Divulgação de afiliados — Este artigo contém links de afiliados da Contabo. Se adquirir um VPS através deles, ganhamos uma comissão sem custo adicional para si. As nossas recomendações baseiam-se no comportamento documentado de cada ferramenta e nas especificações publicadas pelos fornecedores.
A questão surge todas as semanas nos fóruns de auto-hospedagem: conhece o WireGuard, sabe que o Tailscale é "WireGuard gerido", e questiona-se se $18/utilizador/mês pelo Tailscale Premium vale a pena, ou se deve comprometer-se com a auto-hospedagem total num VPS de $5/mês. A resposta não é binária — depende de quantos nós implementa, da sua tolerância à dependência de fornecedor e do que faz com o seu tempo.
Ambas as ferramentas resolvem o mesmo problema de forma diferente: o Tailscale oferece uma malha gerida em minutos, enquanto o WireGuard puro num VPS da Contabo oferece controlo total e menor custo em escala. Esta comparação avalia-os em termos de arquitetura, custo para 1/5/20 nós, as armadilhas comuns e um guia de decisão concreto — baseado em como cada um foi projetado para funcionar, não em métricas inventadas.
O que é o Tailscale e como difere do WireGuard auto-hospedado?
O Tailscale é um plano de controlo SaaS construído sobre o WireGuard. Automatiza a descoberta de pares, rotação de chaves, travessia NAT, ACLs e MagicDNS. A encriptação real dos pacotes é feita pelo WireGuard. O WireGuard auto-hospedado oferece desempenho bruto (~900 Mbps, €60/ano na Contabo) e zero dependência de fornecedor; o Tailscale poupa tempo de configuração mas custa ~$1,080/ano para 5 utilizadores.
O que o Tailscale realmente é (e não é)
O Tailscale não é um novo protocolo VPN — é um plano de controlo sobre o WireGuard. O plano de dados (a encriptação real dos pacotes) permanece 100% WireGuard. O que o Tailscale faz por si:
- Descoberta — cada nó anuncia o seu IP público ao coordenador (SaaS do Tailscale). Outros nós obtêm essa informação para configurar o túnel.
- Travessia NAT — perfuração tipo STUN + ICE para abrir um túnel direto entre dois nós atrás de NATs simétricos. Quando isso falha, recorre a relés DERP (TCP/443).
- Gestão de chaves — rotação automática de chaves WireGuard, expiração de dispositivos, assinatura de configurações.
- ACLs — um ficheiro JSON declarativo que define quem pode comunicar com quem, em quais portas. Compilado em regras iptables enviadas para cada nó.
- MagicDNS / Nome Tailnet — resolução de
nome-da-máquina.seu-tailnet.ts.netem toda a sua malha.
O código do cliente Tailscale é open source (github.com/tailscale/tailscale). O plano de controlo SaaS não é — mas o Headscale é uma reimplementação open-source do plano de controlo, compatível com o cliente oficial. Isso é importante para o que se segue.
O que o Tailscale não é: não é uma VPN de consumo como a NordVPN. O Tailscale não lhe dá um IP de saída para fazer o Netflix US pensar que está em Nova Iorque. Pode configurar um "nó de saída" do Tailscale, mas esse é um nó que você gere — num VPS, por exemplo. Voltaremos a isso, porque é exatamente onde o caso económico se inclina para a auto-hospedagem.
Arquiteturas comparadas
Tailscale gerido:
[App A] ── WireGuard ──► [App B]
│ │
└──► Coordenador SaaS ◄──┘
(Tailscale Inc.)
O coordenador orquestra. Os pacotes vão de A → B diretamente sobre o WireGuard sempre que o NAT permite, ou via um relé DERP do Tailscale como recurso (latência extra + dependência de SaaS).
WireGuard auto-hospedado (hub-and-spoke):
[Cliente 1] ──► [Hub VPS Contabo] ◄── [Cliente 2]
│
[Cliente 3]
Tudo passa pelo hub. Latência previsível, controlo total, mas o hub é um ponto único de falha (e um ponto único de otimização).
WireGuard auto-hospedado (malha completa manual):
[Nó A] ◄──► [Nó B]
▲ ▲
│ │
▼ ▼
[Nó C] ◄──► [Nó D]
N²/2 túneis para configurar. Torna-se ingovernável além de 5-6 nós — é exatamente o problema que o Tailscale resolve no lado gerido.
