Guide d’installation Tailscale sur VPS : Accès sécurisé sans configuration

Tailscale crée un VPN maillé entre tous vos appareils — VPS, ordinateur portable, téléphone, serveur domestique. Pas de redirection de port, pas de règles de pare-feu, juste un accès sécurisé partout.

Qu’est-ce que Tailscale ?

Tailscale est un VPN zéro configuration basé sur WireGuard :

Réseau maillé — Chaque appareil se connecte directement à tous les autres
Pas de serveur central — Le trafic passe directement d’appareil à appareil
Traversée du NAT — Fonctionne derrière des pare-feu/CGNAT
Intégration SSO — Utilisez votre compte Google/Microsoft/GitHub
Offre gratuite — 100 appareils, 3 utilisateurs

Pensez-y comme un internet privé pour vos appareils.

Pourquoi utiliser Tailscale sur un VPS ?

Sans Tailscale

Votre ordinateur → Internet → VPS (port 22 ouvert, exposé aux attaques)

Avec Tailscale

Votre ordinateur → Réseau Tailscale → VPS (aucun port ouvert, chiffré)

Avantages :

Fermer le port 22 sur Internet
Accéder au VPS depuis n’importe où sans liste blanche d’IP
Connecter le VPS aux ressources du réseau domestique
Partager l’accès avec les membres de l’équipe en toute sécurité

Démarrage

Étape 1 : Créer un compte Tailscale

Rendez-vous sur tailscale.com
Inscrivez-vous avec Google/Microsoft/GitHub
Vous obtenez un tailnet unique (comme votrenom.ts.net)

Étape 2 : Installer sur votre ordinateur

macOS :

brew install tailscale
tailscale up

Linux :

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

Windows : Téléchargez depuis tailscale.com/download

Après avoir exécuté tailscale up, autorisez l’accès dans le navigateur.

Étape 3 : Installer sur le VPS

Connectez-vous à votre VPS via SSH normalement (une dernière fois via l’IP publique) :

ssh root@your-vps-ip

# Installer Tailscale
curl -fsSL https://tailscale.com/install.sh | sh

# Démarrer et authentifier
sudo tailscale up

Vous obtiendrez une URL d’autorisation — ouvrez-la dans votre navigateur.

Étape 4 : Se connecter via Tailscale

Votre VPS dispose désormais d’une IP Tailscale (comme 100.x.x.x) :

# Trouver l'IP Tailscale de votre VPS
tailscale ip -4

# Depuis votre ordinateur, SSH via Tailscale
ssh root@100.x.x.x

Fonctionne depuis n’importe où — café, hôtel, partage de connexion mobile.

Sécuriser votre VPS

Maintenant que Tailscale fonctionne, fermez le SSH public (dans le cadre des bonnes pratiques de sécurité VPS) :

# Sur votre VPS (via la connexion Tailscale !)
sudo ufw deny 22/tcp

# Ou supprimer complètement la règle
sudo ufw delete allow 22/tcp

# Vérifier
sudo ufw status

Le port 22 est maintenant fermé sur Internet. Seules les connexions Tailscale fonctionnent.

Utiliser MagicDNS

Activez MagicDNS dans la console d’administration Tailscale pour des noms conviviaux :

# Au lieu de :
ssh root@100.64.0.2

# Utilisez :
ssh root@my-vps
# ou
ssh root@my-vps.yourname.ts.net

Beaucoup plus facile à retenir.

Nœud de sortie : Router le trafic via le VPS

Faites de votre VPS un nœud de sortie VPN :

# Sur le VPS
sudo tailscale up --advertise-exit-node

Approuvez dans la console d’administration, puis sur votre ordinateur :

# Router tout le trafic via le VPS
tailscale up --exit-node=my-vps

# Arrêter d'utiliser le nœud de sortie
tailscale up --exit-node=

Tout votre trafic Internet passe désormais par l’IP de votre VPS. Utile pour :

Contourner les restrictions géographiques
IP cohérente pour les services qui utilisent des listes blanches
Confidentialité sur les WiFi publics

Routeur de sous-réseau : Accéder au réseau domestique

Accédez à votre LAN domestique depuis le VPS (ou vice versa) :

# Sur le serveur domestique
sudo tailscale up --advertise-routes=192.168.1.0/24

Approuvez les routes dans la console d’administration. Votre VPS peut maintenant atteindre les appareils 192.168.1.x.

Cas d’utilisation :

VPS accédant au NAS domestique
Domotique depuis n’importe où
Sauvegarde du VPS vers le stockage domestique

Configuration SSH

Ajoutez à ~/.ssh/config pour plus de commodité :

Host vps
    HostName my-vps.yourname.ts.net
    User root

Host vps-direct
    HostName 100.64.0.2
    User root

Maintenant, utilisez simplement : ssh vps

Tailscale + Docker

Pour que les conteneurs Docker utilisent Tailscale :

Option 1 : Réseau hôte

Le conteneur utilise le Tailscale de l’hôte :

services:
  app:
    network_mode: host

Option 2 : Conteneur secondaire Tailscale

Le conteneur obtient sa propre identité Tailscale :

services:
  tailscale:
    image: tailscale/tailscale
    hostname: my-service
    environment:
      - TS_AUTHKEY=tskey-xxxxx
      - TS_STATE_DIR=/var/lib/tailscale
    volumes:
      - tailscale-state:/var/lib/tailscale
    cap_add:
      - NET_ADMIN
      - SYS_MODULE

  app:
    network_mode: service:tailscale
    depends_on:
      - tailscale

volumes:
  tailscale-state:

Générez une clé d’authentification dans la console d’administration → Paramètres → Clés.

