Aller au contenu
minimachine.
← Le parcours
Étape 15 · Le réseau Facile · 10 min

🕸️Tailscale : votre réseau privé

Atteindre votre machine depuis n'importe où, café, train, canapé, comme si elle était à côté de vous. Chiffré, sans ouvrir le moindre port, en cinq minutes.

Votre mini-PC est chez vous, posé derrière votre box. Génial tant que vous êtes sur le même Wi-Fi. Mais dès que vous sortez, un café, le train, le bureau, il devient injoignable. Il vit dans un réseau privé, planqué derrière le NAT de votre box, sans adresse publique à lui.

La méthode des années 2000 pour régler ça, c’est l’ouverture de ports sur le routeur : vous redirigez le port 22 vers la machine et vous priez pour que personne d’autre ne le trouve. Sauf que tout l’Internet scanne ce port en permanence. Vous venez d’exposer votre porte d’entrée à la planète. Fragile, stressant, à reconfigurer à chaque changement de box.

Tailscale prend le problème par l’autre bout : au lieu d’ouvrir une brèche vers votre machine, il fabrique un réseau privé qui relie tous vos appareils entre eux. Votre mini-PC, votre portable, votre téléphone se voient comme s’ils étaient sur le même câble, où qu’ils soient sur Terre. Chiffré de bout en bout (WireGuard tourne dessous, le VPN le plus rapide du moment), et zéro port ouvert sur votre box.

Votre laptop via Tailscale Votre téléphone via Tailscale Mini-PC linux · agent · ollama Cloudflare tunnel sortant Le public ton-app.ton-domaine privé · chiffré public · choisi
fig.Qui parle à qui : votre réseau privé via Tailscale, le public via Cloudflare.

Comment ça marche, en une image

Chaque appareil reçoit une adresse IP stable dans une plage à part (100.x.y.z). Cet ensemble d’appareils, c’est votre tailnet : votre mini-réseau perso. Quand votre portable veut parler au mini-PC, Tailscale établit une connexion directe et chiffrée entre les deux, en perçant les NAT tout seul. Les données ne transitent jamais par les serveurs de Tailscale : elles vont en pair-à-pair.

Résultat concret : vous tapez ssh ulrich@mini depuis un train, et c’est comme si vous étiez dans votre salon. Aucune box à configurer, aucun port exposé.

Le montage, étape par étape

Créez un compte Tailscale (gratuit)

Allez sur tailscale.com et inscrivez-vous. Pas de mot de passe à inventer : Tailscale s’appuie sur un compte que vous avez déjà, Google, GitHub ou Microsoft. C’est ce compte qui définit qui a le droit d’entrer dans votre tailnet. Le plan gratuit couvre largement un usage perso (jusqu’à 100 appareils).

Installez Tailscale sur le mini-PC

Sur la machine, une ligne installe le service :

# Installe le client Tailscale (détecte ta distrib tout seul)
curl -fsSL https://tailscale.com/install.sh | sh
# Connecte la machine au tailnet
sudo tailscale up

tailscale up affiche un lien d’authentification. Ouvrez-le dans un navigateur (sur n’importe quel appareil), connectez-vous avec votre compte, et la machine rejoint le réseau. Elle a maintenant son adresse 100.x.y.z à vie.

Installez l'app sur votre portable et votre téléphone

Récupérez l’app Tailscale sur votre Mac/PC et votre mobile (le site propose le bon installeur), connectez-vous avec le même compte. Chaque appareil ajouté apparaît dans le réseau. Pour voir la liste depuis le mini-PC :

tailscale status   # liste tous tes appareils et leurs IP 100.x.y.z

Activez MagicDNS pour parler en noms, pas en chiffres

Personne n’a envie de retenir 100.118.42.7. Dans la console d’admin Tailscale (onglet DNS), activez MagicDNS. Chaque appareil devient joignable par son nom. Votre ssh devient lisible :

ssh ulrich@mini   # au lieu de ssh [email protected]

Le bonus qui change la vie : Tailscale SSH

Voilà la fonctionnalité qui fait dire « ah oui quand même ». Normalement, faire du SSH propre demande de générer des clés, les copier sur la machine, gérer leur rotation. Avec Tailscale SSH, c’est le tailnet qui gère l’authentification à votre place.

# Réactive Tailscale en autorisant le SSH géré par le tailnet
sudo tailscale up --ssh

À partir de là, vous pouvez faire du SSH entre vos appareils du tailnet sans gérer une seule clé : Tailscale sait déjà que c’est vous (c’est votre compte qui possède les deux machines), et il s’occupe de l’identité. Pratique, magique, et l’accès se coupe net si vous retirez l’appareil du réseau.

Deux extras à connaître (optionnels)

  • Nœud de sortie (exit node). Vous pouvez faire passer tout le trafic de votre portable par votre machine maison avec sudo tailscale up --advertise-exit-node (puis vous choisissez votre machine comme sortie côté client). Utile sur un Wi-Fi public douteux : vous surfez comme si vous étiez chez vous.
  • Routage de sous-réseau (subnet routing). Vous pouvez exposer d’autres appareils de votre LAN maison (une imprimante, un NAS) au tailnet sans installer Tailscale dessus, en déclarant la machine comme routeur de sous-réseau. Une option, pas une obligation.

La part d’honnêteté

Tailscale est un service tiers de coordination. Vos données restent en pair-à-pair et chiffrées, elles ne passent jamais par eux, mais c’est leur infrastructure qui orchestre qui peut joindre qui (l’annuaire, l’authentification, l’établissement des connexions). Pour la quasi-totalité des usages, c’est un excellent compromis : vous gagnez énormément en simplicité et en sécurité contre une dépendance à un acteur sérieux.

Si vous tenez au 100 % auto-hébergé, l’alternative s’appelle Headscale : un serveur de coordination open-source que vous hébergez vous-même, compatible avec les clients Tailscale. Plus de boulot, plus de contrôle. À garder dans un coin si la souveraineté totale est un critère.