📅 Source : tech.stonecharioteer.com, publié le 31 mars 2026. Article technique personnel décrivant une expérimentation approfondie des exit nodes Tailscale sur une infrastructure domestique (Proxmox LXC).

🔧 Architecture technique

Tailscale repose sur WireGuard comme plan de données, auquel il ajoute un plan de contrôle gérant : l’identité/SSO, la découverte de pairs, la traversée NAT, la distribution des ACL et routes, MagicDNS, et la révocation rapide de dispositifs.

Le flux de connexion entre pairs :

  • Authentification au plan de contrôle Tailscale
  • Échange des endpoints (publics/DERP) et des clés
  • Tentative de NAT hole-punching (UDP)
  • Si succès : chemin WireGuard direct chiffré de bout en bout
  • Si échec : fallback DERP relay (chiffré, non déchiffrable par le relais)

🌐 Fonctionnement de l’exit node

L’exit node advertise les routes 0.0.0.0/0 et ::/0 au plan de contrôle. Le client installe des policy routes vers l’interface tailscale0 (Linux), utun (macOS) ou Wintun (Windows), avec une route d’échappement pour l’IP publique de l’exit node.

Path normal : client → exit node → internet Path fallback : client → DERP relay → exit node → internet

🔒 Frontières de confiance

  • Le réseau local (café WiFi) voit du trafic chiffré vers Tailscale et le volume, mais pas le contenu
  • L’exit node voit les métadonnées (IP/domaines de destination)
  • Les sites web voient l’IP publique de l’exit node
  • HTTPS reste la protection principale pour le contenu

🔍 Vérification par traceroute

Avec exit node activé, le hop 1 est la gateway Tailscale (100.x.y.z), et l’ISP domicile apparaît au hop 7. Sans exit node, le hop 1 est le routeur local et l’ISP local apparaît directement.

💰 Modèle économique

Tailscale peut proposer un tier gratuit car le trafic de données transite directement entre pairs (peer-to-peer), sans passer par l’infrastructure Tailscale sauf en cas de fallback DERP (estimé à 1-5% du trafic).

📝 Type d’article : Analyse technique personnelle visant à documenter et comprendre en profondeur le fonctionnement interne des exit nodes Tailscale, les mécanismes de routage OS-spécifiques, et les implications sur le modèle de confiance réseau.

🔗 Source originale : https://tech.stonecharioteer.com/posts/2026/tailscale-exit-nodes/