Tailscale a redéfini ce qu’on appelle un VPN d’entreprise depuis 2020. Plus besoin de gérer des configurations OpenVPN ou WireGuard manuellement, plus de problèmes de NAT traversal ou d’IP fixes : Tailscale construit un réseau maillé chiffré entre vos machines, où qu’elles soient (Dakar, Helsinki, votre ordi portable en déplacement). Pour les développeurs et PME africaines qui ont une équipe distribuée ou qui veulent sécuriser l’accès à leurs VPS, Tailscale est probablement l’outil le plus rentable de 2026. Voici le guide pratique.
Ce guide général couvre l’écosystème complet. Les articles connexes détaillent : installation multi-OS, Tailscale + SSH bastion VPS, ACLs et tags, Headscale alternative self-hosted.
Pourquoi Tailscale en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer)
- Setup ultra-rapide : 5 minutes pour avoir un VPN fonctionnel entre 5 machines
- WireGuard sous le capot : protocole moderne, rapide, sécurisé
- NAT traversal automatique : marche derrière n’importe quel routeur, même CGNAT (FAI mobile)
- Tailscale SSH : remplace le SSH classique avec authentification basée sur l’identité du tailnet
- Magic DNS : chaque machine a un nom court accessible (
web-prod-01) sans configurer DNS - ACLs riches : qui peut accéder à quoi avec syntaxe simple
- Plan gratuit généreux : 100 nœuds, 3 utilisateurs, fonctionnalités essentielles
- Subnet routes et exit nodes : router tout le trafic de votre laptop par un VPS spécifique
Cas d’usage pour PME africaine
- Équipe distribuée : devs à Dakar, Abidjan, Bamako qui partagent l’accès à des serveurs internes
- SSH sécurisé sur VPS : fermer le port 22 public, n’autoriser SSH que depuis le tailnet
- Accès base de données : exposer PostgreSQL uniquement aux machines tailnet pour les requêtes BI
- Environnement local accessible : laptop dev pendant un déplacement reste joignable depuis le serveur
- Bypass restrictions FAI : router le trafic d’un employé en mission via un exit node européen
Tarification 2026
- Personal Free : 100 devices, 3 users — gratuit
- Personal Plus : ~5 USD/mois — fonctionnalités avancées (Funnel, Taildrop, etc.)
- Starter : ~6 USD/user/mois — pour petites équipes
- Business / Premium : ~18 USD/user/mois — entreprises
Pour la majorité des freelances et petites équipes (jusqu’à 3 personnes), le plan gratuit suffit largement.
Étape 1 — Créer un compte Tailscale
- Aller sur login.tailscale.com
- Sign in with Google / GitHub / Microsoft / Apple / OIDC
- Vous obtenez un « tailnet » personnel (ou organisation)
Étape 2 — Installer sur votre laptop
# macOS
brew install tailscale
sudo tailscaled install-system-daemon
tailscale up
# Linux Ubuntu/Debian
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up
# Windows : télécharger l'installeur depuis tailscale.comVoir notre guide installation détaillé.
Étape 3 — Installer sur un VPS
curl -fsSL https://tailscale.com/install.sh | sh
# Auth via clef pré-générée (mode non-interactif)
tailscale up --authkey=tskey-auth-xxx --hostname=web-prod-01
# Ou interactif : suivre l'URL pour auth
sudo tailscale upLe VPS apparaît dans votre tailnet avec une IP type 100.x.y.z et un nom court web-prod-01.tailnet-name.ts.net.
Étape 4 — Tailscale SSH
# Sur le VPS, activer SSH via Tailscale
sudo tailscale up --ssh
# Sur votre laptop, vous pouvez maintenant
tailscale ssh user@web-prod-01
# Ou avec l'IP/nom court
ssh user@web-prod-01L’authentification se fait via votre identité Tailscale (Google/GitHub) — plus besoin de clef SSH par utilisateur. Audit log des connexions disponible dans le dashboard.
Étape 5 — Fermer SSH public
Une fois Tailscale SSH actif, fermez le port 22 sur l’IP publique :
# Sur le VPS, restreindre SSH à l'interface tailscale0
# /etc/ssh/sshd_config
ListenAddress 100.0.0.0
# (IP correspondant à votre interface Tailscale, voir ip a)
systemctl restart ssh
# Et côté Hetzner Cloud Firewall, supprimer la règle 22 publiqueVoir notre tutoriel SSH bastion Tailscale.
Étape 6 — ACLs (Access Control Lists)
{
"tagOwners": {
"tag:prod": ["admin@exemple.sn"],
"tag:dev": ["admin@exemple.sn"]
},
"acls": [
{
"action": "accept",
"src": ["group:devs"],
"dst": ["tag:dev:*"]
},
{
"action": "accept",
"src": ["group:admins"],
"dst": ["tag:prod:*"]
}
],
"groups": {
"group:devs": ["dev1@exemple.sn", "dev2@exemple.sn"],
"group:admins": ["admin@exemple.sn"]
}
}Voir notre tutoriel ACLs détaillé.
