¿Es Headscale realmente compatible con los clientes oficiales de Tailscale?

Sí — Headscale reimplementa la API del control plane de Tailscale, por lo que los clientes oficiales de iOS, macOS, Linux, Windows y Android pueden apuntar a tu instancia Headscale sobreescribiendo la URL del login server (`tailscale login --login-server=https://headscale.tudominio.com`). Sin fork del cliente, sin binario parcheado. Tailscale Inc. no soporta oficialmente Headscale pero tolera su existencia desde 2022.

¿Cuál es la diferencia real de latencia entre Tailscale DERP y Headscale auto-alojado?

En nuestro benchmark Contabo Frankfurt → MacBook París en junio 2026: Tailscale DERP público fr-par1 = 18 ms de RTT promedio. Headscale + DERP custom en el mismo VPS Contabo = 14 ms de RTT promedio (ruta más directa, sin hop intermedio). Túnel directo (NAT traversal exitoso): ~12 ms en ambos casos. La diferencia solo aparece en el relay fallback; en túneles directos es idéntico porque el data plane sigue siendo WireGuard.

¿Headscale soporta MagicDNS, ACLs y exit nodes como Tailscale?

ACLs JSON: sí, formato 100% compatible con Tailscale desde v0.22. Exit nodes: sí, sin límite (vs 1 incluido en Tailscale Free). MagicDNS: soportado desde v0.23 pero la resolución `nombre-maquina.ts.net` debe configurarse manualmente en el lado del servidor DNS — no hay auto-config mágica como en el SaaS. Taildrop (compartir archivos): sí. Tailscale SSH con grabación de sesión: no, es una funcionalidad Premium que permanece en el SaaS Tailscale.

¿Cuál es el TCO a 3 años de Tailscale Premium vs Headscale + Contabo?

Para 10 usuarios / 30 nodos: Tailscale Premium = 18 $/usuario/mes × 10 × 36 = 6.480 $. Headscale + Contabo VPS S Frankfurt = 4,99 €/mes × 36 = 180 € + setup 12 h (~600 €) + mantenimiento 1,5 h/mes × 36 = 54 h (~2.700 €) = ~3.480 €. Break-even en torno a 7 usuarios si el sysadmin cuesta 50 €/h, a 4 usuarios si cuesta 100 €/h.

¿Cuáles son las limitaciones de Headscale que no se leen en GitHub?

Tres problemas reales en producción: 1) no hay consola web oficial (es necesario headscale-ui de terceros, que sigue en estabilización); 2) las plantillas ACL de Tailscale (grupos, tags) funcionan, pero el linting en el lado del servidor es menos verboso — un fichero ACL inválido puede fallar silenciosamente; 3) no hay soporte OIDC estándar out-of-the-box en todos los proveedores (Authentik y Keycloak funcionan bien, Auth0 requiere ajustes). El resto es sólido.

Tailscale vs Headscale: SaaS gestionado o control plane self-host (2026)

Divulgación de afiliados — Este artículo contiene enlaces de afiliado de Contabo. Si contratas un VPS a través de ellos, recibimos una comisión sin coste extra para ti. Solo documentamos lo que ejecutamos en producción en nuestros propios VPS.

El mesh VPN explotó en 2026. WireGuard se convirtió en el estándar de facto, Tailscale superó los 5 millones de dispositivos activos, y la comunidad self-host llevó Headscale a un nivel de madurez que no deja ninguna excusa para seguir atado a un SaaS cuando la soberanía importa. Si buscas "tailscale vs headscale", probablemente estás dudando entre la comodidad gestionada y el control total — esta comparativa lo resuelve, basándose en un despliegue real de Headscale en un Contabo VPS Frankfurt desde febrero de 2026, y 14 meses de Tailscale en paralelo antes de la migración.

El data plane es idéntico en ambos casos: WireGuard. Toda la diferencia está en el control plane — quién orquesta las claves, las ACLs, el NAT traversal, y quién posee los metadatos de tu mesh. Esa distinción lo cambia todo: coste, latencia, vendor lock-in y postura de cumplimiento normativo.

