- Tailscale offre un plan gratuit pour 6 utilisateurs avec un nombre illimité d'appareils — version 1.98.1 (mai 2026)
- Installation en 3 commandes sur Linux, une application sur macOS/Windows, authentification via SSO en 5 minutes
- Le protocole WireGuard chiffre tous les échanges de bout en bout sans ouvrir de port sur votre box internet
- Le plan Personnel gratuit inclut les ACL, MagicDNS et les subnet routers — mais limite à 3 groupes ACL
Introduction
Tailscale crée en 5 minutes un réseau privé (tailnet) chiffré de bout en bout entre vos appareils, sans ouvrir de port ni configurer de VPN traditionnel. Version 1.98.1 (mai 2026) — documentation officielle.
Ce que vous allez construire et pourquoi en 2026
Un tailnet Tailscale connecte vos serveurs, ordinateurs et téléphones via un maillage WireGuard automatique. Chaque appareil reçoit une IP stable 100.x.y.z et communique directement avec les autres, même derrière un pare-feu ou une box NAT. Le plan Personnel gratuit couvre jusqu'à 6 utilisateurs avec un nombre illimité d'appareils — idéal pour un projet personnel, une startup ou une petite équipe.
Pourquoi Tailscale plutôt qu'un VPN classique en 2026: pas de port à ouvrir, pas de certificat à gérer, pas de serveur central. Tailscale gère la découverte des pairs, le NAT traversal et la rotation des clés WireGuard automatiquement. Le chiffrement est de bout en bout — même Tailscale ne peut pas lire votre trafic.
Installation: commandes exactes à copier
Inscrivez-vous sur tailscale.com avec un compte Google, Microsoft ou GitHub (SSO gratuit). Puis installez le client sur chaque appareil:
Linux (Ubuntu 24.04 / Debian 12+)
# Ajouter le dépôt Tailscale
curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/noble.noGpg.key | sudo tee /usr/share/keyrings/tailscale-archive-keyring.gpg >/dev/null
curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/noble.tailscale-keyring.list | sudo tee /etc/apt/sources.list.d/tailscale.list # Installer et démarrer
sudo apt update && sudo apt install -y tailscale
sudo tailscale up # Vérifier la connexion
tailscale status
tailscale ipmacOS
# Via Homebrew
brew install --cask tailscale # Ou télécharger depuis https://tailscale.com/download/macWindows
Téléchargez l'installateur sur tailscale.com/download/windows. Après installation, connectez-vous avec le même compte SSO que votre premier appareil.
Vérifier que les appareils communiquent
# Sur l'appareil A, récupérez son IP Tailscale
tailscale ip -4
# Exemple: 100.64.0.1 # Depuis l'appareil B, pingez l'appareil A
ping 100.64.0.1 # Ou utilisez MagicDNS (nom d'hôte automatique)
ssh user@mon-serveur.tailnet-name.ts.netConfiguration: fichiers et variables à définir
ACL (Access Control Lists)
Les ACL définissent qui peut accéder à quoi. Sur la console Tailscale (login.tailscale.com/admin/acls), modifiez le fichier hujson:
// Exemple: autoriser tout le monde à tout accéder
{ "grants": [{ "src": ["autogroup:member"], "dst": ["autogroup:self:*"], "action": "accept" }]
} // Exemple plus restrictif: séparer les groupes
{ "groups": { "group:dev": ["alice@gmail.com", "bob@gmail.com"], "group:ops": ["charlie@gmail.com"] }, "grants": [{ "src": ["group:dev"], "dst": ["tag:dev-servers:*"], "action": "accept" }, { "src": ["group:ops"], "dst": ["tag:prod-servers:22,443"], "action": "accept" }]
}Exit Node (utiliser un serveur comme passerelle internet)
# Sur le serveur qui servira de passerelle
sudo tailscale up --advertise-exit-node # Sur le client, activer l'exit node
tailscale up --exit-node=mon-serveur.tailnet-name.ts.netSubnet Router (exposer un réseau local)
# Sur la machine connectée au réseau local 192.168.1.0/24
sudo tailscale up --advertise-routes=192.168.1.0/24 # Les autres appareils du tailnet pourront accéder à 192.168.1.xAuth Key (pour les serveurs headless)
# Créer une clé dans https://login.tailscale.com/admin/settings/keys
# Puis sur le serveur:
sudo tailscale up --authkey=tskey-auth-xxxxx --tag=tag:dev-serversLe code du projet: construire la fonctionnalité principale
Nous allons déployer un serveur web accessible uniquement via Tailscale, puis y connecter un service de monitoring Uptime Kuma en 3 étapes.
