Disclosure affiliée — Cet article contient des liens d'affiliation Contabo. Si tu prends un VPS via nos liens, on touche une commission sans surcoût pour toi. On documente uniquement ce qu'on teste en production sur nos propres VPS.
La question revient toutes les semaines sur les forums self-hosting : tu connais WireGuard, tu sais que Tailscale est "du WireGuard managé", et tu te demandes si payer 18 $/user/mois pour Tailscale Premium vaut le coup, ou si tu dois assumer le self-host complet sur un VPS à 5 €/mois. La réponse n'est pas binaire — elle dépend de combien de nœuds tu déploies, de ta tolérance au vendor lock-in, et de ce que tu fais de ton temps.
On a tourné en production avec les deux : Tailscale pour un mesh dev/staging de 12 nœuds pendant 14 mois, puis migration vers WireGuard nu sur Contabo en mars 2026 après une réflexion sur le coût annuel et la souveraineté. Ce comparatif est le résultat de cette expérience, pas une compilation de docs. On va couvrir l'architecture réelle, les coûts à 1/5/20 nœuds, les pièges qu'on a rencontrés, et un guide de décision concret.
Ce que Tailscale est vraiment (et ce qu'il n'est pas)
Tailscale n'est pas un nouveau protocole VPN — c'est un control plane posé au-dessus de WireGuard. Le data plane (le chiffrement effectif des paquets) reste 100 % WireGuard. Ce que Tailscale gère pour toi :
- Discovery — chaque nœud annonce son IP publique au coordinator (Tailscale SaaS). Les autres nœuds récupèrent cette info pour établir le tunnel.
- NAT traversal — STUN + ICE-like pour ouvrir un tunnel direct entre deux nœuds derrière des NAT symétriques. Quand ça échoue, fallback sur les serveurs DERP (relay TCP/443).
- Key management — rotation automatique des clés WireGuard, expiration de devices, signature des configs.
- ACLs — fichier JSON déclaratif qui définit qui peut parler à qui, sur quels ports. Compilé en règles iptables push sur chaque nœud.
- MagicDNS / Tailnet name — résolution
nom-machine.ton-tailnet.ts.netpartout dans ton mesh.
Le code du client Tailscale est open source (github.com/tailscale/tailscale). Le control plane SaaS ne l'est pas — mais Headscale est une réimplémentation open source du control plane, compatible client officiel. C'est important pour la suite.
Ce que Tailscale n'est pas : ce n'est pas un VPN grand public type NordVPN. Tailscale ne te donne pas une IP de sortie pour faire croire à Netflix US que tu es à New York. Tu peux configurer un "exit node" Tailscale, mais c'est un nœud que toi tu héberges — sur un VPS, par exemple. On revient là-dessus plus bas, parce que c'est exactement le point où le calcul économique bascule vers le self-host.
Architecture comparée
Tailscale managé :
[App A] ── WireGuard ──► [App B]
│ │
└──► Coordinator SaaS ◄──┘
(Tailscale Inc.)
Le coordinator orchestre. Les paquets, eux, vont en direct A → B via WireGuard quand le NAT le permet, ou via un relay DERP de Tailscale en fallback (latence + dépendance au SaaS).
WireGuard self-host (modèle hub-and-spoke) :
[Client 1] ──► [VPS Hub Contabo] ◄── [Client 2]
│
[Client 3]
Tout passe par le hub. Latence prévisible, contrôle total, mais le hub est un single point of failure (et un single point d'optimisation).
WireGuard self-host (modèle full-mesh manuel) :
[Node A] ◄──► [Node B]
▲ ▲
│ │
▼ ▼
[Node C] ◄──► [Node D]
N²/2 tunnels à configurer. Devient ingérable au-delà de 5-6 nœuds — c'est exactement le problème que Tailscale résout côté managé.
Le choix d'architecture en self-host est crucial : pour 1 à 4 nœuds, le hub-and-spoke est imbattable en simplicité ; au-delà, il faut soit accepter Tailscale, soit déployer Headscale (le control plane open source).