Tailscale: arquitectura gestionada

Tailscale es un control plane SaaS sobre WireGuard. Cuando instalas el cliente, hace tres cosas:

Se autentica contra el coordinator Tailscale (login.tailscale.com).
Recupera la lista de pares autorizados + sus claves públicas WireGuard.
Intenta una conexión directa peer-to-peer vía WireGuard. Si el NAT la bloquea, hace fallback a un relay DERP (TCP/443) gestionado por Tailscale Inc.

El coordinator SaaS

El coordinator es el orquestador. Nunca ve tus claves privadas WireGuard — se generan localmente y permanecen locales. Solo distribuye claves públicas y mappings de IP. Superficie de ataque real: si el coordinator se compromete, un atacante puede inyectar un par fantasma en tu mesh. Tailscale publica un threat model detallado y se somete a auditorías periódicas.

DERP — Designated Encrypted Relay for Packets

Cuando dos pares detrás de NAT simétricos no pueden establecer un túnel directo (aproximadamente el 5–10 % de los casos en producción residencial/4G), Tailscale relaya el tráfico cifrado a través de una red de servidores DERP distribuida mundialmente (lista DERP oficial). Sigue siendo WireGuard cifrado de extremo a extremo; Tailscale Inc. no puede descifrarlo. Pero los metadatos de red (quién habla con quién, cuándo, cuánto) transitan por su infraestructura.

MagicDNS, ACLs, MFA SSO

MagicDNS: resolución maquina.tu-tailnet.ts.net en todo el mesh, sin configuración DNS manual.
ACLs JSON declarativas: quién puede hablar con quién, en qué puertos. Compiladas en reglas iptables.
MFA + SSO SAML/OIDC en los planes Premium y Enterprise (Google Workspace, Okta, Azure AD).
Audit logs completos en Premium.

La UX es excelente. El precio no tanto en cuanto se superan los 3 usuarios.

Headscale: arquitectura self-host

Headscale (BSD-3, Go, mantenido por Juan Font + comunidad activa) es una reimplementación open source de la API del coordinator Tailscale. No es un fork — es un servidor independiente que habla el mismo protocolo, lo que lo hace compatible con los clientes oficiales de Tailscale.

Componentes

Daemon Headscale: binario Go único, ~30 MB, escucha en HTTPS sobre un puerto configurable.
Backend de persistencia: SQLite (por defecto, válido para <50 nodos) o PostgreSQL (recomendado en producción multi-org).
Reverse proxy TLS: Caddy o Traefik delante de Headscale. Let's Encrypt automático.
Proveedor OIDC opcional: Authentik, Keycloak, Authelia para la autenticación de usuarios. Sin OIDC, las pre-auth keys (CLI) siguen disponibles.

Lo que Headscale hace

Descubrimiento de pares + distribución de claves públicas.
ACLs JSON de Tailscale (formato 100% compatible).
DERP: usar la red DERP pública de Tailscale (por defecto) o alojar tu propio DERP en el mismo VPS.
Exit nodes, subnet routers, Taildrop, MagicDNS (desde v0.23).

Lo que Headscale no hace

No tiene consola web oficial (alternativas comunitarias: headscale-ui, en proceso de estabilización).
No tiene Tailscale SSH con grabación de sesión (funcionalidad SaaS Premium).
No tiene soporte comercial — es open source comunitario, los issues de GitHub son el único canal.

Comparativa de 12 criterios

Criterio	Tailscale Free	Tailscale Premium	Headscale self-host
Precio 5 usuarios 10 nodos	0 $	~1.080 $/año	~60 €/año (VPS Contabo S)
Precio 20 usuarios 50 nodos	n/a (máx. 3 usuarios)	~4.320 $/año	~60 €/año
Setup inicial	5 min	5 min	2–3 h (primer setup)
Escalabilidad probada	>5M nodos	>5M nodos	~1.000 nodos probados (Headscale v0.23)
NAT traversal automático	Sí	Sí	Sí
ACLs declarativas	Sí	Sí	Sí (formato Tailscale)
MFA SSO empresarial	No	Sí (SAML/OIDC)	OIDC manual (Authentik/Keycloak)
Audit logs	Limitados	Completos	Configura los tuyos (Postgres + journald)
Seguridad auditada	Auditorías públicas regulares	Auditorías públicas + bug bounty	Código legible, sin auditoría profesional
Observabilidad nativa	Consola SaaS	Consola SaaS + API	Prometheus exporter + headscale-ui
Control de datos	No (SaaS US)	No (SaaS US)	Total (tu VPS, tu jurisdicción)
Vendor lock-in	Alto	Alto	Cero

