Tailscale Cloud منتج ممتاز: VPN mesh مبني على WireGuard، تكوين في 3 دقائق، NAT traversal تلقائي. لكن بـ 18 دولاراً لكل مستخدم شهرياً على خطة Premium، ومع بياناتك الوصفية للاتصال مخزنة عند Tailscale Inc.، الاستضافة الذاتية تصبح بسرعة جذابة. Headscale هو التطبيق مفتوح المصدر لخادم تحكم Tailscale، مكتوب بـ Go، يكرر 100% من API الرسمي. عملاء Tailscale الرسميون (Mac, iOS, Android, Linux, Windows) يتصلون بـ Headscale الخاص بك، وليس بـ Tailscale Cloud. سيادة كاملة، بـ 4.51 يورو شهرياً على Hetzner CX22.
لماذا Headscale هو الخيار الافتراضي في 2026
ثلاث حركات أساسية تجعل Headscale لا غنى عنه هذا العام. تكلفة Tailscale Cloud تنفجر مع التوسع. الخطة المجانية محدودة بـ 3 مستخدمين و 100 جهاز. خطة Premium تبدأ من 18 دولاراً/مستخدم/شهرياً لـ 5 مستخدمين كحد أدنى، أي 90 دولاراً/شهرياً. لشركة من 25 شخصاً في كوت ديفوار، هذا 5400 دولار/سنة لخدمة لا تفعل شيئاً سوى توجيه حركة مرور مشفرة بين خوادمك ومحطاتك. Headscale يفعل تقنياً نفس الشيء بـ 54 يورو/سنة لـ VPS.
سيادة البيانات الوصفية. Tailscale Cloud يعرف طوبولوجيا شبكتك، ساعات اتصالك، أقرانك النشطين. لمصرف، عيادة طبية في الدار البيضاء، أو fintech في أبيدجان خاضعة للسرية المهنية أو المصرفية، هذه البيانات الوصفية حساسة. Headscale يحتفظ بها تحت تحكمك الحصري. النظام البيئي الناضج. Headscale v0.23 (يناير 2026) يدعم المستخدمين مع OIDC، ACL بصيغة HuJSON المماثلة لـ Tailscale، الطرق المُعلَنة (subnet routers)، exit nodes، DNS السحري (MagicDNS)، preauth keys، Taildrop لنقل الملفات.
المفاهيم الأساسية
خادم التنسيق مقابل data plane
Tailscale و Headscale يتشاركان نفس المعمارية: خادم تنسيق يوزع المفاتيح العامة WireGuard، ACL، وطوبولوجيا الشبكة. data plane (حركة المرور المشفرة بين أجهزتك) لا تمر عبر خادم التنسيق. Headscale لا يرى أبداً بياناتك — فقط البيانات الوصفية للاتصال. هذا مهم للأداء: Headscale على Hetzner Falkenstein لا يضعف بأي شكل زمن استجابة اتصال داكار ↔ أبيدجان، الذي يمر مباشرة بين القرينين.
مفتاح ما قبل المصادقة (preauth key)
لتسجيل جهاز جديد على Headscale الخاص بك، تُولِّد مفتاحاً مصادَقاً مسبقاً بمدة محدودة. المستخدم يُشغِّل tailscale up --login-server=https://headscale.votre-entreprise.com --auth-key=...، الجهاز ينضم إلى الشبكة. الميزة: لا حاجة لتسجيل دخول ويب لكل جهاز، مثالي لـ onboarding سريع لفريق موزع.
المستخدمون و namespaces
Headscale ينظم الأجهزة حسب المستخدم (المسمى سابقاً namespace حتى v0.20). يمكن للمستخدم أن يكون له عدة أجهزة (laptop، هاتف، خادم). ACL تحدد من يمكنه التحدث مع من بين المستخدمين. لشركة صغيرة، تنشئ نموذجياً مستخدماً لكل موظف + مستخدم «servers» لـ VPS الخاصة بك.
ACL بصيغة HuJSON
قوائم التحكم في الوصول Headscale تستخدم نفس صيغة HuJSON (JSON مع تعليقات) مثل Tailscale Cloud. مثال: السماح للمطورين بـ SSH على جميع الخوادم، لكن للتسويق بالوصول فقط إلى Vaultwarden. الهجرة من ACL Tailscale Cloud: نسخ-لصق، يعمل.
