Vous voulez accéder à Home Assistant, Pi-hole, un NAS ou une interface Docker depuis l’extérieur, sans ouvrir de port sur votre box ? Tailscale est probablement l’une des solutions les plus simples à installer sur Raspberry Pi.
Les 3 points clés
- Installation rapide : Tailscale fonctionne sur Linux ARM64 et se pilote avec quelques commandes.
- Accès distant propre : le Raspberry Pi peut servir de relais vers votre réseau local, sans exposer vos services sur Internet.
- Limite principale : ce n’est pas magique : droits d’accès, comptes, mises à jour et débit réseau restent à surveiller.
Verdict rapide
Pour un usage maison, Tailscale sur Raspberry Pi est un excellent choix si vous cherchez un VPN facile à maintenir. Il est moins “puriste” qu’un WireGuard entièrement manuel, mais beaucoup plus confortable au quotidien. Le meilleur scénario : un Raspberry Pi relié en Ethernet, allumé 24/7, qui donne accès à quelques services internes.
C’est quoi Tailscale, et pour qui ?
Tailscale construit un réseau privé chiffré entre vos appareils en s’appuyant sur WireGuard. Chaque machine rejoint un “tailnet” : votre ordinateur portable, votre smartphone, votre serveur maison et votre Raspberry Pi peuvent alors communiquer comme s’ils étaient sur un même réseau privé.
Sur Raspberry Pi, l’intérêt est double : garder un petit nœud toujours disponible à la maison, et éviter de publier directement Home Assistant, Pi-hole, un tableau de bord NAS ou une interface d’administration.
Deux usages à comprendre : accès local et exit node
Le piège classique consiste à tout appeler “VPN”. En pratique, Tailscale peut servir à plusieurs choses, et il vaut mieux choisir le bon mode dès le départ.
| Usage | Ce que fait le Raspberry Pi | Quand l’utiliser |
|---|---|---|
| Accès direct au Pi | Vous vous connectez au Raspberry Pi lui-même via son adresse Tailscale. | Administration SSH, dashboard Docker, services installés sur le Pi. |
| Subnet router | Le Pi annonce une plage réseau locale, par exemple 192.168.1.0/24. | Accéder à d’autres machines de la maison sans installer Tailscale partout. |
| Exit node | Le Pi peut faire sortir tout le trafic Internet d’un appareil distant via la connexion de la maison. | Wi-Fi public, voyage, accès depuis l’étranger, tests réseau. |
Prérequis recommandés
- Un Raspberry Pi 4 ou Raspberry Pi 5, idéalement connecté en Ethernet.
- Raspberry Pi OS 64-bit ou une distribution Debian/Ubuntu compatible ARM64.
- Un compte Tailscale et l’accès administrateur à votre tailnet.
- Une alimentation stable et une carte microSD fiable, ou mieux, un SSD USB/NVMe.
- Des services internes déjà identifiés : Home Assistant, Pi-hole, NAS, Grafana, Proxmox, Docker, etc.
Installer Tailscale sur Raspberry Pi
Commencez par mettre le système à jour, puis installez le client Tailscale depuis la méthode officielle pour Linux. Sur Raspberry Pi OS, la commande d’installation automatique est souvent la voie la plus rapide :
sudo apt update && sudo apt full-upgrade -y
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale upLa dernière commande affiche un lien d’authentification. Ouvrez-le dans votre navigateur, connectez-vous à votre compte Tailscale, puis validez l’ajout du Raspberry Pi. Une fois connecté, vérifiez l’état avec :
tailscale status
tailscale ip -4Option 1 : accéder uniquement au Raspberry Pi
C’est le mode le plus simple. Vous installez Tailscale sur votre ordinateur ou votre smartphone, puis vous contactez le Pi via son adresse Tailscale. Exemple :
ssh pi@100.x.y.zCe mode suffit si vos services tournent directement sur le Raspberry Pi : interface Docker, serveur de fichiers léger, tableau de bord domotique ou outil de monitoring.
Option 2 : transformer le Pi en subnet router
Le subnet router est utile si vous voulez atteindre d’autres appareils de votre réseau local : une box domotique, un NAS, une imprimante, un mini PC ou un serveur Home Assistant installé ailleurs.
Exemple pour annoncer un réseau local classique en 192.168.1.0/24 :
sudo tailscale up --advertise-routes=192.168.1.0/24Ensuite, ouvrez la console d’administration Tailscale et approuvez la route annoncée par le Raspberry Pi. C’est volontaire : cela évite qu’un appareil compromis annonce n’importe quel réseau sans validation.
Option 3 : utiliser le Raspberry Pi comme exit node
Un exit node permet de faire passer le trafic Internet d’un appareil distant par votre Raspberry Pi. C’est pratique en déplacement, mais plus sensible : tout le trafic de l’appareil choisi transite alors par votre connexion maison.
sudo tailscale up --advertise-exit-nodeLà encore, il faut approuver l’exit node dans l’interface d’administration Tailscale. Sur vos autres appareils, sélectionnez ensuite ce Raspberry Pi comme nœud de sortie uniquement quand vous en avez besoin.
Sécurité : les réglages à ne pas oublier
- Ne donnez pas accès à tout le LAN par réflexe : annoncez uniquement les plages nécessaires.