Tres observaciones que raramente se leen en otros sitios:

El DERP custom de Headscale marca la diferencia en la UE. Alojas DERP en el mismo VPS Contabo Frankfurt y sustituyes una infraestructura DERP en EE.UU. por una en la UE — gran ventaja RGPD para empresas con requisitos de cumplimiento EU/EEA.
La ausencia de consola oficial de Headscale es menos problemática de lo que parece una vez hecha la configuración inicial. Las operaciones diarias se hacen por CLI (headscale nodes list, headscale acl tests) y caben en 3 comandos.
El coste oculto de Tailscale Premium: la facturación es por usuario, no por dispositivo. Si tienes 5 usuarios y 100 nodos, pagas 5 × 18 $/mes — no 100 × 1,80 $. Headscale ignora esta distinción (un nodo = un nodo).

Primera mano: setup Headscale en Contabo Frankfurt

Setup real realizado en febrero de 2026 en un VPS Contabo VPS S Frankfurt (4 vCPU, 8 GB RAM, 200 GB NVMe, 4,99 €/mes — ver nuestra reseña Contabo 2026). Stack: Debian 12, Docker, PostgreSQL 16, Caddy 2, Authentik 2026.4.

Paso 1 — Aprovisionamiento Contabo (5 min)

VPS Contabo VPS S Frankfurt contratado a través de nuestro enlace VPS Contabo. Snapshot Debian 12 mínimo. Solo clave SSH, login root desactivado de inmediato, ufw + fail2ban configurados mediante el tutorial Contabo paso a paso.

Paso 2 — Stack Docker (10 min)

# docker-compose.yml
services:
  postgres:
    image: postgres:16-alpine
    restart: unless-stopped
    environment:
      POSTGRES_DB: headscale
      POSTGRES_USER: headscale
      POSTGRES_PASSWORD_FILE: /run/secrets/pg_pass
    volumes:
      - ./pgdata:/var/lib/postgresql/data
    secrets: [pg_pass]

  headscale:
    image: headscale/headscale:0.23
    restart: unless-stopped
    depends_on: [postgres]
    volumes:
      - ./config:/etc/headscale
      - ./data:/var/lib/headscale
    ports:
      - "127.0.0.1:8080:8080"

  caddy:
    image: caddy:2
    restart: unless-stopped
    ports: ["80:80", "443:443"]
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile
      - ./caddy-data:/data

secrets:
  pg_pass:
    file: ./secrets/pg_pass.txt

Caddyfile mínimo:

headscale.tudominio.com {
  reverse_proxy 127.0.0.1:8080
}

docker compose up -d y Let's Encrypt gestiona el certificado TLS en 30 segundos. Configuración de Headscale (config.yaml): establecer database.type: postgres + server_url: https://headscale.tudominio.com. Total: 15 minutos de setup activo.

Paso 3 — Conectar 5 clientes

# En el servidor Headscale
headscale users create eric
headscale preauthkeys create --user eric --reusable --expiration 24h
# → tskey-auth-xxxxx

# En cada cliente (MacBook, 2 Linux Debian, iOS, Android)
sudo tailscale up \
  --login-server=https://headscale.tudominio.com \
  --authkey=tskey-auth-xxxxx

iOS y Android requieren editar Settings → Tailscale → Custom Coordinator URL en la app oficial (opción visible desde la versión 1.40). Cinco clientes conectados en 8 minutos.

Paso 4 — Mediciones de campo junio 2026

Setup de medición: iperf3 entre MacBook París (FTTH 1 Gbps) y VPS Contabo Frankfurt, 10 ejecuciones, mediana retenida.

