La première fois qu’un téléphone joint un serveur Jellyfin à la maison via une mesh VPN, la configuration VPN classique (transfert de port, DNS dynamique, règles de pare-feu manuelles) paraît dépassée. Les mesh VPN créent un réseau privé entre tous vos appareils : téléphone, portable, serveur domestique, VM cloud et machine d’un ami pour des projets communs. Les sept applis mesh VPN pour Android ci-dessous couvrent les options réalistes, du leader évident aux alternatives entièrement auto-hébergées.
Ce qui compte dans une mesh VPN
Cinq points :
- Plan de contrôle auto-hébergé. Le « serveur de coordination » stocke la configuration du réseau et authentifie les appareils. Certains produits le gèrent pour vous, d’autres permettent l’auto-hébergement. Les deux sont valables ; choisissez selon le niveau d’exploitation que vous acceptez.
- Clients open source. Une mesh VPN vit sur chaque appareil et route le trafic. Les clients ouverts peuvent être audités et compilés à partir des sources.
- Plafonds du gratuit. La plupart sont gratuits pour un usage personnel jusqu’à un nombre d’appareils ou de pairs. Ce plafond compte beaucoup pour l’usage domestique.
- Routage de sous-réseau et nœuds de sortie. Faire transiter tout un LAN via un pair (subnet router) et utiliser un pair comme sortie Internet sert à joindre des équipements qui ne peuvent pas exécuter le client.
- Batterie et protocole. WireGuard et ses dérivés sont les plus doux pour la batterie Android. Certains produits utilisent STUN/TURN avec des protocoles dédiés.
Comparaison rapide
| Appli | Idéal pour | Offre gratuite | Auto-hébergeable | Clients open source |
|---|---|---|---|---|
| Tailscale | La mesh VPN par défaut | Oui (3 utilisateurs, 100 appareils) | Oui (Headscale) | Oui |
| ZeroTier | Vétéran multiplateforme | Oui (10 appareils) | Oui | Oui |
| Cloudflare WARP | Proxy de confidentialité gratuit avec fonctions proches du mesh | Oui | Cloud Cloudflare uniquement | Surtout |
| NordVPN Meshnet | Fonction mesh dans un VPN grand public | Oui (compte NordVPN) | Non | Non |
| Twingate | Accès zero-trust pour petites équipes | Oui (5 utilisateurs, 10 ressources) | Connecteurs auto-hébergés | Connecteur |
| NetBird | Alternative open source à Tailscale | Oui | Oui | Oui |
| OpenZiti | Réseau superposé centré sur l’identité | OSS gratuit | Oui | Oui |
Les applis
1. Tailscale, le choix par défaut
Tailscale est la mesh VPN vers laquelle la plupart des gens finissent par se tourner. L’appli Android est légère, repose sur WireGuard, prend en charge MagicDNS pour des noms courts d’appareils et gère les cas NAT délicats sans configuration manuelle. Les subnet routers et exit nodes fonctionnent, les ACL se configurent dans un fichier JSON clair et Taildrop envoie des fichiers entre deux appareils quelconques du tailnet. Headscale, serveur de coordination open source, permet d’auto-héberger le plan de contrôle tout en gardant les clients officiels.
Le niveau gratuit couvre une grande partie de l’usage domestique. Les déploiements plus larges (plus de 3 utilisateurs ou 100 appareils) nécessitent un abonnement.
Limite : le serveur de coordination est propriétaire tant que vous n’utilisez pas Headscale. Certaines fonctions avancées sont payantes.
Tarifs :
- Gratuit jusqu’à 3 utilisateurs et 100 appareils.
- Personal Pro et Team ajoutent utilisateurs et fonctionnalités.
Plateformes : Android, iOS, Windows, macOS, Linux, FreeBSD.
En bref : commencez ici. La mise en place est rentabilisée dès la première fois que vous rejoignez votre réseau domestique par ce biais.
2. ZeroTier, la vétéran
ZeroTier faisait du maillage avant que « mesh VPN » ne soit un argument marketing. Le modèle repose sur des commutateurs virtuels : vous créez un réseau, les appareils rejoignent avec un ID à 16 caractères et vous les autorisez dans une console web. Le pontage et les fonctions de couche 2 rendent ZeroTier pertinent pour des cas de niche comme un LAN virtuel entre villes pour un ancien serveur de jeu.
