Categoría Descargas Software Programas
Categoría Descargas Software Programas

Tailscale

Tailscale – La VPN mesh de confianza cero que conecta todos tus dispositivos sin complicaciones

Descripción del programa Tailscale

Tailscale es una plataforma de conectividad segura basada en el protocolo WireGuard que crea una red mesh privada (tailnet) entre todos tus dispositivos, permitiéndoles comunicarse entre sí de forma cifrada y directa sin necesidad de configurar firewalls, abrir puertos o gestionar complejas VPNs tradicionales. Fundada por antiguos ingenieros de Google (incluyendo David Crawshaw, co-creador del paquete context de Go), la compañía se ha convertido en una de las soluciones más populares para homelabs, equipos remotos y entornos empresariales que buscan una alternativa moderna a las VPNs clásicas.

A diferencia de las VPNs tradicionales que enrutan todo el tráfico a través de un servidor central (modelo hub-and-spoke), Tailscale establece conexiones punto a punto (peer-to-peer) cifradas directamente entre dispositivos, siempre que sea posible. Esto se traduce en menor latencia, mayor velocidad y mejor privacidad, ya que los datos no pasan por intermediarios innecesarios.

Su principal fortaleza radica en la simplicidad de uso y la seguridad por diseño. El proceso de configuración se reduce a instalar el cliente, iniciar sesión con tu proveedor de identidad (Google, Microsoft, GitHub, o email/contraseña) y conectar dos o más dispositivos. Tailscale se encarga automáticamente del NAT traversal (atravesar routers y firewalls) utilizando STUN y servidores de coordinación, y gestiona la distribución segura de claves.

Tailscale resuelve el clásico problema de acceder remotamente a dispositivos en redes domésticas o corporativas sin tener que lidiar con IPs dinámicas, puertos bloqueados o certificados SSL. Una vez instalado, todos los dispositivos autenticados aparecen como si estuvieran en la misma red local, independientemente de su ubicación física real.

¿Necesitas conectar tu portátil, servidor casero y dispositivos móviles en una red privada segura sin pasar horas configurando VPNs?

Características clave de Tailscale

1. Cifrado WireGuard con conexiones directas P2P

Tailscale utiliza WireGuard como su protocolo subyacente, ampliamente reconocido por su seguridad, simplicidad y rendimiento superior en comparación con IPSec u OpenVPN. Las conexiones se establecen directamente entre dispositivos (peer-to-peer) siempre que sea posible, lo que elimina cuellos de botella y reduce la latencia. Las claves privadas nunca abandonan los dispositivos, garantizando que ni Tailscale ni ningún tercero pueda desencriptar el tráfico.

2. Configuración zero-trust y cero-configuración

El modelo de seguridad de Tailscale es Zero Trust (confianza cero): ningún dispositivo es confiable por defecto, y el acceso se concede basado en la identidad del usuario, no en la dirección IP. La configuración es igualmente sencilla: no necesitas escribir archivos de configuración, abrir puertos en el router ni conocer las IPs de otros dispositivos. Simplemente instalas Tailscale, inicias sesión y la red se forma automáticamente.

3. MagicDNS y Subnet Routers

MagicDNS es una característica que asigna nombres DNS legibles a cada dispositivo de tu tailnet (ej. servidor-casa.tailxxxx.ts.net), eliminando la necesidad de recordar direcciones IP. Los Subnet Routers permiten exponer redes enteras (no solo dispositivos individuales) a través de Tailscale, ideal para acceder a impresoras, NAS o dispositivos IoT que no pueden ejecutar el cliente directamente.

4. Multiplataforma y disponible en todas partes

Tailscale es compatible con una amplia gama de sistemas operativos y dispositivos:

  • Windows: Windows 10, 11, y Server 2016 o superior
  • macOS: Versiones modernas (con soporte nativo en App Store)
  • Linux: Todas las distribuciones principales (Debian, Ubuntu, RHEL, Fedora, etc.) mediante script o paquetes nativos
  • Raspberry Pi: Disponible para Pi OS (32 y 64 bits)
  • iOS/iPadOS/tvOS: App gratuita en la App Store
  • Android: Disponible en Google Play
  • Dispositivos de red: Synology NAS, QNAP, y routers con soporte WireGuard

5. Tailscale SSH y Funnel

Tailscale SSH reemplaza al SSH tradicional, permitiendo acceder a servidores sin exponer el puerto 22 a Internet y gestionando la autenticación a través de los mismos proveedores SSO de Tailscale. Tailscale Funnel (en beta) es la funcionalidad que permite exponer servicios web públicamente, similar a Cloudflare Tunnel o ngrok, aunque con limitaciones actuales en disponibilidad de plataformas.

