Esta semana XDA publicó un artículo sobre cómo eludir el muro de pago de transmisión remota de Plex con Tailscale, y el hilo de comentarios instantáneamente se convirtió en algo más: una larga lista de usuarios frustrados por los cambios silenciosos de Tailscale. El límite de dispositivos reducido del plan gratuito, la forma en que la autenticación canaliza nuevas cuentas hacia proveedores de SSO y el aumento de precio para una asiento pagado han impulsado un flujo constante de usuarios de laboratorios caseros y equipos pequeños a comenzar a buscar. La buena noticia es que la categoría de mesh-VPN ha madurado mucho, y varias alternativas a Tailscale están verdaderamente listas para producción en Windows, macOS y Linux.
Probamos 7 alternativas a Tailscale en un pequeño laboratorio (escritorio Windows, MacBook Apple Silicon y dos nodos Linux) con los casos de uso que la gente realmente ejecuta: SSH remoto, recursos compartidos de archivos, servidores multimedia auto-hospedados e instancias de Plex detrás de CGNAT. Cada opción se evaluó en tiempo de configuración, confiabilidad del recorrido NAT, opciones de identidad y costo de ejecutar un despliegue real en lugar de una demostración.
Comparación rápida
| Aplicación | Mejor para | Plan gratuito | Precio inicial | Característica destacada |
|---|---|---|---|---|
| NetBird | Mesh de código abierto estilo Tailscale con opción hospedada | Sí (5 usuarios auto-hospedados ilimitados) | Plan de pago por usuario | Paridad de auto-hospedaje nativa con UI SaaS |
| ZeroTier | Superposición multiplataforma con red virtual de capa 2 | Sí (hasta 10 nodos) | Plan de pago por usuario | Emulación de capa 2 para aplicaciones LAN heredadas |
| Headscale | Plano de control auto-hospedado para cliente Tailscale | Sí (gratis, solo auto-hospedado) | Gratis | Reemplazo directo del coordinador Tailscale |
| Nebula | Mesh VPN de código abierto de Slack enfocado en escala | Sí (gratis, solo auto-hospedado) | Gratis | Probado en combate en miles de nodos |
| Cloudflare Zero Trust | Túneles conscientes de la identidad para equipos ya en Cloudflare | Sí (hasta 50 usuarios) | Plan de pago por usuario | Sin cliente necesario para servicios HTTP |
| Twingate | Acceso remoto de confianza cero con UX basada en políticas | Sí (hasta 5 usuarios) | Plan de pago por usuario | Políticas a nivel de recurso en lugar de subredes amplias |
| WireGuard | Túnel DIY entre dos puntos finales conocidos | Sí (gratis, auto-hospedado) | Gratis | Menor superficie de ataque y módulo de kernel en el que se construye todo |
Por qué la gente deja Tailscale
El plan gratuito todavía funciona para la mayoría de configuraciones personales, pero las reglas a su alrededor cambiaron en silencio. Los proveedores de identidad se convirtieron temporalmente en el único camino hacia una cuenta nueva, lo que molestó a los usuarios que simplemente querían un inicio de sesión local para un servidor doméstico. El límite de dispositivos en Personal se redujo, luego se restauró parcialmente, luego se agrupó con Personal Plus, y la mensajería ha sido lo suficientemente confusa como para que varios hilos de Reddit hayan estado persiguiendo lo que cuenta como un “dispositivo” todo el año.
También está la dependencia de SaaS. El plano de datos de Tailscale se ejecuta sobre WireGuard entre compañeros, pero el plano de control es hospedado, lo que significa que el intercambio de claves y la política de acceso residen en los servidores de Tailscale. Para un laboratorio casero eso está bien. Para un despliegue desconectado del aire o vinculado al cumplimiento, no es una opción de inicio, y el único escape es Headscale, que Tailscale respalda pero no vende.