L’appli Android est solide et stable. L’interface sur téléphone est plus minimaliste que celle de Tailscale.
Limite : l’administration web est plus sobre que chez les nouveaux concurrents. La couche 2 peut dérouter les utilisateurs habitués au modèle plus simple de Tailscale.
Tarifs :
- Gratuit jusqu’à 10 appareils.
- Offres payantes pour les réseaux plus grands.
Plateformes : Android, iOS, Windows, macOS, Linux, FreeBSD.
En bref : le bon choix si vous voulez la couche 2 ou si vous avez déjà un réseau ZeroTier en qui vous avez confiance.
3. Cloudflare WARP, le proxy de confidentialité gratuit
Cloudflare WARP n’est pas une mesh VPN au sens strict. C’est un proxy gratuit et illimité de Cloudflare sur WireGuard, avec DNS 1.1.1.1 optionnel et routage via le réseau edge de Cloudflare. Avec un plan équipe Cloudflare Zero Trust, WARP devient l’agent d’un vrai réseau zero-trust avec politiques et tunnels vers des origines privées.
Pour la confidentialité pure sur téléphone, WARP est l’option gratuite la plus simple. Pour un accès mesh vers un Pi domestique, il faut regarder ailleurs.
Limite : pas de mesh peer-to-peer dans l’appli grand public. Les fonctions de type mesh demandent un plan Zero Trust.
Tarifs :
- Gratuit pour l’appli grand public.
- WARP+ ajoute des chemins routés via Argo.
- Plans Zero Trust pour les organisations (niveau gratuit jusqu’à 50 utilisateurs).
Plateformes : Android, iOS, Windows, macOS, Linux.
En bref : adapté quand « privé et rapide » prime sur « joindre mon Pi à la maison par son nom ».
4. NordVPN Meshnet, mesh dans un VPN grand public
NordVPN Meshnet est une fonction mesh rattachée à NordVPN. Connexion avec un compte NordVPN, activation de Meshnet : vos appareils forment un réseau privé joignable par nom. Le transfert de fichiers entre pairs meshnet fonctionne, et le service VPN plus large de NordVPN reste disponible si vous voulez chiffrer d’autres flux.
Produit propriétaire lié au système de comptes NordVPN. Pour celles et ceux qui paient déjà NordVPN, c’est un bonus utile. Pour un usage mesh seul, c’est excessif.
Limite : lié au compte NordVPN. Code fermé.
Tarifs :
- Gratuit avec un compte NordVPN ; le reste de NordVPN nécessite un abonnement.
Plateformes : Android, iOS, Windows, macOS, Linux.
En bref : pertinent si vous payez déjà NordVPN et voulez la mesh par-dessus.
5. Twingate, zero-trust pour petites équipes
Twingate vise les organisations plutôt que les labs domestiques. Modèle : un administrateur liste des « ressources » (serveurs, bases, applis web), assigne des groupes et les connecteurs Twingate relient ces ressources aux utilisateurs authentifiés. L’appli Android est le côté utilisateur. Pas de peer-to-peer entre appareils personnels ; pour emmener une petite équipe dans un réseau privé avec politiques, Twingate figure parmi les configurations les plus propres.
L’offre Starter gratuite couvre 5 utilisateurs et 10 ressources, largement suffisant pour tester.
Limite : pas de P2P entre appareils utilisateurs. Le modèle à connecteurs impose une petite installation réelle sur chaque réseau à joindre.
Tarifs :
- Gratuit jusqu’à 5 utilisateurs et 10 ressources.
- Offres payantes pour les organisations plus grandes.
Plateformes : Android, iOS, Windows, macOS, Linux, ChromeOS.
En bref : adapté quand une petite équipe a besoin d’un accès zero-trust à quelques services internes.
