Le VPN (Headscale / Tailscale)

Le VPN maille toutes les zones et les machines distantes : Headscale 🡕 coordonne (sur le HCS), Tailscale 🡕 est le client sur chaque nœud. Vue d’ensemble dans Réseau.

Activer le VPN

Activer la coordination et déclarer le HCS (profile: hcs) suffit :

etc/config.yaml

network:
  coordination:
    enable: true
    hostname: "hcs"
    domain: "headscale"

Les rôles se déduisent du profil de chaque hôte :

• HCS : coordination du maillage (Headscale).
• Passerelle : subnet router + exit node : publie le sous-réseau de sa zone.
• Autres nœuds : clients Tailscale.

Enregistrer une passerelle

1. Sur le HCS : créer l’utilisateur d’attache et une clé

   just enter hcs
   sudo headscale users create nix --display-name "Nix Admin" --email "nix@domain.tld"
   sudo headscale preauthkeys create --reusable --expiration "1d" --user 1

   Non modifiable

   L’e-mail et le nom affiché d’un utilisateur ne sont pas modifiables après création.

2. Renseigner la clé dans les secrets

   just sops      # édite usr/secrets/secrets.yaml → clé tailscale/authKey

   La passerelle s’enregistre ensuite automatiquement (au prochain just apply).

3. Sur la passerelle : annoncer le sous-réseau

   sudo tailscale set --advertise-routes 10.0.0.0/16 --advertise-exit-node \
     --accept-routes --accept-dns=false --ssh --snat-subnet-routes=false

   Manuel pour l’instant

   Ces options ne sont pas encore posées au démarrage : il faut les appliquer une fois avec tailscale set.

4. Sur le HCS : approuver les routes

   sudo headscale nodes list                       # repérer l'ID de la passerelle
   sudo headscale nodes approve-routes --identifier <id> --routes 10.0.0.0/16

Administration

La commande headscale (alias h = sudo headscale) sur le HCS :

sudo headscale users list      # utilisateurs
sudo headscale nodes list      # clients connectés
sudo headscale nodes routes    # routes annoncées / approuvées

Accès depuis l’extérieur

Pour rejoindre le réseau hors d’une zone, voir Se connecter depuis l’extérieur.