Cette semaine, XDA a publié un article sur le contournement du mur de paiement de la diffusion en continu à distance de Plex avec Tailscale, et le fil de commentaires s’est instantanément transformé en quelque chose d’autre : une longue liste d’utilisateurs frustrés par les changements silencieux de Tailscale. Le plafond de dispositifs réduit du forfait gratuit, la façon dont l’authentification dirige les nouveaux comptes vers les fournisseurs SSO et l’augmentation des prix pour un siège payant ont poussé un flux constant d’utilisateurs de laboratoires à domicile et de petites équipes à commencer à magasiner. La bonne nouvelle est que la catégorie mesh-VPN a beaucoup mûri, et plusieurs alternatives à Tailscale sont véritablement prêtes pour la production sur Windows, macOS et Linux.
Nous avons testé 7 alternatives à Tailscale dans un petit laboratoire (un ordinateur de bureau Windows, un MacBook Apple Silicon et deux nœuds Linux) avec les cas d’usage que les gens exécutent réellement : SSH à distance, partages de fichiers, serveurs multimédia auto-hébergés et une instance Plex derrière un CGNAT. Chaque option a été jugée sur le temps de configuration, la fiabilité de la traversée NAT, les options d’identité et le coût d’exécuter un déploiement réel plutôt qu’une démo.
Comparaison rapide
| Application | Meilleur pour | Forfait gratuit | Prix de démarrage | Caractéristique remarquable |
|---|---|---|---|---|
| NetBird | Maille open-source de style Tailscale avec option hébergée | Oui (5 utilisateurs auto-hébergés illimités) | Forfait payant par utilisateur | Parité d’auto-hébergement native avec UI SaaS |
| ZeroTier | Réseau de superposition multiplateforme avec réseau virtuel de couche 2 | Oui (jusqu’à 10 nœuds) | Forfait payant par utilisateur | Émulation de couche 2 pour les applications LAN héritées |
| Headscale | Plan de contrôle auto-hébergé pour le client Tailscale | Oui (gratuit, auto-hébergé uniquement) | Gratuit | Remplacement direct du coordinateur Tailscale |
| Nebula | Maille VPN open-source de Slack orientée vers l’échelle | Oui (gratuit, auto-hébergé uniquement) | Gratuit | Éprouvé au combat sur des milliers de nœuds |
| Cloudflare Zero Trust | Tunnels sensibles à l’identité pour les équipes déjà sur Cloudflare | Oui (jusqu’à 50 utilisateurs) | Forfait payant par utilisateur | Aucun client nécessaire pour les services HTTP |
| Twingate | Accès à distance de confiance zéro avec UX basée sur les politiques | Oui (jusqu’à 5 utilisateurs) | Forfait payant par utilisateur | Politiques au niveau des ressources plutôt que des sous-réseaux larges |
| WireGuard | Tunnel DIY entre deux points finaux connus | Oui (gratuit, auto-hébergé) | Gratuit | La plus petite surface d’attaque et le module noyau sur lequel tout est construit |
Pourquoi les gens quittent Tailscale
Le forfait gratuit fonctionne toujours pour la plupart des configurations personnelles, mais les règles qui l’entourent ont changé silencieusement. Les fournisseurs d’identité sont devenus momentanément le seul chemin vers un nouveau compte, ce qui a agacé les utilisateurs qui voulaient simplement une connexion locale pour un serveur domestique. La limite de dispositifs sur Personal a été réduite, puis partiellement restaurée, puis regroupée avec Personal Plus, et la messagerie a été assez confuse pour que plusieurs fils Reddit aient passé l’année à essayer de comprendre ce qui compte comme un « appareil ».
Il y a aussi la dépendance SaaS. Le plan de données de Tailscale fonctionne sur WireGuard entre les pairs, mais le plan de contrôle est hébergé, ce qui signifie que l’échange de clés et la politique d’accès résident sur les serveurs de Tailscale. Pour un laboratoire à domicile, c’est bon. Pour un déploiement hors ligne ou lié à la conformité, ce n’est pas une option de démarrage, et la seule issue est Headscale, que Tailscale soutient mais ne vend pas.
