Tu utilises déjà Vaultwarden pour gérer tes mots de passe en toute sécurité ? Très bien. Mais que dirais-tu d’y accéder depuis ton téléphone, ton ordinateur portable ou même ton PC du travail, sans exposer ton serveur sur Internet ?

Avec Tailscale, c’est possible en quelques clics. Tailscale crée un réseau privé sécurisé entre tes appareils, un peu comme un VPN… mais en beaucoup plus simple.

Pourquoi utiliser Tailscale avec Vaultwarden ?

Tailscale est basé sur WireGuard et offre plusieurs avantages :

• Accès sécurisé à ton serveur, même derrière une box ou un NAT.
• Aucun port à ouvrir sur ton routeur.
• Connexion chiffrée de bout en bout.
• Déploiement ultra simple sur Linux, Windows, Android, iOS, etc.
• Possibilité d’utiliser un domaine Tailscale MagicDNS.

En clair : ton Vaultwarden reste invisible depuis Internet, mais accessible partout pour toi.

Étape 1 : Installer Tailscale sur ton serveur

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

La commande tailscale up ouvrira une page de connexion. Identifie-toi avec ton compte Google, GitHub ou Microsoft.

Une fois connecté, ton serveur apparaîtra dans ta console Tailscale :

https://login.tailscale.com/admin/machines

Étape 2 : Activer MagicDNS (option recommandé)

MagicDNS te permet d’accéder à ton serveur par un nom lisible au lieu d’une IP du type 100.x.x.x.

1. Va dans Settings > DNS.
2. Active MagicDNS.
3. Active Split DNS si nécessaire.

Ton serveur aura désormais une adresse du type :

vps-serveur-01.tailXXXX.ts.net

Tu pourras t’y connecter comme à un domaine normal.

Étape 3 : Configurer Vaultwarden pour écouter sur l’interface Tailscale

Édite ton service systemd (si tu l’as installé sur Debian) :

sudo nano /etc/systemd/system/vaultwarden.service

Et modifie la ligne ExecStart pour écouter sur 0.0.0.0 :

ExecStart=/usr/bin/vaultwarden \
  --domain=https://vps-serveur-01.tailXXXX.ts.net \
  --port=8000 \
  --admin-token=TON_TOKEN \
  --rocket-address=0.0.0.0

Recharge et redémarre :

sudo systemctl daemon-reload
sudo systemctl restart vaultwarden

Étape 4 : Accéder à Vaultwarden via Tailscale

Depuis un autre appareil connecté à Tailscale (PC, mobile…), ouvre simplement :

https://vps-serveur-01.tailXXXX.ts.net

Pas besoin d’ouvrir un port, pas besoin de certificat Let’s Encrypt, pas besoin de reverse proxy.
Tailscale chiffre tout automatiquement.

Attention sur les certificats

Le domaine MagicDNS n’a pas de certificat TLS public. Tu as donc 2 solutions :

• Soit tu utilises Vaultwarden en HTTP interne (Tailscale assure le chiffrement).
  → Dans ce cas, utilise --disable-admin-token & pas de HTTPS.
• Soit tu génères un certificat interne avec mkcert ou step-ca.

Pour un usage personnel, l’HTTP sur le tunnel Tailscale est le plus simple.

Étape 5 : Utiliser Vaultwarden dans le navigateur via Tailscale

Ouvre l’extension Bitwarden et configure le serveur :

https://vps-serveur-01.tailXXXX.ts.net

L’extension se synchronisera automatiquement.

Étape 6 : Utiliser Vaultwarden sur mobile via Tailscale

Installe Tailscale :

• iOS
• Android

Puis configure l’application Bitwarden :

1. Ouvre Bitwarden → Paramètres.
2. Active “Serveur auto-hébergé”.
3. Mets l’URL Tailscale.

Ta synchronisation fonctionnera comme si tu étais à la maison.

Avantages de l’utilisation de Vaultwarden + Tailscale

• Aucun port ouvert = sécurité maximale.
• Déploiement ultra simple.
• Connexion sécurisée partout.
• Pas besoin de domaine public ni de certificat.
• Compatible PC, mobile, tablette, navigateur…

Conclusion

Relier Vaultwarden à Tailscale, c’est la combinaison parfaite : sécurité renforcée, simplicité d’accès et aucune exposition au reste du monde.

Tu peux désormais accéder à ton coffre-fort depuis n’importe quel appareil, sans sacrifier ta confidentialité. 🎉