Création d’un réseau tailscale
Sommaire
Introduction
Tailscale est une solution de VPN maillé moderne basée sur WireGuard.
Elle permet de relier plusieurs machines entre elles via Internet comme si elles étaient sur le même réseau local, sans devoir configurer un VPN traditionnel complexe et avec moins de latence.
L’objectif principal est d’accéder à ses services hébergés dans un réseau local depuis Internet de manière simple et sécurisée, sans ouvrir de ports directement sur son pare-feu/box.
Il existe une offre gratuite largement suffisante pour un usage personnel ou homelab.
Fonctionnement
Comme énoncé en introduction, le fonctionnement de Tailscale repose sur la création d’un réseau privé virtuel entre plusieurs machines, appelé tailnet.
Basé sur WireGuard et son réseau maillé, Tailscale permet aux équipements de communiquer entre eux de manière sécurisée comme s’ils étaient sur le même réseau local.
Les nœuds sont interconnectés entre eux, ce qui permet de réduire les latences par rapport aux VPN traditionnels, car le trafic ne passe pas obligatoirement par un serveur central unique.
Toutes les communications sont chiffrées de bout en bout et seuls les équipements authentifiés appartenant au même tailnet peuvent échanger entre eux.
Tailscale gère automatiquement le NAT traversal afin d’établir des connexions directes sans ouverture de ports sur la box Internet.
Pour plus d’informations sur le fonctionnement technique : https://tailscale.com/blog/how-tailscale-works
Déploiement
Le déploiement est très simple : il suffit d’installer un agent Tailscale sur chaque machine puis de les associer à un compte Tailscale via le site officiel. Le service utilise un control plane centraliser pour gérer l’authentification, les autorisations et l’enregistrement des équipements dans le réseau privé.
Tailscale est compatible avec la plupart des systèmes :
- Linux ;
- Windows ;
- macOS ;
- Android ;
- iOS ;
Vous devrez, dans un premier temps, créer un compte sur Tailscale : https://login.tailscale.com/
Installation sur linux
Une fois authentifiée, vous pouvez cliquer sur « Add device » puis « Linux server »
Ensuite, un script d’installation sera généré que vous devrez exécuter sur votre machine Linux
Une fois le script exécuté sur votre serveur, votre terminal indiquera que l’installation est fonctionnel.
Votre machine apparaitra directement sur votre instance tailscale.
Quelques commandes utiles :
- Vérifier l’IP de votre machine sur le réseau tailnet
tailscale ip
- Vérifier le status
tailscale status
- Supprimer l’agent
sudo apt-get remove tailscale
Installation sur windows
De retour sur l’interface, nous allons cliquer de nouveau sur « Add device », mais cette fois-ci, sélectionner « Client device »
Puis « Windows »
Voici le lien de téléchargement : https://tailscale.com/download/windows
Un logiciel va être téléchargé, vous pouvez exécuter le logiciel.
Cliquer sur « Install ».
Ensuite, « Get Started ».
Vous devez vous authentifier avec votre compte tailscale pour rejoindre votre tailnet :
Vous avez un client à la console d’administration du client, ce qui vous permettra d’avoir plusieurs informations comme votre IP, etc.
Une fois le 2nd hôte ajouté, un résumé avec le nom d’hôte et l’adresse IP de vos hôtes est affiché sur l’interface tailscale.
Test de connectivité
Nous allons vérifier que la connectivité fonctionne bien entre ces 2 serveurs à travers le tailnet à l’aide d’un simple ping sur les nouvelles IP.
Depuis le serveur 1 je confirme qu’il a bien bonne adresse IP avec la commande hostname -I
Je lance un ping vers l’hôte distant 100.125.X.X et ils communiquement bien
Conclusion
Nous avons mis en place un réseau VPN sécurisé entre deux hôtes distants grâce à Tailscale, sans ouverture de ports sur les box Internet. Son fonctionnement basé sur WireGuard permet une communication simple, rapide et chiffrée entre les machines.
Pour aller plus loin, il est possible d’utiliser Headscale afin de disposer d’une solution 100 % auto-hébergée qui reprend le même principe.
La mise en place d’une gestion des logs avec export SIEM et de supervision reste également recommandée pour assurer le suivi et la sécurité des connexions.
