Documentation
Migrer depuis Tailscale : le guide pas à pas
Vous avez décidé — ou presque — de remplacer Tailscale par VIGIL-MESH ? Cette page est le guide pratique : inventorier ce que vous utilisez réellement chez Tailscale, installer VIGIL-MESH à côté sans rien casser, puis migrer machine par machine et service par service, jusqu’à la désinstallation. Si vous en êtes encore à peser le pour et le contre, commencez plutôt par la page Alternative à Tailscale, qui aide à décider ; ici, on fait.
Avant de migrer : inventorier ce que vous utilisez
Une migration réussie commence par un inventaire honnête. Listez ce que votre tailnet fait réellement pour vous — pas ce qu’il pourrait faire — et notez pour chaque usage la correspondance côté VIGIL-MESH. La plupart des briques ont un équivalent direct ; quelques-unes n’en ont pas, et il vaut mieux le savoir avant de désinstaller quoi que ce soit.
Vos machines
Recensez chaque appareil du tailnet : postes, serveurs, mobiles. Côté VIGIL-MESH, chacun s’enrôlera dans votre espace de travail via l’assistant « Ajouter une machine » de la console, avec une clé à usage unique — clients Windows, Linux, Android, Jetson et même navigateur.
Vos ACL
Exportez ou copiez votre politique d’accès actuelle : qui a le droit de joindre quoi. Côté VIGIL-MESH, vous la recréerez sous forme d’ACL ordonnées par identité (machines, groupes, étiquettes), avec refus par défaut et générations signées vérifiables hors ligne.
MagicDNS
Notez les noms de machines dont dépendent vos scripts et signets. VIGIL-MESH propose aussi MagicDNS : un nom court et stable par machine, résolu localement depuis la carte réseau signée — aucune requête DNS ne quitte le nœud.
Routes vers un LAN distant
Si vous utilisez des subnet routers pour joindre un réseau local distant, sachez que les routes vers un LAN distant font partie des fondamentaux couverts par les deux produits : cet usage a sa correspondance côté VIGIL-MESH.
Services publiés (Funnel / Serve)
Si vous publiez des services du mesh avec Funnel ou Serve, la correspondance côté VIGIL-MESH est le proxy mesh intégré. Listez les services concernés pour les rebasculer un par un pendant la cohabitation.
Découverte et multicast
Les usages qui ne marchaient pas ou mal — mDNS, SSDP, multicast applicatif, non pris en charge nativement par un mesh WireGuard unicast — sont justement le terrain de VIGIL-MESH, qui les réplique chiffrés sur son overlay. Notez-les : ce seront vos premiers tests.
La cohabitation : installer à côté, sans rien casser
Vous n’avez pas à couper Tailscale pour essayer VIGIL-MESH. Ce sont deux overlays indépendants : chacun a sa propre interface réseau et ses propres adresses, et aucun ne touche à la configuration de l’autre. Vous pouvez donc installer VIGIL-MESH sur vos machines existantes, évaluer tranquillement, et garder votre tailnet comme filet de sécurité pendant toute la migration.
- Aucun conflit de configuration. Chaque overlay gère sa propre interface ; installer l’un ne reconfigure pas l’autre.
- Aucun port entrant à ouvrir. Un nœud VIGIL-MESH établit toujours ses connexions vers l’extérieur : rien à rediriger sur le pare-feu pour cohabiter.
- Une bascule réversible. Tant que les deux réseaux tournent, chaque service peut revenir en arrière en changeant simplement l’adresse ou le nom qu’il utilise.
La migration, étape par étape
La séquence ci-dessous suit les pages de prise en main de la documentation ; chaque étape renvoie au guide détaillé correspondant. Le fil conducteur : on construit le réseau VIGIL-MESH en parallèle, on vérifie, et on ne retire Tailscale qu’en dernier.
- 1Créer le compte et l'espace de travailCréez un compte : à la première connexion, VIGIL-MESH crée automatiquement un espace de travail (workspace) dont vous êtes propriétaire. Activez l’authentification forte et invitez un second administrateur. Comptez quelques minutes, sans matériel ni port réseau. Guide : /docs/demarrer-compte.
- 2Enrôler les machines, une par uneDans la console, page Réseaux, le panneau Machines porte le bouton « Ajouter une machine » : l’assistant remet une clé d’enrôlement à usage unique (elle expire au bout d’une heure), à passer au client en commande ou en QR code sur mobile. Validez chaque machine avec « Vérifier (E2EE) ». Tailscale continue de tourner à côté. Guide : /docs/demarrer-enrolement.
- 3Recréer les politiques d'accès (ACL)Retranscrivez votre politique dans le modèle VIGIL-MESH : des règles ordonnées, évaluées de haut en bas (la première qui correspond décide), désignant les entités par identité — machines, groupes, étiquettes — avec refus par défaut. C’est l’occasion de faire le tri : n’ouvrez que ce qui sert encore. Guide : /docs/config-acl.
- 4Mettre en place les noms MagicDNSChaque machine reçoit son nom à l’enrôlement ; vous pouvez le modifier ensuite depuis l’inventaire de la console. Adoptez une convention de nommage claire et mettez à jour scripts et signets vers les nouveaux noms — la résolution est purement locale, servie depuis la carte réseau signée. Guide : /docs/config-magicdns.
- 5Vérifier la connectivitéQuatre contrôles dans l’ordre : l’adresse attribuée (une 100.64.x stable sur l’interface VIGIL-MESH), la joignabilité d’un pair (ping puis un service réel), la résolution MagicDNS, et la topologie temps réel dans la console. Chaque contrôle isole une couche : en cas d’échec, vous savez où regarder. Guide : /docs/demarrer-verifier.
- 6Désinstaller Tailscale, machine par machineQuand une machine a tous ses usages qui passent par VIGIL-MESH — vérifiés, pas supposés —, retirez-la du tailnet puis désinstallez le client Tailscale. Procédez machine par machine, en gardant l’ancien réseau comme filet de sécurité jusqu’à la dernière ; rien ne vous oblige à une bascule un lundi matin.
Après la migration : ce qui change au quotidien
Une fois la bascule faite, l’essentiel ressemble à avant : des machines qui se joignent par leur nom, de pair à pair, sans port entrant. Trois choses changent concrètement.
- La découverte et le multicast fonctionnent. Broadcast, multicast et link-local IP sont répliqués chiffrés à travers l’overlay : mDNS, SSDP, la découverte DDS de ROS 2 ou les parties en LAN retrouvent un terrain, là où un mesh WireGuard unicast ne les prend pas en charge nativement.
- Le navigateur devient un nœud. Un onglet peut rejoindre le mesh grâce au cœur compilé en WASM, avec terminal SSH et bureau RDP vers vos machines — sans bastion ni client à installer sur le poste de passage.
- Le transport est du QUIC sur 443/UDP. Le même profil que HTTP/3, un atout sur les réseaux verrouillés ; et quand un chemin direct devient disponible, la session migre du relais vers le direct sans coupure.