6. NetBird, alternative open source à Tailscale
NetBird est une mesh VPN open source très proche du modèle mental de Tailscale. Plan de données WireGuard, serveur de coordination auto-hébergeable ou version hébergée NetBird, politiques ACL et intégration SSO. Le client Android est open source et présent sur F-Droid. Pour l’expérience Tailscale sans Tailscale, NetBird est le plus proche.
Le niveau gratuit hébergé est généreux pour un usage personnel. L’auto-hébergement demande plus d’efforts que faire tourner Headscale.
Limite : communauté plus petite que Tailscale. Certaines fonctions avancées sont plus récentes et moins éprouvées.
Tarifs :
- Gratuit pour un usage personnel sur l’offre hébergée.
- Offres payantes pour les grandes équipes ; l’auto-hébergement open source complet est gratuit.
Plateformes : Android, iOS, Windows, macOS, Linux.
En bref : le bon choix si vous voulez du open source des clients jusqu’au plan de contrôle.
7. OpenZiti, réseau superposé centré sur l’identité
OpenZiti attaque le problème différemment. Chaque appareil, appli et utilisateur a une identité ; les politiques portent sur les identités, pas sur les IP. L’appli Android Ziti authentifie l’appareil ; les applis qui intègrent le SDK Ziti routent le trafic sur la mesh sans VPN système. Pour les développeurs qui intègrent le zero-trust dans un produit, Ziti est l’option la plus flexible ici.
C’est le modèle le plus complexe de la liste. Pour un Pi à la maison, Tailscale ou NetBird est plus rapide.
Limite : courbe d’apprentissage raide. Idéal lorsque vous maîtrisez les applis que vous connectez.
Tarifs :
- Gratuit, open source.
- Offre commerciale NetFoundry pour des déploiements managés.
Plateformes : Android, iOS, Windows, macOS, Linux.
En bref : adapté quand un accès conscient de l’identité vers des applis précises importe plus qu’un LAN virtuel plat.
Comment choisir
Si vous mettez en place un accès mesh pour la première fois, installez Tailscale. C’est le défaut pour une raison.
Si votre besoin est « confidentialité gratuite sur un Wi‑Fi hostile » plutôt que « joindre mon Pi », installez Cloudflare WARP.
Si vous voulez tout en open source du client au serveur de coordination, installez NetBird ou exécutez Headscale avec les clients Tailscale.
Si votre équipe a besoin d’un accès zero-trust aux services internes, installez Twingate.
Si vous avez besoin de la couche 2 ou faites déjà confiance à ZeroTier, restez sur ZeroTier.
Si vous payez déjà NordVPN, NordVPN Meshnet s’active sans surcoût.
Si vous construisez un produit et voulez un accès conscient de l’identité au niveau applicatif, regardez OpenZiti.
FAQ
Tailscale est-il la meilleure mesh VPN ?
Pour la plupart des utilisateurs, oui. La configuration prend quelques minutes, le niveau gratuit est généreux et le client Android est léger et doux pour la batterie. NetBird est l’alternative open source complète la plus proche.
Puis-je auto-héberger une mesh VPN ?
Oui. Headscale exécute le plan de contrôle Tailscale sur votre serveur. NetBird et OpenZiti fournissent des composants serveur pour l’auto-hébergement. ZeroTier propose aussi des contrôleurs auto-hébergés.
Une mesh VPN remplace-t-elle un VPN classique ?
Des objectifs différents. Un VPN grand public traditionnel route votre trafic via un fournisseur pour la confidentialité et le contournement géographique. Une mesh VPN relie vos appareils entre eux et à vos serveurs. Beaucoup d’installations combinent les deux.
Une mesh VPN vide-t-elle la batterie Android ?
Les mesh basées sur WireGuard (Tailscale, NetBird, NordVPN Meshnet) sont douces pour la batterie dans nos tests. Une mesh toujours active ajoute quelques points de pourcentage sur une journée. ZeroTier utilise un protocole dédié ; le comportement est comparable.
Puis-je utiliser une mesh VPN pour accéder à mon serveur multimédia domestique ?
Oui. Tailscale, NetBird et ZeroTier permettent d’atteindre un Jellyfin, Plex ou NAS auto-hébergé par son nom depuis n’importe quel téléphone ou portable sur votre mesh, sans ouvrir de ports sur le routeur.
