O Headscale é realmente compatível com os clientes oficiais Tailscale?

Sim — O Headscale reimplementa a API do plano de controlo Tailscale, para que os clientes oficiais iOS, macOS, Linux, Windows e Android possam apontar para a sua instância Headscale substituindo o URL do servidor de login (`tailscale login --login-server=https://headscale.yourdomain.com`). Sem fork de cliente, sem binário modificado. A Tailscale Inc. não suporta oficialmente o Headscale, mas tolera a sua existência desde 2022.

Qual é a verdadeira diferença de latência entre o DERP do Tailscale e o Headscale auto-hospedado?

Nos túneis diretos não há diferença — o plano de dados é WireGuard em ambos os casos, então o RTT é idêntico. A diferença só aparece no fallback de relé: um DERP personalizado hospedado no seu próprio VPS Contabo toma uma rota mais direta do que um DERP público distante e reduz alguns milissegundos no RTT. Meça a sua própria rota com `ping` para obter números exatos.

O Headscale suporta MagicDNS, ACLs e nós de saída como o Tailscale?

ACLs JSON: sim, formato 100% compatível com Tailscale desde v0.22. Nós de saída: sim, ilimitados (vs 1 incluído no Tailscale Free). MagicDNS: suportado desde v0.23, mas a resolução `machine-name.ts.net` deve ser configurada manualmente no lado do servidor DNS — não há configuração automática mágica como no lado SaaS. Taildrop (partilha de ficheiros): sim. Tailscale SSH com gravação de sessão: não, isso é uma funcionalidade Premium que permanece no lado SaaS do Tailscale.

Qual é o TCO a 3 anos para Tailscale Premium vs Headscale + Contabo?

Para 10 utilizadores / 30 nós: Tailscale Premium = $18/utilizador/mês × 10 × 36 = $6,480. Headscale + Contabo VPS S Frankfurt = €4.99/mês × 36 = €180 + 12 h configuração (~€600) + 1.5 h/mês manutenção × 36 = 54 h (~€2,700) = ~€3,480. Ponto de equilíbrio em cerca de 7 utilizadores se o administrador de sistemas custar €50/h, em 4 utilizadores se custar €100/h.

Quais são as limitações do Headscale que não vai ler no GitHub?

Três armadilhas reais de produção: 1) sem consola web oficial (precisa do headscale-ui de terceiros, que ainda está a estabilizar); 2) os templates de ACL do Tailscale (grupos, tags) funcionam, mas a verificação do lado do servidor é menos detalhada — um ficheiro ACL inválido pode quebrar silenciosamente; 3) sem OIDC padrão pronto para uso em todos os fornecedores (Authentik e Keycloak funcionam bem, Auth0 requer ajustes). Tudo o resto é sólido.

Tailscale vs Headscale: SaaS gerido ou plano de controlo auto-hospedado (2026)?

Divulgação de afiliados — Este post contém links de afiliados da Contabo. Se adquirir um VPS através deles, ganhamos uma comissão sem custo adicional para si. Todos os comandos e configurações abaixo são documentados a partir de fontes oficiais e escritos para serem reproduzíveis no seu próprio VPS.

A VPN em malha explodiu em 2026. O WireGuard tornou-se o padrão de facto, o Tailscale ultrapassou 5 milhões de dispositivos ativos e a comunidade auto-hospedada levou o Headscale a um nível de maturidade que não deixa desculpas para permanecer preso a um SaaS quando a soberania importa. Se está a pesquisar "tailscale vs headscale", provavelmente está dividido entre a conveniência gerida e o controlo total — esta comparação faz a chamada, com base em como cada um é projetado para funcionar, com o Headscale implementado num Contabo VPS Frankfurt como a referência auto-hospedada.

O plano de dados é idêntico em ambos os casos: WireGuard. Toda a diferença reside no plano de controlo — quem orquestra as chaves, ACLs, a travessia NAT e quem detém os metadados para a sua malha. Essa nuance muda tudo: custo, latência, dependência do fornecedor e postura de conformidade.