Étape 7 — Subnet routes et exit nodes
# Sur un VPS qui sert de "sortie" Internet
sudo tailscale up --advertise-exit-node
# Sur votre laptop pour utiliser cet exit node
tailscale up --exit-node=web-prod-01
# Subnet route (exposer un réseau local au tailnet)
sudo tailscale up --advertise-routes=10.0.0.0/24Headscale : alternative self-hosted
Si vous préférez ne pas dépendre de Tailscale (souveraineté, pricing), Headscale est une implémentation open-source du serveur de coordination. Voir notre guide Headscale.
Adaptation Afrique de l’Ouest
Pour une équipe distribuée Sénégal/CI/Mali avec des VPS Hetzner européens, Tailscale est la solution la plus pragmatique en 2026 : NAT traversal fonctionne même sur les FAI mobiles africains (Orange, Wave Mobile, MTN), accès SSH centralisé, latence acceptable (~150-200 ms vers Hetzner Helsinki via tailscale).
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| tailscale up demande auth à chaque reboot | Pas d’auth-key persistente | Générer auth-key réutilisable + ephemeral=false |
| Magic DNS ne fonctionne pas | DNS pas activé dans tailnet | Tailnet → DNS → Enable Magic DNS |
| Connexion lente | DERP relay au lieu direct | tailscale netcheck pour debug, ouvrir UDP 41641 |
| SSH refuse via Tailscale | Pas activé | tailscale up –ssh |
À lire ensuite
- Installation multi-OS
- Tailscale + SSH bastion
- ACLs et tags Tailscale
- Headscale self-hosted
- Documentation officielle : tailscale.com/kb
Hébergement recommandé pour les lecteurs
Si vous n’avez pas encore d’hébergeur, Hostinger est celui que nous utilisons et que nous recommandons après plusieurs années d’usage.
Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.
Étape 1 — Comprendre pourquoi Tailscale convient aux équipes africaines distribuées
Une équipe entre Dakar, Abidjan et Douala qui partage du code, des bases de données internes et un wiki d’entreprise se heurte à 3 problèmes : VPN traditionnels (OpenVPN, IPsec) lents et complexes, IPs publiques rares chez les ISPs locaux, latence imprévisible entre opérateurs (Sonatel, MTN CI, Orange CM). Tailscale résout les 3 en bâtissant un mesh WireGuard chiffré entre vos machines, sans serveur central à gérer.
Concrètement, chaque laptop, serveur ou VPS rejoint un « tailnet » privé et obtient une IP 100.x.x.x stable, peu importe son réseau physique. Sortie attendue après installation : votre dev à Yaoundé peut faire ssh sur le VPS Hetzner de l’équipe à Helsinki en tapant simplement son nom court (ssh prod-db), comme si tout était sur le même LAN.
Étape 2 — Créer le tailnet et inviter la première machine
Rendez-vous sur tailscale.com, créez un compte avec votre Google Workspace ou Microsoft 365 d’entreprise (recommandé pour la gouvernance). Le plan gratuit couvre jusqu’à 100 appareils et 3 utilisateurs — largement suffisant pour une PME ouest-africaine qui démarre.
# Sur Ubuntu/Debian (laptop dev ou VPS)
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up
# Sur macOS / Windows : installer le client GUI depuis le site
# Sur iOS / Android : App Store / Play Store, app "Tailscale"Résultat attendu : la commande affiche une URL à coller dans le navigateur. Connectez-vous, validez l’appareil, et il apparaît dans l’admin console avec une IP 100.x.x.x.
Étape 3 — Pour rester self-hosted : déployer Headscale sur votre VPS
Si la confidentialité du plan de contrôle compte (cas des entreprises qui veulent zéro dépendance à un SaaS américain), remplacez le serveur de coordination Tailscale par Headscale, l’implémentation open source officieuse. Vous gardez le client Tailscale officiel, vous contrôlez le serveur.
# Sur un VPS Hetzner CX22 à 4 EUR/mois (~2 624 FCFA), Ubuntu 24.04 LTS
wget https://github.com/juanfont/headscale/releases/latest/download/headscale_linux_amd64
sudo mv headscale_linux_amd64 /usr/local/bin/headscale
sudo chmod +x /usr/local/bin/headscale
sudo headscale serve # à mettre en service systemd ensuiteSortie attendue : Headscale écoute sur le port 8080, vous configurez un domaine (ts.monsite.com) avec Caddy ou nginx en reverse proxy HTTPS, et vous remplacez l’URL de coordination dans chaque client Tailscale (tailscale up –login-server=https://ts.monsite.com).
Étape 4 — Définir les ACLs pour cloisonner par équipe
Sans ACL, tous vos appareils peuvent se parler — mauvais pour la sécurité. Définissez qui accède à quoi via le fichier ACL JSON dans l’admin console (Tailscale) ou /etc/headscale/acls.json (Headscale).
