Tailscale o ZeroTier: VPNs de malla para tu homelab
Tailscale y ZeroTier son las dos opciones más populares para conectar tu homelab desde fuera sin complicarte con port forwarding. Las probamos en un setup real y te contamos en qué se diferencian de verdad.
Tu homelab en casa, tú en cualquier parte
Tienes algo montado en casa que merece acceso remoto. Puede ser un Proxmox con unas cuantas VMs, un NAS lleno de backups o una Raspberry Pi haciendo de servidor de contraseñas. El problema llega cuando estás fuera, en una red que no controlas, o peor: cuando tu ISP te mete detrás de CGNAT y el típico port-forwarding del router ya no funciona.
Tailscale y ZeroTier prometen resolver exactamente eso, pero parten de filosofías distintas. Uno se apoya en WireGuard y te asigna IPs privadas limpias; el otro crea una red virtual a nivel Ethernet, como si todos tus cacharros estuvieran en el mismo switch aunque estén a kilómetros. Ambos suenan bien en el papel, y los dos tienen plan gratuito. La pregunta es cuál sobrevive a tu setup real: tu router de operadora, tu doble NAT y los dispositivos que no puedes tocar.
En este post cuento lo que aprendí probando los dos en mi propio homelab. Sin benchmarks inventados, con los casos en que cada uno flojea y con suficiente detalle técnico para que puedas decidir cuál montar esta tarde.
Por qué importa
Capa de red diferente
ZeroTier opera en capa 2 (Ethernet virtual); Tailscale en capa 3 (IP). Esto afecta broadcast, ARP y cómo se comportan tus servicios.
NAT y CGNAT cubiertos
Tailscale usa servidores DERP como fallback ante NAT simétrico o CGNAT. La ruta directa es lo normal; el relay es el plan B.
Dispositivos del plan gratis
Tailscale permite hasta 100 dispositivos; ZeroTier hasta 25. Verifica límites actuales en sus webs antes de decidir.
Control del plano de gestión
ZeroTier permite autoalojar el controlador de red. Para Tailscale existe Headscale, proyecto open-source independiente, no oficial.
Dos filosofías de red distintas
Tailscale y ZeroTier resuelven el mismo problema —acceder a máquinas de tu red local desde cualquier sitio— pero lo hacen con arquitecturas bastante diferentes. Entender esas diferencias te ahorra sorpresas cuando las despliegas en producción.
Tailscale opera en capa 3 (IP) y usa WireGuard como protocolo de cifrado y transporte. Cada nodo obtiene una dirección IP en el rango 100.x.x.x y se comunica directamente con el resto, como si estuvieran en la misma red virtual. WireGuard es conocido por su código compacto y su rendimiento; Tailscale lo usa como base y añade encima su propio sistema de coordinación de nodos.
ZeroTier opera en capa 2 (Ethernet virtual). Emula una red de área local completa, con broadcast, ARP y todo lo que eso implica. Usa su propio protocolo de red definida por software, no WireGuard. Esto le da más flexibilidad para ciertos casos de uso, pero también introduce la complejidad propia del broadcast en redes con muchos nodos.
Lo que cambia en la práctica
- Con Tailscale accedes a tus máquinas por IP o por hostname legible. Funciona como una VPN de malla sin cuello de botella en un servidor central.
- Con ZeroTier tus dispositivos aparecen como si fueran nodos de la misma Ethernet. Puedes hacer Wake-on-LAN remoto o usar protocolos que dependen de broadcast.
Instalación y primeros pasos
Los dos tienen clientes para Linux, macOS, Windows, iOS y Android. La experiencia de puesta en marcha es diferente en cada caso.
Con Tailscale: instalas el paquete, ejecutas tailscale up y autenticas con tu cuenta (Google, GitHub, Microsoft u OIDC propio). El nodo aparece en el dashboard con su IP en la red 100.x.x.x y ya está. No configuras enrutamiento manual.
Con ZeroTier: creas una red en ZeroTier Central (o en tu propio controlador autoalojado), instalas el cliente, ejecutas zerotier-cli join <network-id> y autorizas el nodo desde el panel. Un paso más, pero te da control granular sobre el rango de IPs que asignas a cada nodo.
