Tailscale — Ré-enrôlement
Procédure de ré-enrôlement Tailscale après réinstallation d’une machine.
Topologie Actuelle
Section intitulée « Topologie Actuelle »| Machine | Rôle Tailscale | Accès SSH |
|---|---|---|
| exampleHost | client/admin | via Tailscale ou local |
| clochette | serveur exposé | uniquement via Tailscale |
| RogueLeader | serveur interne | via réseau local ou Tailscale |
SSH sur clochette n’est accessible que depuis 100.64.0.0/10 (réseau Tailscale).
Après une réinstallation sans Tailscale opérationnel, utiliser la console série.
Avant de Réinstaller — Supprimer l’Ancienne Entrée
Section intitulée « Avant de Réinstaller — Supprimer l’Ancienne Entrée »Depuis le panel Tailscale Admin : https://login.tailscale.com/admin/machines
Trouver la machine concernée (état “offline” ou “expired”), puis Delete ou Expire.
Si non supprimée, le ré-enrôlement crée un doublon avec le même hostname.
Ré-enrôlement Interactif (Méthode Standard)
Section intitulée « Ré-enrôlement Interactif (Méthode Standard) »Sur la machine à enrôler :
sudo tailscale upTailscale affiche une URL d’authentification :
To authenticate, visit:
https://login.tailscale.com/a/XXXXXXXXXXOuvrir l’URL dans un navigateur, se connecter au compte Tailscale, approuver la machine.
Vérifier :
tailscale status# La machine doit apparaître dans la liste avec une adresse 100.x.x.xRé-enrôlement sans Navigateur (authkey)
Section intitulée « Ré-enrôlement sans Navigateur (authkey) »Si le serveur n’a pas d’interface graphique et que la console série ne permet pas d’afficher l’URL facilement, générer une authkey depuis le panel :
- Aller sur https://login.tailscale.com/admin/settings/keys
- Generate auth key → One-time use, pas d’expiration courte
- Copier la clé
Sur la machine :
sudo tailscale up --authkey=tskey-auth-XXXXXXXXXXXXXXXXLa machine s’enrôle sans interaction navigateur.
Vérification de la Connectivité
Section intitulée « Vérification de la Connectivité »Depuis exampleHost, après enrôlement :
# Statut globaltailscale status
# Latence vers clochettetailscale ping clochette
# SSH via Tailscalessh guillaume@clochette.friloux.me
# SSH vers RogueLeaderssh guillaume@rogueleader.homeSi SSH Reste Inaccessible après Enrôlement
Section intitulée « Si SSH Reste Inaccessible après Enrôlement »Sur clochette, vérifier la règle firewall (depuis console série) :
# La règle doit accepter le port 22 depuis 100.64.0.0/10sudo nft list ruleset | grep -A3 "100.64"# ousudo iptables -L INPUT -n | grep 22Vérifier que l’interface Tailscale est bien tailscale0 :
ip link show tailscale0tailscale ip -4Si l’interface s’appelle différemment, vérifier la config NixOS :
networking.firewall.trustedInterfaces = ["tailscale0"];Ré-enrôlement sans Accès Console (Urgence)
Section intitulée « Ré-enrôlement sans Accès Console (Urgence) »Si la console série est inaccessible et Tailscale n’est pas opérationnel, la seule option est d’ouvrir temporairement le SSH public.
Modifier clochette/network.nix pour ajouter une règle temporaire :
networking.firewall.extraInputRules = '' ip saddr 100.64.0.0/10 tcp dport 22 accept ip saddr TON.IP.PUBLIQUE.ICI tcp dport 22 accept # temporaire'';Déployer depuis exampleHost, finaliser le ré-enrôlement Tailscale, puis supprimer immédiatement la règle temporaire et redéployer.