A maioria das configurações de "VPN auto-hospedada" param num único servidor WireGuard ao qual te ligas. Uma VPN de malha é diferente: cada dispositivo comunica diretamente com todos os outros dispositivos, peer-to-peer, com um servidor de coordenação apenas a intermediar as ligações. A Tailscale popularizou este modelo — mas o seu coordenador é proprietário. NetBird é a resposta para quem quer a mesma experiência de malha com uma stack que é open-source desde o agente até ao servidor, e totalmente auto-hospedável num VPS que controlas.
Este guia explica como funciona o NetBird, o que realmente envolve a sua auto-hospedagem, o custo e manutenção honestos, e como se compara com Tailscale e Headscale.
O que é o NetBird?
NetBird é uma VPN de malha overlay open-source construída sobre WireGuard para o plano de dados. Os seus componentes:
- Agentes em cada dispositivo, estabelecendo túneis WireGuard.
- Um servidor de sinalização que intermedeia a configuração de ligações peer-to-peer e a travessia de NAT.
- Um servidor de gestão que mantém a configuração, pares, grupos e políticas de ACL.
- Um painel de controlo para administração.
- Um relay (TURN/coturn) como recurso quando dois pares não conseguem ligar-se diretamente.
- Integração SSO/IdP (OIDC) — NetBird pode incluir Zitadel ou ligar-se a Authentik, Keycloak, Google e outros.
Toda a stack é open-source (github.com/netbirdio/netbird), o que é o ponto chave: ao contrário da Tailscale, o servidor de coordenação é software que podes executar.
Como os pares realmente se conectam
NetBird prioriza ligações diretas peer-to-peer WireGuard. O servidor de sinalização ajuda dois agentes a descobrirem-se e a atravessarem o NAT; uma vez conectados, o tráfego flui diretamente entre eles — rápido e sem tocar no teu servidor. Apenas quando ambos os pares estão atrás de NATs ou firewalls restritivos é que o tráfego recorre ao relay TURN. Essa distinção é importante para dimensionamento: o relay transporta a minoria de pior caso, não toda a tua rede. Para um fundo mais profundo sobre WireGuard, vê a nossa comparação WireGuard vs OpenVPN.
Auto-hospedagem do NetBird num VPS
A receita realista em 2026:
- Um pequeno VPS com um IP público. Um VPS S da Contabo a €4,99/mês lida confortavelmente com uma malha pequena a média.
- Um nome de domínio apontado para o VPS, com TLS via Let's Encrypt.
- Docker Compose a executar o servidor de gestão, servidor de sinalização, painel de controlo e coturn.
- Um fornecedor de identidade para SSO — inclui Zitadel ou liga a um fornecedor OIDC externo.
# Apenas um esboço — segue a documentação oficial de auto-hospedagem do NetBird para os ficheiros de compose atuais
curl -fsSL https://github.com/netbirdio/netbird/releases/latest/download/getting-started-with-zitadel.sh -o install.sh
# revê o script antes de o executar, depois:
export NETBIRD_DOMAIN=vpn.example.com
bash install.sh
Lê sempre um script de instalação antes de o executar. Para um endurecimento e configuração base do VPS passo a passo que se aplica aqui também, vê o nosso guia de configuração do VPS da Contabo e a visão geral mais ampla melhor VPN auto-hospedada 2026.
O custo e manutenção honestos
- Custo direto: aproximadamente €60/ano num VPS S da Contabo para uma malha pequena a média — versus preços SaaS por utilizador que escalam com a tua equipa.
- Tempo de configuração: algumas horas, mais do que uma única caixa WireGuard devido ao IdP e relay.
- Manutenção: atualizações de containers, renovação de certificados (maioritariamente automatizada) e monitorização da largura de banda do relay. NetBird tem mais partes móveis do que um servidor WireGuard simples ou uma instalação Headscale leve — essa é a troca por uma plataforma integrada e totalmente própria.
- Maturidade do projeto: mais jovem e com uma comunidade menor do que Tailscale; muito ativo, mas faz a tua própria diligência sobre a cadência de lançamentos.
NetBird vs Tailscale vs Headscale
| NetBird (auto-hospedado) | Tailscale (SaaS) | Headscale (auto-hospedado) | |
|---|---|---|---|
| Plano de dados | WireGuard | WireGuard | WireGuard |
| Fonte do servidor | Totalmente open-source | Coordenador proprietário | Reimplementação open-source |
| Clientes | Agentes NetBird | Tailscale oficial | Tailscale oficial |
| SSO/painel de controlo integrados | ✅ Sim | ✅ (gerido) | ⚠️ Mínimo |
| Controlas o plano de controlo | ✅ | ❌ | ✅ |
| Partes móveis para executar | Mais | Nenhuma (gerido) | Menos |
Para as duas opções do lado da Tailscale em profundidade, vê Tailscale vs Headscale auto-hospedado e o nosso guia de auto-hospedagem do Headscale.
Veredicto
NetBird é a escolha mais forte quando queres uma VPN de malha que possuis totalmente, de ponta a ponta, com SSO e ACLs integrados, e aceitas executar alguns containers. Se queres o caminho auto-hospedado mais leve possível e estás satisfeito com os clientes oficiais da Tailscale, Headscale é mais leve. Se não queres auto-hospedar de todo, o SaaS da Tailscale é o mais fácil — mas então não possuis o coordenador. Para equipas preocupadas com a soberania, NetBird num VPS da Contabo é a resposta open-source mais completa em 2026.
Comparação editorial baseada na arquitetura open-source documentada do NetBird (plano de dados WireGuard, servidores de gestão/sinalização auto-hospedáveis, SSO OIDC, fallback de relay TURN) e nos modelos documentados de Tailscale e Headscale. Os custos são preços indicativos de VPS, não garantias. Links comerciais têm o atributo rel="sponsored nofollow"; pode aplicar-se uma comissão de afiliado sem custo adicional para ti.
★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos
Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→