6. Exit Nodes (Nodos de salida)

Puedes configurar un dispositivo como nodo de salida (exit node), enrutando todo el tráfico de Internet de otros dispositivos a través de él. Esto es útil para acceder a recursos de una red corporativa desde casa, o para navegar desde la IP de un servidor en otra ubicación geográfica.

7. ACLs y control de acceso granular

El panel de administración permite definir políticas de acceso (ACLs) basadas en etiquetas, grupos y usuarios. Puedes especificar qué dispositivos pueden comunicarse con cuáles, siguiendo el principio de mínimo privilegio.

Explicación detallada del funcionamiento

La arquitectura de Tailscale se compone de tres elementos principales:

1. El cliente (tailscaled): Un daemon que se ejecuta en cada dispositivo, implementando el protocolo WireGuard y gestionando las conexiones con otros peers. El cliente se comunica con el servidor de coordinación para obtener la lista de dispositivos autorizados y sus claves públicas.

2. El servidor de coordinación (Coordination Server): Un servicio central (gestionado por Tailscale o autoalojable con Headscale) que actúa como «directorio telefónico». No maneja el tráfico de datos, solo intercambia claves públicas y ayuda a los dispositivos a descubrirse mutuamente. Si el servidor de coordinación se cae, las conexiones existentes siguen funcionando, aunque no se pueden añadir nuevos dispositivos.

3. DERP relay servers: Cuando las conexiones directas P2P no son posibles (por ejemplo, detrás de CG-NAT o firewalls muy restrictivos), Tailscale recurre a servidores de retransmisión (DERP) que reenvían el tráfico cifrado. Este es un mecanismo de último recurso que garantiza la conectividad en cualquier condición de red.

El flujo de funcionamiento típico es el siguiente:

  1. El usuario instala Tailscale en sus dispositivos e inicia sesión con un proveedor de identidad (Google, Microsoft, GitHub, etc.).
  2. El cliente genera un par de claves WireGuard (pública/privada) y envía la clave pública al servidor de coordinación, asociándola a la identidad del usuario.
  3. Cuando un segundo dispositivo se autentica, el servidor de coordinación informa a ambos dispositivos de la existencia del otro y les proporciona las claves públicas necesarias.
  4. Los dispositivos intentan establecer una conexión directa WireGuard. Si tienen direcciones IP públicas o pueden atravesar NAT mediante STUN, la conexión es directa (P2P). Si no, utilizan un servidor DERP como relay.
  5. Una vez establecida la conexión, todos los dispositivos de la tailnet pueden comunicarse entre sí utilizando direcciones IP de la red 100.64.0.0/10 (IPv4) o direcciones IPv6 únicas.

Este diseño descentralizado elimina los cuellos de botella típicos de las VPNs tradicionales (donde todo el tráfico pasa por un único servidor), mejora la resiliencia y reduce la latencia.

Descarga e instalación de Tailscale

Windows (instalador estándar)

  • Requisito: Windows 10 o superior, Windows Server 2016 o superior
  • Descarga: Desde tailscale.com/download o desde la Microsoft Store
  • Instalación: Descarga el instalador .exe y ejecútalo. Tras la instalación, Tailscale se ejecutará como servicio de Windows.

Windows (WSL 2) – Avanzado

Si deseas ejecutar Tailscale dentro de WSL 2, ten en cuenta las siguientes consideraciones:

  • No se recomienda ejecutar Tailscale tanto en Windows host como dentro de WSL 2 simultáneamente, ya que los paquetes encapsulados pueden tener problemas de tamaño (MTU).
  • Las versiones actuales de WSL 2 tienen una MTU por defecto de 1280, insuficiente para Tailscale. El daemon tailscaled puede elevarla automáticamente a 1340 si detecta esta condición.
  • Para instalar dentro de WSL 2: curl -fsSL https://tailscale.com/install.sh | sh

Linux (todas las distribuciones)

La forma más sencilla es usar el script de instalación automática:

curl -fsSL https://tailscale.com/install.sh | sh

Distribuciones soportadas: Ubuntu, Debian, RHEL/CentOS/Fedora, Raspberry Pi OS, Amazon Linux, openSUSE/SLES, Oracle Linux, VMware Photon OS.

Para distribuciones sin soporte de paquetes, se ofrecen binarios estáticos:

tar xvf tailscale_<version>_<architecture>.tgz
sudo tailscaled --state=tailscaled.state

Iniciar Tailscale y autenticarse:

sudo tailscale up

Se mostrará una URL que debes abrir en tu navegador para autenticarte con tu proveedor de identidad. Una vez autenticado, el dispositivo aparecerá en tu tailnet.