- Gardez SSH propre : clés SSH, mot de passe désactivé si possible, utilisateurs limités.
- Activez les mises à jour : le Pi devient un point d’entrée pratique, donc il doit rester entretenu.
- Vérifiez les appareils autorisés : retirez les anciens téléphones, PC de test et machines perdues.
- Attention à l’exit node : il peut concentrer beaucoup de trafic et exposer votre IP domestique.
Performances et limites
Tailscale est léger, mais le débit dépend du modèle de Raspberry Pi, de l’interface réseau, de la qualité de la connexion Internet et du chemin réseau utilisé. Pour consulter Home Assistant ou administrer Pi-hole, un Raspberry Pi 3 peut suffire. Pour un usage exit node régulier, un Raspberry Pi 4 ou 5 en Ethernet sera nettement plus confortable.
| Modèle | Usage conseillé | À éviter |
|---|---|---|
| Raspberry Pi 3 | Accès SSH, petits services, dépannage ponctuel. | Exit node intensif, gros transferts. |
| Raspberry Pi 4 | Home lab léger, subnet router, accès domotique. | NAS lourd avec nombreux utilisateurs. |
| Raspberry Pi 5 | VPN maison polyvalent, Docker, monitoring, accès distant régulier. | Remplacer un vrai routeur professionnel. |
Points forts
- Installation beaucoup plus simple qu’un VPN classique avec ouverture de ports.
- Fonctionne très bien avec Raspberry Pi OS et les usages de homelab.
- Pratique pour Home Assistant, Pi-hole, NAS léger, SSH et dashboards internes.
- Gestion centralisée des appareils depuis la console Tailscale.
- Possibilité de combiner accès au Pi, subnet router et exit node.
Limites
- Dépendance à un compte Tailscale et à son plan de service.
- Moins auto-hébergé qu’un WireGuard configuré de bout en bout.
- Configuration ACL à comprendre si plusieurs utilisateurs partagent le réseau.
- Un exit node peut réduire le débit et augmenter la latence.
- Un Raspberry Pi mal entretenu reste un risque, même sans port ouvert sur la box.
Alternatives à comparer
| Solution | Avantage | Limite |
|---|---|---|
| WireGuard manuel | Contrôle total, très performant. | Configuration réseau plus technique. |
| PiVPN | Simplifie WireGuard ou OpenVPN sur Raspberry Pi. | Demande souvent plus de gestion côté routeur et clients. |
| ZeroTier | Alternative mesh VPN assez flexible. | Moins populaire dans certains tutos Raspberry Pi récents. |
| Raspberry Pi Connect | Très simple pour accès bureau/terminal. | Moins adapté à l’accès complet au réseau local. |
Checklist avant de laisser tourner
- Le Raspberry Pi est branché en Ethernet si possible.
- Le système est à jour et redémarre correctement.
- Tailscale apparaît comme connecté dans la console admin.
- Les routes ou l’exit node sont approuvés manuellement.
- Les appareils inutiles ont été retirés du tailnet.
- Les services sensibles ne sont pas exposés directement sur Internet.
- Vous avez testé l’accès depuis un réseau 4G/5G, pas seulement depuis le Wi-Fi local.
Questions fréquentes
Tailscale remplace-t-il complètement un VPN classique sur Raspberry Pi ?
Pour beaucoup d’usages domestiques, oui : il évite l’ouverture de ports et la configuration complexe du routeur. Pour des besoins très contrôlés ou 100 % auto-hébergés, WireGuard configuré manuellement reste plus transparent.
Un Raspberry Pi 3 suffit-il pour Tailscale ?
Oui pour accéder à quelques services et administrer un réseau léger. Pour un exit node utilisé souvent, un Raspberry Pi 4 ou 5 avec Ethernet est préférable.
Faut-il ouvrir un port sur la box Internet ?
Non dans le cas général. Tailscale établit son réseau chiffré entre les appareils et contourne la plupart des contraintes NAT, ce qui simplifie l’accès distant.
Quelle différence entre subnet router et exit node ?
Le subnet router donne accès à des machines d’un réseau local précis. L’exit node peut faire sortir tout le trafic Internet d’un appareil distant via le Raspberry Pi.
Est-ce adapté à Home Assistant ou Pi-hole ?
Oui, c’est l’un des scénarios les plus pratiques : accéder à Home Assistant, une interface NAS ou un Pi-hole sans exposer directement ces services à Internet.
Sources utiles
- Documentation Tailscale sur les exit nodes.
- Documentation Tailscale sur les subnet routers.
- Installation officielle de Tailscale sous Linux.
Article rédigé par Vincent Vandegans, éditeur de Raspberry Pi France. Vincent suit les usages Raspberry Pi, Linux, domotique et logiciels open source pour aider les lecteurs à monter des projets utiles, fiables et accessibles.
Publications similaires :
CasaOS sur Raspberry Pi 5 : avis et guide pour créer un serveur maison
AdGuard Home sur Raspberry Pi : avis et guide pour filtrer les pubs à la maison
Uptime Kuma sur Raspberry Pi : avis et guide pour surveiller vos services à la maison
Pi-hole + Unbound sur Raspberry Pi : guide pour créer un DNS récursif local