Documentation
Tailscale auto-hébergé : Headscale, ses limites, et l'approche relais souverain
Vous cherchez à auto-héberger votre VPN mesh ? Deux voies existent : rapatrier le plan de contrôle — c’est ce que permet Headscale pour Tailscale — ou rapatrier le chemin des données — c’est ce que permet la vigie privée de VIGIL-MESH. Ce ne sont pas les mêmes garanties. Cette page explique honnêtement ce que chaque approche couvre, ce qu’elle ne couvre pas, et comment choisir selon ce que vous voulez vraiment maîtriser.
Pourquoi vouloir auto-héberger son mesh VPN
Un VPN mesh géré en SaaS est confortable, mais il crée une dépendance : un service tiers connaît vos machines, décide qui parle à qui, et — selon l’architecture — peut voir transiter votre trafic relayé. Trois motivations reviennent chez ceux qui cherchent « tailscale auto-hébergé ».
Souveraineté
Garder ses données — et les métadonnées de son réseau — sur une infrastructure que l'on contrôle, dans son périmètre juridique et contractuel.
Indépendance vis-à-vis d'un SaaS
Ne pas dépendre d'un service tiers pour la disponibilité, la tarification ou la pérennité de son réseau interne.
Données de contrôle
L'annuaire des machines, les identités et les règles d'accès décrivent votre organisation. Certains veulent que ces données ne quittent jamais leurs serveurs.
La voie Headscale
Tailscale n’offre pas de plan de contrôle auto-hébergé officiel. Headscale est un projet open source tiers, non affilié à Tailscale, qui réimplémente le serveur de coordination : il comble ce besoin dans la communauté, et le fait bien — c’est un beau projet, largement utilisé par ceux qui veulent un plan de contrôle communautaire pour leurs clients Tailscale.
Comme toute solution auto-hébergée, cette voie a des contreparties factuelles qu’il faut connaître avant de se lancer.
- C’est vous l’opérateur. Le serveur de coordination devient un service à installer, héberger, sauvegarder, mettre à jour et surveiller — il est au cœur de votre réseau : s’il tombe, c’est à vous de le relever.
- Non officiel, non supporté par l’éditeur. Headscale n’est pas un produit Tailscale : c’est la communauté du projet, pas l’éditeur, qui en assure le suivi.
La question que personne ne pose : que voit le serveur que vous hébergez ?
« Auto-hébergé » ne dit pas quoi vous hébergez. Un mesh VPN a deux plans bien distincts, et ils ne voient pas les mêmes choses.
- Le plan de contrôle (serveur de coordination, console) connaît vos machines, vos identités, vos règles d’accès. Il décide qui peut parler à qui — mais il ne transporte pas vos octets.
- Le plan de données (les connexions directes et les relais) transporte vos octets. Quand deux machines ne peuvent pas se joindre en direct, le trafic passe par un relais — et c’est par là que transitent réellement vos données.
Auto-héberger le plan de contrôle rapatrie chez vous les métadonnées du réseau — c’est précieux. Mais si votre besoin premier est « mes données ne doivent transiter que par mes serveurs », c’est le chemin des données, donc le relais, qu’il faut rapatrier. Les deux questions méritent d’être posées séparément.
L'approche VIGIL-MESH : le relais souverain
VIGIL-MESH fait le choix inverse de Headscale, et nous le disons sans détour : le plan de contrôle (la console d’administration) reste un service hébergé en SaaS — il n’est pas auto-hébergeable aujourd’hui. En revanche, le chemin des données, lui, peut être entièrement le vôtre : le trafic relayé peut passer par votre propre relais, la vigie privée.
- Structurellement aveugle. La vigie ne détient aucune clé de session et ne voit passer que des paquets déjà chiffrés de bout en bout — même compromise, elle ne peut pas lire votre trafic.
- Auto-configurée. Elle s’enregistre automatiquement auprès du contrôleur avec un jeton à usage unique et reçoit toute sa configuration : pas de plan de contrôle à opérer vous-même.
- Dédiée à votre espace de travail. Sa portée est verrouillée côté contrôleur : elle refuse de servir tout autre client et n’apparaît jamais dans l’annuaire public.
- Souveraineté du chemin. Vos octets relayés ne transitent que par vos serveurs, jamais par une infrastructure partagée que vous ne maîtrisez pas.
Voici la comparaison honnête des deux approches — y compris là où Headscale garde l’avantage.
| Critère | Tailscale + Headscale | VIGIL-MESH + vigie privée |
|---|---|---|
| Plan de contrôle | Auto-hébergé chez vous (Headscale) — contrôle total | Service hébergé en SaaS — non auto-hébergeable |
| Trafic relayé | Selon votre déploiement de relais | Par votre vigie privée, dédiée à votre espace de travail |
| Le relais peut-il lire le trafic ? | Non — chiffrement de bout en bout (WireGuard) | Non — relais structurellement aveugle, chiffré de bout en bout |
| Ouverture du code | Headscale est open source | Vigie non open source à ce jour |
| Support éditeur | Headscale n'est pas supporté par Tailscale (projet communautaire) | La vigie privée est une fonctionnalité officielle du produit |
| Opérations à votre charge | Héberger et maintenir le serveur de coordination | Héberger un relais auto-configuré ; le contrôleur reste opéré pour vous |