Verificar la instalación:

tailscale ip      # Muestra las IPs Tailscale asignadas
tailscale status  # Muestra el estado de la conexión y otros dispositivos

macOS e iOS

  • macOS: Descarga desde la App Store (gratuita) o desde el sitio web oficial
  • iOS/iPadOS/tvOS: Disponible en la App Store, requiere iOS 15.0 o superior

Raspberry Pi

Para Raspberry Pi OS (Bullseye o superior):

sudo apt-get install apt-transport-https
curl -fsSL https://pkgs.tailscale.com/stable/raspbian/bullseye.noarmor.gpg | sudo tee /usr/share/keyrings/tailscale-archive-keyring.gpg > /dev/null
curl -fsSL https://pkgs.tailscale.com/stable/raspbian/bullseye.tailscale-keyring.list | sudo tee /etc/apt/sources.list.d/tailscale.list
sudo apt-get update
sudo apt-get install tailscale
sudo tailscale up

Configuración básica y primeros pasos

Paso 1: Crear una cuenta
Ve a login.tailscale.com y regístrate usando tu proveedor de identidad preferido (Google, Microsoft, GitHub, o email/contraseña). No necesitas proporcionar datos de pago para el plan gratuito (hasta 3 usuarios y 100 dispositivos).

Paso 2: Instalar Tailscale en tus dispositivos
Descarga e instala Tailscale en cada dispositivo que quieras conectar (ordenador, portátil, móvil, servidor, Raspberry Pi, etc.) siguiendo las instrucciones de la sección anterior.

Paso 3: Autenticar cada dispositivo
En cada dispositivo, ejecuta tailscale up (o abre la aplicación). Se abrirá una ventana del navegador para que inicies sesión con tu cuenta. Tras autenticarte, el dispositivo se añadirá automáticamente a tu tailnet.

Paso 4: Acceder a tus dispositivos
Una vez autenticados, todos los dispositivos aparecerán en el panel de administración (admin console). Puedes acceder a cada dispositivo usando su MagicDNS: nombre-dispositivo.tailxxxx.ts.net o directamente su IP Tailscale (rango 100.64.0.0/10).

Paso 5: Configurar un Subnet Router (opcional)
Si quieres acceder a dispositivos en tu red local que no pueden ejecutar Tailscale (impresoras, NAS, cámaras IoT), configura un Subnet Router:

tailscale up --advertise-routes=192.168.1.0/24

Luego, en el panel de administración, aprueba las rutas anunciadas.

Paso 6: Configurar un Exit Node (opcional)
Para enrutar todo el tráfico de Internet a través de un dispositivo específico:

tailscale up --advertise-exit-node

Luego, desde otros dispositivos, puedes activar el uso del exit node con tailscale up --exit-node=nombre-dispositivo.

Paso 7: Deshabilitar expiración de clave (para servidores)
Para dispositivos que deben estar siempre conectados (servidores, Raspberry Pi), desactiva la expiración de clave desde el panel de administración (Machines > Disable key expiry) para evitar tener que reautenticar periódicamente.

Casos de uso y aplicaciones prácticas

Homelab y acceso remoto: Accede a tu servidor Plex, NAS, o estación de trabajo desde cualquier lugar, como si estuvieras en casa. La latencia es mínima gracias a las conexiones P2P.

Trabajo remoto y VPN empresarial: Conecta empleados remotos a recursos internos sin necesidad de configurar VPNs tradicionales complejas. Tailscale se integra con proveedores SSO existentes (Okta, Azure AD, Google Workspace) y soporta MFA.

Entornos multi-cloud: Conecta instancias en AWS, GCP, Azure y servidores on-premise en una única red privada, simplificando la comunicación entre microservicios y bases de datos.

IoT y dispositivos edge: Gestiona y monitoriza miles de dispositivos distribuidos (sensores, Raspberry Pi, gateways) desde un único panel de control.

CI/CD y pipelines de desarrollo: Asegura el acceso a runners y workloads en pipelines de integración continua sin exponer puertos a Internet.

Limitaciones y consideraciones importantes

Limitaciones del plan gratuito

  • Hasta 3 usuarios por tailnet
  • Hasta 100 dispositivos
  • Funcionalidades completas (incluyendo ACLs, Subnet Routers, MagicDNS)

Tailscale vs. Cloudflare Tunnel: ¿cuál elegir?

Según análisis de usuarios, Tailscale y Cloudflare Tunnel resuelven problemas diferentes:

CaracterísticaTailscaleCloudflare Tunnel
Propósito principalRed privada entre dispositivosExposición pública de servicios
AccesoRequiere autenticación en la tailnetAcceso público (sin autenticación)
Caso de uso idealAcceso remoto a servidores, homelab, trabajo remotoPublicar sitios web, APIs, servicios públicos
CGNAT/redes restrictivasFunciona (usa DERP relay si es necesario)Funciona perfectamente (conexión saliente)
Instalación para visitantesNecesitan instalar TailscaleSolo necesitan un navegador

Conclusión de la comparativa: Si necesitas exponer un servicio públicamente (como un sitio web accesible desde cualquier navegador sin autenticación), Cloudflare Tunnel es más adecuado. Si necesitas acceso privado y seguro a tus dispositivos (como un homelab o servidor remoto), Tailscale es superior.