La tarification est le troisième point de pression. Le saut du forfait gratuit au premier niveau payant est raide pour un cabinet de conseil à deux personnes, et le niveau Personal Plus se situe maladroitement entre le forfait gratuit et la SKU d’équipe. Plusieurs petites équipes nous ont dit qu’elles ont quitté Tailscale non pas parce que le produit était mauvais mais parce que l’option non gratuite la moins chère coûtait plus cher que d’auto-héberger NetBird ou ZeroTier sur un VPS à 5 $.
Les 7 meilleures alternatives à Tailscale pour le bureau
NetBird — meilleur clone open-source de Tailscale
NetBird est la chose la plus proche de Tailscale que vous pouvez auto-héberger complètement sans sacrifier la console web polie. L’architecture reflète la division de Tailscale entre un plan de contrôle (SignalServer et Management) et un plan de données WireGuard, et les clients de bureau sur Windows, macOS et Linux se présentent et se comportent comme les utilisateurs de Tailscale s’y attendent. Le forfait hébergé existe pour les équipes qui ne veulent pas exécuter le plan de contrôle eux-mêmes, et la compilation auto-hébergée est exactement le même code.
Où il fait défaut : SCIM et l’audit des journaux se trouvent sur le forfait hébergé payant, ce qui importe si vous en avez besoin pour la conformité. La traversée NAT est solide dans la plupart des cas, mais les NAT symétriques retombent encore occasionnellement sur le relais.
Tarification :
- Gratuit : 5 pairs sur le forfait hébergé, illimité sur auto-hébergé
- Payant : frais par utilisateur par mois sur le forfait Business hébergé
- vs Tailscale : moins cher à l’échelle, et l’auto-hébergement est le même produit, pas une variante allégée
Télécharger : netbird.io
Conclusion : Choisissez NetBird si vous voulez l’expérience de Tailscale sans renoncer à la possibilité d’auto-héberger le plan de contrôle sur votre propre VPS.
ZeroTier — meilleur réseau de superposition gratuit pour les applications LAN héritées
ZeroTier précède Tailscale de plusieurs années et adopte une approche différente : il émule un Ethernet virtuel en couche 2, ce qui signifie que les logiciels qui s’attendent à une diffusion LAN (anciens partages de fichiers, certains serveurs de jeux, certains ponts domotiques) fonctionnent comme ils le feraient sur un vrai commutateur. Le forfait gratuit couvre jusqu’à 10 nœuds par réseau et 1 réseau par contrôleur, ce qui est suffisant pour la plupart des laboratoires à domicile et des petites équipes de développement.
Où il fait défaut : L’interface de bureau est fonctionnelle mais datée à côté de Tailscale. Les performances sur les liaisons à haute latence conviennent aux SSH et aux transferts de fichiers, mais traînent derrière les réseaux à mailles basés sur WireGuard pour le débit brut.
Tarification :
- Gratuit : jusqu’à 10 nœuds par réseau, réseaux illimités pour usage personnel
- Payant : forfait Business par siège
- vs Tailscale : moins cher pour les petits réseaux ponctuels, plus flexible pour les cas d’usage de couche 2
Télécharger : zerotier.com
Conclusion : Choisissez ZeroTier si vous avez une application qui suppose un LAN plat, ou si 10 nœuds sur un forfait gratuit est vraiment tout ce dont vous avez besoin.
Headscale — meilleur remplacement auto-hébergé pour le plan de contrôle Tailscale
Headscale est une réimplémentation open-source du serveur de coordination de Tailscale. Les clients Tailscale sur Windows, macOS et Linux se connectent toujours, la sémantique du routage et des ACL tiennent toujours, et vous conservez les applications polies sans dépendance SaaS. Pour les équipes qui font déjà confiance au client Tailscale mais qui veulent un contrôle total sur l’identité et la politique, c’est la sortie la plus propre.
Où il fait défaut : Pas de GUI pour gérer les nœuds par défaut. La communauté a créé des interfaces web, mais la surface officielle est la CLI. La syntaxe ACL suit le HuJSON de Tailscale, qui est puissant mais a une courbe d’apprentissage.