Étape 1: Déployer un serveur web accessible uniquement via Tailscale
# Sur votre serveur Ubuntu
sudo apt install -y nginx
echo "<h1>Hello depuis le tailnet</h1>" | sudo tee /var/www/html/index.html # Lier Nginx uniquement à l'IP Tailscale
# Éditez /etc/nginx/sites-available/default:
# server { listen 100.64.0.1:80;. } sudo systemctl restart nginx # Vérifier depuis un autre appareil du tailnet
curl http://100.64.0.1Étape 2: Déployer Uptime Kuma avec Tailscale
# Installer Docker si nécessaire
curl -fsSL https://get.docker.com | sh # Lancer Uptime Kuma
docker run -d --restart=unless-stopped -p 100.64.0.1:3001:3001 -v uptime-kuma:/app/data --name uptime-kuma louislam/uptime-kuma:1 # Accessible uniquement via Tailscale
# http://100.64.0.1:3001 depuis un appareil du tailnetÉtape 3: Configurer Tailscale SSH pour l'accès sans mot de passe
# Activer Tailscale SSH dans les ACL
{ "grants": [{ "src": ["autogroup:member"], "dst": ["autogroup:self:*"], "action": {"accept": {"ssh": {"action": "accept"}}} }]
} # Se connecter en SSH sans clé ni mot de passe
ssh user@mon-serveur.tailnet-name.ts.netTester et valider que ça fonctionne
# 1. Vérifier le statut de Tailscale
tailscale status
# Doit afficher tous vos appareils avec leur IP 100.x.y.z # 2. Tester la connectivité directe (pair à pair)
tailscale ping mon-serveur
# Doit afficher "via DERP" ou "via direct" avec la latence # 3. Vérifier les ACL actives
tailscale whois --self
# Affiche votre identité et vos groupes # 4. Tester l'exit node
curl --exit-node=mon-serveur https://ifconfig.me
# Doit afficher l'IP publique du serveur, pas la vôtre # 5. Vérifier MagicDNS
ping mon-serveur.tailnet-name.ts.net
# Doit résoudre automatiquement l'IP 100.x.y.zDéployer et utiliser en production
Pour un déploiement production en 2026, suivez ces bonnes pratiques:
- Activez Tailnet Lock (GA depuis mai 2025) pour empêcher l'ajout non autorisé de nœuds:
tailscale lock init - Utilisez des tags plutôt que des adresses email dans les ACL — les tags survivent au turnover des collaborateurs
- Activez les auth keys pré-approuvées avec
--tagpour automatiser le provisioning des serveurs - Configurez les logs de flux réseau (plan Premium, 18$/utilisateur/mois) pour la conformité
- Définissez des politiques système (AlwaysOn, DNS) pour les appareils gérés par MDM
# Verrouiller le tailnet (irréversible sans les clés de déverrouillage!)
tailscale lock init
# Sauvegardez les clés de déverrouillage affichées! # Activer le pare-feu du tailnet
# Dans les ACL, restreindre les ports:
{ "grants": [{ "src": ["group:dev"], "dst": ["tag:prod-servers:22,443"], "action": "accept" }]
}Aller plus loin: 3 extensions concrètes
- Tailscale Funnel — Exposez un service local sur l'internet public via
tailscale funnel 8080. Idéal pour partager un prototype sans configurer de DNS ni de certificat TLS. Inclus dans le plan gratuit. - Intégration Kubernetes — Le Tailscale Kubernetes Operator (GA depuis avril 2025) gère automatiquement les Ingress, les ProxyGroups et le multi-cluster. Déployez avec
kubectl apply -f https://raw.githubusercontent.com/tailscale/tailscale/main/cmd/k8s-operator/deploy.yaml. - Peer Relays auto-hébergés — Depuis février 2026 (v1.96.2), déployez vos propres relais pour garantir la connectivité quand DERP ne suffit pas:
tailscale up --relay=mon-relay.example.com.
