VPN Zero Trust Headscale / WireGuard
Un VPN moderne « qui marche tout seul » comme Tailscale est confortable, mais le serveur qui décide quelles machines existent et qui a le droit de parler à qui, la coordination, est un SaaS propriétaire hébergé aux États-Unis. France Nuage fait tourner ce même serveur de coordination en France, à partir de Headscale, la réimplémentation open source du serveur de Tailscale. Votre trafic, lui, reste en WireGuard pair-à-pair, chiffré de bout en bout.
Accès : un serveur de coordination dédié à votre projet, par exemple managed-votreslug-headscale-votreprojet.apps.france-nuage.fr.
Les deux étages d'un VPN
Un VPN moderne se découpe en deux plans. Confondre les deux fait croire qu'un tunnel chiffré suffit à être souverain. Ce n'est pas le cas.
- Le plan de données transporte le trafic. WireGuard le chiffre de bout en bout, de machine à machine, en ChaCha20-Poly1305, directement dans le noyau Linux. Personne au milieu ne le lit, ni Tailscale ni France Nuage.
- Le plan de contrôle orchestre le réseau : quelles machines existent, lesquelles ont le droit de se joindre, et il distribue les clés. C'est l'annuaire de votre réseau, et c'est lui que France Nuage garde en France.
Le chiffrement protège déjà le contenu. Ce qui fuit chez un tiers soumis au droit américain, c'est l'annuaire : l'identité de vos machines et la carte de qui se connecte à quoi. La page Réseau et infrastructure décrit où ces briques s'exécutent.
Comparatif
| Critère | France Nuage (Headscale managé) | Tailscale (SaaS) | Auto-hébergement |
|---|---|---|---|
| Plan de contrôle | Hébergé en France | Hébergé aux États-Unis | Selon vous |
| Métadonnées de coordination | Souveraines, droit français | Soumises au droit américain | Selon vous |
| Plan de données | WireGuard chiffré de bout en bout | WireGuard chiffré de bout en bout | WireGuard chiffré de bout en bout |
| Client | Client Tailscale standard | Client Tailscale standard | Client Tailscale standard |
| Repli NAT | Relais en France | Relais Tailscale | À votre charge |
| Réversibilité | Open source, ré-internalisable | SaaS propriétaire | Total |
| Mises à jour & disponibilité | Gérées | Gérées | À votre charge |
L'expérience client est identique à celle de Tailscale, et c'est voulu : vous installez le client Tailscale standard. La seule différence est l'endroit où vit le serveur de coordination, et le droit qui s'y applique.
Fonctionnement
Vous installez le client Tailscale habituel sur vos machines, puis vous le pointez sur votre serveur de coordination hébergé chez France Nuage. À partir de là, vos machines se découvrent et montent des tunnels WireGuard directs, de pair à pair. Le trafic va d'une machine à l'autre sans transiter par un serveur central.
Quand deux machines ne peuvent pas se joindre en direct (NAT strict, pare-feu fermé), le repli passe par nos propres relais, hébergés en France. Le trafic y reste chiffré de bout en bout, jamais lu, et ne quitte pas le pays.
Le client Tailscale reste le logiciel de Tailscale Inc. : ses mises à jour sont distribuées par Tailscale Inc. Ce que France Nuage rend souverain, c'est la coordination de votre réseau : l'annuaire des machines, les droits d'accès, la distribution des clés.
Démarrage rapide
1. Activer le service
- Rendez-vous sur console.france-nuage.fr et connectez-vous.
- Activez le service réseau Zero Trust. France Nuage provisionne votre serveur de coordination Headscale dédié et vous communique son URL (
--login-server).
2. Installer le client sur une machine
Installez le client Tailscale standard (Linux, macOS, Windows, iOS, Android) :
# Linux (Debian/Ubuntu et dérivés)
curl -fsSL https://tailscale.com/install.sh | sh
3. Rejoindre votre réseau
Pointez le client sur votre serveur de coordination France Nuage :
sudo tailscale up \
--login-server=https://managed-votreslug-headscale-votreprojet.apps.france-nuage.fr:443 \
--accept-routes
L'option --accept-routes n'est pas obligatoire, mais elle est souvent très utile : la machine accepte alors toutes les routes publiées sur le réseau VPN (les sous-réseaux annoncés par d'autres nœuds), et pas seulement les adresses des machines enrôlées.
Suivez l'URL d'enrôlement affichée, puis approuvez la machine depuis la console. Répétez l'opération sur chaque machine à relier.
4. Vérifier la connexion
# Liste les machines du réseau et leurs adresses
tailscale status
# Teste un tunnel chiffré vers une autre machine
tailscale ping votre-serveur
Une fois deux machines enrôlées, elles se joignent directement par leur adresse de réseau privé, sans qu'aucun port ne soit ouvert sur l'Internet public.
Accès SSH sans exposer vos VMs
Le cas d'usage le plus courant : atteindre vos VMs en SSH sans port ouvert sur Internet. Vos machines ne sont joignables que depuis le réseau WireGuard ; il n'y a plus ni bastion exposé ni IP publique à défendre.
# La VM est jointe par son adresse de réseau privé, pas par une IP publique
ssh admin@vm-prod
Le tutoriel Première connexion détaille la mise en route d'une première machine sur France Nuage.
Cas d'usage
- Accès SSH à vos VMs : vos serveurs ne sont joignables que depuis le réseau WireGuard, sans port SSH ouvert sur Internet.
- Remplacer un VPN ou un bastion legacy : un maillage WireGuard pair-à-pair à la place d'un concentrateur VPN ou d'un bastion exposé à maintenir.
- Relier plusieurs sites : bureaux, datacenters, machines de dev réunis dans un seul réseau privé chiffré, coordonné depuis la France.
- Donner un accès temporaire : un prestataire rejoint le réseau le temps nécessaire, sans rien ouvrir publiquement.
Réversibilité
Tout est open source. Vous pourriez monter ce serveur de coordination vous-même : c'est précisément ce que permet Headscale. France Nuage le gère à votre place (mises à jour, disponibilité, sauvegardes) sans vous enfermer. La brique étant open source, vous gardez le droit de tout reprendre sur votre propre matériel le jour où vous le décidez.
Références
- Documentation Headscale pour aller plus loin sur le serveur de coordination
- Documentation WireGuard sur le protocole de chiffrement
- Réseau et infrastructure pour comprendre où s'exécutent vos machines
WireGuard est une marque déposée de Jason A. Donenfeld. Tailscale est une marque de Tailscale Inc. Linux est une marque déposée de Linus Torvalds. France Nuage n'est ni affilié à ces sociétés ni cautionné par elles ; ces noms sont employés à titre descriptif, pour désigner les technologies mises en œuvre.