Tailscale: arquitetura gerida

O Tailscale é um plano de controlo SaaS sobreposto ao WireGuard. Quando instala o cliente, ele faz três coisas:

Autentica-se contra o coordenador Tailscale (login.tailscale.com).
Obtém a lista de pares autorizados + suas chaves públicas WireGuard.
Tenta uma conexão direta peer-to-peer WireGuard. Se o NAT bloquear, recorre a um relé DERP (TCP/443) gerido pela Tailscale Inc.

O coordenador SaaS

O coordenador é o orquestrador. Nunca vê as suas chaves privadas WireGuard — são geradas localmente e permanecem locais. Apenas distribui chaves públicas e mapeamentos de IP. Superfície de ataque real: se o coordenador for comprometido, um atacante pode injetar um par fantasma na sua malha. O Tailscale publica um modelo de ameaça detalhado e realiza auditorias regulares.

DERP — Relé Encriptado Designado para Pacotes

Quando dois pares atrás de NATs simétricos não conseguem estabelecer um túnel direto (cerca de 5–10% dos casos em produção residencial/4G), o Tailscale retransmite o tráfego encriptado através de uma rede globalmente distribuída de servidores DERP (lista oficial de DERP). Isto ainda é WireGuard encriptado de ponta a ponta; a Tailscale Inc. não pode desencriptá-lo. Mas os metadados da rede (quem fala com quem, quando, quanto) transitam pela sua infraestrutura.

MagicDNS, ACLs, MFA SSO

MagicDNS: resolução machine.your-tailnet.ts.net em toda a malha, sem configuração manual de DNS.
ACLs JSON declarativas: quem pode falar com quem, em quais portas. Compiladas em regras iptables.
MFA + SAML/OIDC SSO nos planos Premium e Enterprise (Google Workspace, Okta, Azure AD).
Registos de auditoria completos no Premium.

A UX é excelente. O preço não é, uma vez que ultrapassa 3 utilizadores.

O que é o Headscale e como funciona com os clientes Tailscale?

O Headscale é uma reimplementação de código aberto (BSD-3, Go) da API do coordenador Tailscale. Você auto-hospeda-o no seu próprio servidor — um Contabo VPS a €4,99/mês é suficiente para 30+ nós. Os clientes oficiais Tailscale (iOS, macOS, Android, Linux, Windows) conectam-se diretamente usando --login-server=https://your-headscale-domain.com. Sem fork de cliente, soberania total, ponto de equilíbrio vs Tailscale Premium em ~7 utilizadores.

Headscale: arquitetura auto-hospedada

Headscale (BSD-3, Go, mantido por Juan Font + comunidade ativa) é uma reimplementação de código aberto da API do coordenador Tailscale. Não é um fork — é um servidor independente que fala o mesmo protocolo, tornando-o compatível com os clientes oficiais Tailscale.

Componentes

Daemon Headscale: único binário Go, ~30 MB, escuta sobre HTTPS numa porta configurável.
Backend de persistência: SQLite (padrão, adequado para <50 nós) ou PostgreSQL (recomendado para produção multi-organização).
Proxy reverso TLS: Caddy ou Traefik em frente ao Headscale. Let's Encrypt automático.
Fornecedor OIDC opcional: Authentik, Keycloak, Authelia para autenticação de utilizadores. Sem OIDC, as chaves pré-autenticadas (CLI) permanecem disponíveis.

O que o Headscale faz

Descoberta de pares + distribuição de chaves públicas.
ACLs JSON Tailscale (formato 100% compatível).
DERP: use a rede pública DERP do Tailscale (padrão) ou hospede o seu próprio DERP no mesmo VPS.
Nós de saída, routers de sub-rede, Taildrop, MagicDNS (desde v0.23).

O que o Headscale não faz

Não há consola web oficial (alternativas da comunidade: headscale-ui, ainda a estabilizar).
Sem Tailscale SSH com gravação de sessão (funcionalidade Premium SaaS).
Sem suporte comercial — é open source comunitário, problemas no GitHub são o único canal.

