Tailscale

Fonctionnement technique

Tailscale est une solution de mesh VPN construite sur le protocole WireGuard qui simplifie radicalement la création de réseaux privés. Contrairement aux VPN traditionnels hub-and-spoke, Tailscale crée des connexions peer-to-peer directes entre les nœuds, éliminant le goulot d'étranglement d'un serveur central. Le plan de contrôle SaaS gère l'échange de clés, tandis que le trafic transite directement entre les machines.

La technologie MagicDNS attribue automatiquement des noms DNS à chaque nœud du réseau (machine.tailnet-name.ts.net). Le NAT traversal est géré automatiquement par le protocole STUN/ICE, permettant aux machines derrière des NAT ou des pare-feux de se connecter directement. Quand la connexion directe est impossible, le trafic est relayé via les serveurs DERP (chiffrés de bout en bout).

L'authentification s'appuie sur des fournisseurs d'identité existants (Google, Microsoft, Okta, GitHub) via OIDC/SAML. Chaque nœud génère une paire de clés WireGuard locale ; seule la clé publique est partagée via le serveur de coordination. Le serveur de coordination ne voit jamais le trafic réseau ni les clés privées.

Cas d'usage

Tailscale excelle pour connecter des infrastructures hybrides : serveurs cloud (AWS, GCP, Azure), machines on-premise, postes de travail nomades et appareils IoT dans un réseau unifié et chiffré. Les équipes DevOps l'utilisent pour accéder aux serveurs de production et de staging sans exposer de ports SSH sur Internet.

La fonctionnalité Exit Nodes permet de router tout le trafic Internet d'un appareil mobile via un nœud Tailscale, créant un VPN de navigation sécurisé. Subnet Routers exposent des sous-réseaux entiers sans installer Tailscale sur chaque machine du réseau. Tailscale Funnel expose des services locaux sur Internet via le réseau Tailscale.

Outils et implémentation

Le client Tailscale est disponible sur Linux, Windows, macOS, iOS, Android, Synology, QNAP et en conteneur Docker. L'installation est en une commande : curl -fsSL https://tailscale.com/install.sh | sh puis tailscale up. L'interface d'administration web gère les ACL (en format HuJSON), les clés d'API et les paramètres réseau.

Tailscale SSH remplace OpenSSH en utilisant l'identité Tailscale pour l'authentification, éliminant la gestion des clés SSH. Tailscale Serve expose des services locaux aux autres nœuds du tailnet. Headscale est l'alternative self-hosted du serveur de coordination pour les organisations souhaitant une souveraineté complète.

Défense / Bonnes pratiques

Configurez des ACL strictes dans le fichier de politique Tailscale pour implémenter le moindre privilège. Par défaut, tous les nœuds peuvent communiquer entre eux ; restreignez les accès par utilisateur, groupe et tag. Utilisez les tags pour catégoriser les machines (tag:server, tag:dev, tag:prod) et définir des politiques granulaires.

Activez le MFA sur le fournisseur d'identité utilisé pour l'authentification Tailscale. Configurez la rotation automatique des clés de nœuds et définissez une expiration des clés pour forcer la réauthentification périodique. Révoquez immédiatement les nœuds des employés quittant l'organisation.

Surveillez les appareils connectés via l'interface d'administration et activez les notifications pour les nouveaux nœuds. Utilisez les logs d'audit Tailscale pour tracer les connexions entre nœuds. Pour les environnements sensibles, déployez Headscale en self-hosted pour garder le contrôle total du plan de contrôle.

Articles associés

Voir nos articles détaillés sur ce sujet.