Divulgación de afiliados — Este artículo contiene enlaces de afiliado de Contabo. Si contratas un VPS a través de ellos, recibimos una comisión sin coste extra para ti. Solo documentamos lo que probamos en producción en nuestros propios VPS.
La pregunta se repite cada semana en los foros de self-hosting: conoces WireGuard, sabes que Tailscale es "WireGuard gestionado", y te preguntas si vale la pena pagar 18 $/usuario/mes por Tailscale Premium, o si deberías asumir el self-host completo en un VPS de 5 €/mes. La respuesta no es binaria — depende de cuántos nodos despliegas, de tu tolerancia al vendor lock-in y de qué haces con tu tiempo.
Hemos tirado los dos en producción: Tailscale para una malla dev/staging de 12 nodos durante 14 meses, luego migración a WireGuard puro en Contabo en marzo de 2026, tras una reflexión sobre el coste anual y la soberanía. Esta comparativa es el resultado de esa experiencia, no una recopilación de docs. Vamos a cubrir la arquitectura real, los costes a 1/5/20 nodos, las trampas que encontramos y una guía de decisión concreta.
Qué es Tailscale realmente (y qué no es)
Tailscale no es un nuevo protocolo VPN — es un control plane sobre WireGuard. El data plane (el cifrado efectivo de los paquetes) sigue siendo 100 % WireGuard. Lo que Tailscale gestiona por ti:
- Discovery — cada nodo anuncia su IP pública al coordinator (Tailscale SaaS). Los demás nodos recuperan esa info para establecer el túnel.
- NAT traversal — STUN + estilo ICE para abrir un túnel directo entre dos nodos detrás de NAT simétricos. Cuando falla, fallback a los relays DERP (TCP/443).
- Key management — rotación automática de claves WireGuard, expiración de dispositivos, firma de configs.
- ACLs — fichero JSON declarativo que define quién puede hablar con quién y en qué puertos. Compilado en reglas iptables empujadas a cada nodo.
- MagicDNS / Tailnet name — resolución
nombre-maquina.tu-tailnet.ts.neten toda tu malla.
El código del cliente Tailscale es open source (github.com/tailscale/tailscale). El control plane SaaS no lo es — pero Headscale es una reimplementación open source del control plane, compatible con el cliente oficial. Es importante para lo que sigue.
Lo que Tailscale no es: no es una VPN de consumo tipo NordVPN. Tailscale no te da una IP de salida para hacerle creer a Netflix US que estás en Nueva York. Puedes configurar un "exit node" Tailscale, pero es un nodo que tú alojas — en un VPS, por ejemplo. Volveremos a eso, porque es exactamente donde el cálculo económico se inclina hacia el self-host.
Arquitecturas comparadas
Tailscale gestionado:
[App A] ── WireGuard ──► [App B]
│ │
└──► Coordinator SaaS ◄──┘
(Tailscale Inc.)
El coordinator orquesta. Los paquetes van directos A → B vía WireGuard cuando el NAT lo permite, o vía un relay DERP de Tailscale como fallback (latencia + dependencia del SaaS).
WireGuard self-host (hub-and-spoke):
[Cliente 1] ──► [VPS Hub Contabo] ◄── [Cliente 2]
│
[Cliente 3]
Todo pasa por el hub. Latencia previsible, control total, pero el hub es un single point of failure (y un single point of optimization).
WireGuard self-host (full-mesh manual):
[Nodo A] ◄──► [Nodo B]
▲ ▲
│ │
▼ ▼
[Nodo C] ◄──► [Nodo D]
N²/2 túneles a configurar. Inmanejable más allá de 5-6 nodos — es exactamente el problema que Tailscale resuelve del lado gestionado.
La elección de arquitectura en self-host es crucial: de 1 a 4 nodos, hub-and-spoke es imbatible en simplicidad; más allá, hay que aceptar Tailscale o desplegar Headscale (el control plane open source).