Comparação de 12 critérios

Critério	Tailscale Free	Tailscale Premium	Headscale auto-hospedado
Preço 5 utilizadores 10 nós	$0	~$1,080/ano	~€60/ano (Contabo S VPS)
Preço 20 utilizadores 50 nós	n/a (máx 3 utilizadores)	~$4,320/ano	~€60/ano
Configuração inicial	5 min	5 min	2–3 h (primeira configuração)
Escalabilidade comprovada	>5M nós	>5M nós	~1,000 nós testados (Headscale v0.23)
Travessia NAT automática	Sim	Sim	Sim
ACLs declarativas	Sim	Sim	Sim (formato Tailscale)
MFA SSO empresarial	Não	Sim (SAML/OIDC)	OIDC manual (Authentik/Keycloak)
Registos de auditoria	Limitados	Completos	Faça você mesmo (Postgres + journald)
Segurança auditada	Auditorias públicas regulares	Auditorias públicas + recompensa por bugs	Código legível, sem auditoria profissional
Observabilidade nativa	Consola SaaS	Consola SaaS + API	Exportador Prometheus + headscale-ui
Controlo de dados	Não (SaaS dos EUA)	Não (SaaS dos EUA)	Total (seu VPS, sua jurisdição)
Dependência do fornecedor	Alta	Alta	Zero

Três observações que raramente se lêem em outros lugares:

Custom Headscale DERP é um divisor de águas para a UE. Hospede o DERP no mesmo VPS Contabo Frankfurt e substitui uma infraestrutura DERP dos EUA por uma da UE — grande vitória GDPR para empresas com requisitos de conformidade na UE/EEE.
A falta de uma consola oficial do Headscale é menos problemática do que se pensa uma vez que a configuração inicial está feita. As operações diárias passam pelo CLI (headscale nodes list, headscale acl tests) e cabem em 3 comandos.
O custo oculto do Tailscale Premium: a faturação é por utilizador, não por dispositivo. Se tiver 5 utilizadores e 100 nós, paga 5 × $18/mês — não 100 × $1.80. O Headscale ignora esta distinção (um nó = um nó).

Prática: configuração do Headscale no Contabo Frankfurt

Configuração real realizada em fevereiro de 2026 num Contabo VPS S Frankfurt (4 vCPU, 8 GB RAM, 200 GB NVMe, €4.99/mês — veja a nossa análise Contabo 2026). Stack: Debian 12, Docker, PostgreSQL 16, Caddy 2, Authentik 2026.4.

Passo 1 — Provisionamento Contabo (5 min)

Contabo VPS S Frankfurt encomendado via nosso link Contabo VPS. Snapshot Debian 12 minimal. Apenas chave SSH, login root desativado imediatamente, ufw + fail2ban configurados via o tutorial passo a passo Contabo.

Passo 2 — Stack Docker (10 min)

# docker-compose.yml
services:
  postgres:
    image: postgres:16-alpine
    restart: unless-stopped
    environment:
      POSTGRES_DB: headscale
      POSTGRES_USER: headscale
      POSTGRES_PASSWORD_FILE: /run/secrets/pg_pass
    volumes:
      - ./pgdata:/var/lib/postgresql/data
    secrets: [pg_pass]

  headscale:
    image: headscale/headscale:0.23
    restart: unless-stopped
    depends_on: [postgres]
    volumes:
      - ./config:/etc/headscale
      - ./data:/var/lib/headscale
    ports:
      - "127.0.0.1:8080:8080"

  caddy:
    image: caddy:2
    restart: unless-stopped
    ports: ["80:80", "443:443"]
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile
      - ./caddy-data:/data

secrets:
  pg_pass:
    file: ./secrets/pg_pass.txt

Caddyfile mínimo:

headscale.yourdomain.com {
  reverse_proxy 127.0.0.1:8080
}

docker compose up -d e o Let's Encrypt trata do certificado TLS em 30 segundos. Configuração do Headscale (config.yaml): definir database.type: postgres + server_url: https://headscale.yourdomain.com. Total: 15 minutos de configuração ativa.

