Tailscale installation Linux macOS Windows iOS Android : guide 2026

Tailscale fonctionne sur Linux, macOS, Windows, iOS, Android et même certains routeurs OpenWRT. Voici le tutoriel d’installation pas à pas pour chaque OS, avec les pièges courants et les configurations recommandées en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer).

Voir notre guide pratique Tailscale.

Linux Ubuntu / Debian

# Script officiel
curl -fsSL https://tailscale.com/install.sh | sh

# Démarrer
sudo systemctl enable --now tailscaled
sudo tailscale up

# Vérifier
tailscale status
tailscale ip -4

Linux Arch / Fedora / RHEL

# Arch
sudo pacman -S tailscale
sudo systemctl enable --now tailscaled
sudo tailscale up

# Fedora
sudo dnf config-manager --add-repo https://pkgs.tailscale.com/stable/fedora/tailscale.repo
sudo dnf install -y tailscale
sudo systemctl enable --now tailscaled
sudo tailscale up

macOS

# Via Homebrew (recommandé pour devs)
brew install --cask tailscale

# Lancer Tailscale.app, login via menu bar

# Ou en ligne de commande pour usage server-like
brew install tailscale
sudo tailscaled install-system-daemon
sudo tailscale up

L’app App Store et celle Homebrew sont équivalentes en fonction. La version cask GUI est généralement préférée pour les laptops développeurs.

Windows

1. Télécharger l’installeur sur tailscale.com/download/windows
2. Exécuter (privilèges admin)
3. Cliquer sur l’icône system tray → Sign in
4. Compte Tailscale → autoriser dans le navigateur

Pour Windows Server ou usage CLI : tailscale.exe up via PowerShell admin.

iOS et Android

• App Store / Play Store → « Tailscale »
• Installer, Sign in
• Activer le VPN (autorisation système)

L’app mobile gère automatiquement la coupure du VPN sur Wi-Fi de confiance (configurable).

Auth-keys pour automatisation

Pour provisionner des VPS sans ouvrir un navigateur, utilisez une auth-key :

1. Dashboard → Settings → Auth keys → Generate auth key
2. Options : Reusable, Ephemeral (temporaire), Pre-approved, Tags
3. Copier la clef (commence par tskey-auth-)

# Sur le VPS frais
sudo tailscale up \
  --authkey=tskey-auth-xxx \
  --hostname=db-prod-01 \
  --advertise-tags=tag:prod \
  --ssh

Configuration recommandée production

• Magic DNS activé (Tailnet settings → DNS)
• Tailscale SSH activé sur tous les VPS (--ssh)
• Tags sur les machines (tag:prod, tag:dev, tag:db)
• Auth-keys par environnement, rotation tous les 90 jours
• ACLs définies (voir tutoriel dédié)
• Two-factor auth sur le compte Tailscale admin

Vérification

tailscale status         # liste des nœuds + connexions
tailscale netcheck       # diagnostic réseau (NAT, DERP, latence)
tailscale ping HOSTNAME  # test connectivité
tailscale ip             # IPs Tailscale du nœud
tailscale up --reset     # reset config locale

Erreurs fréquentes

Erreur	Cause	Solution
« failed to connect »	Firewall bloque UDP 41641	Ouvrir UDP 41641 sortant, ou DERP fallback
« already authorized »	VPS recréé avec même hostname	Supprimer dans dashboard puis re-up
Connexion via DERP relay seulement	NAT symétrique des deux côtés	Acceptable, latence un peu plus élevée
Slow speed	MTU non optimal	tailscale set –mtu=1280

À lire ensuite

• guide pratique Tailscale
• Tailscale SSH bastion
• ACLs Tailscale

Pourquoi Tailscale change la donne pour les équipes distantes

Tailscale construit un VPN mesh basé sur WireGuard sans configurer un serveur central. Chaque appareil parle directement à chaque autre via NAT traversal automatique. Pour une équipe répartie entre Dakar, Abidjan et Paris, ça veut dire un accès chiffré aux ressources internes en deux minutes d’installation, sans ouvrir de port public.

