Tailscale

Cuando el control es lo más importante

Servicios como Tailscale y NetBird son convenientes, pero dependen de un servidor de gestión de terceros que se encarga de la autenticación, la distribución de claves y el intercambio de información de rutas. Para quienes, por motivos de seguridad o privacidad, no quieren confiar esa función a nadie, existen dos vías: Headscale y el WireGuard “puro”.

Headscale: Tu propio Tailscale

Headscale es una implementación completamente open-source del servidor de gestión de Tailscale. Permite desplegar tu propio análogo de Tailscale en tu VPS o servidor, utilizando los clientes oficiales de Tailscale.

Cuando una VPN Zero-config — no es solo Tailscale

Aunque Tailscale se ha convertido en el estándar de la simplicidad, no es el único actor en el campo de las VPN Zero-config. ZeroTier y NetBird ofrecen funcionalidad similar, pero con importantes diferencias arquitectónicas e ideológicas.

ZeroTier: conmutador Ethernet virtual

ZeroTier es uno de los servicios pioneros y más conocidos que implementan la idea de redes mesh. Funciona según el principio de una red local virtual. En lugar de depender del protocolo WireGuard, ZeroTier utiliza su propio protocolo y crea un conmutador L2 virtual (capa 2) que une todos los dispositivos en una única red local. Cada dispositivo recibe una dirección IP de la subred virtual y puede “ver” a otros dispositivos como si estuvieran conectados al mismo conmutador físico.

¿Qué es Tailscale?

Tailscale es un servicio VPN que se presenta como una VPN sin configuración (Zero-config). Utiliza el protocolo WireGuard para crear una red en malla protegida entre todos tus dispositivos. La diferencia clave respecto a otras soluciones es la simplicidad. En lugar de configurar manualmente túneles y gestionar claves, Tailscale hace todo el trabajo por ti. Solo necesitas instalar la aplicación en cada dispositivo y autenticarte.

¿Cómo funciona bajo el capó?

Cuando te autenticas, el cliente de Tailscale se comunica con el servidor de gestión (Control Plane). Este servidor, en esencia, es el “cerebro” de la red:

Evolución del acceso remoto

Los servicios VPN tradicionales, que la mayoría conocemos, funcionan según el principio “hub-and-spoke” (estrella). Esto significa que todo el tráfico desde el cliente hacia la red protegida pasa por un servidor central. Este enfoque tiene desventajas:

• Complejidad de configuración: Requiere configuración manual, reenvío de puertos y gestión de claves.
• Rendimiento: Todo el tráfico, incluso entre dos clientes remotos, debe pasar por el servidor central, lo que aumenta la latencia.
• Punto único de fallo: Si el servidor central falla, toda la red deja de funcionar.

La nueva concepción — Zero-config VPN — resuelve estos problemas utilizando una arquitectura de red mallada (mesh).