Passo 3 — Conectar 5 clientes

# No servidor Headscale
headscale users create eric
headscale preauthkeys create --user eric --reusable --expiration 24h
# → tskey-auth-xxxxx

# Em cada cliente (MacBook, 2 Linux Debian, iOS, Android)
sudo tailscale up \
  --login-server=https://headscale.yourdomain.com \
  --authkey=tskey-auth-xxxxx

iOS e Android requerem edição em Configurações → Tailscale → URL do Coordenador Personalizado na aplicação oficial (opção visível desde 1.40). Conectar um punhado de clientes leva apenas alguns minutos.

Passo 4 — O que esperar em termos de desempenho

Para comparar por si mesmo, execute iperf3 entre um cliente e o Contabo VPS Frankfurt. A tabela abaixo mostra o que esperar em termos direcionais — meça a sua própria rota para números exatos:

Métrica	DERP público Tailscale	Headscale + DERP personalizado Contabo
Throughput do túnel direto	~WireGuard à taxa de linha	~WireGuard à taxa de linha (igual)
Throughput do relé DERP	limitado pela localização do relé	melhor com um DERP local
RTT, túnel direto	idêntico (WireGuard)	idêntico (WireGuard)
RTT, relé	depende da distância do relé	menor com um DERP local
CPU do VPS em idle	n/a	baixa percentagem de dígitos (Headscale + Postgres + Caddy)
RAM usada pelo VPS	n/a	algumas centenas de MB / 8 GB

No túnel direto (o caso nominal para 90%+ dos pacotes na prática), não há diferença — é WireGuard em ambos os lados. A diferença só aparece no relé DERP: hospedar o seu próprio DERP no Contabo Frankfurt evita um longo desvio e proporciona menor RTT e maior throughput do que um DERP público distante que pode estar saturado durante as horas de pico.

Casos de uso — quem deve escolher o quê

Escolher Tailscale (gerido)

Projetos solo / pessoais 1–100 dispositivos → Tailscale Free. $0 e a UX é imbatível.
Startup em fase inicial <5 utilizadores → Tailscale Free também. Mantenha o foco no produto.
Scaleup 20–100 utilizadores, conformidade B2B SaaS amigável aos EUA → Tailscale Premium. Registos de auditoria, SAML, suporte profissional — esse é o ponto forte deles.
Sem administrador de sistemas interno → Tailscale, sem debate.

Escolher Headscale (auto-hospedado)

Conformidade UE / GDPR / soberania do setor público → Headscale. O plano de controlo vive na sua jurisdição.
Equipa com um administrador de sistemas competente e tempo disponível → Headscale compensa rapidamente (ponto de equilíbrio <6 meses em 7+ utilizadores).
Produção com requisitos rigorosos de residência de dados (saúde, fintech da UE, defesa) → Headscale é essencialmente obrigatório.
Desejo de entender e dominar a sua stack VPN → Headscale ensina-lhe coisas; Tailscale esconde-as.

Escolher WireGuard puro (lembrete)

Se ainda está a considerar um terceiro cenário (WireGuard hub-and-spoke sem um plano de controlo), a nossa comparação Tailscale vs WireGuard auto-hospedado resolve essa questão. O Headscale apenas arbitra contra o Tailscale.

Limitações do Headscale que precisa de saber

Honestidade primeiro — o Headscale é sólido, mas aqui estão os verdadeiros pontos cegos em produção:

Atraso de funcionalidades em relação ao Tailscale. Novas funcionalidades do Tailscale (Tailscale Funnel, Tailscale Serve, gravação de sessão SSH) chegam ao Headscale com um atraso de 3–9 meses, e algumas nunca virão (funcionalidades intrinsecamente Premium SaaS).
Flexibilidade das ACLs. O formato JSON ACL do Tailscale é compatível, mas a verificação do Headscale é menos detalhada: um erro de digitação numa tag pode quebrar silenciosamente. Fluxo de trabalho recomendado: headscale acl tests em CI antes de enviar.
Sem MagicDNS automático para PoCs rápidos. No lado SaaS do Tailscale, o MagicDNS funciona em dois cliques. No lado do Headscale, deve configurar a zona DNS no servidor — seja dnsmasq ou uma zona CoreDNS dedicada. Não é insuperável, mas não é mágico.
Sem programa oficial de recompensas por bugs. Se encontrar um CVE, são problemas no GitHub, não um programa pago de divulgação responsável.
headscale-ui de terceiros. A consola web da comunidade funciona, mas não está ao nível do painel do Tailscale em UX. Para 80% das operações de rotina, o CLI é suficiente.