A escolha da arquitetura na auto-hospedagem é crítica: para 1 a 4 nós, hub-and-spoke é imbatível em simplicidade; além disso, ou aceita o Tailscale ou implementa o Headscale (o plano de controlo open-source).
Tabela de comparação honesta
| Critério | Tailscale Free | Tailscale Premium | WireGuard auto-hospedado | Headscale + WG auto-hospedado |
|---|---|---|---|---|
| Custo anual (5 nós) | $0 | ~$1,080 | €60 (VPS Contabo S) | €60 |
| Custo anual (20 nós) | n/a (máx. 3 utilizadores) | ~$4,320 | €60 | €60 |
| Configuração inicial | 5 min | 5 min | 30 min | 2 h |
| Travessia NAT automática | Sim | Sim | Não | Sim |
| Malha dinâmica | Sim | Sim | Não (estática) | Sim |
| ACLs declarativas | Sim | Sim | iptables manual | Sim (compatível com JSON ACL do Tailscale) |
| Nó de saída | Sim (1 incluído) | Sim (ilimitado) | Sim | Sim |
| Registos de auditoria | Limitado | Completo | Registo DIY | Registo DIY |
| SSO Empresarial | Não | Sim (SAML/OIDC) | Não | OIDC manual |
| Dependência de fornecedor | Alta | Alta | Zero | Zero |
| Soberania de dados | Não | Não | Sim | Sim |
| Manutenção contínua | Quase zero | Quase zero | Baixa-média | Média |
Três observações que nunca vê em blogs de comparação patrocinados:
- Tailscale Premium é um ótimo valor para 1-3 utilizadores com muitos nós. Se estiver sozinho a gerir 15 servidores pessoais, $0 no plano Free. Sem debate.
- A matemática muda com 4-5 utilizadores. Com 5 utilizadores × $18/mês, são $90/mês = $1,080/ano — para um serviço tecnicamente equivalente ao WireGuard + um plano de controlo que pode hospedar você mesmo num VPS Contabo S a €4.99/mês.
- A manutenção da auto-hospedagem não é zero, mas também não é esmagadora. A nossa configuração hub-and-spoke do WireGuard na Contabo exige cerca de 1h/mês em média: atualizações do sistema, rotação de chaves a cada 6 meses, revisão de registos.
Caso 1 — Solo, a gerir as suas próprias máquinas
Veredicto: Tailscale Free, sem hesitação.
O plano Pessoal do Tailscale (100 dispositivos, 3 utilizadores) cobre 99% dos casos de uso pessoal. O MagicDNS funciona em dois cliques, a travessia NAT poupa-lhe meio dia de pfSense, e o cliente móvel (iOS/Android) é honestamente bem construído. Nesta fase, não perca tempo a auto-hospedar o WireGuard.
A única razão para mudar para o WireGuard puro sozinho é aprender. Se quiser entender o WireGuard profundamente, construir o seu próprio hub-and-spoke num VPS é o exercício. É exatamente isso que o nosso guia de auto-hospedagem VPN Contabo WireGuard cobre, e é um investimento em habilidades que compensa muitas vezes a médio prazo.
Caso 2 — Pequena equipa (2-5 pessoas)
Veredicto: Tailscale Free se couber em 3 utilizadores, caso contrário WireGuard auto-hospedado.
Com 4-5 utilizadores, o Tailscale Premium torna-se $864-$1,080/ano. Pelo mesmo dinheiro, obtém:
- 12 meses de um VPS Contabo S (€60/ano)
- Tempo para scriptar o WireGuard com Ansible (10 h ≈ €500 a €50/h)
- Orçamento restante para o Headscale como opção
Esta equação mantém-se se uma pessoa na equipa souber escrever scripts shell. Caso contrário, o custo de oportunidade aumenta, e $18/utilizador/mês do Tailscale torna-se novamente competitivo.
Configuração recomendada de auto-hospedagem para 5 nós:
- Um Contabo VPS S Nuremberga (4 vCPU, 8 GB, €4.99/mês) — veja a nossa revisão Contabo 2026.
- WireGuard em hub-and-spoke. O VPS é o hub, todos os clientes apontam para ele.
- Rotas estáticas no lado do servidor: um
AllowedIPspor par de cliente. - ACLs via iptables: por padrão, cada cliente só vê o hub; rotas entre clientes são abertas sob demanda.