Observaciones sobre el programa Tailscale

Frente a otras VPNs tradicionales como OpenVPN, WireGuard estándar o ZeroTier, Tailscale destaca por su experiencia de usuario pulida y su gestión de identidad centralizada. Mientras que WireGuard puro requiere generar manualmente claves, configurar peers y gestionar rutas, Tailscale automatiza todo este proceso.

Para el usuario de homelab, el beneficio es inmediato: en menos de 5 minutos puedes tener conectados tu portátil, servidor en casa y móvil, accediendo a todos como si estuvieran en la misma LAN. No necesitas saber qué es una IP pública, ni cómo abrir puertos, ni qué es DDNS. Tailscale maneja todo automáticamente.

Tailscale es software comercial con un modelo freemium. El plan gratuito es generoso (3 usuarios, 100 dispositivos) y suficiente para la mayoría de usuarios domésticos y pequeños equipos. Para empresas, existen planes de pago que añaden características como auditoría, SCIM, y soporte prioritario.

El código del cliente es de código abierto, pero el servidor de coordinación es propiedad de Tailscale Inc. Existe una alternativa autoalojable de código abierto llamada Headscale, que implementa el mismo protocolo y es compatible con los clientes oficiales de Tailscale.

El desarrollo de Tailscale es muy activo. La compañía lanza nuevas versiones frecuentemente, añadiendo funcionalidades como Tailscale Funnel (exposición pública), Tailscale SSH (gestión de claves SSH), y mejoras en rendimiento y seguridad. La comunidad es grande y hay documentación extensa disponible.

Alternativas recomendadas

Headscale: Implementación de código abierto del servidor de coordinación de Tailscale. Ideal para quienes quieren autoalojar completamente su infraestructura sin depender de los servidores de Tailscale Inc. Es compatible con los mismos clientes de Tailscale.

ZeroTier: Alternativa similar a Tailscale pero con una arquitectura diferente. ZeroTier crea una red Ethernet virtual (Capa 2) mientras que Tailscale opera en Capa 3. ZeroTier también tiene un plan gratuito generoso.

Netbird: Solución de código abierto similar a Tailscale, con servidor autoalojable y cliente multiplataforma. Menos conocida pero en crecimiento.

WireGuard puro: Si prefieres control total y no te importa la complejidad, puedes configurar WireGuard manualmente. Es el protocolo subyacente de Tailscale, pero sin la capa de gestión y autenticación.

Sección FAQ

¿Tailscale es gratis o de pago?

Tailscale tiene un plan gratuito que incluye hasta 3 usuarios y 100 dispositivos, suficiente para la mayoría de usuarios domésticos y pequeños equipos. Para empresas y necesidades avanzadas, existen planes de pago (Starter, Business, Enterprise) que añaden características como SCIM, auditoría, y soporte prioritario.

¿Funciona en Linux, macOS, Windows 10 y Windows 11?

Sí, Tailscale es multiplataforma. Funciona en Windows 10/11, macOS (desde App Store), Linux (todas las distribuciones principales), iOS/iPadOS, Android, Raspberry Pi, y dispositivos de red como Synology NAS.

¿Qué diferencia a Tailscale de una VPN tradicional?

Las VPNs tradicionales (como OpenVPN o IPSec) utilizan un modelo hub-and-spoke (concentrador-radios): todo el tráfico pasa por un servidor central, creando un cuello de botella. Tailscale utiliza una mesh P2P: los dispositivos se conectan directamente entre sí, eliminando intermediarios, reduciendo latencia y mejorando la privacidad. Además, Tailscale configura automáticamente el NAT traversal, mientras que las VPNs tradicionales a menudo requieren abrir puertos manualmente.

¿Cómo accedo a un dispositivo en mi Tailscale desde fuera?

Simplemente instalas Tailscale en ambos dispositivos, los autenticas con la misma cuenta, y luego puedes acceder desde uno al otro usando su MagicDNS (ej. nombre-dispositivo.tailxxxx.ts.net) o su IP Tailscale (rango 100.64.0.0/10). No necesitas configurar reenvío de puertos ni DDNS.

¿Qué ha pasado con el desarrollo de Tailscale?

Tailscale está en desarrollo muy activo. La compañía fue fundada en 2019 y ha recibido múltiples rondas de financiación. Lanzan nuevas versiones frecuentemente, añadiendo funcionalidades como Tailscale Funnel, Tailscale SSH, mejoras en rendimiento, y soporte para más plataformas. El roadmap incluye más características de seguridad y gestión empresarial.

Descargas