Tailscale SSH

Tailscale peut gérer entièrement l’authentification SSH :

# Sur le VPS
sudo tailscale up --ssh

SSH fonctionne désormais avec l’authentification Tailscale — aucune clé SSH n’est nécessaire :

ssh my-vps
# S'authentifie via l'identité Tailscale

Configurez les permissions dans la console d’administration → Contrôle d’accès.

Partager l’accès avec l’équipe

Exemple ACL

{
  "acls": [
    {
      "action": "accept",
      "src": ["group:devs"],
      "dst": ["tag:servers:*"]
    }
  ],
  "tagOwners": {
    "tag:servers": ["admin@company.com"]
  },
  "groups": {
    "group:devs": ["dev1@company.com", "dev2@company.com"]
  }
}

Étiquetez votre VPS :

sudo tailscale up --advertise-tags=tag:servers

Seul group:devs peut maintenant accéder aux serveurs étiquetés.

Funnel : Exposer des services publiquement

Tailscale Funnel expose des services sur Internet via le réseau Tailscale :

# Exposer le port local 8080 publiquement
tailscale funnel 8080

Vous obtenez une URL comme https://my-vps.yourname.ts.net/

Avantages :

Pas besoin de redirection de port
HTTPS automatique
Fonctionne derrière CGNAT

Inconvénients :

Le trafic passe par Tailscale
Bande passante limitée sur l’offre gratuite
Uniquement HTTPS (ports 443, 8443, 10000)

Meilleur VPS pour Tailscale

Tailscale lui-même est léger (<50 Mo de RAM), mais vos charges de travail varient :

Fournisseur	Offre	Prix	Idéal pour
Hetzner	CX11	3,79 €/mois	Nœud de sortie uniquement
Hostinger	KVM1	4,99 $/mois	Usage général
Vultr	VC2	6 $/mois	Multi-région

Pour des nœuds de sortie dans plusieurs régions, les 32 régions de Vultr sont idéales.

Surveillance et dépannage

Vérifier le statut

tailscale status
# Affiche tous les appareils de votre tailnet

tailscale netcheck
# Teste la connectivité, les relais DERP, etc.

tailscale ping my-vps
# Test de connectivité directe

Problèmes courants

Impossible de se connecter après redémarrage :

sudo systemctl enable tailscaled
sudo systemctl start tailscaled
sudo tailscale up

Trafic passant par un relais (lent) :

# Vérifier si une connexion directe est possible
tailscale ping -c 5 my-vps
# "via DERP" signifie relayé, "pong from" signifie direct

La connexion directe nécessite :

Le port UDP 41641 sortant (généralement ouvert)
Ou les deux appareils sur le même réseau

Appareil hors ligne dans la console d’administration :

# Sur l'appareil
tailscale status
sudo tailscale up

Avancé : Headscale (auto-hébergé)

Vous ne voulez pas utiliser le serveur de coordination de Tailscale ? Exécutez Headscale :

docker run -d \
  -p 8080:8080 \
  -v headscale-data:/var/lib/headscale \
  headscale/headscale

Puis connectez les clients :

tailscale up --login-server=https://your-headscale-server

Compromis :

Contrôle total
Pas besoin de compte Tailscale
Mais : Pas de MagicDNS, Funnel, ni console d’administration

Pour la plupart des utilisateurs, l’offre gratuite de Tailscale est suffisante.

Bonnes pratiques de sécurité

1. Utiliser les ACL

N’utilisez pas le mode “autoriser tout” par défaut. Définissez des permissions explicites :

{"acls": [{"action": "accept", "src": ["*"], "dst": ["*:22,443"]}]}

2. Activer l’expiration des clés

Dans la console d’administration, définissez l’expiration des clés d’appareil (ex. 90 jours). Force la ré-authentification.

3. Utiliser les étiquettes

Étiquetez les serveurs et utilisez des ACL basées sur les étiquettes. Plus facile à gérer qu’avec des appareils individuels.

4. MFA sur le SSO

Votre compte Tailscale hérite de la sécurité SSO. Activez le MFA sur Google/GitHub.

5. Journaux d’audit

Activez les journaux d’audit dans la console d’administration. Examinez les patterns d’accès.

FAQ

Tailscale est-il gratuit ?

Oui, l’offre gratuite inclut 100 appareils et 3 utilisateurs. Largement suffisant pour un usage personnel.

Tailscale est-il sécurisé ?

Oui. Chiffrement WireGuard, de bout en bout. Tailscale ne peut pas voir votre trafic (uniquement la coordination).

Tailscale ralentit-il les connexions ?

Généralement non — les connexions directes sont à la vitesse de WireGuard. Les connexions relayées (DERP) sont plus lentes mais rares.

Puis-je utiliser Tailscale et le SSH classique ?

Oui. Gardez le port 22 ouvert comme accès de secours, ou utilisez Tailscale exclusivement.

Tailscale vs WireGuard ?

Tailscale utilise WireGuard en dessous. Tailscale ajoute : zéro configuration, SSO, ACL, traversée du NAT.

Résumé

Tailscale transforme l’accès au VPS :

Avant	Après
Port 22 ouvert sur Internet	Aucun port ouvert
Gestion des listes blanches d’IP	Accès depuis n’importe où
Clés SSH partout	Authentification SSO
Configuration VPN complexe	Installation en une commande

La configuration prend 5 minutes. Fermez le port 22 pour toujours.

Démarrage rapide :

# Sur le VPS
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

# Fermer le SSH public
sudo ufw deny 22/tcp

C’est tout. Accès sécurisé au VPS depuis n’importe où.

// last updated: February 8, 2026. Disclosure: This article may contain affiliate links.

Guide d'installation Tailscale sur VPS 2026 : Accès sécurisé sans redirection de port