Tailscale : configuration et utilisation

Publié par Tpeltier le

Présentation

Tailscale est un service qui vous permet de créer un réseau sécurisé entre vos serveurs, vos ordinateurs et vos instances dans le cloud et cela même si vos machines sont séparées par des pare-feu ou des sous-réseaux. Niveau tarif, c’est gratuit pour une utilisation personnelle ce qui vous donne le droit de connecter jusqu’à 100 appareils sur le réseau privé. Pour installer Tailscale, c’est super simple. Il suffit d’aller sur la page des téléchargements et de choisir le client adapté à votre OS : Windows, Linux, macOS, Android ou encore iOS. Ensuite il suffit de se connecter avec votre compte TailScale et l’appareil rejoindra votre réseau privé virtuel.

Ainsi chacune de vos machines aura sa propre adresse IP sur ce réseau virtuel privé, ce qui vous permettra d’accéder à leurs services (prise de contrôle à distance, un NAS, un Plesk, accès aux fichiers, passerelle domotique ou que sais-je) sans devoir ouvrir des ports sur le net.

Installation VPN

Pourquoi utiliser Tailscale ?

Dans mon cas j’utilise Tailscale pour accéder à un réseau derrière un Starlink car il n’est pas possible de faire du NAT avec ce type de connexion. Contrairement à la plupart des opérateurs fixes, Starlink mutualise les adresses IP, Plusieurs clients obtiennent la même adresse IP publique.

Il n’est donc pas possible de faire du NAT pour, par exemple, se connecter vers une caméra ou accéder à son NAS/FTP/Site web hébergé à domicile. Starlink utilise la technologie CGNAT pour Carrier-grade NAT qui est une technologie utilisée par les opérateurs pour économiser les adresses IP V4.

C’est là que Tailscale intervient. Il « suffit » d’installer Tailscale sur une machine derrière le réseau Starlink pour pouvoir y accéder depuis l’extérieur et ensuite l’utiliser pour pouvoir accéder au réseau local.

Dans mon cas j’utilise un Synology en installant le package fourni directement.

Contrairement à d’autres clients Tailscale, sur DSM7 il n’est pas possible d’accéder au réseau local. Il faut suivre la procédure suivante :

Activation des connexions sortantes de Synology

Synology DSM7 a introduit des restrictions plus strictes sur ce que les paquets sont autorisés à faire. Si vous utilisez DSM6, Tailscale s’exécute en tant que root avec toutes les permissions et ces étapes ne sont pas nécessaires.

Par défaut, Tailscale sur Synology avec DSM7 n’autorise que les connexions entrantes vers votre appareil Synology, mais l’accès sortant à Tailscale à partir d’autres applications fonctionnant sur votre Synology n’est pas activé.

La raison en est que le paquet Tailscale n’a pas la permission de créer un périphérique TUN.

Pour activer TUN et permettre les connexions sortantes à partir d’autres applications fonctionnant sur votre Synology :

Assurez-vous que vous exécutez Tailscale 1.22.2 ou plus récent, soit à partir du Synology Package Center, soit à partir d’un *.spk installé manuellement depuis le serveur Tailscale Packages.

Dans Synology, allez dans Panneau de configuration > Planificateur de tâches, cliquez sur Créer et sélectionnez Tâche déclenchée.

Sélectionnez Script défini par l’utilisateur.

Lorsque la fenêtre Créer une tâche s’affiche, cliquez sur Général.

Dans General Settings (Paramètres généraux), entrez un nom de tâche, sélectionnez root comme utilisateur pour lequel la tâche sera exécutée et sélectionnez Boot-up (Démarrage) comme événement déclenchant la tâche. Assurez-vous que la tâche est activée.

Cliquez sur Paramètres de la tâche et entrez ce qui suit pour le script défini par l’utilisateur :

/var/packages/Tailscale/target/bin/tailscale configure-host; synosystemctl restart pkgctl-Tailscale.service

(Si vous êtes curieux de savoir ce qu’il fait, vous pouvez lire le code de configure-host).

Cliquez sur OK pour enregistrer les paramètres.

Redémarrez votre Synology. (Alternativement, pour éviter un redémarrage, exécutez le script défini par l’utilisateur ci-dessus en tant que root sur le périphérique pour redémarrer le paquetage Tailscale).

Vos paramètres TUN devraient maintenant être maintenus à travers les redémarrages de votre appareil.


0 commentaire

Laisser un commentaire

Emplacement de l’avatar

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.