La maggior parte delle configurazioni "VPN autogestite" si fermano a un singolo server WireGuard a cui ti connetti. Un VPN mesh è diverso: ogni dispositivo comunica direttamente con ogni altro dispositivo, peer-to-peer, con un server di coordinamento che si occupa solo di mediare le connessioni. Tailscale ha reso popolare questo modello — ma il suo coordinatore è proprietario. NetBird è la risposta per chi desidera la stessa esperienza mesh con uno stack che è open-source dall'agente al server, e completamente autogestibile su un VPS sotto il tuo controllo.
Questa guida spiega come funziona NetBird, cosa comporta realmente l'autogestione, il quadro onesto dei costi e della manutenzione, e come si confronta con Tailscale e Headscale.
Cos'è NetBird?
NetBird è un VPN mesh overlay open-source costruito su WireGuard per il piano dati. I suoi componenti:
- Agenti su ogni dispositivo, che stabiliscono tunnel WireGuard.
- Un server di segnalazione che media la configurazione delle connessioni peer-to-peer e la traversata NAT.
- Un server di gestione che contiene configurazioni, peer, gruppi e politiche ACL.
- Un dashboard per l'amministrazione.
- Un relay (TURN/coturn) come soluzione di ripiego quando due peer non possono connettersi direttamente.
- Integrazione SSO/IdP (OIDC) — NetBird può includere Zitadel o connettersi a Authentik, Keycloak, Google e altri.
L'intero stack è open-source (github.com/netbirdio/netbird), che è il punto chiave: a differenza di Tailscale, il server di coordinamento stesso è un software che puoi eseguire.
Come si connettono effettivamente i peer
NetBird dà priorità alle connessioni dirette peer-to-peer WireGuard. Il server di segnalazione aiuta due agenti a scoprirsi a vicenda e a superare il NAT; una volta connessi, il traffico fluisce direttamente tra di loro — veloce e senza toccare il tuo server. Solo quando entrambi i peer si trovano dietro NAT o firewall restrittivi il traffico ricade sul relay TURN. Questa distinzione è importante per il dimensionamento: il relay gestisce il caso peggiore minoritario, non l'intera rete. Per un approfondimento su WireGuard, consulta il nostro confronto WireGuard vs OpenVPN.
Autogestione di NetBird su un VPS
La ricetta realistica nel 2026:
- Un piccolo VPS con un IP pubblico. Un VPS S di Contabo a €4,99/mese gestisce comodamente un mesh piccolo-medio.
- Un nome di dominio puntato al VPS, con TLS tramite Let's Encrypt.
- Docker Compose che esegue il server di gestione, il server di segnalazione, il dashboard e coturn.
- Un provider di identità per SSO — includi Zitadel o collega un provider OIDC esterno.
# Solo schema — segui la documentazione ufficiale di NetBird per i file compose attuali
curl -fsSL https://github.com/netbirdio/netbird/releases/latest/download/getting-started-with-zitadel.sh -o install.sh
# rivedi lo script prima di eseguirlo, poi:
export NETBIRD_DOMAIN=vpn.example.com
bash install.sh
Leggi sempre uno script di installazione prima di eseguirlo. Per una configurazione di base e un rafforzamento del VPS passo-passo che si applica anche qui, consulta la nostra guida alla configurazione del VPS Contabo e la panoramica più ampia miglior VPN autogestito 2026.
Il quadro onesto dei costi e della manutenzione
- Costo diretto: circa €60/anno su un VPS S di Contabo per un mesh piccolo-medio — rispetto ai prezzi SaaS per utente che scalano con il tuo team.
- Tempo di configurazione: alcune ore, più di una singola box WireGuard a causa dell'IdP e del relay.
- Manutenzione: aggiornamenti dei container, rinnovo dei certificati (per lo più automatizzato) e monitoraggio della larghezza di banda del relay. NetBird ha più componenti in movimento rispetto a un semplice server WireGuard o a un'installazione Headscale leggera — questo è il compromesso per una piattaforma integrata e completamente di proprietà.
- Maturità del progetto: più giovane e con una comunità più piccola rispetto a Tailscale; molto attivo, ma fai la tua due diligence sul ritmo delle release.
NetBird vs Tailscale vs Headscale
| NetBird (autogestito) | Tailscale (SaaS) | Headscale (autogestito) | |
|---|---|---|---|
| Piano dati | WireGuard | WireGuard | WireGuard |
| Fonte del server | Completamente open-source | Coordinatore proprietario | Reimplementazione open-source |
| Client | Agenti NetBird | Tailscale ufficiali | Tailscale ufficiali |
| SSO/dashboard integrato | ✅ Sì | ✅ (gestito) | ⚠️ Minimo |
| Possiedi il piano di controllo | ✅ | ❌ | ✅ |
| Componenti da gestire | Più | Nessuno (gestito) | Meno |
Per le due opzioni lato Tailscale in dettaglio, vedi Tailscale vs Headscale autogestito e la nostra guida all'autogestione di Headscale.
Verdetto
NetBird è la scelta più forte quando vuoi un VPN mesh che possiedi completamente, dall'inizio alla fine, con SSO e ACL integrati, e accetti di gestire un certo numero di container. Se vuoi il percorso autogestito più leggero possibile e sei soddisfatto dei client ufficiali di Tailscale, Headscale è più snello. Se non vuoi autogestire affatto, il SaaS di Tailscale è il più semplice — ma in questo caso non possiedi il coordinatore. Per i team attenti alla sovranità, NetBird su un VPS Contabo è la risposta open-source più completa nel 2026.
Confronto editoriale basato sull'architettura open-source documentata di NetBird (piano dati WireGuard, server di gestione/segnalazione autogestibili, SSO OIDC, fallback relay TURN) e sui modelli documentati di Tailscale e Headscale. I costi sono indicativi dei prezzi VPS, non garanzie. I link commerciali portano l'attributo rel="sponsored nofollow"; potrebbe applicarsi una commissione affiliata senza costi aggiuntivi per te.
★ Datacenter GDPR di Norimberga · ✓ IPv4 dedicato incluso · 200+ Mbps garantiti
Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→