En mi setup de Proxmox con varias VMs, lo más práctico con Tailscale ha sido instalar el cliente en el host y usar subnet routers para exponer toda la red interna sin tocar cada VM. Con ZeroTier la tendencia es instalarlo en cada nodo individual, porque la ventaja de capa 2 desaparece si no lo pones en los extremos reales.
Conectividad real: NAT, CGNAT y los relays
Aquí es donde las dos herramientas se parecen más de lo que parece, y también donde hay matices importantes.
Ambas intentan establecer conexiones peer-to-peer directas usando técnicas de hole-punching UDP. Cuando el NAT lo permite, los paquetes van de nodo a nodo sin pasar por ningún servidor intermedio. En redes domésticas con un router normal y una IP pública en el WAN, esto funciona bastante bien.
El problema llega con el CGNAT que usan muchos operadores de fibra y móvil. En ese caso el hole-punching falla y la conexión tiene que pasar por un relay. Tailscale tiene su propia infraestructura de relays llamada DERP (Designated Encrypted Relay for Packets). Aunque sea relay, el tráfico sigue cifrado de extremo a extremo; los servidores DERP solo ven paquetes opacos. Es el mecanismo de fallback —no la ruta habitual— y garantiza conectividad incluso con doble NAT o CGNAT a costa de algo más de latencia.
ZeroTier también tiene servidores de relay propios. El comportamiento ante CGNAT depende de si el hole-punching tiene éxito o no, lo que a su vez depende del ISP y del tipo de NAT que use.
¿Puedes confiar en el relay?
Que el relay exista no significa que tu tráfico sea legible para Tailscale o ZeroTier. Ambas cifran los datos antes de que salgan del cliente. Lo que sí implica es que en situaciones de relay:
- La latencia aumenta: el paquete hace un salto extra por un servidor externo
- El ancho de banda puede quedar limitado por la capacidad del servidor de relay
- Dependes de que esos servidores estén disponibles
Si quieres controlar el relay, Tailscale permite desplegar DERP servers propios. Con ZeroTier puedes autoalojar el controlador de red, aunque los relays de la red pública seguirán siendo de ZeroTier salvo que montes una infraestructura completamente privada.
Funcionalidades que marcan la diferencia
MagicDNS (Tailscale)
Tailscale asigna automáticamente hostnames legibles a cada nodo: proxmox.tu-red.ts.net, nas.tu-red.ts.net, etc. Accedes por nombre sin tocar tu DNS local ni editar /etc/hosts en cada máquina. Para un homelab con diez o quince máquinas es una comodidad real; dejas de necesitar una libreta de IPs.
Subnet routers (Tailscale)
Si tienes dispositivos que no pueden ejecutar el cliente —una impresora de red, un switch gestionado, una cámara IP— puedes usar un subnet router: una máquina con Tailscale instalado que actúa de puerta de entrada para toda una subred. Desde fuera accedes a 192.168.x.x como si estuvieras en casa, sin instalar nada en esos dispositivos.
Capa 2 y broadcast (ZeroTier)
La operación en capa 2 de ZeroTier permite cosas que Tailscale no puede hacer directamente:
- Wake-on-LAN remoto: el magic packet viaja por la red virtual como si estuvieras en la misma LAN física
- Protocolos dependientes de broadcast: sistemas de descubrimiento de red o automatización doméstica que no funcionan bien sobre IP puro
- Unir dos LANs en ubicaciones distintas: si quieres que compartan el mismo espacio de red, ZeroTier lo hace de forma más natural
La contrapartida es que el broadcast se propaga a todos los nodos de la red ZeroTier. En redes con muchos dispositivos activos puede generar tráfico de fondo no trivial; no es un problema para un homelab pequeño, pero vale la pena tenerlo en cuenta si la red crece.
