La mayoría de los montajes de «VPN autoalojada» se quedan en un único servidor WireGuard al que te conectas. Una VPN mesh es distinta: cada dispositivo habla directamente con todos los demás, peer-to-peer, y un servidor de coordinación solo intermedia las conexiones. Tailscale popularizó este modelo — pero su coordinador es propietario. NetBird es la respuesta para quien quiere la misma experiencia mesh con una pila open-source del agente al servidor, y totalmente autoalojable en un VPS que controlas.
Esta guía explica cómo funciona NetBird, qué implica realmente autoalojarlo, el coste y el mantenimiento honestos, y su posición frente a Tailscale y Headscale.
¿Qué es NetBird?
NetBird es una VPN mesh de superposición de código abierto construida sobre WireGuard para el plano de datos. Sus componentes:
- Agentes en cada dispositivo, estableciendo los túneles WireGuard.
- Un servidor de señal que intermedia el establecimiento peer-to-peer y la travesía de NAT.
- Un servidor de gestión con la configuración, los pares, los grupos y las políticas ACL.
- Un panel de administración.
- Un relé (TURN/coturn) como respaldo cuando dos pares no pueden conectarse directamente.
- Integración SSO/IdP (OIDC) — NetBird puede incluir Zitadel o conectarse a Authentik, Keycloak, Google, etc.
Toda la pila es de código abierto (github.com/netbirdio/netbird), ese es el punto clave: a diferencia de Tailscale, el servidor de coordinación en sí es software que puedes ejecutar.
Cómo se conectan realmente los pares
NetBird prioriza las conexiones peer-to-peer directas en WireGuard. El servidor de señal ayuda a dos agentes a descubrirse y a perforar el NAT; una vez conectados, el tráfico fluye directamente entre ellos — rápido y sin tocar tu servidor. Solo cuando ambos pares están tras NAT o cortafuegos restrictivos el tráfico recurre al relé TURN. Esa distinción importa para el dimensionado: el relé transporta la minoría del peor caso, no toda tu red. Para el contexto de WireGuard, consulta nuestra comparativa WireGuard vs OpenVPN.
Autoalojar NetBird en un VPS
La receta realista en 2026:
- Un VPS pequeño con IP pública. Un VPS Contabo S a 4,99 €/mes gestiona una mesh pequeña-mediana con holgura.
- Un nombre de dominio apuntando al VPS, con TLS vía Let's Encrypt.
- Docker Compose ejecutando el servidor de gestión, el servidor de señal, el panel y coturn.
- Un proveedor de identidad para el SSO — incluye Zitadel o conecta un OIDC externo.
# Solo esquema — sigue la documentación oficial de autoalojamiento de NetBird para los compose actuales
curl -fsSL https://github.com/netbirdio/netbird/releases/latest/download/getting-started-with-zitadel.sh -o install.sh
# revisa el script antes de ejecutarlo, luego:
export NETBIRD_DOMAIN=vpn.example.com
bash install.sh
Revisa siempre un script de instalación antes de ejecutarlo. Para un endurecimiento de VPS y una base paso a paso que también aplican aquí, consulta nuestra guía de instalación de VPS Contabo y el panorama mejor VPN autoalojada 2026.
El coste y el mantenimiento, con honestidad
- Coste directo: unos 60 €/año en un VPS Contabo S para una mesh pequeña-mediana — frente a una tarifa SaaS por usuario que sube con el equipo.
- Tiempo de instalación: unas horas, más que un simple servidor WireGuard por el IdP y el relé.
- Mantenimiento: actualizaciones de contenedores, renovación de certificados (muy automatizada) y vigilancia del ancho de banda del relé. NetBird tiene más componentes que un servidor WireGuard simple o una instalación Headscale ligera — ese es el precio de una plataforma integrada y totalmente propia.
- Madurez del proyecto: más joven y de comunidad más pequeña que Tailscale; muy activo, pero haz tu propia diligencia sobre la cadencia de versiones.
NetBird vs Tailscale vs Headscale
| NetBird (autoalojado) | Tailscale (SaaS) | Headscale (autoalojado) | |
|---|---|---|---|
| Plano de datos | WireGuard | WireGuard | WireGuard |
| Fuente del servidor | 100% open-source | Coordinador propietario | Reimplementación open-source |
| Clientes | Agentes NetBird | Tailscale oficiales | Tailscale oficiales |
| SSO/panel integrado | ✅ Sí | ✅ (gestionado) | ⚠️ Mínimo |
| Posees el plano de control | ✅ | ❌ | ✅ |
| Componentes a ejecutar | Más | Ninguno (gestionado) | Menos |
Para las dos opciones del lado Tailscale en detalle, consulta Tailscale vs Headscale autoalojado y nuestra guía de Headscale.
Veredicto
NetBird es la mejor opción cuando quieres una VPN mesh que posees de extremo a extremo, con SSO y ACLs integrados, y aceptas ejecutar unos contenedores. Si quieres la vía autoalojada más ligera y te valen los clientes oficiales de Tailscale, Headscale es más sobrio. Si no quieres autoalojar nada, el SaaS de Tailscale es el más fácil — pero entonces no posees el coordinador. Para los equipos centrados en la soberanía, NetBird en un VPS Contabo es la respuesta open-source más completa en 2026.
Comparativa editorial basada en la arquitectura open-source documentada de NetBird (plano de datos WireGuard, servidores de gestión/señal autoalojables, SSO OIDC, respaldo de relé TURN) y los modelos documentados de Tailscale y Headscale. Los costes son precios de VPS indicativos, no garantías. Los enlaces comerciales llevan el atributo rel="sponsored nofollow"; puede aplicarse una comisión de afiliación sin coste extra para ti.
★ Datacenter Núremberg GDPR · ✓ IPv4 dedicada incluida · 200+ Mbps garantizados
Aloja tu VPN en tu propio VPS → ContaboAcceso root completo · IPv4 pública · elige tu región→