El precio es el tercer punto de presión. El salto del gratuito al primer nivel pagado es pronunciado para una tienda de consultoría de dos personas, y el nivel Personal Plus se sienta incómodamente entre el plan gratuito y el SKU del equipo. Varios equipos pequeños nos dijeron que se trasladaron de Tailscale no porque el producto fuera malo sino porque la opción no gratuita más barata costaba más que auto-hospedarse NetBird o ZeroTier en un VPS de $5.
Las 7 mejores alternativas a Tailscale para escritorio
NetBird — mejor clon de código abierto de Tailscale
NetBird es lo más cercano a Tailscale que puedes auto-hospedarse completamente sin sacrificar la consola web pulida. La arquitectura refleja la división de Tailscale entre un plano de control (SignalServer y Management) y un plano de datos WireGuard, y los clientes de escritorio en Windows, macOS y Linux se ven y se comportan como esperan los usuarios de Tailscale. El plan hospedado existe para equipos que no quieren ejecutar el plano de control por sí mismos, y la compilación auto-hospedada es exactamente el mismo código.
Dónde se queda corto: SCIM y auditoría de registros se encuentran en el plan hospedado pagado, lo que importa si los necesita para cumplir. El recorrido NAT es sólido en la mayoría de los casos, pero los NAT simétricos ocasionalmente todavía retroceden al relé.
Precios:
- Gratis: 5 iguales en el plan hospedado, ilimitado en auto-hospedado
- Pagado: tarifa por usuario por mes en el plan Business hospedado
- vs Tailscale: más barato a escala, y el auto-hospedaje es el mismo producto, no una variante despojada
Descargar: netbird.io
Resumen: Elige NetBird si quieres la experiencia de Tailscale sin renunciar a la opción de auto-hospedarse en tu propio VPS.
ZeroTier — mejor superposición gratuita para aplicaciones LAN heredadas
ZeroTier es anterior a Tailscale por años y adopta un enfoque diferente: emula un Ethernet virtual en la capa 2, lo que significa que el software que espera transmisión LAN (recursos compartidos de archivos antiguos, algunos servidores de juegos, ciertos puentes de automatización del hogar) funciona como lo haría en un conmutador real. El plan gratuito cubre hasta 10 nodos por red y 1 red por controlador, lo que es suficiente para la mayoría de laboratorios caseros y equipos dev pequeños.
Dónde se queda corto: La UI de escritorio es funcional pero envejecida junto a Tailscale. El rendimiento en enlaces de alta latencia es bueno para SSH y transferencia de archivos pero se queda atrás de los malla basados en WireGuard para el rendimiento puro.
Precios:
- Gratis: hasta 10 nodos por red, redes ilimitadas para uso personal
- Pagado: plan Business por asiento
- vs Tailscale: más barato para redes pequeñas de una sola vez, más flexible para casos de uso de capa 2
Descargar: zerotier.com
Resumen: Elige ZeroTier si tienes una aplicación que asume una LAN plana, o si 10 nodos en un plan gratuito es realmente todo lo que necesitas.
Headscale — mejor reemplazo auto-hospedado para el plano de control Tailscale
Headscale es una reimplementación de código abierto del servidor de coordinación de Tailscale. Los clientes de Tailscale en Windows, macOS y Linux aún se conectan, la semántica de enrutamiento y ACL siguen siendo válidas, y conservas las aplicaciones pulidas sin dependencia de SaaS. Para equipos que ya confían en el cliente de Tailscale pero quieren control total sobre la identidad y la política, este es el escape más limpio.
Dónde se queda corto: Sin GUI para gestionar nodos de forma predeterminada. La comunidad ha creado interfaces web, pero la superficie oficial es la CLI. La sintaxis ACL sigue el HuJSON de Tailscale, que es poderoso pero tiene una curva de aprendizaje.
