Headscale è veramente compatibile con i client ufficiali Tailscale?

Sì — Headscale reimplementa l'API del piano di controllo Tailscale, quindi i client ufficiali iOS, macOS, Linux, Windows e Android possono puntare alla tua istanza Headscale sovrascrivendo l'URL del server di login (`tailscale login --login-server=https://headscale.yourdomain.com`). Nessun fork del client, nessun binario patchato. Tailscale Inc. non supporta ufficialmente Headscale ma ne tollera l'esistenza dal 2022.

Qual è la vera differenza di latenza tra Tailscale DERP e Headscale self-hosted?

Sui tunnel diretti non c'è differenza — il piano dati è WireGuard in entrambi i casi, quindi l'RTT è identico. La differenza si manifesta solo sul fallback del relay: un DERP personalizzato ospitato sul tuo VPS Contabo prende una rotta più diretta rispetto a un DERP pubblico distante e riduce di qualche millisecondo l'RTT. Misura il tuo percorso con `ping` per cifre esatte.

Headscale supporta MagicDNS, ACL e nodi di uscita come Tailscale?

ACL JSON: sì, formato compatibile al 100% con Tailscale dalla v0.22. Nodi di uscita: sì, illimitati (rispetto a 1 incluso su Tailscale Free). MagicDNS: supportato dalla v0.23 ma la risoluzione `machine-name.ts.net` deve essere configurata manualmente sul lato server DNS — non c'è una configurazione automatica magica come sul lato SaaS. Taildrop (condivisione file): sì. SSH Tailscale con registrazione delle sessioni: no, è una funzione Premium che rimane sul lato SaaS di Tailscale.

Qual è il TCO a 3 anni per Tailscale Premium vs Headscale + Contabo?

Per 10 utenti / 30 nodi: Tailscale Premium = $18/utente/mese × 10 × 36 = $6,480. Headscale + Contabo VPS S Francoforte = €4,99/mese × 36 = €180 + 12 h configurazione (~€600) + 1.5 h/mese manutenzione × 36 = 54 h (~€2,700) = ~€3,480. Pareggio intorno a 7 utenti se il sysadmin costa €50/h, a 4 utenti se a €100/h.

Quali sono le limitazioni di Headscale che non leggerai su GitHub?

Tre veri problemi di produzione: 1) nessuna console web ufficiale (hai bisogno della headscale-ui di terze parti, che è ancora in stabilizzazione); 2) i modelli ACL di Tailscale (gruppi, tag) funzionano, ma il linting lato server è meno verboso — un file ACL non valido può rompersi silenziosamente; 3) nessun OIDC standard out-of-the-box su tutti i provider (Authentik e Keycloak funzionano bene, Auth0 richiede regolazioni). Tutto il resto è solido.

Tailscale vs Headscale: SaaS gestito o piano di controllo self-hosted (2026)?

Divulgazione affiliati — Questo post contiene link affiliati di Contabo. Se acquisti un VPS tramite questi link, guadagniamo una commissione senza costi aggiuntivi per te. Ogni comando e configurazione qui sotto è documentato da fonti ufficiali e scritto per essere riproducibile sul tuo VPS.

Nel 2026, le VPN mesh hanno avuto un'esplosione. WireGuard è diventato lo standard de facto, Tailscale ha superato i 5 milioni di dispositivi attivi e la comunità self-host ha portato Headscale a un livello di maturità che non lascia scuse per rimanere bloccati in un SaaS quando la sovranità è importante. Se stai cercando "tailscale vs headscale", probabilmente sei indeciso tra la comodità gestita e il controllo totale — questo confronto ti aiuta a decidere, basandosi su come ciascuno è progettato per funzionare, con Headscale distribuito su un Contabo VPS Francoforte come riferimento self-host.

Il piano dati è identico in entrambi i casi: WireGuard. Tutta la differenza risiede nel piano di controllo — chi orchestra le chiavi, le ACL, la traversata NAT e chi detiene i metadati per la tua mesh. Questa sfumatura cambia tutto: costo, latenza, lock-in del fornitore e postura di conformità.

