intégré. La syntaxe de configuration est son propre langage. La plupart des personnes qui auto-hébergent n’ont pas besoin de la profondeur d’équilibrage de charge de HAProxy.
Tarification :
- Gratuit : HAProxy Community Edition
- Payant : HAProxy Enterprise, tarification sur demande
- Plateformes : Linux, FreeBSD, macOS, Windows (builds communautaires)
Conclusion : Choisissez ceci quand vous avez plusieurs instances d’un service qui doivent être équilibrées. Sinon NGINX ou Caddy est la réponse plus simple.
6. SWAG, meilleur NGINX + preset Let’s Encrypt
SWAG (Secure Web Application Gateway) est l’image Docker pré-construite de LinuxServer.io qui regroupe NGINX avec Certbot, un système de modèles et un répertoire d’exemples de blocs serveur maintenus par la communauté pour les services auto-hébergés populaires. Exécutez le conteneur, pointez-le vers votre domaine, copiez le bon exemple dans la configuration active, et vous avez HTTPS pour Jellyfin, Nextcloud, Vaultwarden ou quoi d’autre en moins d’une heure. SWAG vs NPM en 2026 : SWAG expose les configurations NGINX brutes, NPM les masque derrière une interface.
Où il montre ses limites : Éditer les configurations NGINX à la main. La communauté LinuxServer est notoirement utile mais la documentation suppose une certaine familiarité avec Docker. L’image regroupe beaucoup, DuckDNS, fail2ban, intégration Authelia, dont vous pouvez ou non avoir besoin.
Tarification :
- Gratuit : Toutes les fonctionnalités
- Payant : Aucun
- Plateformes : Linux (Docker)
Conclusion : Choisissez ceci quand vous voulez la flexibilité de NGINX et un répertoire de configurations pré-écrites pour les services auto-hébergés populaires.
7. Pangolin, meilleur tunnel auto-hébergé + reverse proxy
Pangolin est la réponse auto-hébergée plus récente à Cloudflare Tunnel : un reverse proxy qui s’exécute sur un VPS à 5 $, un tunnel WireGuard qui connecte votre réseau domestique vers celui-ci, et une interface Web pour gérer les routes. La version 1.0 de 2025 a ajouté SSO avec Authelia/Authentik, une API pour les utilisateurs IaC et une surveillance améliorée. Pangolin pour reverse proxy auto-hébergé en 2026 est le bon choix quand la connexion domestique est derrière CGNAT et que vous voulez que tout soit auto-hébergé, y compris le tunnel.
Où il montre ses limites : Communauté plus petite que les six autres. L’architecture (VPS + tunnel + proxy domestique) compte plus de pièces mobiles qu’un seul conteneur NGINX. Certaines fonctionnalités NGINX avancées prennent plus de temps à arriver.
Tarification :
- Gratuit : Open-source sous AGPL-3
- Payant : Aucun
- Plateformes : Linux (Docker)
Conclusion : Choisissez ceci quand CGNAT est le vrai problème et que vous ne voulez pas dépendre de Cloudflare pour le saut du tunnel.
Comment choisir le bon
- Si c’est votre premier reverse proxy et que vous voulez une interface : NGINX Proxy Manager.
- Si vous voulez HTTPS automatique par défaut et une configuration que vous relirez proprement : Caddy.
- Si votre pile est principalement Docker et que vous voulez la découverte de services : Traefik.
- Si vous voulez du NGINX brut sans abstractions : NGINX.
- Si vous avez plusieurs instances du même service à équilibrer : HAProxy.
- Si vous voulez NGINX plus un répertoire de configurations pré-écrites pour les services auto-hébergés : SWAG.
- Si CGNAT est le vrai problème et que vous voulez un tunnel auto-hébergé : Pangolin (et un petit VPS).
Une pile fonctionnelle 2026 pour un ménage limité par CGNAT est Pangolin sur un VPS à 5 $ avec Caddy ou NPM derrière, services exposés uniquement via Tailscale, et un tunnel Wireguard gardant le réseau domestique connecté. Aucun d’entre eux ne s’exclut mutuellement ; les noms doivent juste jouer leur rôle.
FAQ
Quel est le reverse proxy le plus facile à configurer ?
NGINX Proxy Manager. Configuration à trois champs de formulaire par hôte, Let’s Encrypt automatique et une interface Web. Caddy est un proche second si vous préférez éditer un Caddyfile plutôt que de cliquer dans un tableau de bord.
Ma connexion domestique a-t-elle besoin d’une adresse IP publique ?
Pour un reverse proxy directement accessible, oui. Si votre ISP vous donne une adresse CGNAT (pas d’IP publique), vous avez besoin d’un tunnel, Cloudflare Tunnel, Tailscale Funnel, ou un setup Pangolin auto-hébergé avec un petit VPS, pour exposer les services. L’article XDA de ce mois traite exactement ce cas.
Comment Caddy gère-t-il les renouvellements SSL automatiquement ?
Caddy est fourni avec un client ACME. La première fois qu’un nom d’hôte est demandé, Caddy atteint Let’s Encrypt (ou ZeroSSL ou Buypass), prouve la propriété avec un défi HTTP-01 ou TLS-ALPN-01, et stocke le certificat localement. Le renouvellement se fait 30 jours avant l’expiration sans intervention.
Puis-je exécuter un reverse proxy sur un Raspberry Pi ?
Oui. Tous les sept fonctionnent confortablement sur un Pi 4 ou Pi 5. Pangolin, NPM et SWAG sont généralement déployés comme conteneurs Docker et consomment moins de 200 Mo de RAM. NGINX et Caddy peuvent aussi fonctionner nativement sur Pi OS.
Devrais-je utiliser Cloudflare Tunnel à la place ?
Cloudflare Tunnel est excellent et gratuit pour les particuliers, mais il route votre trafic via Cloudflare. Pour les ménages qui préféreraient ne pas le faire, Pangolin ou votre propre saut WireGuard-vers-VPS est l’équivalent sans Cloudflare en boucle.
Quelle est la différence entre un reverse proxy et un équilibreur de charge ?
Un reverse proxy se trouve devant un ou plusieurs services backend et transfère les requêtes en fonction du nom d’hôte ou du chemin. Un équilibreur de charge distribue spécifiquement les requêtes sur plusieurs instances du même service. HAProxy et NGINX peuvent être les deux ; NPM et Caddy sont principalement des reverse proxies avec des fonctionnalités d’équilibrage de charge basiques.