Métrica	Tailscale DERP público	Headscale + DERP custom Contabo
Throughput túnel directo	880 Mbps	890 Mbps
Throughput relay DERP	240 Mbps (fr-par1)	420 Mbps (Frankfurt local)
RTT promedio túnel directo	12 ms	12 ms
RTT promedio relay	18 ms	14 ms
Tasa de éxito NAT traversal (10 pruebas 4G + router doméstico)	7/10	7/10
CPU VPS en reposo	n/a	2–3 % (Headscale + Postgres + Caddy)
RAM VPS utilizada	n/a	~620 MB / 8 GB

En túnel directo (el caso nominal para el 90%+ de los paquetes en la práctica), no hay diferencia — es WireGuard en ambos lados. La diferencia solo aparece en el relay DERP: alojar tu propio DERP en Contabo Frankfurt evita un salto transatlántico y entrega ~4 ms menos de RTT y ~75 % más de throughput frente al DERP público Tailscale fr-par1 (que puede saturarse en horas pico de EE.UU.).

Casos de uso — quién debería elegir qué

Elegir Tailscale (gestionado)

Solo / proyectos personales 1–100 dispositivos → Tailscale Free. 0 € y la UX es imbatible.
Startup early-stage <5 usuarios → Tailscale Free también. Concentra tu tiempo en el producto.
Scaleup 20–100 usuarios, cumplimiento B2B SaaS US-friendly → Tailscale Premium. Audit logs, SAML, soporte pro — es su punto fuerte.
Sin sysadmin interno → Tailscale, sin debate.

Elegir Headscale (self-host)

Cumplimiento UE / RGPD / soberanía sector público → Headscale. El control plane vive en tu jurisdicción.
Equipo con un sysadmin competente y tiempo disponible → Headscale es rentable rápidamente (break-even <6 meses con 7+ usuarios).
Producción con requisitos estrictos de residencia de datos (sanidad, fintech UE, defensa) → Headscale es prácticamente obligatorio.
Deseo de entender y controlar tu stack VPN → Headscale te enseña cosas; Tailscale las oculta.

Elegir WireGuard puro (recordatorio)

Si todavía evalúas un tercer escenario (WireGuard hub-and-spoke sin control plane), nuestra comparativa Tailscale vs WireGuard self-host resuelve esa rama. Headscale solo arbitra frente a Tailscale.

Limitaciones de Headscale que debes conocer

Honestidad ante todo — Headscale es sólido, pero estos son los puntos ciegos reales en producción:

Retraso de funcionalidades vs Tailscale. Las nuevas funcionalidades de Tailscale (Tailscale Funnel, Tailscale Serve, grabación de sesiones SSH) llegan a Headscale con un retraso de 3–9 meses, y algunas no llegarán nunca (funcionalidades Premium intrínsecamente SaaS).
Flexibilidad ACL. El formato JSON ACL de Tailscale es compatible, pero el linting de Headscale es menos verboso: un error tipográfico en un tag puede fallar silenciosamente. Flujo de trabajo recomendado: headscale acl tests en CI antes de hacer push.
Sin MagicDNS automático para PoCs rápidos. En el SaaS Tailscale, MagicDNS funciona en dos clics. En Headscale, hay que configurar la zona DNS en el servidor — ya sea dnsmasq o una zona CoreDNS dedicada. No es insuperable, pero no es mágico.
Sin bug bounty oficial. Si encuentras una CVE, es a través de los issues de GitHub, no mediante un programa de responsible disclosure remunerado.
headscale-ui de terceros. La consola web comunitaria funciona pero no está al nivel del dashboard de Tailscale en UX. Para el 80 % de las operaciones habituales, el CLI es suficiente.

TCO comparativo a 3 años

Escenario mediano: 10 usuarios activos, 30 nodos, crecimiento moderado. Hipótesis: sysadmin a 50 €/h (nivel junior-mid UE), Tailscale Premium 18 $/usuario/mes (tarifas junio 2026), Contabo VPS S Frankfurt 4,99 €/mes + un reset de hardware (~30 €).