Tailscale: architettura gestita

Tailscale è un piano di controllo SaaS stratificato sopra WireGuard. Quando installi il client, fa tre cose:

Si autentica contro il coordinatore Tailscale (login.tailscale.com).
Recupera l'elenco dei peer autorizzati + le loro chiavi pubbliche WireGuard.
Tenta una connessione WireGuard peer-to-peer diretta. Se il NAT la blocca, ricorre a un relay DERP (TCP/443) gestito da Tailscale Inc.

Il coordinatore SaaS

Il coordinatore è l'orchestratore. Non vede mai le tue chiavi private WireGuard — sono generate localmente e rimangono locali. Distribuisce solo chiavi pubbliche e mappature IP. Superficie di attacco reale: se il coordinatore viene compromesso, un attaccante può iniettare un peer fantasma nella tua mesh. Tailscale pubblica un modello di minaccia dettagliato e si sottopone a audit regolari.

DERP — Relay Designato Crittografato per Pacchetti

Quando due peer dietro NAT simmetrici non possono stabilire un tunnel diretto (circa il 5–10% dei casi in produzione residenziale/4G), Tailscale inoltra il traffico crittografato attraverso una rete di server DERP distribuita globalmente (elenco ufficiale DERP). Questo è ancora WireGuard crittografato end-to-end; Tailscale Inc. non può decrittografarlo. Ma i metadati di rete (chi parla con chi, quando, quanto) transitano attraverso la loro infrastruttura.

MagicDNS, ACL, MFA SSO

MagicDNS: risoluzione machine.your-tailnet.ts.net ovunque nella mesh, senza configurazione DNS manuale.
ACL JSON dichiarative: chi può parlare con chi, su quali porte. Compilate in regole iptables.
MFA + SAML/OIDC SSO nei piani Premium ed Enterprise (Google Workspace, Okta, Azure AD).
Log di audit completi nel Premium.

L'esperienza utente è eccellente. Il prezzo no, una volta superati i 3 utenti.

Cos'è Headscale e come funziona con i client Tailscale?

Headscale è una reimplementazione open-source (BSD-3, Go) dell'API del coordinatore Tailscale. Lo ospiti tu stesso sul tuo server — un Contabo VPS a €4,99/mese è sufficiente per 30+ nodi. I client ufficiali Tailscale (iOS, macOS, Android, Linux, Windows) si connettono direttamente usando --login-server=https://your-headscale-domain.com. Nessun fork del client, piena sovranità, pareggio rispetto a Tailscale Premium a ~7 utenti.

Headscale: architettura self-hosted

Headscale (BSD-3, Go, mantenuto da Juan Font + comunità attiva) è una reimplementazione open-source dell'API del coordinatore Tailscale. Non è un fork — un server indipendente che parla lo stesso protocollo, rendendolo compatibile con i client ufficiali Tailscale.

Componenti

Daemon Headscale: singolo binario Go, ~30 MB, ascolta su HTTPS su una porta configurabile.
Backend di persistenza: SQLite (predefinito, va bene per <50 nodi) o PostgreSQL (consigliato per produzione multi-org).
Proxy inverso TLS: Caddy o Traefik davanti a Headscale. Let's Encrypt automatico.
Provider OIDC opzionale: Authentik, Keycloak, Authelia per l'autenticazione utente. Senza OIDC, le chiavi pre-auth (CLI) rimangono disponibili.

Cosa fa Headscale

Scoperta dei peer + distribuzione delle chiavi pubbliche.
ACL JSON di Tailscale (formato compatibile al 100%).
DERP: usa la rete pubblica DERP di Tailscale (predefinito) o ospita il tuo DERP sullo stesso VPS.
Nodi di uscita, router di sottorete, Taildrop, MagicDNS (dalla v0.23).

Cosa non fa Headscale

Nessuna console web ufficiale (alternative della comunità: headscale-ui, ancora in stabilizzazione).
Nessun SSH Tailscale con registrazione delle sessioni (funzione Premium SaaS).
Nessun supporto commerciale — è open source comunitario, le issue su GitHub sono l'unico canale.

