TroutTrout
All docs

Configurer Tailscale VPN sur Access Gate

Guide étape par étape pour configurer le client VPN Tailscale intégré sur Access Gate. Configurez le tailnet, l'accès API OAuth, les plages IP, l'approbation automatique des routes et la synchronisation des ressources entre Access Gate et Tailscale.

4 min read · Last updated 2026-05-07

Access Gate est livré avec un client Tailscale intégré. Il s'agit de l'intégration documentée pour connecter Access Gate à un tailnet Tailscale, afin que les utilisateurs distants, les sites distants et Access Gate lui-même partagent un réseau maillé sécurisé sans modification de pare-feu ni recâblage.

Ce guide couvre la configuration complète de Tailscale sur Access Gate : création du tailnet, configuration du pool d'adresses IP, attribution des accès OAuth API pour qu'Access Gate puisse lire l'état du tailnet, synchronisation des assets et des utilisateurs vers Access Gate, et attribution des accès aux enclaves via le réseau superposé.

Configurer votre tailnet Tailscale

Si vous ne disposez pas encore d'un compte Tailscale, rendez-vous sur tailscale.com pour en créer un. Le menu intégré vous guidera à travers les étapes de création de votre compte — vous pouvez vous arrêter dès que l'écran vous invite à connecter des appareils.

Configurer la ou les plages d'adresses IP du tailnet

Chaque machine connectée au tailnet se voit attribuer une adresse IP. Pour contrôler le pool d'adresses à partir duquel ces adresses sont assignées, ajoutez dans le fichier de configuration des contrôles d'accès :

"nodeAttrs": [ { "target": ["*"], "ipPool": ["100.100.0.0/16"], }, ],

puis cliquez sur Save pour enregistrer et appliquer. Vous pouvez également définir des pools différents pour différents groupes d'utilisateurs :

"nodeAttrs": [ { "target": ["autogroup:member"], "ipPool": ["100.100.1.0/24"], }, { "target": ["autogroup:admin"], "ipPool": ["100.100.2.0/24"], }, ],

Pour modifier l'adresse IP d'une machine déjà connectée, accédez à la section Machines -> options de la machine (trois points à droite de la ligne d'informations) -> Edit machine IPv4, saisissez une adresse IP disponible dans la plage souhaitée et appuyez sur le bouton Update IP.

Depuis l'interface, vous pouvez effectuer cette opération via Access Controls > Node Attributes.

Configuration de la plage IP sur Tailscale
Configuration de la plage IP sur Tailscale

Configurer l'approbation automatique des nouvelles machines connectées

Par défaut, chaque nouvelle machine ajoutée est automatiquement approuvée pour rejoindre le tailnet. Il est facultatif (et plus sûr) de modifier cette politique et d'exiger une approbation manuelle pour chaque nouvelle machine. Pour l'activer, accédez à Settings -> Device management et réglez Device Approval sur On.

Ensuite, chaque nouvelle machine ajoutée au tailnet apparaîtra dans la section Machines avec le label « Needs approval » et devra être approuvée manuellement en cliquant sur les options de la machine (trois points à droite) et en sélectionnant Approve. Depuis l'interface, vous pouvez effectuer cette opération via Access Controls > Auto approvers.

Configurer l'approbation automatique des routes annoncées (partagées)

Lorsqu'une machine nouvellement connectée annonce (partage) des routes à rendre accessibles via le tailnet, ces sous-réseaux doivent être approuvés dans la section Machines -> options de la machine (trois points à droite) -> Edit route settings, en cochant la case correspondant aux sous-réseaux concernés.

Le processus d'approbation des sous-réseaux peut être automatisé en configurant l'approbation automatique pour des utilisateurs et des sous-réseaux spécifiques dans le fichier de configuration des contrôles d'accès :

"autoApprovers": { "routes": { "100.64.0.0/24": [ "autogroup:member", ], "100.64.0.0/10": [ "autogroup:admin", ], }, },

Configurer l'expiration des clés de machine

Chaque machine connectée au tailnet se voit attribuer une clé valide par défaut pendant 180 jours. Passé ce délai, la clé expire et la machine doit être ré-authentifiée.

L'expiration de la clé peut être désactivée par machine pour les machines de confiance (y compris AccessGate) dans la section Machines, en cliquant sur les options de la machine (trois points à droite) -> Disable key expiry.

Configurer l'accès OAuth API à la configuration du tailnet

Pour permettre à Access Gate d'obtenir des données sur les sous-réseaux réservés au tailnet, un accès API doit être configuré et les identifiants obtenus (ID et Secret) doivent être saisis dans la configuration d'Access Gate.

Pour activer l'accès OAuth API au tailnet, dans Tailscale :

  • Dans Tailscale, accédez à Settings -> Trust Credentials -> OAuth clients
  • Saisissez une Description (par exemple : AccessGate API client)
  • Sélectionnez Policy File -> Read
  • Cliquez sur Generate credential

Copiez et conservez en lieu sûr les identifiants OAuth affichés (ID et Secret), puis saisissez-les dans AccessGate via AccessGate Web administration -> Settings -> Networking -> VPN Access -> API Credentials.

Synchroniser les assets et les utilisateurs depuis Tailscale

Dans Access Gate, cliquez sur authenticate puis sur Get Assets. Cela importera les assets Tailscale dans l'onglet Assets.

Synchroniser les assets depuis Tailscale
Synchroniser les assets depuis Tailscale

Pour les utilisateurs Tailscale, lorsqu'un utilisateur s'authentifie dans le tailnet, il authentifie son appareil actuel qui rejoint alors le tailnet. À ce stade, cliquez à nouveau sur Get Assets : le nouvel asset enregistré apparaîtra.

Accéder aux assets locaux

Vous pouvez maintenant accéder aux Enclaves et attribuer l'accès aux assets et aux utilisateurs souhaités. Pour y accéder, utilisez simplement l'IP ou l'URL affichée dans l'onglet Assets. La magie opère en arrière-plan :)

Previous
Port Secure Twin pour le contrôle actif du trafic
Next
Configurer NTP