Tableau comparatif honnête
| Critère | Tailscale Free | Tailscale Premium | WireGuard self-host | Headscale + WG self-host |
|---|---|---|---|---|
| Coût annuel (5 nœuds) | 0 € | ~1080 $ | 60 € (VPS Contabo S) | 60 € |
| Coût annuel (20 nœuds) | n/a (max 3 users) | ~4 320 $ | 60 € | 60 € |
| Setup initial | 5 min | 5 min | 30 min | 2 h |
| NAT traversal auto | Oui | Oui | Non | Oui |
| Mesh dynamique | Oui | Oui | Non (statique) | Oui |
| ACLs déclaratives | Oui | Oui | iptables manuel | Oui (compat ACL JSON Tailscale) |
| Exit node | Oui (1 inclus) | Oui (illimités) | Oui | Oui |
| Audit logs | Limité | Complet | Tu fais tes logs | Tu fais tes logs |
| SSO entreprise | Non | Oui (SAML/OIDC) | Non | OIDC manuel |
| Vendor lock-in | Élevé | Élevé | Zéro | Zéro |
| Souveraineté données | Non | Non | Oui | Oui |
| Maintenance ongoing | Quasi-nulle | Quasi-nulle | Faible-moyenne | Moyenne |
Trois observations qu'on ne voit jamais sur les blogs comparatifs sponsorisés :
- Tailscale Premium est rentable à 1-3 users avec beaucoup de nœuds. Si tu es seul mais tu administres 15 serveurs perso, 0 € avec le plan Free. Pas de débat.
- Le calcul bascule à partir de 4-5 users. À 5 users à 18 $/mois, tu payes 90 $/mois soit 1 080 $/an — pour un service qui équivaut techniquement à WireGuard + un control plane que tu peux héberger toi-même sur un VPS Contabo S à 4,99 €/mois.
- La maintenance n'est pas zéro en self-host, mais elle n'est pas non plus écrasante. Notre setup hub-and-spoke WireGuard sur Contabo demande environ 1h/mois de maintenance moyenne : upgrades système, rotation des clés tous les 6 mois, vérification des logs.
Cas 1 — Tu es seul, tu administres tes propres machines
Verdict : Tailscale Free, sans hésiter.
Le plan Personal de Tailscale (100 devices, 3 users) couvre 99 % des usages perso. MagicDNS marche en deux clics, le NAT traversal te sauve une demi-journée de pfSense, et le client mobile (iOS/Android) est honnêtement bien fait. À ce stade, ne perds pas de temps à self-host WireGuard.
La seule raison de basculer vers WireGuard nu en solo est l'apprentissage. Si tu veux comprendre WireGuard en profondeur, monter ton hub-and-spoke sur un VPS est l'exercice. C'est exactement ce que couvre notre guide self-host VPN Contabo WireGuard, et c'est un investissement en compétences qui se paye largement à moyen terme.
Cas 2 — Petite équipe (2-5 personnes)
Verdict : Tailscale Free si tu rentres dans les 3 users, sinon WireGuard self-host.
À 4-5 users, Tailscale Premium devient 864-1 080 $/an. Au même prix, tu obtiens :
- 12 mois d'un VPS Contabo VPS S (60 €/an)
- Le temps de scripter ton WireGuard avec Ansible (10 h ≈ 500 € à 50 €/h)
- Un budget restant pour Headscale en option
Cette équation tient si une personne dans l'équipe sait scripter du shell. Sinon, le coût d'opportunité monte, et le 18 $/user/mois Tailscale redevient compétitif.
Setup recommandé self-host à 5 nœuds :
- Un VPS Contabo VPS S Nuremberg (4 vCPU, 8 Go, 4,99 €/mois) — voir notre avis Contabo 2026.
- WireGuard en hub-and-spoke. Le VPS est le hub, tous les clients pointent dessus.
- Routes statiques côté serveur : un
AllowedIPspar peer client. - ACLs via iptables : par défaut chaque client ne voit que le hub ; on ouvre les routes inter-clients à la demande.