Tabla comparativa honesta
| Criterio | Tailscale Free | Tailscale Premium | WireGuard self-host | Headscale + WG self-host |
|---|---|---|---|---|
| Coste anual (5 nodos) | 0 € | ~1080 $ | 60 € (VPS Contabo S) | 60 € |
| Coste anual (20 nodos) | n/a (máx 3 users) | ~4320 $ | 60 € | 60 € |
| Setup inicial | 5 min | 5 min | 30 min | 2 h |
| NAT traversal auto | Sí | Sí | No | Sí |
| Mesh dinámico | Sí | Sí | No (estático) | Sí |
| ACLs declarativas | Sí | Sí | iptables manual | Sí (compat ACL JSON Tailscale) |
| Exit node | Sí (1 incluido) | Sí (ilimitados) | Sí | Sí |
| Audit logs | Limitado | Completo | Tú haces tus logs | Tú haces tus logs |
| SSO empresarial | No | Sí (SAML/OIDC) | No | OIDC manual |
| Vendor lock-in | Alto | Alto | Cero | Cero |
| Soberanía datos | No | No | Sí | Sí |
| Mantenimiento ongoing | Casi nulo | Casi nulo | Bajo-medio | Medio |
Tres observaciones que nunca vas a ver en blogs comparativos patrocinados:
- Tailscale Premium es rentable con 1-3 users y muchos nodos. Si vas solo administrando 15 servidores personales, 0 € en el plan Free. Sin debate.
- El cálculo cambia a partir de 4-5 users. Con 5 users a 18 $/mes son 90 $/mes, es decir 1080 $/año — por un servicio técnicamente equivalente a WireGuard + un control plane que puedes alojar tú mismo en un VPS Contabo S a 4,99 €/mes.
- El mantenimiento self-host no es cero, pero tampoco aplastante. Nuestra config hub-and-spoke WireGuard en Contabo pide aproximadamente 1h/mes de promedio: upgrades de sistema, rotación de claves cada 6 meses, revisión de logs.
Caso 1 — Vas solo, administras tus propias máquinas
Veredicto: Tailscale Free, sin dudarlo.
El plan Personal de Tailscale (100 dispositivos, 3 users) cubre el 99 % de los usos personales. MagicDNS funciona en dos clics, el NAT traversal te ahorra media tarde de pfSense, y el cliente móvil (iOS/Android) está honestamente bien hecho. A estas alturas, no pierdas el tiempo en self-hostear WireGuard.
La única razón de pasarse a WireGuard puro en solitario es el aprendizaje. Si quieres entender WireGuard en profundidad, montar tu hub-and-spoke en un VPS es el ejercicio. Es exactamente lo que cubre nuestra guía self-host VPN Contabo WireGuard, y es una inversión en competencias que se paga ampliamente a medio plazo.
Caso 2 — Equipo pequeño (2-5 personas)
Veredicto: Tailscale Free si entras en los 3 users, si no, WireGuard self-host.
A 4-5 users, Tailscale Premium se convierte en 864-1080 $/año. Por el mismo precio obtienes:
- 12 meses de un VPS Contabo VPS S (60 €/año)
- El tiempo para scriptear tu WireGuard con Ansible (10 h ≈ 500 € a 50 €/h)
- Presupuesto restante para Headscale como opción
Esta ecuación se mantiene si alguien del equipo sabe scriptear shell. Si no, el coste de oportunidad sube y los 18 $/user/mes de Tailscale vuelven a ser competitivos.
Setup recomendado self-host a 5 nodos:
- Un VPS Contabo VPS S Núremberg (4 vCPU, 8 GB, 4,99 €/mes) — ver nuestra reseña Contabo 2026.
- WireGuard en hub-and-spoke. El VPS es el hub, todos los clientes apuntan ahí.
- Rutas estáticas del lado servidor: un
AllowedIPspor peer cliente. - ACLs vía iptables: por defecto cada cliente solo ve el hub; las rutas inter-cliente se abren bajo demanda.