Precios:
- Gratis: código abierto, sin tarifas de licencia
- Pagado: nada, más allá del VPS que ejecutas
- vs Tailscale: gratis en cualquier cantidad de nodos, con la compensación de que operas el plano de control
Descargar: github.com/juanfont/headscale
Resumen: Elige Headscale si te gusta el cliente de Tailscale y quieres mantenerlo, pero no puedes o no dependerás de los servidores hospedados de Tailscale.
Nebula — mejor mesh VPN construido para escala
Nebula salió de Slack y fue construido para el número de nodos que el propio Slack ejecutaba. El modelo de identidad basado en certificados y el enfoque en la política de host a host lo hacen más adecuado para flotas de servidores que para un usuario de escritorio que arrastra una computadora portátil entre cafeterías. El rendimiento es excelente en Linux, y los clientes de macOS y Windows se han puesto al día durante el año pasado.
Dónde se queda corto: La configuración es más complicada que Tailscale o NetBird. Generas una CA, firmas certificados de host y editas YAML. No hay plano de control hospedado en el que confiar, y la historia de UI es “usa la CLI”.
Precios:
- Gratis: código abierto, sin tarifas de licencia
- Pagado: nada, más allá de la infraestructura que ejecutas
- vs Tailscale: gratis y más rápido en Linux, más difícil de empezar
Descargar: github.com/slackhq/nebula
Resumen: Elige Nebula si estás conectando servidores juntos a escala y quieres una malla que ha sido probada en combate en uno de los despliegues más grandes en la naturaleza.
Cloudflare Zero Trust — mejores túneles conscientes de la identidad para equipos
Cloudflare Zero Trust (anteriormente Cloudflare Access plus Tunnel) aborda el problema desde el lado de la aplicación en lugar del lado de la red. En lugar de una malla entre todos los compañeros, publicas servicios individuales a través de un túnel de Cloudflare, luego coloca identidad y política frente a cada uno. Para servicios HTTP, los usuarios no instalan un cliente en absoluto, lo que es la respuesta correcta para equipos que tienen que soportar contratistas y socios.
Dónde se queda corto: No es una malla peer-to-peer. El tráfico pasa por el borde de Cloudflare, que está bien para aplicaciones de navegador pero agrega latencia para el uso de estilo SSH. El plan gratuito limita a los usuarios a 50 pero comienza a limitar las características que los equipos pequeños realmente usan.
Precios:
- Gratis: hasta 50 usuarios
- Pagado: plan Standard por usuario
- vs Tailscale: mejor para servicios HTTP y aplicaciones orientadas al cliente, más débil para redes de escritorio de propósito general
Descargar: cloudflare.com
Resumen: Elige Cloudflare Zero Trust si la mayoría de tus recursos compartidos son aplicaciones web o API y quieres acceso solo del navegador sin un cliente VPN en cada dispositivo.
Twingate — mejor acceso remoto basado en políticas
Twingate está más cerca de Tailscale en forma pero se basa más en la política a nivel de recurso. En lugar de otorgar acceso a una subred /24, otorgas acceso a un recurso específico por nombre, con condiciones en atributos del proveedor de identidad, postura del dispositivo y tiempo. Para equipos de operaciones que tienen que satisfacer auditores, esto se asigna limpiamente a los controles SOC 2.
Dónde se queda corto: Sin opción de auto-hospedaje. El plan gratuito limita a los usuarios a 5 y limita el conteo de recursos, que funciona para un proyecto secundario pero no para un equipo real. Los conectores requieren infraestructura en ambos extremos.
Precios:
- Gratis: hasta 5 usuarios, 2 redes
- Pagado: plan de equipos por usuario
- vs Tailscale: modelo de política más estricto, sin escape de auto-hospedaje
Descargar: twingate.com
Resumen: Elige Twingate si necesitas política de recursos nombrados y acceso consciente de la identidad para un equipo pequeño, y no te importa que el plano de control sea hospedado.
