Ouvrir les ports Windrose : firewall, UPnP et NAT punch-through 2026
Particularité Windrose : il n’utilise pas de port fixe. Le serveur passe par du NAT punch-through avec ports UDP dynamiques attribués au démarrage. Ce guide explique comment configurer votre firewall, routeur et UPnP pour que vos joueurs rejoignent sans souci.
🌐 Zéro config réseau
Ports déjà ouverts chez HebergTonServ
Notre offre hébergeur Windrose à 12,90 €/mois gère le NAT punch-through et les ports automatiquement — aucune config firewall requise.
⚠️ Spécificité Windrose : impossible de fixer un port manuellement. Le serveur négocie dynamiquement via NAT punch-through.
Comprendre le réseau Windrose
Windrose utilise une architecture P2P assistée :
- Le serveur s’enregistre auprès des services backend Windrose
- Quand un joueur saisit l’invite code, son client interroge le backend
- Le backend orchestre un NAT punch-through entre client et serveur
- Connexion établie sur port UDP dynamique
Conséquence : pas de “port X à forwarder” classique. Mais 3 conditions doivent être remplies :
- UPnP actif sur votre routeur, OU
- NAT cone-type (la majorité des box résidentielles)
- Aucun VPN côté serveur
Étape 1 — Vérifier que UPnP est activé sur votre routeur
Box internet françaises courantes
| Box | Chemin UPnP |
|---|---|
| Freebox | http://mafreebox.freebox.fr → Paramètres → Mode avancé → UPnP IGD |
| Livebox Orange | http://192.168.1.1 → Configuration avancée → UPnP |
| Bbox Bouygues | http://192.168.1.254 → Mes services → UPnP |
| Box SFR | http://192.168.1.1 → Réseau → UPnP IGD |
Activer UPnP IGD (Internet Gateway Device).
Vérifier que UPnP fonctionne
Téléchargez UPnP Tester (gratuit) et lancez le test. Si “UPnP enabled and working” → OK.
Étape 2 — Ouvrir Windrose dans le pare-feu Windows
Même avec UPnP, le pare-feu Windows peut bloquer le serveur :
Méthode graphique
- Panneau de configuration → Pare-feu Windows Defender
- Cliquez sur Autoriser une application via le pare-feu
- Modifier les paramètres → Autoriser une autre application
- Sélectionnez
WindroseServer.exe(dansC:\WindroseServer\R5\Binaries\Win64\) - Cochez Privé ET Public
- OK
Méthode PowerShell (admin)
New-NetFirewallRule -DisplayName "Windrose Server" -Direction Inbound `
-Program "C:\WindroseServer\R5\Binaries\Win64\WindroseServer.exe" `
-Action Allow -Profile Any
New-NetFirewallRule -DisplayName "Windrose Server Out" -Direction Outbound `
-Program "C:\WindroseServer\R5\Binaries\Win64\WindroseServer.exe" `
-Action Allow -Profile AnyÉtape 3 — Désactiver tout VPN sur la machine serveur
Le NAT punch-through échoue derrière un VPN (CGNAT, double NAT). Sur la machine qui héberge le serveur :
- Désactiver NordVPN / ExpressVPN / ProtonVPN
- Désactiver Cloudflare WARP
- Vérifier que WSL2 n’injecte pas de réseau virtuel bloquant
- Désactiver Hyper-V Virtual Switch non nécessaire
Étape 4 — Tester la connexion depuis l’extérieur
Une fois le serveur lancé :
- Récupérez votre invite code dans les logs ou
ServerDescription.json - Demandez à un ami hors de votre réseau (4G, autre maison) de tester
- S’il rejoint → ports OK
- S’il échoue → revoir UPnP + firewall + VPN
Outils de diagnostic
- STUN test : https://webrtc.github.io/samples/src/content/peerconnection/trickle-ice/ → vérifie type de NAT
- Canyouseeme.org : tester si un port UDP est joignable
- Console Windrose : logs de connexion en direct
CGNAT : le pire ennemi de Windrose
Si votre FAI utilise du CGNAT (Carrier-Grade NAT), le NAT punch-through ne fonctionne jamais. Symptômes :
- Vos joueurs ne peuvent jamais rejoindre
- Votre adresse IP publique commence par
100.64.x.xà100.127.x.x - Plusieurs niveaux de NAT entre vous et internet
Solutions CGNAT
- Demander une IP publique à votre FAI (souvent gratuit chez Orange/Free, payant chez SFR/Bouygues)
- Souscrire à un VPN gaming type Wireguard avec IP dédiée
- Louer un hébergeur Windrose pro : zéro CGNAT (datacenter avec IP publique)
Et chez un hébergeur Windrose pro ?
Un hébergeur sérieux comme HebergTonServ garantit :
- ✅ IP publique dédiée (pas de CGNAT)
- ✅ NAT punch-through fonctionnel
- ✅ Aucun firewall bloquant par défaut
- ✅ Anti-DDoS Pletx 5 Tbps actif
- ✅ Zéro config réseau côté client
C’est la solution 0 problème ports pour Windrose.
Configuration sur Linux (auto-hébergement Wine)
Si vous lancez Windrose Dedicated sur Linux via Wine :
Ufw (Ubuntu)
sudo ufw allow out on eth0
sudo ufw allow in 27000:65535/udp comment "Windrose dynamic"
sudo ufw reloadiptables (Debian)
sudo iptables -A INPUT -p udp --dport 27000:65535 -j ACCEPT
sudo iptables -A OUTPUT -p udp -j ACCEPT
sudo iptables-save | sudo tee /etc/iptables/rules.v4Windrose utilise typiquement la plage 27000-65535 UDP pour ses échanges P2P.
FAQ Ports Windrose
Quel port utiliser pour Windrose ?
Aucun port fixe. Windrose utilise du NAT punch-through avec ports UDP dynamiques (plage 27000-65535 typique).
Faut-il forwarder un port sur ma box ?
Non, à condition que UPnP soit activé. Windrose s’attribue ses ports automatiquement via UPnP.
Mes amis n’arrivent pas à rejoindre, port problem ?
Causes fréquentes : UPnP désactivé, VPN actif, CGNAT FAI, ou pare-feu Windows bloquant. Vérifiez dans cet ordre.
CGNAT bloque Windrose, comment vérifier ?
Comparez votre IP publique (whatismyip.com) avec votre IP routeur. Si différentes ET commence par 100.64-127.x → CGNAT. Demandez IP publique à votre FAI.
HebergTonServ gère-t-il le NAT punch-through ?
Oui, automatiquement. Votre serveur tourne sur infra avec IP publique dédiée + NAT cone parfait pour Windrose.
Faut-il ouvrir des ports TCP aussi ?
Non, Windrose utilise exclusivement UDP pour le gameplay. TCP n’est pas requis.
Conclusion
Ouvrir les ports Windrose en auto-hébergement = UPnP routeur + firewall Windows OK + zéro VPN. Si vous galérez avec CGNAT ou box récalcitrante, HebergTonServ Windrose à 12,90 €/mois supprime totalement le problème réseau.
Réservez votre serveur Windrose sans souci ports →