L’offre gratuite couvre jusqu’à 100 appareils et 3 utilisateurs, largement suffisant pour une PME naissante. Au-delà, comptez 6 USD par utilisateur par mois (3 940 FCFA), soit moins cher que la plupart des VPN d’entreprise.

Étape 1 : Créer un compte Tailscale et un tailnet

Allez sur tailscale.com, cliquez « Get started » et connectez-vous avec un fournisseur d’identité (Google, Microsoft, GitHub ou OIDC custom). Le tailnet est créé automatiquement avec un nom du type tail-abc123.ts.net.

Pour une PME, je recommande l’authentification via Google Workspace ou Microsoft 365 si vous l’avez déjà. Sinon, GitHub fonctionne bien pour des équipes techniques. Évitez les comptes personnels mélangés au pro — créez un tailnet dédié à l’entreprise.

Étape 2 : Installer le client sur Linux Ubuntu/Debian

Sur un serveur Linux, l’installation se fait via le repo officiel. Préférez ce dépôt à un curl direct pour bénéficier des mises à jour automatiques apt.

curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/noble.noarmor.gpg | tee /usr/share/keyrings/tailscale-archive-keyring.gpg >/dev/null
curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/noble.tailscale-keyring.list | tee /etc/apt/sources.list.d/tailscale.list
apt update && apt install -y tailscale
tailscale up

La commande tailscale up ouvre une URL d’authentification dans le navigateur. Validez avec votre compte Tailscale, et la machine apparaît immédiatement dans le tailnet avec une IP en 100.x.y.z. Vérifiez avec tailscale status que la machine est listée comme « active ».

Étape 3 : Installer sur macOS

Sur Mac, deux options : App Store (recommandé pour utilisateurs non-techniques) ou Homebrew (pour les devs).

brew install --cask tailscale
open /Applications/Tailscale.app

L’app place une icône dans la barre de menu. Cliquez « Log in » et authentifiez-vous. Une fois connecté, l’icône devient pleine et la liste des machines du tailnet apparaît dans le menu déroulant. Pour activer « Tailscale SSH » qui simplifie l’accès aux serveurs Linux, cochez la case dans Préférences.

Étape 4 : Installer sur Windows 11

Téléchargez l’installeur depuis tailscale.com/download/windows. Le MSI s’installe en cliquant suivant trois fois. Aucune ligne de commande nécessaire, ce qui en fait l’option idéale pour les utilisateurs métier non-techniques.

Après installation, l’icône Tailscale apparaît dans la zone de notification. Clic droit → « Log in » → ouverture du navigateur → authentification. La machine apparaît instantanément dans le tailnet.

Étape 5 : Vérifier la connectivité mesh

Depuis chaque machine, pingez les autres via leur IP Tailscale. Le ping doit aboutir même si les machines sont sur des réseaux différents (4G Orange à Dakar et fibre Free à Paris).

tailscale status
ping -c 3 100.64.10.2
tailscale ping bureau-dakar

La commande tailscale ping indique le mode de connexion : « direct » (pair-à-pair via NAT traversal, latence minimale) ou « via DERP » (relais Tailscale, latence plus élevée). En Afrique de l’Ouest, le DERP de Lagos donne un RTT autour de 80 ms entre Dakar et Abidjan. Si vous voyez « via DERP » alors que les deux machines sont sur le même WiFi, c’est qu’un firewall corporate bloque l’UDP — passez en mode TCP avec tailscale up --tun=userspace-networking.

Étape 6 : Activer MagicDNS pour des noms lisibles

Au lieu de retenir des IP en 100.x.y.z, MagicDNS expose chaque machine sous son nom : bureau-dakar, laptop-fatou, vps-prod. Activez-le dans la console admin → DNS → Enable MagicDNS.

ssh root@vps-prod
ssh fatou@laptop-fatou

Le nom est résolu automatiquement par le client Tailscale, sans toucher à /etc/hosts ni à votre DNS public. Si la résolution échoue, redémarrez le client : tailscale down && tailscale up.

