VIGIL MESH

Documentation

Tailscale auto-hébergé : Headscale, ses limites, et l'approche relais souverain

Vous cherchez à auto-héberger votre VPN mesh ? Deux voies existent : rapatrier le plan de contrôle — c’est ce que permet Headscale pour Tailscale — ou rapatrier le chemin des données — c’est ce que permet la vigie privée de VIGIL-MESH. Ce ne sont pas les mêmes garanties. Cette page explique honnêtement ce que chaque approche couvre, ce qu’elle ne couvre pas, et comment choisir selon ce que vous voulez vraiment maîtriser.

Pourquoi vouloir auto-héberger son mesh VPN

Un VPN mesh géré en SaaS est confortable, mais il crée une dépendance : un service tiers connaît vos machines, décide qui parle à qui, et — selon l’architecture — peut voir transiter votre trafic relayé. Trois motivations reviennent chez ceux qui cherchent « tailscale auto-hébergé ».

Souveraineté

Garder ses données — et les métadonnées de son réseau — sur une infrastructure que l'on contrôle, dans son périmètre juridique et contractuel.

Indépendance vis-à-vis d'un SaaS

Ne pas dépendre d'un service tiers pour la disponibilité, la tarification ou la pérennité de son réseau interne.

Données de contrôle

L'annuaire des machines, les identités et les règles d'accès décrivent votre organisation. Certains veulent que ces données ne quittent jamais leurs serveurs.

La voie Headscale

Tailscale n’offre pas de plan de contrôle auto-hébergé officiel. Headscale est un projet open source tiers, non affilié à Tailscale, qui réimplémente le serveur de coordination : il comble ce besoin dans la communauté, et le fait bien — c’est un beau projet, largement utilisé par ceux qui veulent un plan de contrôle communautaire pour leurs clients Tailscale.

Comme toute solution auto-hébergée, cette voie a des contreparties factuelles qu’il faut connaître avant de se lancer.

  • C’est vous l’opérateur. Le serveur de coordination devient un service à installer, héberger, sauvegarder, mettre à jour et surveiller — il est au cœur de votre réseau : s’il tombe, c’est à vous de le relever.
  • Non officiel, non supporté par l’éditeur. Headscale n’est pas un produit Tailscale : c’est la communauté du projet, pas l’éditeur, qui en assure le suivi.

La question que personne ne pose : que voit le serveur que vous hébergez ?

« Auto-hébergé » ne dit pas quoi vous hébergez. Un mesh VPN a deux plans bien distincts, et ils ne voient pas les mêmes choses.

  • Le plan de contrôle (serveur de coordination, console) connaît vos machines, vos identités, vos règles d’accès. Il décide qui peut parler à qui — mais il ne transporte pas vos octets.
  • Le plan de données (les connexions directes et les relais) transporte vos octets. Quand deux machines ne peuvent pas se joindre en direct, le trafic passe par un relais — et c’est par là que transitent réellement vos données.

Auto-héberger le plan de contrôle rapatrie chez vous les métadonnées du réseau — c’est précieux. Mais si votre besoin premier est « mes données ne doivent transiter que par mes serveurs », c’est le chemin des données, donc le relais, qu’il faut rapatrier. Les deux questions méritent d’être posées séparément.

L'approche VIGIL-MESH : le relais souverain

VIGIL-MESH fait le choix inverse de Headscale, et nous le disons sans détour : le plan de contrôle (la console d’administration) reste un service hébergé en SaaS — il n’est pas auto-hébergeable aujourd’hui. En revanche, le chemin des données, lui, peut être entièrement le vôtre : le trafic relayé peut passer par votre propre relais, la vigie privée.

  • Structurellement aveugle. La vigie ne détient aucune clé de session et ne voit passer que des paquets déjà chiffrés de bout en bout — même compromise, elle ne peut pas lire votre trafic.
  • Auto-configurée. Elle s’enregistre automatiquement auprès du contrôleur avec un jeton à usage unique et reçoit toute sa configuration : pas de plan de contrôle à opérer vous-même.
  • Dédiée à votre espace de travail. Sa portée est verrouillée côté contrôleur : elle refuse de servir tout autre client et n’apparaît jamais dans l’annuaire public.
  • Souveraineté du chemin. Vos octets relayés ne transitent que par vos serveurs, jamais par une infrastructure partagée que vous ne maîtrisez pas.

Voici la comparaison honnête des deux approches — y compris là où Headscale garde l’avantage.

CritèreTailscale + HeadscaleVIGIL-MESH + vigie privée
Plan de contrôleAuto-hébergé chez vous (Headscale) — contrôle totalService hébergé en SaaS — non auto-hébergeable
Trafic relayéSelon votre déploiement de relaisPar votre vigie privée, dédiée à votre espace de travail
Le relais peut-il lire le trafic ?Non — chiffrement de bout en bout (WireGuard)Non — relais structurellement aveugle, chiffré de bout en bout
Ouverture du codeHeadscale est open sourceVigie non open source à ce jour
Support éditeurHeadscale n'est pas supporté par Tailscale (projet communautaire)La vigie privée est une fonctionnalité officielle du produit
Opérations à votre chargeHéberger et maintenir le serveur de coordinationHéberger un relais auto-configuré ; le contrôleur reste opéré pour vous

Questions fréquentes

Peut-on auto-héberger entièrement VIGIL-MESH ?
Non. Le plan de contrôle (la console d'administration) reste un service hébergé en SaaS. Ce qui est auto-hébergeable, c'est le relais : la vigie privée, qui fait transiter votre trafic relayé uniquement par vos serveurs. Le contrôleur décide, mais ne voit jamais vos données.
Headscale est-il un produit officiel de Tailscale ?
Non. Headscale est un projet open source tiers, non affilié à Tailscale, qui réimplémente le serveur de coordination. Il n'est pas supporté par l'éditeur ; c'est sa communauté qui en assure le développement et le suivi.
Que voit la vigie de mon trafic ?
Rien d'exploitable. Elle est structurellement aveugle : elle ne détient aucune clé de session et ne voit passer que des paquets déjà chiffrés de bout en bout. Même compromise, une vigie ne peut pas lire votre trafic.
Si le plan de contrôle VIGIL-MESH est injoignable, mon réseau tombe-t-il ?
Une vigie continue de servir les réseaux qui lui sont déjà alloués, et elle n'acceptera jamais un autre client. Sans le contrôleur, elle ne peut ni changer de portée ni s'attribuer un nouvel espace de travail.
La vigie privée est-elle disponible aujourd'hui ?
En préversion : la vigie autonome compile et démarre, et la boucle d'enrôlement complète est en cours de qualification. Le guide de déploiement pas à pas est sur /docs/vigie-privee.
Lire ensuiteDéployer sa vigie privée