Comment refuser un loyer supérieur à 30 % du revenu en 2026 ?
Étapes à suivre5
Créer un compte Tailscale et installer le premier appareil
Rendez-vous sur tailscale.com et sélectionnez Get Started. Authentifiez-vous avec Google, Microsoft ou GitHub (SSO gratuit). Le plan Personnel est gratuit jusqu'à 100 appareils et 3 utilisateurs.
Sur votre premier appareil, installez le client Tailscale:
- Ubuntu/Debian — Exécutez les commandes suivantes pour ajouter le dépôt officiel:
curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/noble.noGpg.key | sudo tee /usr/share/keyrings/tailscale-archive-keyring.gpg >/dev/null curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/noble.tailscale-keyring.list | sudo tee /etc/apt/sources.list.d/tailscale.list sudo apt update && sudo apt install -y tailscale- macOS — Utilisez
brew install --cask tailscaleou téléchargez le DMG depuis tailscale.com/download/mac. - Windows — Téléchargez l'installateur depuis tailscale.com/download/windows.
Lancez
sudo tailscale upet authentifiez-vous avec le même compte SSO. Vérifiez avectailscale ip -4qui doit renvoyer une IP100.x.y.z. Consultez tailscale.com/kb/1017/install pour les autres systèmes (Fedora, Arch, Alpine, iOS, Android).Ajouter les appareils suivants au tailnet
Sur chaque appareil supplémentaire, installez le client Tailscale en suivant la même procédure que pour le premier appareil. Pour un deuxième appareil disposant d'un navigateur, le plus simple est d'ouvrir l'URL d'authentification depuis la console Tailscale et de cliquer sur Authenticate.
Pour les serveurs headless sans navigateur (VPS, Raspberry Pi, conteneurs Docker), créez une auth key dans login.tailscale.com/admin/settings/keys avec un tag (par exemple
tag:dev-servers). Cochez Ephemeral si l'appareil est un conteneur qui se recrée régulièrement. Exécutez ensuite:sudo tailscale up --authkey=tskey-auth-xxxxx --tag=tag:dev-serversChaque appareil reçoit automatiquement une IP
100.x.y.zunique et stable. Les appareils éphémères sont retirés du tailnet après déconnexion. Vérifiez que tous les appareils sont connectés avectailscale status, qui affiche la liste complète des nœuds, leurs IPs et leur statut (idle, active). Consultez tailscale.com/kb/1085/auth-keys pour les options avancées (réutilisation, durée de vie, pré-approbation).Configurer les ACL pour contrôler les accès
Accédez à login.tailscale.com/admin/acls et modifiez le fichier de politique. Par défaut, tout le monde peut tout accéder — ce qui est dangereux en production.
Pour un projet sérieux, utilisez les tags et les groupes:
// Exemple de politique ACL { "groups": { "group:dev": ["alice@example.com", "bob@example.com"], "group:ops": ["carol@example.com"] }, "tagOwners": { "tag:dev-servers": ["group:dev"], "tag:prod-servers": ["group:ops"] }, "grants": [{ "src": ["group:dev"], "dst": ["tag:dev-servers:*"], "ip": ["*:*"] }, { "src": ["group:ops"], "dst": ["tag:prod-servers:22,443"] }] }Les tags sont préférables aux emails car ils survivent au turnover: quand un développeur part, ses tags restent. Le plan Personnel gratuit limite à 3 groupes ACL et 50 tagged resources. Pour des besoins plus larges, le plan Starter (5$/utilisateur/mois) supprime ces limites. Voir tailscale.com/kb/1017/install pour la documentation complète des ACL.