- Observabilité minimale :
wg showtoutes les 5 min via cron + alerte si peer offline > 15 min.
L'inconvénient assumé du hub-and-spoke : tous les paquets transitent par le VPS. Si Alice à Paris envoie un fichier à Bob à Berlin, le paquet fait Paris → Nuremberg → Berlin. C'est ~25 ms de latence en plus vs Tailscale qui aurait monté un tunnel direct. Pour 90 % des usages collaboratifs (SSH, RDP, fichiers partagés via Syncthing), c'est invisible. Pour de la voix temps réel, ça commence à se sentir.
Cas 3 — Équipe 10-20+ ou compliance
Verdict : Tailscale Premium ou Headscale self-host. Pas WireGuard nu.
À 10+ nœuds, le full-mesh manuel WireGuard devient ingérable et le hub-and-spoke ne scale plus bien (le hub devient le goulot d'étranglement réseau). Deux options sérieuses restent :
Tailscale Premium : tu acceptes 200-400 $/mois et tu te concentres sur ton vrai métier. Audit logs, SAML, ACLs, support — tout est inclus. Pour une boîte SaaS B2B en croissance, c'est probablement le meilleur ROI.
Headscale self-host : tu héberges le control plane open source (github.com/juanfont/headscale) sur ton propre VPS. Les clients officiels Tailscale pointent sur ton coordinator — la magie continue de marcher, mais sans vendor lock-in et sans facture mensuelle. Comptez 2-3 jours pour un setup propre avec PostgreSQL backend, certificat TLS et OIDC pour l'auth. Voir doc Headscale.
Headscale est le sweet spot pour qui veut du Tailscale-like avec souveraineté complète. C'est aussi un cas où l'investissement initial (2-3 jours d'un sysadmin) se paye en moins de 2 mois vs Tailscale Premium 10 users.
Sécurité comparée — où sont les vrais risques
Tailscale :
- Le coordinator ne voit jamais tes clés privées (elles restent locales).
- Mais : le coordinator distribue les clés publiques et établit les sessions. Une compromission du coordinator permettrait à un attaquant d'injecter un faux pair dans ton mesh.
- Tailscale Inc. a publié un threat model détaillé et fait auditer son code régulièrement.
- Surface d'attaque : client local + control plane SaaS + relais DERP.
WireGuard self-host :
- Surface d'attaque : client local + hub VPS (que tu administres).
- Pas de tiers, mais tout repose sur la robustesse de ta config VPS : SSH hardened, firewall, mises à jour automatiques.
- Risque concret : si ton VPS hub est compromis (root), l'attaquant a accès aux configs
/etc/wireguard/*.confet peut décrypter le trafic actif. C'est pour ça qu'on recommande WireGuard + port knocking et un kill-switch côté client.
Headscale :
- Mêmes risques que Tailscale côté client, plus la responsabilité du hosting du coordinator.
- Avantage : tu connais l'opérateur (toi) et tu contrôles les logs.
Aucune des trois options n'est intrinsèquement plus sécurisée. Le facteur déterminant est qui fait les mises à jour. Tailscale les fait pour toi automatiquement ; en self-host, tu dois mettre unattended-upgrades en place.
Coûts réels à 36 mois — projection
On a fait tourner le calcul sur 36 mois pour les trois scénarios (5 nœuds, 5 users), avec des hypothèses conservatrices :
| Scénario | Coût direct 36m | Coût indirect (temps) | Total |
|---|---|---|---|
| Tailscale Premium | 3 240 $ | 5h setup × 50 €/h = 250 € | ~3 500 $ |
| WireGuard hub-and-spoke Contabo | 180 € | 15h setup + 36h maint = 2 550 € | ~2 700 $ |
| Headscale + WireGuard Contabo | 180 € | 30h setup + 50h maint = 4 000 € | ~4 180 $ |
Le résultat est moins évident qu'il n'y paraît. WireGuard nu reste le moins cher en coût total à 5 nœuds, mais Headscale devient plus cher que Tailscale Premium dès qu'on intègre le coût opportunité du temps. Tailscale Premium est la solution la moins risquée mais la plus chère en cash direct.