Tarification :
- Gratuit : open-source, aucun frais de licence
- Payant : rien, au-delà du VPS sur lequel vous l’exécutez
- vs Tailscale : gratuit pour n’importe quel nombre de nœuds, avec le compromis que vous exploitez le plan de contrôle
Télécharger : github.com/juanfont/headscale
Conclusion : Choisissez Headscale si vous aimez le client Tailscale et que vous voulez le garder, mais que vous ne pouvez pas ou ne dépendrez pas des serveurs hébergés par Tailscale.
Nebula — meilleure maille VPN construite pour l’échelle
Nebula est sortie de Slack et a été construite pour le nombre de nœuds que Slack lui-même gérait. Le modèle d’identité basé sur les certificats et l’accent mis sur la politique hôte-à-hôte le rendent plus adapté aux flottes de serveurs qu’à un utilisateur de bureau qui traîne un ordinateur portable entre les cafés. Les performances sont excellentes sur Linux, et les clients macOS et Windows ont rattrapé leur retard au cours de la dernière année.
Où il fait défaut : La configuration est plus impliquée que Tailscale ou NetBird. Vous générez une CA, signez les certificats d’hôte et éditez YAML. Il n’y a pas de plan de contrôle hébergé sur lequel compter, et l’histoire de l’interface utilisateur est « utilisez la CLI ».
Tarification :
- Gratuit : open-source, aucun frais de licence
- Payant : rien, au-delà de l’infrastructure que vous exécutez
- vs Tailscale : gratuit et plus rapide sur Linux, plus difficile à démarrer
Télécharger : github.com/slackhq/nebula
Conclusion : Choisissez Nebula si vous reliez des serveurs ensemble à l’échelle et que vous voulez une maille qui a été éprouvée au combat dans l’un des plus grands déploiements sauvages.
Cloudflare Zero Trust — meilleurs tunnels sensibles à l’identité pour les équipes
Cloudflare Zero Trust (anciennement Cloudflare Access plus Tunnel) aborde le problème du côté de l’application plutôt que du côté du réseau. Au lieu d’une maille entre tous les pairs, vous publiez des services individuels via un tunnel Cloudflare, puis mettez l’identité et la politique devant chacun. Pour les services HTTP, les utilisateurs n’installent pas du tout un client, ce qui est la bonne réponse pour les équipes qui doivent soutenir les entrepreneurs et les partenaires.
Où il fait défaut : Ce n’est pas une maille pair-à-pair. Le trafic traverse l’edge Cloudflare, ce qui convient aux applications de navigateur mais ajoute de la latence pour l’utilisation de style SSH. Le forfait gratuit limite les utilisateurs à 50 mais commence à limiter les fonctionnalités que les petites équipes utilisent réellement.
Tarification :
- Gratuit : jusqu’à 50 utilisateurs
- Payant : forfait Standard par utilisateur
- vs Tailscale : mieux pour les services HTTP et les applications orientées client, plus faible pour les réseaux de bureau à usage général
Télécharger : cloudflare.com
Conclusion : Choisissez Cloudflare Zero Trust si la plupart de vos ressources partagées sont des applications web ou des API et que vous voulez un accès réservé au navigateur sans client VPN sur chaque appareil.
Twingate — meilleur accès à distance basé sur les politiques
Twingate est plus proche de Tailscale en forme mais s’appuie davantage sur la politique au niveau des ressources. Au lieu d’accorder l’accès à un sous-réseau /24, vous accordez l’accès à une ressource spécifique par nom, avec des conditions sur les attributs du fournisseur d’identité, la posture de l’appareil et l’heure. Pour les équipes d’exploitation qui doivent satisfaire les auditeurs, cela correspond proprement aux contrôles SOC 2.
Où il fait défaut : Pas d’option d’auto-hébergement. Le forfait gratuit limite les utilisateurs à 5 et limite le nombre de ressources, ce qui fonctionne pour un projet secondaire mais pas pour une véritable équipe. Les connecteurs nécessitent une infrastructure aux deux extrémités.
Tarification :
- Gratuit : jusqu’à 5 utilisateurs, 2 réseaux
- Payant : forfait d’équipes par utilisateur
- vs Tailscale : modèle de politique plus strict, pas d’échappatoire d’auto-hébergement
Télécharger : twingate.com
Conclusion : Choisissez Twingate si vous avez besoin d’une politique de ressources nommées et d’un accès conscient de l’identité pour une petite équipe, et que vous ne vous souciez pas que le plan de contrôle soit hébergé.