Étape 7 : Exposer un sous-réseau LAN avec subnet routing

Si vous avez une imprimante ou un NAS sur le LAN du bureau Dakar et que vous voulez y accéder depuis Paris, transformez une machine du LAN en routeur Tailscale.

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding=1' >> /etc/sysctl.conf
sysctl -p
tailscale up --advertise-routes=192.168.1.0/24

Dans la console admin Tailscale, allez dans Machines → la machine concernée → Edit route settings → cochez la route 192.168.1.0/24 et cliquez Approve. Désormais, depuis Paris, vous accédez à 192.168.1.50 (l’imprimante du bureau Dakar) comme si vous étiez sur place.

Étape 8 : Mettre en place les ACL pour cloisonner les rôles

Par défaut, tous les membres du tailnet voient toutes les machines. Pour une PME, ce n’est pas viable : un stagiaire n’a pas à voir le serveur de paie. Les ACL Tailscale au format HuJSON permettent un cloisonnement fin.

{
  "groups": {
    "group:devs": ["alice@acme.sn", "bob@acme.sn"],
    "group:rh": ["fatou@acme.sn"]
  },
  "acls": [
    {"action": "accept", "src": ["group:devs"], "dst": ["tag:dev-server:*"]},
    {"action": "accept", "src": ["group:rh"], "dst": ["tag:paie:*"]}
  ]
}

Sauvegardez dans la console admin → Access Controls. Tailscale valide la syntaxe immédiatement. Testez avec un compte stagiaire : il ne doit voir que les machines autorisées dans tailscale status.

Étape 9 : Activer Tailscale SSH sans gérer de clés

Tailscale SSH remplace OpenSSH par une couche qui s’appuie sur l’identité du tailnet. Plus besoin de gérer des clés publiques par utilisateur.

tailscale up --ssh
ssh root@vps-prod

La connexion s’établit sans demander de mot de passe ni de clé. Tailscale vérifie l’identité du client et autorise selon les ACL. Pour des opérations sensibles (sudo, accès root), activez « Check mode » dans les ACL : Tailscale demandera une re-authentification dans le navigateur avant chaque session SSH.

Étape 10 : Sortir d’Internet via un exit node

Un exit node permet de faire passer tout le trafic internet d’un appareil par un autre nœud Tailscale. Utile pour accéder à un service géo-bloqué ou pour un employé en déplacement qui veut bénéficier de l’IP fixe du bureau.

# Sur le VPS qui sert d'exit node
tailscale up --advertise-exit-node
# Sur le client qui veut sortir via ce VPS
tailscale up --exit-node=vps-paris

Dans la console admin, validez l’exit node (Machines → Edit route settings → Use as exit node). Vérifiez avec curl ifconfig.me depuis le client : l’IP retournée doit être celle du VPS, pas celle de la 4G locale.

Pour creuser, lisez notre tutoriel WireGuard manuel sur VPS Ubuntu et le guide Zitadel SSO self-hosted.

Étape 11 : Auto-démarrage et persistance

Sur Linux, le service systemd tailscaled est activé automatiquement par apt. Vérifiez avec systemctl status tailscaled qu’il est bien enabled. Sur macOS, ouvrez Tailscale → Préférences → « Run on system startup ». Sur Windows 11, le service « Tailscale » est en démarrage automatique par défaut.

Pour un VPS qui sert d’exit node ou de subnet router, ajoutez aussi un health check : tailscale status --json | jq .Self.Online doit renvoyer true. Si false, tailscaled est tombé : redémarrez avec systemctl restart tailscaled ou ajoutez un cron qui le fait automatiquement.