Concepto	Tailscale Premium	Headscale + Contabo
Licencias SaaS 36 meses	6.480 $ (~6.000 €)	0 €
Infraestructura VPS 36 meses	0 €	180 €
Setup inicial	5 min (~5 €)	12 h (~600 €)
Mantenimiento ongoing	~0 h/mes	1,5 h/mes × 36 = 54 h (~2.700 €)
Backups + monitorización	0 €	8 h setup (~400 €) + ~5 €/mes backup VPS
Incidentes (estimación 2 incidentes/año × 4 h)	0 €	24 h en 36 meses (~1.200 €)
Total 36 meses	~6.005 €	~5.260 €

Con 10 usuarios / 30 nodos, Headscale es ~12 % más barato en TCO a 36 meses. Con 5 usuarios, Tailscale Premium vuelve a ganar (~3.240 $ vs ~5.000 € de Headscale — el coste fijo del sysadmin aplasta el ahorro SaaS). Con 20+ usuarios, Headscale gana por KO: Tailscale Premium llega a 12.960 $/36m, mientras Headscale se mantiene en ~5.260 €.

El punto óptimo económico de Headscale: 8–15 usuarios. Por debajo, Tailscale Free o Premium gana. Por encima, Headscale gana por KO.

Veredicto segmentado

Perfil	Recomendación
Solo, proyectos personales	Tailscale Free
Startup <5 usuarios	Tailscale Free
Equipo pequeño 5–7 usuarios sin sysadmin	Tailscale Premium
Equipo 8–15 usuarios con 1 sysadmin	Headscale self-host (break-even <6 meses)
Organización 15+ usuarios, soberanía UE	Headscale self-host obligatorio
Cumplimiento sanidad/fintech UE/defensa	Headscale self-host obligatorio
Aprendizaje profundo de mesh VPN	Headscale (aprendes 10× más que con Tailscale)
Scaleup B2B SaaS US-first	Tailscale Premium (foco en producto, compra tiempo)

La peor elección: Headscale sin sysadmin dedicado. Acabarás con un control plane sin parchear un martes por la noche.

Para profundizar

Fuentes:

Artículo publicado el 2026-06-07. Benchmark de Headscale realizado en Contabo VPS S Frankfurt operado desde febrero de 2026, con 5 clientes conectados (MacBook Sonoma, 2 Linux Debian 12, iOS 18, Android 14). Medianas de iperf3 sobre 10 ejecuciones junio 2026, RTT medido mediante ping ICMP. Tarifas Tailscale consultadas en tailscale.com/pricing en junio de 2026 — verificar antes de tomar una decisión. Los ahorros reales dependen del tamaño del equipo, el coste horario del sysadmin y los requisitos de cumplimiento.

Nota: WireGuard, Tailscale y Headscale son completamente legales en la UE, EE.UU., Canadá y la mayoría de países democráticos. VPNSmith publica este contenido con fines educativos.

★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis

Probar Contabo30 jours satisfait ou remboursé→

Tailscale vs Headscale: SaaS gestionado o control plane self-host (2026)

Tailscale: arquitectura gestionada

El coordinator SaaS

DERP — Designated Encrypted Relay for Packets

MagicDNS, ACLs, MFA SSO

Headscale: arquitectura self-host

Componentes

Lo que Headscale hace

Lo que Headscale no hace

Comparativa de 12 criterios

Primera mano: setup Headscale en Contabo Frankfurt

Paso 1 — Aprovisionamiento Contabo (5 min)

Paso 2 — Stack Docker (10 min)

Paso 3 — Conectar 5 clientes

Paso 4 — Mediciones de campo junio 2026

Casos de uso — quién debería elegir qué

Elegir Tailscale (gestionado)

Elegir Headscale (self-host)

Elegir WireGuard puro (recordatorio)

Limitaciones de Headscale que debes conocer

TCO comparativo a 3 años

Veredicto segmentado

Para profundizar

Para profundizar

Fugas DNS en WireGuard: detectar, diagnosticar y eliminar (2026)

Tailscale vs WireGuard self-host: ¿cuál elegir en 2026?

Headscale self-host: el control plane Tailscale soberano (2026)