- Observabilidad mínima:
wg showcada 5 min vía cron + alerta si un peer está offline > 15 min.
La desventaja asumida del hub-and-spoke: todos los paquetes pasan por el VPS. Si Alicia en París manda un fichero a Beto en Berlín, el paquete hace París → Núremberg → Berlín. Son ~25 ms más de latencia vs Tailscale, que habría montado un túnel directo. Para el 90 % de usos colaborativos (SSH, RDP, ficheros con Syncthing) es invisible. Para voz en tiempo real, empieza a notarse.
Caso 3 — Equipo 10-20+ o compliance
Veredicto: Tailscale Premium o Headscale self-host. No WireGuard puro.
A 10+ nodos, el full-mesh manual WireGuard se vuelve inmanejable y el hub-and-spoke ya no escala bien (el hub se convierte en el cuello de botella de red). Quedan dos opciones serias:
Tailscale Premium: aceptas 200-400 $/mes y te concentras en tu verdadero negocio. Audit logs, SAML, ACLs, soporte — todo incluido. Para una empresa SaaS B2B en crecimiento, probablemente sea el mejor ROI.
Headscale self-host: alojas el control plane open source (github.com/juanfont/headscale) en tu propio VPS. Los clientes oficiales Tailscale apuntan a tu coordinator — la magia sigue funcionando, pero sin vendor lock-in y sin factura mensual. Calcula 2-3 días para un setup limpio con backend PostgreSQL, certificado TLS y OIDC para auth. Ver docs Headscale.
Headscale es el sweet spot para quien quiere algo tipo Tailscale con soberanía completa. También es un caso en que la inversión inicial (2-3 días de un sysadmin) se paga en menos de 2 meses vs Tailscale Premium a 10 users.
Seguridad comparada — dónde están los riesgos reales
Tailscale:
- El coordinator nunca ve tus claves privadas (se quedan locales).
- Pero: el coordinator distribuye las claves públicas y establece las sesiones. Una compromisión del coordinator permitiría a un atacante inyectar un peer falso en tu malla.
- Tailscale Inc. ha publicado un threat model detallado y hace auditar su código regularmente.
- Superficie de ataque: cliente local + control plane SaaS + relays DERP.
WireGuard self-host:
- Superficie de ataque: cliente local + hub VPS (que tú administras).
- Sin terceros, pero todo se apoya en la robustez de tu config VPS: SSH hardened, firewall, actualizaciones automáticas.
- Riesgo concreto: si tu VPS hub se compromete a root, el atacante tiene acceso a las configs
/etc/wireguard/*.confy puede descifrar el tráfico activo. Por eso recomendamos WireGuard + port knocking y un kill-switch del lado cliente.
Headscale:
- Mismos riesgos que Tailscale en el lado cliente, más la responsabilidad del hosting del coordinator.
- Ventaja: conoces al operador (tú) y controlas los logs.
Ninguna de las tres opciones es intrínsecamente más segura. El factor determinante es quién hace las actualizaciones. Tailscale las hace por ti automáticamente; en self-host tienes que montar unattended-upgrades.
Costes reales a 36 meses — proyección
Hemos hecho la cuenta a 36 meses para los tres escenarios (5 nodos, 5 users), con hipótesis conservadoras:
| Escenario | Coste directo 36m | Coste indirecto (tiempo) | Total |
|---|---|---|---|
| Tailscale Premium | 3 240 $ | 5h setup × 50 €/h = 250 € | ~3 500 $ |
| WireGuard hub-and-spoke Contabo | 180 € | 15h setup + 36h mant = 2 550 € | ~2 700 $ |
| Headscale + WireGuard Contabo | 180 € | 30h setup + 50h mant = 4 000 € | ~4 180 $ |
El resultado es menos evidente de lo que parece. WireGuard puro sigue siendo el más barato en coste total a 5 nodos, pero Headscale se vuelve más caro que Tailscale Premium cuando integras el coste de oportunidad del tiempo. Tailscale Premium es la solución de menor riesgo pero la más cara en cash directo.