Confronto su 12 criteri

Criterio	Tailscale Free	Tailscale Premium	Headscale self-host
Prezzo 5 utenti 10 nodi	$0	~$1,080/anno	~€60/anno (Contabo S VPS)
Prezzo 20 utenti 50 nodi	n/a (max 3 utenti)	~$4,320/anno	~€60/anno
Configurazione iniziale	5 min	5 min	2–3 h (prima configurazione)
Scalabilità provata	>5M nodi	>5M nodi	~1,000 nodi testati (Headscale v0.23)
Traversata NAT automatica	Sì	Sì	Sì
ACL dichiarative	Sì	Sì	Sì (formato Tailscale)
MFA SSO aziendale	No	Sì (SAML/OIDC)	OIDC manuale (Authentik/Keycloak)
Log di audit	Limitati	Completi	Fai da te (Postgres + journald)
Sicurezza verificata	Audit pubblici regolari	Audit pubblici + bug bounty	Codice leggibile, nessun audit professionale
Osservabilità nativa	Console SaaS	Console SaaS + API	Esportatore Prometheus + headscale-ui
Controllo dei dati	No (SaaS USA)	No (SaaS USA)	Totale (il tuo VPS, la tua giurisdizione)
Lock-in del fornitore	Alto	Alto	Zero

Tre osservazioni che raramente leggi altrove:

Custom Headscale DERP è un punto di svolta per l'UE. Ospita DERP sullo stesso VPS Contabo Francoforte e sostituisci un'infrastruttura DERP USA con una UE — grande vantaggio GDPR per le aziende con requisiti di conformità UE/SEE.
La mancanza di una console ufficiale Headscale è meno problematica di quanto si pensi una volta completata la configurazione iniziale. Le operazioni quotidiane passano attraverso la CLI (headscale nodes list, headscale acl tests) e si adattano a 3 comandi.
Il costo nascosto di Tailscale Premium: la fatturazione è per utente, non per dispositivo. Se hai 5 utenti e 100 nodi, paghi 5 × $18/mese — non 100 × $1.80. Headscale ignora questa distinzione (un nodo = un nodo).

Pratica: configurazione di Headscale su Contabo Francoforte

Configurazione reale effettuata a febbraio 2026 su un Contabo VPS S Francoforte (4 vCPU, 8 GB RAM, 200 GB NVMe, €4,99/mese — vedi la nostra recensione Contabo 2026). Stack: Debian 12, Docker, PostgreSQL 16, Caddy 2, Authentik 2026.4.

Passo 1 — Provisioning Contabo (5 min)

Contabo VPS S Francoforte ordinato tramite il nostro link Contabo VPS. Snapshot minimale Debian 12. Solo chiave SSH, accesso root disabilitato immediatamente, ufw + fail2ban configurati tramite il tutorial passo-passo Contabo.

Passo 2 — Stack Docker (10 min)

# docker-compose.yml
services:
  postgres:
    image: postgres:16-alpine
    restart: unless-stopped
    environment:
      POSTGRES_DB: headscale
      POSTGRES_USER: headscale
      POSTGRES_PASSWORD_FILE: /run/secrets/pg_pass
    volumes:
      - ./pgdata:/var/lib/postgresql/data
    secrets: [pg_pass]

  headscale:
    image: headscale/headscale:0.23
    restart: unless-stopped
    depends_on: [postgres]
    volumes:
      - ./config:/etc/headscale
      - ./data:/var/lib/headscale
    ports:
      - "127.0.0.1:8080:8080"

  caddy:
    image: caddy:2
    restart: unless-stopped
    ports: ["80:80", "443:443"]
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile
      - ./caddy-data:/data

secrets:
  pg_pass:
    file: ./secrets/pg_pass.txt

Caddyfile minimale:

headscale.yourdomain.com {
  reverse_proxy 127.0.0.1:8080
}

docker compose up -d e Let's Encrypt gestisce il certificato TLS in 30 secondi. Configurazione Headscale (config.yaml): imposta database.type: postgres + server_url: https://headscale.yourdomain.com. Totale: 15 minuti di configurazione attiva.

