091 | VPN de malla DIY: Headscale y WireGuard autónomo

Cuando el control es lo más importante

Servicios como Tailscale y NetBird son convenientes, pero dependen de un servidor de gestión de terceros que se encarga de la autenticación, la distribución de claves y el intercambio de información de rutas. Para quienes, por motivos de seguridad o privacidad, no quieren confiar esa función a nadie, existen dos vías: Headscale y el WireGuard “puro”.

Headscale: Tu propio Tailscale

Headscale es una implementación completamente open-source del servidor de gestión de Tailscale. Permite desplegar tu propio análogo de Tailscale en tu VPS o servidor, utilizando los clientes oficiales de Tailscale.

Cómo funciona: Instalas Headscale en tu servidor y autorizas en él tus dispositivos. Headscale desempeña el mismo papel que los servidores de Tailscale:

1. Gestiona las claves de WireGuard.
2. Informa a los dispositivos sobre la disponibilidad entre ellos.
3. Proporciona traversía de NAT, para que los dispositivos puedan encontrarse incluso detrás de routers complejos.

Ventajas de Headscale:

• Control total: Posees todos los datos y las claves.
• Open-source: Puedes auditar el código y estar seguro de la ausencia de puertas traseras.
• Interfaz familiar (UI): Utilizas clientes de Tailscale cómodos y funcionales.
• Sin restricciones: No hay límites en la cantidad de dispositivos o usuarios.

Contras:

• Requiere disponer de un servidor propio.
• Requiere configuración inicial y mantenimiento.

WireGuard por tu cuenta: Minimalismo máximo

Si quieres renunciar completamente al servidor central de gestión y obtener control absoluto, puedes configurar WireGuard manualmente. Este es el enfoque más fundamental.

Cómo funciona: Necesitas, manualmente:

1. Generar un par de claves (privada y pública) para cada dispositivo.
2. Configurar los archivos de configuración en cada dispositivo, indicando las claves públicas de los demás dispositivos y sus direcciones IP.
3. Configurar reglas de firewall y enrutamiento en los routers para sortear el NAT.

Ventajas de WireGuard por tu cuenta:

• Independencia total: No hay servicios de terceros.
• Máximo rendimiento: No hay código extra, solo lo necesario para el túnel.
• Transparencia: Controlas completamente cada aspecto de tu red.

Contras:

• Complejidad: Requiere conocimientos profundos en tecnologías de red.
• Sin centralización: La gestión de claves y la incorporación de nuevos dispositivos es un proceso manual.
• Problemas con NAT: Eludir el NAT requiere herramientas adicionales (por ejemplo, hole-punching), lo que complica la configuración.

Conclusión

La elección entre Tailscale y soluciones “hazlo tú mismo” es una elección entre comodidad y control total. Tailscale ofrece una experiencia impecable para la mayoría de los usuarios. Sin embargo, para quienes desean ser dueños de su infraestructura, Headscale es el mejor compromiso, ofreciendo una interfaz conocida y control total. Y para los entusiastas más hardcore, que valoran la transparencia absoluta y el minimalismo, queda el WireGuard “puro”.

Con esto concluye nuestro ciclo de artículos sobre servicios VPN modernos. Esperamos que les haya ayudado a entender el concepto de redes en malla y a elegir la solución que mejor se adapte a ustedes.