Tailscale est une solution de type VPN Zero-Config qui permet de connecter des appareils entre eux de manière sécurisée, sans avoir à ouvrir de ports ni à configurer un réseau complexe. Basé sur WireGuard, il simplifie radicalement la sécurisation des connexions SSH en complément ou en alternative aux approches traditionnelles.
Prérequis
- Un serveur Linux (Debian, Ubuntu, Fedora, Arch, CentOS, etc.)
- Un compte Tailscale (GitHub, Google, Microsoft…)
- Droits sudo/root sur la machine
- Un poste client avec Tailscale installé
Installation de Tailscale
1. Ajout du dépôt officiel
curl -fsSL https://tailscale.com/install.sh | sh
2. Démarrage du service
sudo tailscale up
Cela ouvrira un lien d'authentification dans votre navigateur. Connectez-vous avec votre compte Google/GitHub/etc.
3. Vérification de la connexion
tailscale ip -4
Vous obtiendrez une IP privée du réseau Tailscale, par exemple : 100.84.23.45
Connexion SSH via Tailscale
Depuis un autre appareil inscrit dans le réseau Tailscale :
ssh utilisateur@100.84.23.45
Plus besoin de NAT, de port 22 exposé, ni de firewall ouvert.
Activez la redirection de port SSH interne (optionnel)
Si vous avez modifié le port SSH ou si vous utilisez ufw :
sudo ufw allow from 100.0.0.0/8 to any port 22
Configuration avancée
MagicDNS
Permet de se connecter via un nom lisible (ex : monserveur.tail123.ts.net) :
sudo tailscale up --accept-dns
ACLs (contrôle d'accès)
Via l'interface web : https://login.tailscale.com/admin/acls
{
"ACLs": [
{
"Action": "accept",
"Users": ["admin@example.com"],
"Ports": ["100.84.23.45:22"]
}
]
}
Auto-approbation / Serveurs headless
sudo tailscale up --authkey tskey-xxxxxx
Généré depuis l'interface web (valable quelques minutes)
Comparaison avec d'autres solutions
| Fonctionnalité | Tailscale | OpenVPN | WireGuard | Zerotier |
| Installation | Très simple | Moyenne | Moyenne | Simple |
| UI de gestion | ✅ Oui | ❌ Non | ❌ Non | ✅ Oui |
| NAT Traversal | ✅ Oui | ⚠️ Complexe | ✅ Oui | ✅ Oui |
| Mobile/Desktop | ✅ Oui | ✅ Oui | ✅ Oui | ✅ Oui |
| SSH intégré | ✅ Oui (via Auth Keys) | ❌ Non | ❌ Non | ❌ Non |
| Zero Trust / ACL | ✅ Oui | ❌ Non | ❌ Non | ⚠️ Limité |
| Prix | Gratuit pour usage perso | Gratuit | Gratuit | Gratuit |
Pour une approche plus traditionnelle, consultez le guide bastion SSH avec MFA.
Avantages clés
- Pas de ports à ouvrir : pas besoin de toucher à votre firewall
- Accès sécurisé par identifiant (SSO) : Google, GitHub…
- Audit et gestion centralisée : interface web très claire
- Rapide à mettre en place : 2 minutes suffisent
- Basé sur WireGuard : performant et crypté de bout en bout
Limitations
- Connexion Internet requise (pas d'usage local pur)
- Infrastructure Tailscale centralisée (compromis sécurité/simplicité)
- Gratuit pour un usage personnel, mais options pro payantes
Quand utiliser Tailscale ?
- Connexion SSH rapide et sécurisée à vos serveurs
- Réseautage privé entre plusieurs machines sans config réseau
- Remplacement léger à OpenVPN/WireGuard pour accès distant
Conclusion
Tailscale est une solution idéale pour tous ceux qui souhaitent sécuriser l'accès SSH à leurs serveurs sans complexité réseau. En quelques minutes, vous bénéficiez d'un VPN moderne, stable, sécurisé et facile à gérer.