Activer les fonctionnalités avancées: exit node, subnet router, SSH
Exit node — Pour utiliser un serveur comme passerelle internet (VPN sortant), exécutez sur le serveur:
sudo tailscale up --advertise-exit-nodePuis sur le client:
tailscale up --exit-node=mon-serveur. Tout le trafic internet du client passe alors par le serveur. Idéal pour accéder du contenu géo-restreint ou sécuriser sa connexion sur un Wi-Fi public. Approuvez l'exit node dans login.tailscale.com/admin/machines.Subnet router — Pour exposer un réseau local (LAN) au tailnet sans installer Tailscale sur chaque machine du LAN:
sudo tailscale up --advertise-routes=192.168.1.0/24Les autres appareils du tailnet peuvent alors joindre
192.168.1.xdirectement. Pratique pour accéder à une imprimante, un NAS ou un serveur interne qui ne peut pas exécuter Tailscale. Approuvez les routes dans la console d'administration.Tailscale SSH — Connexion sans mot de passe ni clé SSH. Ajoutez une grant SSH dans les ACL:
{"action": {"accept": {"ssh": {"action": "accept"}}}, "src": ["group:dev"], "dst": ["tag:dev-servers"]}Connectez-vous avec
ssh user@mon-serveur.tailnet-name.ts.net. Tailscale gère l'authentification et les certificats automatiquement. Voir tailscale.com/kb/1193/tailscale-ssh.Sécuriser le tailnet pour la production
Tailnet Lock — Empêche l'ajout de nœuds non autorisés même si quelqu'un obtient vos credentials. Activez-le avec:
tailscale lock initSauvegardez impérativement les clés de déverrouillage affichées (
tailscale lock statuspour vérifier). Sans ces clés, vous ne pourrez pas désactiver le lock en cas de perte d'accès. Voir tailscale.com/kb/1226/tailnet-lock.Auth keys éphémères — Pour les conteneurs Docker et le CI/CD, utilisez des auth keys avec le flag
--ephemeral: les nœuds sont automatiquement retirés du tailnet à la déconnexion. Dans un Dockerfile:CMD ["tailscale", "up", "--authkey=tskey-auth-xxxxx"].MDM et conformité — Pour les appareils gérés (entreprise), configurez les politiques système via MDM: AlwaysOn (connexion automatique au démarrage), DNS (forcer le DNS du tailnet), et update policy (mises à jour automatiques). Sur macOS, utilisez un profil Jamf ou Intune.
Surveillance — Utilisez
tailscale statusettailscale pingpour vérifier la connectivité. Pour la conformité réglementaire, le plan Premium (18$/utilisateur/mois) offre les network flow logs et le log streaming vers Google Cloud Storage, Datadog ou Elasticsearch. Le plan Enterprise ajoute le SSO/SAML et les custom ACL scopes. Consultez tailscale.com/pricing pour la comparaison détaillée des plans.
Conseils pratiques
- {"title":"MagicDNS résout automatiquement les noms","content":"Chaque appareil du tailnet reçoit un nom DNS automatique comme mon-serveur.tailnet-name.ts.net. Utilisez-le dans vos scripts et configurations au lieu des IP 100.x.y.z — il reste stable même si l'IP change."}
- {"title":"Le plan gratuit inclut 6 utilisateurs","content":"Depuis avril 2026, le plan Personnel gratuit passe de 3 à 6 utilisateurs avec un nombre illimité d'appareils. Les 3 groupes ACL et 50 tagged resources suffisent pour la plupart des projets personnels et petites équipes."}
- {"title":"Tailscale utilise le protocole WireGuard","content":"Le chiffrement est de bout en bout via WireGuard — même Tailscale ne peut pas lire votre trafic. Les clés sont renouvelées automatiquement. Seuls les métadonnées de routage transitent par les serveurs de coordination Tailscale."}
Points d'attention
- {"title":"Tailnet Lock est irréversible sans les clés","content":"Si vous activez \"tailscale lock init\" et perdez les clés de déverrouillage, vous ne pourrez plus ajouter de nouveaux nœuds au tailnet. Stockez ces clés dans un coffre-fort numérique (1Password, Vault) dès l'initialisation."}
- {"title":"Le plan gratuit ne comprend pas les logs de flux","content":"Les network flow logs et le log streaming vers des services externes nécessitent le plan Premium à 18$/utilisateur/mois. Pour la conformité (RGPD, SOC 2), prévoyez ce coût dans votre budget."}
- {"title":"Les auth keys sans tag sont un risque de sécurité","content":"Créez toujours des auth keys avec un tag (par exemple tag:dev-servers) et une date d'expiration. Une auth key sans tag donne accès à tout le tailnet si elle fuite. Utilisez les clés éphémères pour les conteneurs et CI/CD."}
Questions fréquentes5
Tailscale est-il vraiment gratuit ?