- Observabilidade mínima:
wg showa cada 5 min via cron + alerta se um par estiver offline > 15 min.
Desvantagem aceite do hub-and-spoke: cada pacote transita pelo VPS. Se Alice em Paris enviar um ficheiro para Bob em Berlim, o pacote vai Paris → Nuremberga → Berlim. São ~25 ms de latência extra vs Tailscale, que teria configurado um túnel direto. Para 90% dos usos de colaboração (SSH, RDP, ficheiros via Syncthing), é invisível. Para voz em tempo real, começa a notar-se.
Caso 3 — Equipa de 10-20+ ou conformidade
Veredicto: Tailscale Premium ou Headscale auto-hospedado. Não WireGuard puro.
Com 10+ nós, a malha completa manual do WireGuard torna-se ingovernável, e o hub-and-spoke não escala bem (o hub torna-se um gargalo de rede). Restam duas opções sérias:
Tailscale Premium: aceita $200-$400/mês e foca-se no seu verdadeiro negócio. Registos de auditoria, SAML, ACLs, suporte — tudo incluído. Para uma empresa SaaS B2B em crescimento, provavelmente é o melhor ROI.
Headscale auto-hospedado: hospeda o plano de controlo open-source (github.com/juanfont/headscale) no seu próprio VPS. Os clientes oficiais do Tailscale apontam para o seu coordenador — a magia ainda funciona, mas sem dependência de fornecedor e sem fatura mensal. Planeie 2-3 dias para uma configuração limpa com backend PostgreSQL, certificado TLS e OIDC para autenticação. Veja docs do Headscale.
O Headscale é o ponto ideal para quem quer algo semelhante ao Tailscale com total soberania. É também um caso onde o investimento inicial (2-3 dias de um sysadmin) compensa em menos de 2 meses vs Tailscale Premium com 10 utilizadores.
Segurança comparada — onde estão os verdadeiros riscos
Tailscale:
- O coordenador nunca vê as suas chaves privadas (elas permanecem locais).
- Mas: o coordenador distribui chaves públicas e estabelece sessões. Um comprometimento do coordenador permitiria a um atacante injetar um par malicioso na sua malha.
- A Tailscale Inc. publica um modelo de ameaça detalhado e tem o seu código regularmente auditado.
- Superfície de ataque: cliente local + plano de controlo SaaS + relés DERP.
WireGuard auto-hospedado:
- Superfície de ataque: cliente local + hub VPS (que você administra).
- Sem terceiros, mas tudo depende da robustez da configuração do seu VPS: SSH endurecido, firewall, atualizações automáticas.
- Risco concreto: se o seu hub VPS for comprometido, o atacante tem acesso aos ficheiros de configuração
/etc/wireguard/*.confe pode decifrar o tráfego ativo. É por isso que recomendamos WireGuard + port knocking e um kill-switch do lado do cliente.
Headscale:
- Mesmos riscos do lado do cliente que o Tailscale, além da responsabilidade de hospedagem do coordenador.
- Vantagem: conhece o operador (você) e controla os registos.
Nenhuma das três opções é intrinsecamente mais segura. O fator decisivo é quem faz as atualizações. O Tailscale faz-as automaticamente por si; na auto-hospedagem, tem de implementar unattended-upgrades.
Custos reais ao longo de 36 meses — projeção
Fizemos as contas ao longo de 36 meses para os três cenários (5 nós, 5 utilizadores), com suposições conservadoras:
| Cenário | Custo direto 36m | Custo indireto (tempo) | Total |
|---|---|---|---|
| Tailscale Premium | $3,240 | 5h de configuração × €50/h = €250 | ~$3,500 |
| WireGuard hub-and-spoke Contabo | €180 | 15h de configuração + 36h de manutenção = €2,550 | ~$2,700 |
| Headscale + WireGuard Contabo | €180 | 30h de configuração + 50h de manutenção = €4,000 | ~$4,180 |
O resultado é menos óbvio do que parece. O WireGuard puro continua a ser o mais barato com 5 nós em custo total, mas o Headscale torna-se mais caro do que o Tailscale Premium quando se considera o custo de oportunidade do tempo. O Tailscale Premium é a opção de menor risco, mas o custo direto mais alto.
Se valoriza o seu tempo acima de €70/h, o Tailscale Premium torna-se quase tão competitivo quanto o WireGuard puro. Se o seu tempo é mais barato (júnior, projeto paralelo, aprendizagem), a auto-hospedagem vence.