Planes, límites y autoalojamiento
Los dos tienen planes gratuitos con límites de dispositivos. Los números exactos cambian; consulta siempre las páginas oficiales (tailscale.com/pricing y zerotier.com/pricing) para tener cifras actualizadas. Como referencia orientativa en el momento de escribir esto:
- Tailscale: hasta 100 dispositivos y 3 usuarios en el plan Personal gratuito
- ZeroTier: hasta 25 dispositivos en el plan gratuito
En cuanto al autoalojamiento del servidor de coordinación:
- Headscale es un servidor de coordinación compatible con el cliente de Tailscale, mantenido por la comunidad open-source. No es un producto de Tailscale Inc. y puede quedarse detrás de las últimas funcionalidades oficiales. Si no quieres depender de servidores externos, es la opción más madura disponible, pero asume que habrá diferencias de comportamiento respecto a la versión oficial.
- ZeroTier ofrece autoalojamiento del controlador de red como parte oficial del proyecto, con más respaldo en términos de soporte del propio equipo.
En ambos casos necesitas un servidor accesible desde internet (una VPS, un servidor con IP pública fija) y algo de mantenimiento. No es difícil, pero tampoco es cero esfuerzo.
Cuál usar según tu setup
No hay una respuesta universal. Depende de qué quieres hacer con tu homelab.
Elige Tailscale si:
- Tu caso principal es acceso remoto por SSH, panel web, SMB o similar
- Tienes dispositivos sin cliente (impresoras, switches, cámaras) y quieres exponerlos con subnet routers
- Valoras MagicDNS para no tener que recordar IPs de cada máquina
- Quieres algo que funcione sin meterte mucho en la configuración de red
Elige ZeroTier si:
- Necesitas Wake-on-LAN remoto o protocolos que dependen de broadcast o capa 2
- Quieres unir dos redes locales en ubicaciones distintas y que parezcan la misma LAN
- Prefieres autoalojar el controlador con soporte oficial del proyecto
- Tu número de dispositivos encaja holgadamente en el límite gratuito de 25 nodos
Si estás empezando con homelab y solo quieres acceso remoto limpio a tus máquinas, Tailscale tiene menos fricción. Si ya tienes experiencia con redes y necesitas comportamiento de LAN real entre ubicaciones o Wake-on-LAN remoto, ZeroTier da más control sobre la capa de red.
Preguntas frecuentes
Q: ¿Funciona Tailscale detrás de CGNAT sin tocar el router?
A: En la mayoría de casos sí, pero con matices: cuando no hay ruta directa peer-to-peer, Tailscale cae automáticamente a sus servidores DERP como relay. La conexión funciona, aunque con algo más de latencia. No es magia: es un fallback controlado, no la ruta normal.
Q: ¿Qué pasa si quiero acceder a un NAS sin cliente instalado?
A: Con Tailscale puedes usar un 'subnet router': un nodo de tu homelab actúa de puerta y enruta tráfico hacia dispositivos que no tienen el cliente. ZeroTier también lo permite, pero al operar en capa 2 el setup es más complejo y el broadcast puede dar sorpresas en redes con muchos dispositivos.
Q: ¿Cuántos dispositivos entran en el plan gratuito de cada uno?
A: Tailscale permite hasta 100 dispositivos y 3 usuarios en su plan gratuito; ZeroTier llega a 25 dispositivos. Ambos límites pueden cambiar, así que consulta siempre tailscale.com/pricing y zerotier.com/pricing antes de decidir.
Q: ¿Vale ZeroTier para reemplazar una VLAN en casa?
A: Al operar en capa 2 (Ethernet virtual), ZeroTier puede emular una LAN real con broadcasts y ARP, lo que lo hace tentador como sustituto de VLAN. El problema aparece en redes grandes: el tráfico de broadcast escala mal. Para un homelab pequeño funciona; para más de 10-15 nodos activos, hay que afinar la configuración.
Q: ¿Puedo autoalojar el servidor de coordinación de Tailscale?
A: El servidor oficial de Tailscale es propietario y no se puede autoalojar. Existe Headscale, una implementación open-source compatible, pero es un proyecto independiente, no un producto de Tailscale Inc. ZeroTier sí permite autoalojar su controlador de red oficialmente desde la propia web de ZeroTier.
Deja una respuesta