Passo 3 — Connessione di 5 client

# Sul server Headscale
headscale users create eric
headscale preauthkeys create --user eric --reusable --expiration 24h
# → tskey-auth-xxxxx

# Su ogni client (MacBook, 2 Linux Debian, iOS, Android)
sudo tailscale up \
  --login-server=https://headscale.yourdomain.com \
  --authkey=tskey-auth-xxxxx

Su iOS e Android è necessario modificare Impostazioni → Tailscale → URL Coordinatore Personalizzato nell'app ufficiale (opzione visibile dalla versione 1.40). Collegare una manciata di client richiede solo pochi minuti.

Passo 4 — Cosa aspettarsi in termini di prestazioni

Per confrontare da soli, esegui iperf3 tra un client e il Contabo VPS Francoforte. La tabella seguente mostra cosa aspettarsi in modo direzionale — misura il tuo percorso per numeri esatti:

Metrica	DERP pubblico Tailscale	Headscale + DERP personalizzato Contabo
Throughput tunnel diretto	~line-rate WireGuard	~line-rate WireGuard (uguale)
Throughput relay DERP	limitato dalla posizione del relay	migliore con un DERP locale
RTT, tunnel diretto	identico (WireGuard)	identico (WireGuard)
RTT, relay	dipende dalla distanza del relay	inferiore con un DERP locale
CPU VPS a riposo	n/a	bassa percentuale a una cifra (Headscale + Postgres + Caddy)
RAM VPS utilizzata	n/a	alcune centinaia di MB / 8 GB

Sul tunnel diretto (il caso nominale per oltre il 90% dei pacchetti in pratica), non c'è differenza — è WireGuard su entrambi i lati. La differenza appare solo sul relay DERP: ospitare il tuo DERP su Contabo Francoforte evita un lungo giro e offre RTT più bassi e throughput più elevati rispetto a un DERP pubblico distante che può essere saturo durante le ore di punta.

Casi d'uso — chi dovrebbe scegliere cosa

Scegli Tailscale (gestito)

Progetti personali / individuali 1–100 dispositivi → Tailscale Free. $0 e l'UX è imbattibile.
Startup in fase iniziale <5 utenti → Tailscale Free anche. Concentrati sul prodotto.
Scaleup 20–100 utenti, conformità SaaS B2B USA-friendly → Tailscale Premium. Log di audit, SAML, supporto professionale — questo è il loro punto forte.
Nessun sysadmin interno → Tailscale, nessun dibattito.

Scegli Headscale (self-host)

Conformità UE / GDPR / sovranità del settore pubblico → Headscale. Il piano di controllo vive nella tua giurisdizione.
Team con un sysadmin competente e tempo disponibile → Headscale si ripaga rapidamente (pareggio <6 mesi a 7+ utenti).
Produzione con requisiti di residenza dei dati rigorosi (sanità, fintech UE, difesa) → Headscale è essenzialmente obbligatorio.
Desiderio di comprendere e padroneggiare il tuo stack VPN → Headscale ti insegna cose; Tailscale le nasconde.

Scegli WireGuard puro (promemoria)

Se stai ancora valutando un terzo scenario (WireGuard hub-and-spoke senza un piano di controllo), il nostro confronto Tailscale vs WireGuard self-host risolve quel ramo. Headscale arbitra solo contro Tailscale.

Limitazioni di Headscale che devi conoscere

Onestà prima di tutto — Headscale è solido, ma ecco i veri punti ciechi in produzione:

Ritardo delle funzionalità rispetto a Tailscale. Le nuove funzionalità di Tailscale (Tailscale Funnel, Tailscale Serve, registrazione delle sessioni SSH) arrivano in Headscale con un ritardo di 3–9 mesi, e alcune non arriveranno mai (funzionalità intrinsecamente Premium SaaS).
Flessibilità delle ACL. Il formato ACL JSON di Tailscale è compatibile, ma il linting di Headscale è meno verboso: un errore di battitura in un tag può rompersi silenziosamente. Workflow consigliato: headscale acl tests in CI prima di spingere.
Nessun MagicDNS automatico per PoC rapidi. Sul lato SaaS di Tailscale, MagicDNS funziona in due clic. Sul lato Headscale, devi configurare la zona DNS sul server — o dnsmasq o una zona CoreDNS dedicata. Non insormontabile, ma non è magico.
Nessun bug bounty ufficiale. Se trovi un CVE, sono le issue su GitHub, non un programma di divulgazione responsabile pagato.
headscale-ui di terze parti. La console web della comunità funziona ma non è all'altezza della dashboard di Tailscale in termini di UX. Per l'80% delle operazioni di routine, la CLI è sufficiente.