WireGuard — mejor túnel DIY entre puntos finales conocidos
WireGuard es el protocolo que impulsa la mayoría de las aplicaciones anteriores. Usado directamente, es la opción más económica de la lista: nivel de kernel en Linux, rápido en Windows y macOS, con un archivo de configuración por compañero y nada más para ejecutar. Sin UI y sin servicio de coordinación. Manejas el intercambio de claves tú mismo, generalmente a través de scp o una herramienta de configuración.
Dónde se queda corto: Sin recorrido NAT. Sin descubrimiento. Sin identidad. Si quieres agregar o rotar un compañero, editas la configuración de todos los demás compañeros. Esto está bien para dos o tres puntos finales; se cae en quince.
Precios:
- Gratis: código abierto, sin tarifas de licencia
- Pagado: nada
- vs Tailscale: superficie más pequeña y sobrecarga más baja, sin gestión de malla
Descargar: wireguard.com
Resumen: Elige WireGuard crudo si tienes un conjunto fijo de puntos finales, te gusta editar archivos de configuración y quieres la menor superficie de ataque posible.
Cómo elegir
Elige NetBird si quieres la experiencia diaria de Tailscale y la opción de auto-hospedarte sin perder la consola web. Es el intercambio más directo.
Elige Headscale si tu equipo ya está cómodo con el cliente de Tailscale y lo único que te empuja es la dependencia de los servidores de Tailscale.
Elige ZeroTier si necesitas una LAN virtual para una aplicación que espera transmisión, o si 10 nodos en un plan gratuito es realmente todo lo que necesitas.
Elige Cloudflare Zero Trust si la mayoría de lo que compartes es HTTP y quieres acceso solo del navegador para contratistas.
Elige Twingate si tienes auditores preguntando sobre políticas de recursos nombrados y postura del dispositivo.
Mantente en Tailscale si tu equipo es pequeño, tus nodos son en su mayoría dispositivos personales y el precio del nivel Personal Plus se ajusta a tu presupuesto. El producto sigue siendo el más fácil de configurar, y el pulido importa cuando tienes que incorporar usuarios no técnicos.
FAQ
¿Es NetBird realmente una alternativa a Tailscale o solo un fork?
NetBird es una base de código separada que llega a una forma similar porque ambos productos se sientan encima de WireGuard. Los clientes no son de Tailscale, el plano de control no es de Headscale, y la compilación auto-hospedada incluye la misma consola web que el plan hospedado.
¿Puedo ejecutar clientes de Tailscale con Headscale?
Sí. Headscale implementa la API de coordinación de Tailscale, por lo que los clientes oficiales de Tailscale en Windows, macOS, Linux, iOS y Android se conectan a un servidor Headscale de la misma manera que se conectan al plano de control hospedado. Los apuntas a tu URL de servidor durante el inicio de sesión.
¿Es ZeroTier más lento que Tailscale?
El rendimiento es ampliamente comparable para transferencias uno a uno. Tailscale tiende a ganar en streaming puro estilo WireGuard, ZeroTier tiende a ganar en aplicaciones que necesitan transmisión de capa 2. Para SSH, transferencia de archivos y transmisión de medios en una red doméstica, ambos se sienten igual en el uso normal.
¿Cuál es la alternativa a Tailscale más barata para un equipo pequeño?
Para tres a cinco usuarios, el plan gratuito de Cloudflare Zero Trust cubre más características de identidad que cualquiera de los otros. Para redes de malla en el mismo presupuesto, auto-hospedarse NetBird en un VPS pequeño resulta más barato que cualquier nivel pagado de Tailscale.
¿Puedo ejecutar una mesh VPN auto-hospedada detrás de CGNAT?
Sí, con un nodo de relé en un VPS con IP pública. NetBird y Headscale incluyen lógica de relé. Nebula necesita un faro en IP pública. WireGuard por sí solo no cruzará CGNAT sin un compañero alcanzable públicamente.