Divulgazione affiliati — Questo post contiene link affiliati a Contabo. Se acquisti un VPS tramite loro, guadagniamo una commissione senza costi aggiuntivi per te. Le nostre raccomandazioni si basano sul comportamento documentato di ciascuno strumento e sulle specifiche pubblicate dai fornitori.
La domanda emerge ogni settimana nei forum di self-hosting: conosci WireGuard, sai che Tailscale è "WireGuard gestito", e ti chiedi se $18/utente/mese per Tailscale Premium valga la pena, o se dovresti impegnarti nel self-host completo su un VPS da $5/mese. La risposta non è binaria — dipende da quanti nodi distribuisci, dalla tua tolleranza al lock-in del fornitore e da come utilizzi il tuo tempo.
Entrambi gli strumenti risolvono lo stesso problema in modo diverso: Tailscale ti offre una mesh gestita in pochi minuti, WireGuard grezzo su un VPS Contabo ti offre pieno controllo e costi inferiori su larga scala. Questo confronto li valuta in termini di architettura, costo per 1/5/20 nodi, le trappole comuni e una guida decisionale concreta — basata su come ciascuno è progettato per funzionare, non su metriche inventate.
Cos'è Tailscale e in cosa differisce da WireGuard self-hosted?
Tailscale è un piano di controllo SaaS costruito su WireGuard. Automatizza la scoperta dei peer, la rotazione delle chiavi, l'attraversamento NAT, gli ACL e MagicDNS. La crittografia dei pacchetti effettiva è WireGuard. WireGuard self-hosted ti offre prestazioni grezze (~900 Mbps, €60/anno su Contabo) e zero lock-in del fornitore; Tailscale risparmia tempo di configurazione ma costa ~$1,080/anno per 5 utenti.
Cosa è effettivamente Tailscale (e cosa non è)
Tailscale non è un nuovo protocollo VPN — è un piano di controllo che si appoggia su WireGuard. Il piano dati (la crittografia effettiva dei pacchetti) rimane al 100% WireGuard. Cosa gestisce Tailscale per te:
- Scoperta — ogni nodo annuncia il suo IP pubblico al coordinatore (Tailscale SaaS). Altri nodi recuperano quell'informazione per impostare il tunnel.
- Attraversamento NAT — STUN + perforazione simile a ICE per aprire un tunnel diretto tra due nodi dietro NAT simmetrici. Quando ciò fallisce, fallback ai relay DERP (TCP/443).
- Gestione delle chiavi — rotazione automatica delle chiavi WireGuard, scadenza dei dispositivi, firma delle configurazioni.
- ACL — un file JSON dichiarativo che definisce chi può comunicare con chi, su quali porte. Compilato in regole iptables inviate a ogni nodo.
- MagicDNS / Nome Tailnet — risoluzione di
machine-name.your-tailnet.ts.netattraverso la tua mesh.
Il codice client di Tailscale è open source (github.com/tailscale/tailscale). Il piano di controllo SaaS non lo è — ma Headscale è una reimplementazione open-source del piano di controllo, compatibile con il client ufficiale. Questo è importante per ciò che segue.
Cosa Tailscale non è: non è una VPN consumer come NordVPN. Tailscale non ti fornisce un IP di uscita per far credere a Netflix US che sei a New York. Puoi configurare un "nodo di uscita" Tailscale, ma è un nodo che gestisci tu — su un VPS, per esempio. Torneremo su questo, perché è esattamente dove il caso economico si sposta verso il self-host.
Confronto delle architetture
Tailscale gestito:
[App A] ── WireGuard ──► [App B]
│ │
└──► SaaS Coordinator ◄──┘
(Tailscale Inc.)
Il coordinatore orchestra. I pacchetti vanno da A a B direttamente su WireGuard quando il NAT lo consente, o tramite un relay DERP di Tailscale come fallback (latenza extra + dipendenza SaaS).
WireGuard self-host (hub-and-spoke):
[Client 1] ──► [Contabo VPS Hub] ◄── [Client 2]
│
[Client 3]
Tutto passa attraverso l'hub. Latenza prevedibile, pieno controllo, ma l'hub è un singolo punto di guasto (e un singolo punto di ottimizzazione).
WireGuard self-host (full-mesh manuale):
[Node A] ◄──► [Node B]
▲ ▲
│ │
▼ ▼
[Node C] ◄──► [Node D]
N²/2 tunnel da configurare. Diventa ingestibile oltre 5-6 nodi — è esattamente il problema che Tailscale risolve sul lato gestito.