TCO comparativo a 3 anni

Scenario medio: 10 utenti attivi, 30 nodi, crescita moderata. Assunzioni: sysadmin a €50/h (livello junior-medio UE), Tailscale Premium $18/utente/mese (prezzi giugno 2026), Contabo VPS S Francoforte €4,99/mese + un reset hardware (~€30).

Voce	Tailscale Premium	Headscale + Contabo
Licenze SaaS 36 mesi	$6,480 (~€6,000)	€0
Infrastruttura VPS 36 mesi	€0	€180
Configurazione iniziale	5 min (~€5)	12 h (~€600)
Manutenzione continua	~0 h/mese	1.5 h/mese × 36 = 54 h (~€2,700)
Backup + monitoraggio	€0	8 h configurazione (~€400) + ~€5/mese backup VPS
Incidenti (stima 2 incidenti/anno × 4 h)	€0	24 h su 36 mesi (~€1,200)
Totale 36 mesi	~€6,005	~€5,260

A 10 utenti / 30 nodi, Headscale è ~~12% più economico in TCO su 36 mesi. A 5 utenti, Tailscale Premium prevale (~~$3,240 vs ~€5,000 per Headscale — il costo fisso del sysadmin schiaccia il risparmio SaaS). A 20+ utenti, Headscale vince decisamente: Tailscale Premium raggiunge $12,960/36m, mentre Headscale rimane a ~€5,260.

Il punto dolce economico di Headscale: 8–15 utenti. Al di sotto di ciò, Tailscale Free o Premium vince. Sopra, Headscale vince per knockout.

Verdetto segmentato

Profilo	Raccomandazione
Solo, progetti secondari	Tailscale Free
Startup <5 utenti	Tailscale Free
Piccolo team 5–7 utenti, nessun sysadmin	Tailscale Premium
Team 8–15 utenti con 1 sysadmin	Headscale self-host (pareggio <6 mesi)
Organizzazione 15+ utenti, sovranità UE	Headscale self-host, obbligatorio
Conformità sanità / fintech UE / difesa	Headscale self-host, obbligatorio
Apprendimento profondo VPN mesh	Headscale (impari 10× più che con Tailscale)
Scaleup SaaS B2B USA-first	Tailscale Premium (concentrati sul prodotto, riacquista tempo)

La scelta peggiore: Headscale senza un sysadmin dedicato. Finirai con un piano di controllo non aggiornato un martedì sera.

Ulteriori letture

Headscale self-host: guida completa all'installazione 2026
Tailscale vs WireGuard self-host 2026
VPN self-host su Contabo WireGuard 2026
Configurazione VPS Contabo passo passo
WireGuard vs OpenVPN — benchmark VPS 2026
Recensione Contabo 2026: feedback onesto sulla produzione
Calcolatore dei costi VPN self-hosted — modella Tailscale vs Headscale vs WireGuard TCO con la dimensione del tuo team e la tariffa oraria
Comparatore VPS interattivo — scegli l'host Headscale giusto tra Contabo, Hetzner e OVH in un colpo d'occhio

Fonti:

Articolo pubblicato il 2026-06-07. Le note sulle prestazioni si basano su come Tailscale e Headscale sono progettati per funzionare (entrambi utilizzano WireGuard come piano dati); misura il tuo percorso per cifre esatte. Prezzi Tailscale tratti da tailscale.com/pricing a giugno 2026 — verifica prima di prendere una decisione. I risparmi reali dipendono dalla dimensione del team, dalla tariffa oraria del sysadmin e dai requisiti di conformità.

Nota: WireGuard, Tailscale e Headscale sono completamente legali nell'UE, USA, Canada e nella maggior parte dei paesi democratici. VPNSmith pubblica questo contenuto a scopo educativo.

★ Datacenter GDPR di Norimberga · ✓ IPv4 dedicato incluso · 200+ Mbps garantiti

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→