Étape 12 : Diagnostic des problèmes de NAT traversal

Certains routeurs corporate ou certaines connexions 4G en Afrique de l’Ouest bloquent l’UDP, ce qui force Tailscale à passer par DERP avec une latence multipliée par trois. Diagnostiquez avec tailscale netcheck.

tailscale netcheck
tailscale ping --verbose laptop-fatou

Le netcheck affiche le type de NAT (Easy, Hard, Symmetric), la latence vers chaque DERP et l’UDP availability. Si UDP est marqué « no », contactez votre opérateur ou activez le mode TCP forcé. Au Sénégal, Orange et Free supportent UDP, mais certains hotspots WiFi corporate le bloquent.

Étape 13 : Sauvegarder la configuration ACL

Les ACL Tailscale sont versionnées dans la console admin, mais une copie locale dans Git évite de tout perdre en cas de compromission du compte admin. Récupérez la config via l’API.

curl -u "$TS_API_KEY:" "https://api.tailscale.com/api/v2/tailnet/$TAILNET/acl" -o acl-backup.hujson
git add acl-backup.hujson
git commit -m "backup ACL $(date +%Y-%m-%d)"

Programmez ce backup en cron quotidien. En cas de bourde (un dev qui supprime tout), redéployez l’ACL via PUT sur la même URL. La restauration prend 10 secondes.

Étape 14 : Coût pour une équipe de 10 personnes

Le plan Personal couvre 3 utilisateurs gratuitement. À partir de 4 utilisateurs, passez en plan Personal Pro à 5 USD par utilisateur par mois (3 280 FCFA), ou en Team à 6 USD par utilisateur par mois (3 940 FCFA). Pour 10 personnes, comptez 65 USD par mois (42 600 FCFA).

Comparé à un VPN traditionnel auto-hébergé (VPS + WireGuard manuel + maintenance), le ROI est positif au-delà de 5 utilisateurs. La gestion des ACL, la rotation des clés et le NAT traversal automatique économisent facilement 4 heures par mois d’admin réseau.

Étape 15 : Alternative open-source — Headscale

Si vous voulez le côté Tailscale sans payer ni dépendre d’un SaaS US, Headscale est l’implémentation open-source du serveur de coordination. Installez-le sur votre VPS et pointez les clients Tailscale dessus avec tailscale up --login-server=https://headscale.acme.sn.

Headscale couvre 90 pourcent des fonctionnalités Tailscale (mesh, MagicDNS, subnet routing, ACL). Il manque Tailscale SSH avec re-auth, Funnel et certains modes avancés. Pour une PME ouest-africaine soucieuse de souveraineté des données, c’est une option viable.

Étape 16 : Mise à jour automatique des clients

Activez les mises à jour automatiques sur chaque machine pour bénéficier des correctifs de sécurité WireGuard sans intervention. Sur Linux, c’est apt qui s’en charge via le repo Tailscale. Sur macOS, l’app gère ses propres updates. Sur Windows, idem.

# Linux : vérifier la version installée
tailscale version
# Forcer une mise à jour immédiate
apt update && apt install --only-upgrade tailscale

La sortie doit afficher la version 1.78.x ou supérieure (janvier 2026). Si vous restez bloqué sur une version antérieure, c’est probablement le cache apt — purgez avec apt clean && apt update.

Étape 17 : Tester le débit réel entre deux nœuds

Pour mesurer le débit utile entre Dakar et Paris via Tailscale, utilisez iperf3 directement sur l’IP 100.x du tailnet.

# Sur le nœud serveur
iperf3 -s
# Sur le nœud client
iperf3 -c 100.64.10.5 -t 30

En mode direct (pair-à-pair), comptez 60 à 80 pourcent du débit théorique de votre lien Internet. En mode DERP, la latence est doublée et le débit divisé par deux. Sur fibre 100 Mbit/s à Dakar vers fibre 1 Gbit/s à Paris, j’ai mesuré un débit Tailscale direct de 75 Mbit/s avec 45 ms de RTT — largement suffisant pour de la collaboration temps réel.