Oui, le plan Personnel est gratuit pour jusqu'à 6 utilisateurs avec un nombre illimité d'appareils. Il inclut les ACL, MagicDNS, Tailscale SSH, les subnet routers, les exit nodes et Tailscale Funnel. Le plan Standard coûte 8$/utilisateur/mois pour des fonctionnalités avancées (SCIM, MDM, device posture).
Quelle est la différence entre Tailscale et un VPN classique ?
Un VPN classique (OpenVPN, WireGuard manuel) nécessite un serveur central, l'ouverture de ports et la gestion manuelle des certificats. Tailscale automatise tout : découverte des pairs, NAT traversal, rotation des clés et routage. Le trafic est chiffré de bout en bout (pair à pair) et ne passe par un serveur central que si la connexion directe échoue (DERP relais).
Combien d'appareils peut-on connecter avec le plan gratuit ?
Le plan Personnel gratuit permet un nombre illimité d'appareils par utilisateur, jusqu'à 6 utilisateurs au total. Les appareils peuvent être des serveurs Linux, des ordinateurs macOS/Windows, des téléphones iOS/Android ou des conteneurs Docker. Au-delà de 6 utilisateurs, le plan Standard coûte 8$/utilisateur/mois.
Tailscale fonctionne-t-il derrière un pare-feu ou une box NAT ?
Oui, c'est l'avantage principal de Tailscale. Il utilise le NAT traversal et les relais DERP pour établir des connexions même quand les appareils sont derrière des pare-feu restrictifs ou des box internet (NAT). Dans la majorité des cas, la connexion devient directe (pair à pair) après quelques secondes.
Comment activer Tailscale SSH sans mot de passe ?
Ajoutez une grant SSH dans vos ACL : {"src": ["autogroup:member"], "dst": ["autogroup:self:*"], "action": {"accept": {"ssh": {"action": "accept"}}}}. Puis connectez-vous avec "ssh user@mon-serveur.tailnet-name.ts.net" — aucun mot de passe ni clé SSH n'est nécessaire, Tailscale gère l'authentification automatiquement via le tailnet.
Guides Technologie & IA
Voir toutConstruire un chatbot local avec Ollama et Python en 30 minutes
Utiliser DeepSeek V4 en 2026 pour améliorer la recherche
Utiliser Claude Opus 4.7 en 2026 pour améliorer la productivité
Comment créer et gérer ses mots de passe de manière sécurisée en 2026
Comment utiliser Ollama en 2026
Poursuivez votre lecture
Multi-catégoriesComment refuser un loyer supérieur à 30 % du revenu en 2026 ?
Transmission d'entreprise 2026 : dispositifs fiscaux et étapes clés pour vendre ou céder son affaire
"Impôts du Cœur" : les agents des finances publiques proposent leur aide à la déclaration de revenus sur le marché
Équipe éditoriale GuidePratiquefr
Rédacteurs spécialisés en droit, fiscalité et finances
Rédigé et vérifié par notre équipe de rédacteurs spécialisés. Sources officielles consultées : service-public.fr, legifrance.gouv.fr, impots.gouv.fr, ameli.fr. Dernière vérification : 16 mai 2026.
Sources officielles consultées
Les informations contenues dans ce guide sont fournies à titre indicatif et ne remplacent pas un conseil professionnel personnalisé.