Si tu values ton temps à plus de 70 €/h, Tailscale Premium devient quasiment aussi compétitif que WireGuard nu. Si ton temps est moins cher (junior, side project, apprentissage), self-host gagne.
Comment migrer de Tailscale vers WireGuard self-host
C'est le chemin qu'on a fait en mars 2026. Le résultat tient en une semaine de travail, étalé sur 3 weekends :
- Audit existant — lister tous les nœuds Tailscale, leurs IPs Tailnet (
100.x.x.x), leurs ACLs actuelles. - Provisionner un VPS Contabo VPS S comme hub. Voir tutoriel Contabo VPS step-by-step — compter 20 min de A à Z.
- Installer WireGuard sur le hub, générer une clé serveur, ouvrir le port UDP 51820 dans le firewall Contabo.
- Définir un plan d'adressage IP statique — par exemple
10.66.0.0/16côté WireGuard, avec mapping clair vers les anciennes IPs Tailnet. - Générer une config WireGuard par client, distribuer via canal sécurisé (Bitwarden, Signal, jamais email).
- Bascule : un client à la fois, vérifier la connectivité, ajuster
AllowedIPscôté serveur. - Arrêter Tailscale progressivement, garder en parallèle 1-2 semaines pour rollback rapide en cas de pépin.
La migration est faisable mais c'est un projet — pas un truc d'une après-midi. Si l'équipe est à 8+ users et qu'on parle de 30+ nœuds, sérieusement, reste sur Tailscale Premium et investis le temps gagné dans ton produit.
Mon verdict (pragmatique)
- Solo, projets perso, 1-10 machines → Tailscale Free. Ne perds pas ton temps.
- Solo nerd, envie d'apprendre, budget 5 €/mois → WireGuard self-host sur Contabo. C'est un investissement en compétences qui se paye 10 fois.
- Petite team 2-5 personnes, pas de compliance forte → WireGuard hub-and-spoke sur Contabo. Souveraineté + 60 €/an vs 1 000 $/an.
- Team 5-15, croissance, compliance B2B → Tailscale Premium. Cash bien placé.
- Org 15+ avec contraintes souveraineté (UE, secteur public, défense) → Headscale self-host. C'est l'option qui aligne souveraineté et scalabilité.
Le pire choix possible : WireGuard nu avec full-mesh manuel à 10+ nœuds. Tu vas y passer tes weekends et ça finira en mesh cassé un mardi soir.
Pour aller plus loin
- Self-host VPN sur Contabo : guide WireGuard complet 2026
- Contabo VPS setup pas-à-pas pour VPN 2026
- WireGuard vs OpenVPN : benchmarks VPS 2026
- WireGuard kill-switch Linux : iptables + systemd
- Avis Contabo 2026 : retour d'expérience honnête
Sources et références :
- Tailscale Security Bulletin & Threat Model
- Tailscale CLI client — code source
- Headscale — control plane open source compatible Tailscale
- WireGuard whitepaper — Jason A. Donenfeld
- DERP — Designated Encrypted Relay for Packets (Tailscale)
Article publié le 2026-06-05. Comparaison basée sur 14 mois d'usage Tailscale en production (12 nœuds, 4 users) puis migration vers WireGuard hub-and-spoke Contabo en mars 2026. Tarifs Tailscale relevés sur tailscale.com/pricing en juin 2026 — vérifier avant décision car ils évoluent. Les performances et les économies réelles dépendent de ta taille d'équipe, de tes contraintes compliance et de ta tolérance au sysadmin.
Rappel : WireGuard, Tailscale et l'auto-hébergement VPN sont parfaitement légaux dans l'UE, aux US, au Canada et dans la plupart des pays démocratiques. VPNSmith publie ce contenu à titre éducatif.
★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis
Voir l'offre Contabo30 jours satisfait ou remboursé→