{
"groups": {
"group:dev": ["alice@monsite.com", "bob@monsite.com"],
"group:ops": ["carol@monsite.com"]
},
"acls": [
{ "action": "accept", "src": ["group:dev"], "dst": ["tag:dev-server:*"] },
{ "action": "accept", "src": ["group:ops"], "dst": ["tag:prod-server:*"] }
]
}Sortie attendue : un membre du groupe dev ne peut plus pinguer ni ssh sur les serveurs taggés prod. Testez avec tailscale ping prod-db depuis un compte dev — la commande doit échouer en timeout, c’est le signal de réussite.
Étape 5 — Activer MagicDNS et Subnet Routes pour simplifier le quotidien
MagicDNS donne un nom court (laptop-alice, vps-prod) au lieu d’une IP. Subnet Routes expose un réseau entier (par exemple le LAN d’un bureau) à tout le tailnet via une seule machine relais.
# Activer MagicDNS dans l'admin console (DNS > MagicDNS toggle)
# Sur la machine relais (gateway du bureau Dakar) :
sudo tailscale up --advertise-routes=192.168.10.0/24
# Approuver la route dans l'admin console > Machines > Edit route settingsSortie attendue : depuis Abidjan, vous accédez à l’imprimante du bureau de Dakar (192.168.10.50) en tapant son IP locale, comme si vous y étiez physiquement présent. Latence typique 80 à 180 ms selon les opérateurs.
Étape 6 — Sécuriser avec key expiry et device approval
Par défaut, une clé d’appareil reste valide indéfiniment — risque si un laptop est volé. Activez l’expiration automatique des clés à 90 ou 180 jours dans Settings > Key Expiry. Activez aussi Device Approval pour qu’un admin valide manuellement chaque nouvel appareil.
Sortie attendue : un employé qui quitte l’entreprise voit son accès couper automatiquement si vous oubliez de révoquer manuellement, et aucun appareil non autorisé ne rejoint le tailnet sans validation explicite.
Étape 7 — Monitorer la santé du tailnet
Tailscale expose des métriques Prometheus côté client (tailscale debug metrics) et côté serveur Headscale. Surveillez : nombre de pairs connectés, latence DERP (relais utilisé quand le NAT traversal échoue), trafic par appareil.
# Sur chaque machine, exposer les métriques en local
tailscale debug metrics # affiche le format Prometheus
# Scrape avec Prometheus puis visualisation GrafanaSortie attendue : un dashboard Grafana qui montre la latence moyenne entre vos sites Dakar/Abidjan/Douala, et alerte si un appareil reste offline plus de 24 heures (probablement un employé absent ou un laptop éteint).
Étape 8 — Cas d’usage typiques d’une PME ouest-africaine
Cas 1 : équipe dev de 5 personnes réparties entre 3 pays accédant à un Postgres interne hébergé sur Hetzner — Tailscale remplace un VPN OpenVPN compliqué et coupe la facture VPN à zéro. Cas 2 : agence digitale dakaroise qui doit montrer un site staging à un client à Lomé sans l’exposer publiquement — invitez le client comme utilisateur externe sur l’URL preview interne.
Cas 3 : startup fintech qui veut auditer ses serveurs prod sans ouvrir le port SSH publiquement — fermez 22/tcp côté firewall et passez exclusivement par Tailscale SSH (fonctionnalité native qui remplace les clés SSH classiques par l’identité Tailscale, avec audit log côté admin console).
À lire ensuite, lisez notre guide de sécurisation d’un VPS pour débutants et notre méthode de déploiement d’application sur VPS.
Étape 9 — Onboarding rapide d’un nouveau collaborateur
L’un des bénéfices concrets de Tailscale est de réduire l’onboarding réseau d’un nouveau dev de plusieurs jours à 30 minutes. Procédure type : invitez l’email pro du collaborateur dans l’admin console, assignez-le aux groupes appropriés via les ACLs, envoyez-lui le lien d’install client.
Sortie attendue : en moins d’une heure, le nouveau venu accède au repo Git interne, à la base de données staging et au wiki, sans qu’aucun port n’ait été ouvert publiquement. Le jour de son départ, vous le retirez du tailnet en un clic et tous ses accès tombent immédiatement.
Étape 10 — Comparer le coût réel sur 12 mois
Sur 12 mois pour une équipe de 8 personnes : Tailscale plan gratuit puis Premium si nécessaire (~6 USD par utilisateur par mois selon plans 2026), zéro VPS dédié au plan de contrôle, zéro coût d’admin OpenVPN. Total : 0 à 576 USD/an selon plan choisi.
Comparé à un setup OpenVPN auto-hébergé (VPS, certificats, tickets support), Tailscale est généralement moins cher en TCO et infiniment plus simple à maintenir. Sortie attendue après un an : zéro ticket support « VPN ne marche pas » remontant à l’IT, et une équipe qui a oublié que le VPN existe — le meilleur signe de réussite possible.