MagicDNS و split DNS
مع MagicDNS مُفعَّل، كل جهاز يحصل على اسم nom-utilisateur.tailnet.ts.net يتم حله تلقائياً على شبكة Headscale. خوادمك تصبح متاحة بأسمائها (مثلاً postgres-prod.tailnet.ts.net) دون المرور بـ DNS عام.
المعمارية القياسية لشركة إفريقية
1. VPS التنسيق
Hetzner CX22 (4.51 يورو/شهرياً) أو OVH VPS-1 (3.99 يورو/شهرياً) كافٍ لـ 100 مستخدم و 500 جهاز. الخدمة بطبيعتها بدون حالة؛ Headscale يخزن بياناته في SQLite أو PostgreSQL ولا يحتاج إلى أداء عالٍ.
2. Reverse proxy مع HTTPS
Caddy في الواجهة يدير شهادة Let’s Encrypt والمنفذ 443. Headscale يستمع على 8080 داخلياً. اسم نطاق مخصص من نوع headscale.votre-entreprise.com يشير إلى الـ VPS.
3. OIDC للمصادقة
لتجنب إدارة قاعدة مستخدمين منفصلة، اربط Headscale بـ Authelia، Authentik، Keycloak، أو مباشرة Google Workspace / Microsoft 365 عبر OIDC. الموظف الذي ينضم إلى الشركة يرث تلقائياً وصول Headscale.
دروس مجموعة Headscale
- نشر Headscale على VPS مع Caddy و HTTPS
- الهجرة من Tailscale Cloud إلى Headscale
- ACL Headscale لفريق موزع
- Headscale + Coolify: PaaS ذاتي الاستضافة
التكيف مع السياق المغاربي وغرب إفريقيا
أربعة تكيفات محددة. زمن الاستجابة واختيار مركز البيانات. Hetzner Falkenstein يقدم 95 ميلي ثانية متوسط نحو داكار عبر كابل ACE. OVH Roubaix: 90 ميلي ثانية نحو الدار البيضاء. لفريق يغطي غرب إفريقيا، Hetzner FSN1 يبقى أفضل توافق. اتصالات متقطعة. انقطاعات الكهرباء في بوركينا، تشبع الشبكة في موسم الأمطار في السنغال، والاتصالات الفضائية في النيجر تفرض عملاء Tailscale قويين. Mobile Money والوصول إلى APIs. APIs Wave و Orange Money و Free Money محمية أحياناً بـ IP ثابت. بتحويل VPS Hetzner إلى exit node، تقدم لهذه APIs IP أوروبي مستقر. التكلفة الإجمالية. لفريق 30 شخصاً: 4.51 يورو لـ VPS + 12 يورو لنطاق = 66 يورو سنوياً.
الأخطاء الشائعة
| الخطأ | السبب | الحل |
|---|---|---|
| عملاء Tailscale لا يتصلون | تكوين –login-server مفقود | على Mobile: Settings → Login → Use custom coordination server URL |
| MagicDNS لا يعمل | magic_dns غير مفعل | تفعيل + إعادة تشغيل Headscale + إعادة الاتصال بالعملاء |
| ACL تحظر كل شيء بعد التحديث | خطأ HuJSON دون تحقق | اختبر محلياً مع headscale policy check |
| Headscale crash على 100+ users | SQLite مشبع | الانتقال إلى PostgreSQL |
الأسئلة المتكررة
Headscale مُصَان بنشاط؟ نعم، مشروع مفتوح المصدر لـ Juan Font، 23,000 نجمة GitHub، إصدارات شهرية. fork تجاري يسمى Headplane موجود لـ management UI.
التوافق مع تطبيقات Tailscale؟ 100% متوافق. كل العملاء الرسميين (iOS, Android, Mac, Windows, Linux) يعملون مع Headscale بتوجيه coordination server نحو الـ URL الخاص بك.
أي حجم VPS لـ 200 مستخدم؟ Hetzner CCX13 (8 جيجابايت RAM، 15 يورو/شهرياً) يستوعب 500 جهاز نشط بشكل مريح.
للاستزادة
- للبدء الآن: نشر Headscale على VPS
- الوثائق الرسمية: headscale.net