WireGuard — meilleur tunnel DIY entre points finaux connus
WireGuard est le protocole qui alimente la plupart des applications ci-dessus. Utilisé directement, c’est l’option la plus économe de la liste : au niveau du noyau sur Linux, rapide sur Windows et macOS, avec un fichier de configuration par pair et rien d’autre à exécuter. Pas d’interface utilisateur et pas de service de coordination. Vous gérez l’échange de clés vous-même, généralement via scp ou un outil de configuration.
Où il fait défaut : Pas de traversée NAT. Pas de découverte. Pas d’identité. Si vous voulez ajouter ou faire tourner un pair, vous éditez la configuration de chaque autre pair. C’est bon pour deux ou trois points finaux ; cela s’effondre à quinze.
Tarification :
- Gratuit : open-source, aucun frais de licence
- Payant : rien
- vs Tailscale : surface plus petite et surcharge inférieure, pas de gestion de maille
Télécharger : wireguard.com
Conclusion : Choisissez WireGuard brut si vous avez un ensemble fixe de points finaux, que vous aimez éditer les fichiers de configuration et que vous voulez la plus petite surface d’attaque possible.
Comment choisir
Choisissez NetBird si vous voulez l’expérience quotidienne de Tailscale et la possibilité d’auto-héberger sans perdre la console web. C’est l’échange le plus direct.
Choisissez Headscale si votre équipe est déjà à l’aise avec le client Tailscale et que la seule chose qui vous pousse est la dépendance aux serveurs de Tailscale.
Choisissez ZeroTier si vous avez besoin d’un LAN virtuel pour une application qui s’attend à une diffusion, ou si 10 nœuds sur un forfait gratuit est vraiment tout ce dont vous avez besoin.
Choisissez Cloudflare Zero Trust si la plupart de ce que vous partagez est HTTP et que vous voulez un accès réservé au navigateur pour les entrepreneurs.
Choisissez Twingate si vous avez des auditeurs qui posent des questions sur les politiques de ressources nommées et la posture des appareils.
Restez sur Tailscale si votre équipe est petite, vos nœuds sont principalement des appareils personnels et le prix du niveau Personal Plus correspond à votre budget. Le produit est toujours le plus facile à configurer, et le polissage compte quand vous devez intégrer des utilisateurs non techniques.
FAQ
NetBird est-il vraiment une alternative à Tailscale ou juste un fork ?
NetBird est une base de code distincte qui arrive à une forme similaire car les deux produits reposent sur WireGuard. Les clients n’appartiennent pas à Tailscale, le plan de contrôle n’appartient pas à Headscale, et la compilation auto-hébergée inclut la même console web que le forfait hébergé.
Puis-je exécuter des clients Tailscale avec Headscale ?
Oui. Headscale implémente l’API de coordination de Tailscale, de sorte que les clients officiels de Tailscale sur Windows, macOS, Linux, iOS et Android se connectent à un serveur Headscale de la même manière qu’ils se connectent au plan de contrôle hébergé. Vous les pointez vers l’URL de votre serveur lors de la connexion.
ZeroTier est-il plus lent que Tailscale ?
Le débit est largement comparable pour les transferts un à un. Tailscale tend à gagner sur le streaming pur de style WireGuard, ZeroTier tend à gagner sur les applications qui ont besoin de diffusion de couche 2. Pour SSH, transfert de fichiers et streaming multimédia sur un réseau domestique, les deux se sentent identiques en utilisation normale.
Quelle est l’alternative à Tailscale la moins chère pour une petite équipe ?
Pour trois à cinq utilisateurs, le forfait gratuit de Cloudflare Zero Trust couvre plus de fonctionnalités d’identité que les autres. Pour les réseaux à mailles avec le même budget, l’auto-hébergement de NetBird sur un petit VPS revient moins cher que n’importe quel niveau payant de Tailscale.
Puis-je exécuter une maille VPN auto-hébergée derrière CGNAT ?
Oui, avec un nœud de relais sur un VPS avec une IP publique. NetBird et Headscale incluent tous deux une logique de relais. Nebula a besoin d’un phare sur une IP publique. WireGuard seul ne traversera pas CGNAT sans un pair accessible publiquement.