La scelta dell'architettura nel self-host è critica: per 1 a 4 nodi, l'hub-and-spoke è imbattibile in semplicità; oltre, accetti Tailscale o distribuisci Headscale (il piano di controllo open-source).
Tabella di confronto onesto
| Criterio | Tailscale Free | Tailscale Premium | WireGuard self-host | Headscale + WG self-host |
|---|---|---|---|---|
| Costo annuale (5 nodi) | $0 | ~$1,080 | €60 (Contabo VPS S) | €60 |
| Costo annuale (20 nodi) | n/a (max 3 utenti) | ~$4,320 | €60 | €60 |
| Configurazione iniziale | 5 min | 5 min | 30 min | 2 h |
| Attraversamento NAT automatico | Sì | Sì | No | Sì |
| Mesh dinamica | Sì | Sì | No (statica) | Sì |
| ACL dichiarativi | Sì | Sì | Manuale iptables | Sì (compatibilità JSON ACL Tailscale) |
| Nodo di uscita | Sì (1 incluso) | Sì (illimitato) | Sì | Sì |
| Log di audit | Limitati | Completi | Log fai-da-te | Log fai-da-te |
| SSO aziendale | No | Sì (SAML/OIDC) | No | OIDC manuale |
| Lock-in del fornitore | Alto | Alto | Zero | Zero |
| Sovranità dei dati | No | No | Sì | Sì |
| Manutenzione continua | Quasi zero | Quasi zero | Bassa-media | Media |
Tre osservazioni che non vedi mai nei blog di confronto sponsorizzati:
- Tailscale Premium è un ottimo valore per 1-3 utenti con molti nodi. Se sei da solo a gestire 15 server personali, $0 sul piano Free. Nessun dibattito.
- La matematica cambia a 4-5 utenti. A 5 utenti × $18/mese, sono $90/mese = $1,080/anno — per un servizio tecnicamente equivalente a WireGuard + un piano di controllo che puoi ospitare tu stesso su un Contabo VPS S a €4.99/mese.
- La manutenzione self-host non è zero, ma non è nemmeno schiacciante. La nostra configurazione hub-and-spoke WireGuard su Contabo richiede circa 1h/mese in media: aggiornamenti di sistema, rotazione delle chiavi ogni 6 mesi, revisione dei log.
Caso 1 — Solo, gestisci le tue macchine
Verdetto: Tailscale Free, senza esitazioni.
Il piano Tailscale Personal (100 dispositivi, 3 utenti) copre il 99% dei casi d'uso personali. MagicDNS funziona in due clic, l'attraversamento NAT ti risparmia mezza giornata di pfSense, e il client mobile (iOS/Android) è onestamente ben costruito. A questo punto, non perdere tempo a self-hostare WireGuard.
L'unico motivo per passare a WireGuard grezzo da solo è l'apprendimento. Se vuoi comprendere profondamente WireGuard, costruire il tuo hub-and-spoke su un VPS è l'esercizio. È esattamente ciò che copre la nostra guida VPN self-host Contabo WireGuard, ed è un investimento in competenze che ripaga molte volte nel medio termine.
Caso 2 — Piccolo team (2-5 persone)
Verdetto: Tailscale Free se rientri in 3 utenti, altrimenti WireGuard self-host.
A 4-5 utenti, Tailscale Premium diventa $864-$1,080/anno. Per lo stesso denaro, ottieni:
- 12 mesi di un Contabo VPS S (€60/anno)
- Tempo per scriptare WireGuard con Ansible (10 h ≈ €500 a €50/h)
- Budget rimanente per Headscale come opzione
Questa equazione regge se una persona nel team può scrivere script shell. Altrimenti, il costo opportunità aumenta, e $18/utente/mese Tailscale diventa di nuovo competitivo.
Configurazione self-host consigliata per 5 nodi:
- Un Contabo VPS S Norimberga (4 vCPU, 8 GB, €4.99/mese) — vedi la nostra recensione Contabo 2026.
- WireGuard in hub-and-spoke. Il VPS è l'hub, tutti i client puntano a esso.
- Route statiche sul lato server: un
AllowedIPsper peer client. - ACL tramite iptables: di default ogni client vede solo l'hub; le route inter-client vengono aperte su richiesta.
- Osservabilità minima:
wg showogni 5 min tramite cron + avviso se un peer è offline > 15 min.
