I. Présentation

Vous utilisez Headscale et vous souhaitez connecter votre NAS Synology à votre réseau VPN Mesh ? Alors, suivez ce tutoriel, car il répond exactement à ce besoin.

Le client Tailscale étant pris en charge par les NAS Synology, il est relativement facile de l’intégrer à un réseau Headscale même si cela requiert quelques actions en ligne de commande. Avant de commencer et si vous débutez sur le sujet, je vous oriente vers mes précédents articles au sujet de Headscale et Tailscale :

• Déployez un VPN avec Headscale : une version auto-hébergée du serveur Tailscale
• Découvrez Tailscale : votre futur réseau VPN Mesh basé sur WireGuard

Remarque : pour rappel, Headscale est une implémentation open source et auto-hébergeable du serveur de contrôle Tailscale.

II. Installer et mettre à jour Tailscale sur un NAS Synology

Vous devez commencer par installer le paquet Tailscale disponible dans le Centre de paquets de DSM. Ainsi, vous n’avez pas besoin d’utiliser un conteneur Docker pour déployer cette application sur votre NAS.

Par contre, vous risquez de rencontrer l’erreur suivante sur le serveur Headscale :

Il s’avère que ce paquet installe une version de Tailscale qui n’est pas du tout à jour. Cela a pour effet de générer une erreur et de rendre impossible l’ajout du NAS au réseau Headscale. Il est nécessaire de mettre à jour l’application Tailscale via la ligne de commande (vous pouvez aussi créer une tâche planifiée pour le faire régulièrement, comme l’explique la documentation Tailscale).

Pour exécuter cette commande, et les autres qui suivront dans ce tutoriel, vous devez accéder au NAS en SSH, en vous connectant avec le compte créé par défaut sur DSM (prérequis avec DSM 7+).

Pour activer le compte admin par défaut :

• Panneau de configuration > Utilisateur et groupe > admin > Décocher la case “Désactiver ce compte” – Pensez à le désactiver à la fin de l’intégration.

Pour activer l’accès SSH :

• Panneau de configuration > Terminal & SNMP > Cocher la case “Activer le service SSH“.

Ensuite, depuis votre PC, ouvrez une console et connectez-vous en SSH (vous pouvez aussi utiliser une application comme PuTTY).

Saisissez le mot de passe du compte. Puis, passez en tant que pour exécuter les commandes de configuration de Tailscale. En effet, ceci nécessite des permissions élevées.

Ainsi, dans le Terminal, vous allez passer de à . Vous pouvez alors lancer la commande de mise à jour.

III. Ajouter le NAS au réseau Headscale

La suite de l’opération est similaire à l’intégration d’un autre type de machine. Je vous invite à lire mon article de déploiement de Headscale si besoin.

Depuis le serveur Headscale, vous devez créer une nouvelle clé de préauthentification :

Puis, copiez la clé retournée.

Basculez sur le Terminal du NAS pour valider l’inscription de votre client Tailscale :

Dans la commande ci-dessus, vous pouvez retirer l’option puisqu’elle est nécessaire uniquement si le client Tailscale était déjà connecté à un autre réseau avant. Mon NAS avait été intégré à Tailscale, donc cette option me permet de basculer vers Headscale (sinon il y a une erreur).

Dès à présent, votre NAS est intégré à votre réseau VPN Headscale !

Vous pouvez le vérifier en listant les nœuds sur le serveur Headscale :

Si vous souhaitez que votre NAS distribue une route, notamment pour accéder à votre réseau local à distance, lancez la commande sur votre NAS. Précisez l’adresse du réseau, comme ici .

Puis, sur le serveur Headscale, approuvez la route en indiquant son ID, ici .

IV. Conclusion

Voilà, votre NAS Synology est intégré à votre réseau Headscale, et en prime, il diffuse une route et sert donc de passerelle pour accéder aux appareils connectés sur le réseau sous-jacent. Pensez à sécuriser votre réseau Headscale grâce à l’utilisation des ACL.