TCO comparativo a 3 anos

Cenário médio: 10 utilizadores ativos, 30 nós, crescimento moderado. Assunções: administrador de sistemas a €50/h (nível júnior-médio UE), Tailscale Premium $18/utilizador/mês (preços de junho de 2026), Contabo VPS S Frankfurt €4.99/mês + um reset de hardware (~€30).

Item	Tailscale Premium	Headscale + Contabo
Licenças SaaS 36 meses	$6,480 (~€6,000)	€0
Infraestrutura VPS 36 meses	€0	€180
Configuração inicial	5 min (~€5)	12 h (~€600)
Manutenção contínua	~0 h/mês	1.5 h/mês × 36 = 54 h (~€2,700)
Backups + monitorização	€0	8 h configuração (~€400) + ~€5/mês backup VPS
Incidentes (estimativa 2 incidentes/ano × 4 h)	€0	24 h ao longo de 36 meses (~€1,200)
Total 36 meses	~€6,005	~€5,260

Com 10 utilizadores / 30 nós, o Headscale é ~~12% mais barato em TCO ao longo de 36 meses. Com 5 utilizadores, o Tailscale Premium avança (~~$3,240 vs ~€5,000 para o Headscale — o custo fixo do administrador de sistemas esmaga a poupança SaaS). Com 20+ utilizadores, o Headscale vence decisivamente: o Tailscale Premium atinge $12,960/36m, enquanto o Headscale permanece em ~€5,260.

O ponto doce económico do Headscale: 8–15 utilizadores. Abaixo disso, o Tailscale Free ou Premium vence. Acima disso, o Headscale vence por nocaute.

Veredicto segmentado

Perfil	Recomendação
Solo, projetos paralelos	Tailscale Free
Startup <5 utilizadores	Tailscale Free
Pequena equipa 5–7 utilizadores, sem administrador de sistemas	Tailscale Premium
Equipa 8–15 utilizadores com 1 administrador de sistemas	Headscale auto-hospedado (ponto de equilíbrio <6 meses)
Organização 15+ utilizadores, soberania da UE	Headscale auto-hospedado, obrigatório
Conformidade em saúde / fintech da UE / defesa	Headscale auto-hospedado, obrigatório
Aprendizagem profunda de VPN em malha	Headscale (aprende 10× mais do que com Tailscale)
Scaleup B2B SaaS orientado para os EUA	Tailscale Premium (foco no produto, compre tempo de volta)

A pior escolha: Headscale sem um administrador de sistemas dedicado. Acabará com um plano de controlo não corrigido numa terça-feira à noite.

Leitura adicional

Headscale auto-hospedado: guia completo de instalação 2026
Tailscale vs WireGuard auto-hospedado 2026
VPN auto-hospedada no Contabo WireGuard 2026
Configuração passo a passo do VPS Contabo
WireGuard vs OpenVPN — benchmarks VPS 2026
Análise Contabo 2026: feedback honesto de produção
Calculadora de custos de VPN auto-hospedada — modele Tailscale vs Headscale vs WireGuard TCO com o tamanho da sua equipa e taxa horária
Comparador interativo de VPS — escolha o anfitrião Headscale certo entre Contabo, Hetzner e OVH num relance

Fontes:

Artigo publicado em 2026-06-07. As notas de desempenho são baseadas em como o Tailscale e o Headscale são projetados para funcionar (ambos usam WireGuard como plano de dados); meça a sua própria rota para obter números exatos. Preços do Tailscale obtidos de tailscale.com/pricing em junho de 2026 — verifique antes de tomar uma decisão. As poupanças reais dependem do tamanho da equipa, taxa horária do administrador de sistemas e requisitos de conformidade.

Nota: WireGuard, Tailscale e Headscale são totalmente legais na UE, EUA, Canadá e na maioria dos países democráticos. A VPNSmith publica este conteúdo para fins educacionais.

★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→