Si valoras tu tiempo a más de 70 €/h, Tailscale Premium pasa a ser casi tan competitivo como WireGuard puro. Si tu tiempo es más barato (junior, side project, aprendizaje), gana self-host.
Cómo migrar de Tailscale a WireGuard self-host
Es el camino que hicimos en marzo de 2026. El resultado cabe en una semana de trabajo, repartida en 3 fines de semana:
- Auditar lo existente — listar todos los nodos Tailscale, sus IPs Tailnet (
100.x.x.x), sus ACLs actuales. - Provisionar un VPS Contabo VPS S como hub. Ver tutorial Contabo VPS paso a paso — 20 min de principio a fin.
- Instalar WireGuard en el hub, generar una clave de servidor, abrir UDP 51820 en el firewall Contabo.
- Definir un plan de direcciones IP estáticas — por ejemplo
10.66.0.0/16del lado WireGuard, con mapeo claro hacia las IPs Tailnet antiguas. - Generar una config WireGuard por cliente, distribuir vía canal seguro (Bitwarden, Signal, nunca email).
- Cambio: un cliente a la vez, verificar conectividad, ajustar
AllowedIPsdel lado servidor. - Apagar Tailscale progresivamente, mantenerlo en paralelo 1-2 semanas para rollback rápido si algo se rompe.
La migración es factible pero es un proyecto — no es algo de una tarde. Si el equipo es de 8+ users y hablamos de 30+ nodos, en serio, quédate en Tailscale Premium e invierte el tiempo ganado en tu producto.
Mi veredicto (pragmático)
- Solo, proyectos personales, 1-10 máquinas → Tailscale Free. No pierdas tiempo.
- Solo nerd, ganas de aprender, presupuesto 5 €/mes → WireGuard self-host en Contabo. Una inversión en competencias que se paga 10 veces.
- Equipo pequeño 2-5 personas, sin compliance fuerte → WireGuard hub-and-spoke en Contabo. Soberanía + 60 €/año vs 1000 $/año.
- Equipo 5-15, crecimiento, compliance B2B → Tailscale Premium. Cash bien colocado.
- Org 15+ con restricciones de soberanía (UE, sector público, defensa) → Headscale self-host. La opción que alinea soberanía y escalado.
La peor elección posible: WireGuard puro con full-mesh manual a 10+ nodos. Te vas a pasar los fines de semana con eso y va a acabar en una malla rota un martes por la noche.
Para profundizar
- Self-host VPN en Contabo: guía WireGuard completa 2026
- Contabo VPS setup paso a paso para VPN 2026
- WireGuard vs OpenVPN: benchmarks VPS 2026
- WireGuard kill-switch en Linux: iptables + systemd
- Reseña Contabo 2026: feedback honesto de producción
Fuentes y referencias:
- Tailscale Security Bulletin & Threat Model
- Cliente CLI Tailscale — código fuente
- Headscale — control plane open source compatible Tailscale
- WireGuard whitepaper — Jason A. Donenfeld
- DERP — Designated Encrypted Relay for Packets (Tailscale)
Artículo publicado el 2026-06-05. Comparación basada en 14 meses de uso de Tailscale en producción (12 nodos, 4 users) seguida de una migración a WireGuard hub-and-spoke en Contabo en marzo de 2026. Tarifas Tailscale tomadas de tailscale.com/pricing en junio de 2026 — verificar antes de decidir, evolucionan. El rendimiento y los ahorros reales dependen del tamaño del equipo, de las restricciones de compliance y de la tolerancia al sysadmin.
Recordatorio: WireGuard, Tailscale y el auto-alojamiento VPN son perfectamente legales en la UE, EE. UU., Canadá y la mayoría de países democráticos. VPNSmith publica este contenido con fines educativos.
★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis
Probar Contabo30 jours satisfait ou remboursé→