Svantaggio accettato dell'hub-and-spoke: ogni pacchetto transita attraverso il VPS. Se Alice a Parigi invia un file a Bob a Berlino, il pacchetto va Parigi → Norimberga → Berlino. Sono ~25 ms di latenza extra rispetto a Tailscale, che avrebbe impostato un tunnel diretto. Per il 90% degli usi collaborativi (SSH, RDP, file tramite Syncthing), è invisibile. Per la voce in tempo reale, inizia a mostrarsi.
Caso 3 — Team di 10-20+ o conformità
Verdetto: Tailscale Premium o Headscale self-host. Non WireGuard grezzo.
A 10+ nodi, il full-mesh manuale di WireGuard diventa ingestibile, e l'hub-and-spoke non scala bene (l'hub diventa un collo di bottiglia di rete). Restano due opzioni serie:
Tailscale Premium: accetti $200-$400/mese e ti concentri sul tuo vero business. Log di audit, SAML, ACL, supporto — tutto incluso. Per un'azienda SaaS B2B in crescita, probabilmente è il miglior ROI.
Headscale self-host: ospiti il piano di controllo open-source (github.com/juanfont/headscale) sul tuo VPS. I client ufficiali Tailscale puntano al tuo coordinatore — la magia funziona ancora, ma senza lock-in del fornitore e senza bolletta mensile. Pianifica 2-3 giorni per una configurazione pulita con backend PostgreSQL, certificato TLS e OIDC per l'autenticazione. Vedi documentazione Headscale.
Headscale è il punto dolce per chiunque voglia qualcosa di simile a Tailscale con piena sovranità. È anche un caso in cui l'investimento iniziale (2-3 giorni di un sysadmin) si ripaga in meno di 2 mesi rispetto a Tailscale Premium con 10 utenti.
Confronto della sicurezza — dove risiedono i veri rischi
Tailscale:
- Il coordinatore non vede mai le tue chiavi private (rimangono locali).
- Ma: il coordinatore distribuisce le chiavi pubbliche e stabilisce le sessioni. Un compromesso del coordinatore permetterebbe a un attaccante di iniettare un peer malevolo nella tua mesh.
- Tailscale Inc. pubblica un modello di minaccia dettagliato e fa regolarmente auditare il suo codice.
- Superficie di attacco: client locale + piano di controllo SaaS + relay DERP.
WireGuard self-host:
- Superficie di attacco: client locale + hub VPS (che amministri tu).
- Nessuna terza parte, ma tutto dipende dalla robustezza della tua configurazione VPS: SSH rinforzato, firewall, aggiornamenti automatici.
- Rischio concreto: se il tuo hub VPS viene compromesso, l'attaccante ha accesso ai file di configurazione
/etc/wireguard/*.confe può decrittare il traffico attivo. Ecco perché raccomandiamo WireGuard + port knocking e un kill-switch lato client.
Headscale:
- Stessi rischi lato client di Tailscale, più la responsabilità dell'hosting del coordinatore.
- Vantaggio: conosci l'operatore (te stesso) e controlli i log.
Nessuna delle tre opzioni è intrinsecamente più sicura. Il fattore decisivo è chi esegue gli aggiornamenti. Tailscale li esegue automaticamente per te; nel self-host, devi mettere in atto unattended-upgrades.
Costi reali su 36 mesi — proiezione
Abbiamo fatto i conti su 36 mesi per i tre scenari (5 nodi, 5 utenti), con ipotesi conservative:
| Scenario | Costo diretto 36m | Costo indiretto (tempo) | Totale |
|---|---|---|---|
| Tailscale Premium | $3,240 | 5h configurazione × €50/h = €250 | ~$3,500 |
| WireGuard hub-and-spoke Contabo | €180 | 15h configurazione + 36h manutenzione = €2,550 | ~$2,700 |
| Headscale + WireGuard Contabo | €180 | 30h configurazione + 50h manutenzione = €4,000 | ~$4,180 |
Il risultato è meno ovvio di quanto sembri. WireGuard grezzo rimane il più economico a 5 nodi in costo totale, ma Headscale diventa più costoso di Tailscale Premium una volta che si considera il costo opportunità del tempo. Tailscale Premium è l'opzione a rischio più basso ma il costo diretto in contanti più alto.
Se valuti il tuo tempo sopra i €70/h, Tailscale Premium diventa quasi competitivo quanto WireGuard grezzo. Se il tuo tempo è meno costoso (junior, progetto secondario, apprendimento), il self-host vince.
