Tailscale a redéfini ce qu’on appelle un VPN d’entreprise depuis 2020. Plus besoin de gérer des configurations OpenVPN ou WireGuard manuellement, plus de problèmes de NAT traversal ou d’IP fixes : Tailscale construit un réseau maillé chiffré entre vos machines, où qu’elles soient (Dakar, Helsinki, votre ordi portable en déplacement). Pour les développeurs et PME africaines qui ont une équipe distribuée ou qui veulent sécuriser l’accès à leurs VPS, Tailscale est probablement l’outil le plus rentable de 2026. Voici le guide complet.
Ce guide général couvre l’écosystème complet. Les articles connexes détaillent : installation multi-OS, Tailscale + SSH bastion VPS, ACLs et tags, Headscale alternative self-hosted.
Pourquoi Tailscale en 2026
- Setup ultra-rapide : 5 minutes pour avoir un VPN fonctionnel entre 5 machines
- WireGuard sous le capot : protocole moderne, rapide, sécurisé
- NAT traversal automatique : marche derrière n’importe quel routeur, même CGNAT (FAI mobile)
- Tailscale SSH : remplace le SSH classique avec authentification basée sur l’identité du tailnet
- Magic DNS : chaque machine a un nom court accessible (
web-prod-01) sans configurer DNS - ACLs riches : qui peut accéder à quoi avec syntaxe simple
- Plan gratuit généreux : 100 nœuds, 3 utilisateurs, fonctionnalités essentielles
- Subnet routes et exit nodes : router tout le trafic de votre laptop par un VPS spécifique
Cas d’usage pour PME africaine
- Équipe distribuée : devs à Dakar, Abidjan, Bamako qui partagent l’accès à des serveurs internes
- SSH sécurisé sur VPS : fermer le port 22 public, n’autoriser SSH que depuis le tailnet
- Accès base de données : exposer PostgreSQL uniquement aux machines tailnet pour les requêtes BI
- Environnement local accessible : laptop dev pendant un déplacement reste joignable depuis le serveur
- Bypass restrictions FAI : router le trafic d’un employé en mission via un exit node européen
Tarification 2026
- Personal Free : 100 devices, 3 users — gratuit
- Personal Plus : ~5 USD/mois — fonctionnalités avancées (Funnel, Taildrop, etc.)
- Starter : ~6 USD/user/mois — pour petites équipes
- Business / Premium : ~18 USD/user/mois — entreprises
Pour la majorité des freelances et petites équipes (jusqu’à 3 personnes), le plan gratuit suffit largement.
Étape 1 — Créer un compte Tailscale
- Aller sur login.tailscale.com
- Sign in with Google / GitHub / Microsoft / Apple / OIDC
- Vous obtenez un « tailnet » personnel (ou organisation)
Étape 2 — Installer sur votre laptop
# macOS
brew install tailscale
sudo tailscaled install-system-daemon
tailscale up
# Linux Ubuntu/Debian
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up
# Windows : télécharger l'installeur depuis tailscale.comVoir notre guide installation détaillé.
Étape 3 — Installer sur un VPS
curl -fsSL https://tailscale.com/install.sh | sh
# Auth via clef pré-générée (mode non-interactif)
tailscale up --authkey=tskey-auth-xxx --hostname=web-prod-01
# Ou interactif : suivre l'URL pour auth
sudo tailscale upLe VPS apparaît dans votre tailnet avec une IP type 100.x.y.z et un nom court web-prod-01.tailnet-name.ts.net.
Étape 4 — Tailscale SSH
# Sur le VPS, activer SSH via Tailscale
sudo tailscale up --ssh
# Sur votre laptop, vous pouvez maintenant
tailscale ssh user@web-prod-01
# Ou avec l'IP/nom court
ssh user@web-prod-01L’authentification se fait via votre identité Tailscale (Google/GitHub) — plus besoin de clef SSH par utilisateur. Audit log des connexions disponible dans le dashboard.
Étape 5 — Fermer SSH public
Une fois Tailscale SSH actif, fermez le port 22 sur l’IP publique :
# Sur le VPS, restreindre SSH à l'interface tailscale0
# /etc/ssh/sshd_config
ListenAddress 100.0.0.0
# (IP correspondant à votre interface Tailscale, voir ip a)
systemctl restart ssh
# Et côté Hetzner Cloud Firewall, supprimer la règle 22 publiqueVoir notre tutoriel SSH bastion Tailscale.
Étape 6 — ACLs (Access Control Lists)
{
"tagOwners": {
"tag:prod": ["admin@exemple.sn"],
"tag:dev": ["admin@exemple.sn"]
},
"acls": [
{
"action": "accept",
"src": ["group:devs"],
"dst": ["tag:dev:*"]
},
{
"action": "accept",
"src": ["group:admins"],
"dst": ["tag:prod:*"]
}
],
"groups": {
"group:devs": ["dev1@exemple.sn", "dev2@exemple.sn"],
"group:admins": ["admin@exemple.sn"]
}
}Voir notre tutoriel ACLs détaillé.
Étape 7 — Subnet routes et exit nodes
# Sur un VPS qui sert de "sortie" Internet
sudo tailscale up --advertise-exit-node
# Sur votre laptop pour utiliser cet exit node
tailscale up --exit-node=web-prod-01
# Subnet route (exposer un réseau local au tailnet)
sudo tailscale up --advertise-routes=10.0.0.0/24Headscale : alternative self-hosted
Si vous préférez ne pas dépendre de Tailscale (souveraineté, pricing), Headscale est une implémentation open-source du serveur de coordination. Voir notre guide Headscale.
Adaptation Afrique de l’Ouest
Pour une équipe distribuée Sénégal/CI/Mali avec des VPS Hetzner européens, Tailscale est la solution la plus pragmatique en 2026 : NAT traversal fonctionne même sur les FAI mobiles africains (Orange, Wave Mobile, MTN), accès SSH centralisé, latence acceptable (~150-200 ms vers Hetzner Helsinki via tailscale).
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| tailscale up demande auth à chaque reboot | Pas d’auth-key persistente | Générer auth-key réutilisable + ephemeral=false |
| Magic DNS ne fonctionne pas | DNS pas activé dans tailnet | Tailnet → DNS → Enable Magic DNS |
| Connexion lente | DERP relay au lieu direct | tailscale netcheck pour debug, ouvrir UDP 41641 |
| SSH refuse via Tailscale | Pas activé | tailscale up –ssh |
Pour aller plus loin
- Installation multi-OS
- Tailscale + SSH bastion
- ACLs et tags Tailscale
- Headscale self-hosted
- Documentation officielle : tailscale.com/kb