Como migrar do Tailscale para o WireGuard auto-hospedado
Esse foi o caminho que seguimos em março de 2026. O resultado encaixa-se em uma semana de trabalho, distribuída por 3 fins de semana:
- Auditar a configuração existente — listar cada nó do Tailscale, os seus IPs Tailnet (
100.x.x.x), as suas ACLs atuais. - Provisionar um Contabo VPS S como o hub. Veja o tutorial passo a passo do VPS Contabo — 20 min de ponta a ponta.
- Instalar o WireGuard no hub, gerar uma chave de servidor, abrir UDP 51820 no firewall da Contabo.
- Definir um plano de IP estático — por exemplo
10.66.0.0/16no lado do WireGuard, com mapeamento limpo para os antigos IPs Tailnet. - Gerar uma configuração WireGuard por cliente, distribuir via canal seguro (Bitwarden, Signal, nunca email).
- Trocar: um cliente de cada vez, verificar conectividade, ajustar
AllowedIPsno lado do servidor. - Desligar o Tailscale progressivamente, mantê-lo a funcionar em paralelo 1-2 semanas para um rollback rápido se algo falhar.
A migração é viável, mas é um projeto — não é algo para uma tarde. Se a equipa for de 8+ utilizadores e estivermos a falar de 30+ nós, a sério, fique no Tailscale Premium e invista o tempo poupado no seu produto.
O meu veredicto (pragmático)
- Solo, projetos pessoais, 1-10 máquinas → Tailscale Free. Não perca tempo.
- Nerd solo, em modo de aprendizagem, orçamento de €5/mês → WireGuard auto-hospedado na Contabo. Um investimento em habilidades que compensa 10x.
- Pequena equipa 2-5 pessoas, sem forte conformidade → WireGuard hub-and-spoke na Contabo. Soberania + €60/ano vs $1,000/ano.
- Equipa 5-15, fase de crescimento, conformidade B2B → Tailscale Premium. Dinheiro bem gasto.
- Org 15+ com restrições de soberania (UE, setor público, defesa) → Headscale auto-hospedado. A opção que alinha soberania e escala.
Pior escolha possível: WireGuard puro com malha completa manual em 10+ nós. Vai passar os seus fins de semana nisso e acabará como uma malha quebrada numa terça-feira à noite.
Alternativa sem infra: se não tem um VPS e só quer proteger os seus dados em movimento (café, hotel, aeroporto), uma VPN comercial auditada sem registos é uma alternativa legítima à auto-hospedagem para uso pessoal.
Veja Proton VPN →VPN auditada sem registos · Jurisdição suíça · Cliente open-source · Melhor escolha se a auto-hospedagem for excessiva para o seu caso de uso→Indo mais longe
- Auto-hospedar VPN na Contabo: guia completo WireGuard 2026
- Configuração passo a passo do VPS Contabo para VPN 2026
- WireGuard vs OpenVPN: benchmarks de VPS 2026
- Kill-switch WireGuard no Linux: iptables + systemd
- Revisão Contabo 2026: feedback honesto de produção
- Calculadora de custos de VPN auto-hospedada — compare o plano de equipa Tailscale contra um VPS WireGuard ao longo de 1, 2 e 3 anos com o seu número real de utilizadores
- Comparador interativo de VPS — escolha entre Contabo, Hetzner e OVH para o seu servidor WireGuard com base na latência e preço de 24 meses
Fontes e referências:
- Boletim de Segurança & Modelo de Ameaça do Tailscale
- Cliente CLI do Tailscale — código fonte
- Headscale — plano de controlo compatível com Tailscale open-source
- Whitepaper WireGuard — Jason A. Donenfeld
- DERP — Designated Encrypted Relay for Packets (Tailscale)
Publicado em 2026-06-05. Comparação baseada na arquitetura documentada e preços de cada ferramenta. Preços do Tailscale retirados de tailscale.com/pricing em junho de 2026 — verifique antes de decidir, pois evolui. O desempenho real e as economias dependem do tamanho da equipa, restrições de conformidade e tolerância do sysadmin.
Lembrete: WireGuard, Tailscale e auto-hospedagem de VPN são perfeitamente legais na UE, EUA, Canadá e na maioria dos países democráticos. A VPNSmith publica este conteúdo para fins educacionais.
★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos
Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→