Come migrare da Tailscale a WireGuard self-host
Questo è il percorso che abbiamo intrapreso a marzo 2026. Il risultato si adatta a una settimana di lavoro, distribuita su 3 weekend:
- Audit della configurazione esistente — elenca ogni nodo Tailscale, i loro IP Tailnet (
100.x.x.x), i loro attuali ACL. - Provisiona un Contabo VPS S come hub. Vedi tutorial passo-passo Contabo VPS — 20 min dall'inizio alla fine.
- Installa WireGuard sull'hub, genera una chiave server, apri UDP 51820 nel firewall Contabo.
- Definisci un piano IP statico — per esempio
10.66.0.0/16sul lato WireGuard, con mappatura pulita agli IP Tailnet vecchi. - Genera una configurazione WireGuard per ciascun client, distribuisci tramite canale sicuro (Bitwarden, Signal, mai email).
- Passa al nuovo sistema: un client alla volta, verifica la connettività, regola
AllowedIPslato server. - Spegni Tailscale progressivamente, mantienilo in esecuzione in parallelo 1-2 settimane per un rapido rollback se qualcosa si rompe.
La migrazione è fattibile ma è un progetto — non una cosa da pomeriggio. Se il team è composto da 8+ utenti e stiamo parlando di 30+ nodi, seriamente, rimani su Tailscale Premium e investi il tempo risparmiato nel tuo prodotto.
Il mio verdetto (pragmatico)
- Solo, progetti personali, 1-10 macchine → Tailscale Free. Non perdere tempo.
- Solo nerd, in modalità apprendimento, budget €5/mese → WireGuard self-host su Contabo. Un investimento in competenze che ripaga 10 volte.
- Piccolo team 2-5 persone, nessuna forte conformità → WireGuard hub-and-spoke su Contabo. Sovranità + €60/anno vs $1,000/anno.
- Team 5-15, fase di crescita, conformità B2B → Tailscale Premium. Denaro ben speso.
- Org 15+ con vincoli di sovranità (UE, settore pubblico, difesa) → Headscale self-host. L'opzione che allinea sovranità e scala.
La scelta peggiore possibile: WireGuard grezzo con full-mesh manuale a 10+ nodi. Passerai i tuoi weekend su di esso e finirà come una mesh rotta un martedì sera.
Alternativa senza infrastruttura: se non hai un VPS e vuoi solo proteggere i tuoi dati in movimento (caffè, hotel, aeroporto), una VPN commerciale senza log e auditata è un'alternativa legittima al self-hosting per uso personale.
Vedi Proton VPN →VPN senza log auditata · Giurisdizione svizzera · Client open-source · Migliore scelta se il self-hosting è eccessivo per il tuo caso d'uso→Approfondimenti
- VPN self-host su Contabo: guida completa WireGuard 2026
- Configurazione passo-passo Contabo VPS per VPN 2026
- WireGuard vs OpenVPN: benchmark VPS 2026
- WireGuard kill-switch su Linux: iptables + systemd
- Recensione Contabo 2026: feedback onesto sulla produzione
- Calcolatore dei costi VPN self-hosted — confronta il piano team di Tailscale con un VPS WireGuard su 1, 2 e 3 anni con il tuo reale numero di utenti
- Comparatore VPS interattivo — scegli tra Contabo, Hetzner e OVH per il tuo server WireGuard basato su latenza e prezzo a 24 mesi
Fonti e riferimenti:
- Bollettino di sicurezza Tailscale & Modello di minaccia
- Client CLI Tailscale — codice sorgente
- Headscale — piano di controllo compatibile con Tailscale open-source
- Whitepaper WireGuard — Jason A. Donenfeld
- DERP — Designated Encrypted Relay for Packets (Tailscale)
Pubblicato il 2026-06-05. Confronto basato sull'architettura documentata e sui prezzi di ciascuno strumento. Prezzi Tailscale estratti da tailscale.com/pricing a giugno 2026 — verifica prima di decidere, possono evolvere. Le prestazioni e i risparmi reali dipendono dalla dimensione del team, dai vincoli di conformità e dalla tolleranza del sysadmin.
Promemoria: WireGuard, Tailscale e il self-hosting VPN sono perfettamente legali nell'UE, negli Stati Uniti, in Canada e nella maggior parte dei paesi democratici. VPNSmith pubblica questo contenuto a scopo educativo.
★ Datacenter GDPR di Norimberga · ✓ IPv4 dedicato incluso · 200+ Mbps garantiti
Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→
