Guía de Configuración de Tailscale VPS: Acceso Seguro Sin Configuración

Tailscale crea una VPN en malla entre todos tus dispositivos — VPS, portátil, teléfono, servidor doméstico. Sin reenvío de puertos, sin reglas de firewall, solo acceso seguro en todas partes.

¿Qué es Tailscale?

Tailscale es una VPN de configuración cero construida sobre WireGuard:

Red en malla — Cada dispositivo se conecta directamente a todos los demás
Sin servidor central — El tráfico va de dispositivo a dispositivo
Atraviesa NAT — Funciona detrás de firewalls/CGNAT
Integración SSO — Usa inicio de sesión de Google/Microsoft/GitHub
Nivel gratuito — 100 dispositivos, 3 usuarios

Piensa en ello como una internet privada para tus dispositivos.

¿Por Qué Usar Tailscale en VPS?

Sin Tailscale

Tu portátil → Internet → VPS (puerto 22 abierto, expuesto a ataques)

Con Tailscale

Tu portátil → Red Tailscale → VPS (sin puertos abiertos, cifrado)

Beneficios:

Cerrar el puerto 22 a internet
Acceder al VPS desde cualquier lugar sin listas blancas de IP
Conectar el VPS a recursos de la red doméstica
Compartir acceso con miembros del equipo de forma segura

Primeros Pasos

Paso 1: Crear una Cuenta de Tailscale

Ve a tailscale.com
Regístrate con Google/Microsoft/GitHub
Obtienes una tailnet única (como tunombre.ts.net)

Paso 2: Instalar en Tu Computadora

macOS:

brew install tailscale
tailscale up

Linux:

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

Windows: Descarga desde tailscale.com/download

Después de ejecutar tailscale up, autoriza en el navegador.

Paso 3: Instalar en el VPS

Conéctate por SSH a tu VPS normalmente (una última vez por IP pública):

ssh root@your-vps-ip

# Instalar Tailscale
curl -fsSL https://tailscale.com/install.sh | sh

# Iniciar y autenticar
sudo tailscale up

Obtendrás una URL para autorizar — ábrela en el navegador.

Paso 4: Conectar vía Tailscale

Tu VPS ahora tiene una IP de Tailscale (como 100.x.x.x):

# Encontrar la IP de Tailscale de tu VPS
tailscale ip -4

# Desde tu portátil, conectar por SSH vía Tailscale
ssh root@100.x.x.x

Funciona desde cualquier lugar — cafetería, hotel, punto de acceso del teléfono.

Asegurar tu VPS

Ahora que Tailscale funciona, cierra el SSH público (parte de una buena práctica de seguridad VPS):

# En tu VPS (¡vía conexión Tailscale!)
sudo ufw deny 22/tcp

# O eliminar la regla completamente
sudo ufw delete allow 22/tcp

# Verificar
sudo ufw status

El puerto 22 ahora está cerrado a internet. Solo funcionan las conexiones de Tailscale.

Usar MagicDNS

Activa MagicDNS en la consola de administración de Tailscale para nombres amigables:

# En lugar de:
ssh root@100.64.0.2

# Usa:
ssh root@my-vps
# o
ssh root@my-vps.yourname.ts.net

Mucho más fácil de recordar.

Nodo de Salida: Enrutar Tráfico a Través del VPS

Convierte tu VPS en un nodo de salida VPN:

# En el VPS
sudo tailscale up --advertise-exit-node

Aprueba en la consola de administración, luego en tu portátil:

# Enrutar todo el tráfico a través del VPS
tailscale up --exit-node=my-vps

# Dejar de usar el nodo de salida
tailscale up --exit-node=

Ahora todo tu tráfico de internet se enruta a través de la IP de tu VPS. Útil para:

Saltarse restricciones geográficas
IP consistente para servicios con listas blancas
Privacidad en WiFi público

Router de Subred: Acceder a la Red Doméstica

Accede a tu LAN doméstica desde el VPS (o viceversa):

# En el servidor doméstico
sudo tailscale up --advertise-routes=192.168.1.0/24

Aprueba las rutas en la consola de administración. Ahora tu VPS puede llegar a los dispositivos 192.168.1.x.

Casos de uso:

VPS accediendo a NAS doméstico
Automatización del hogar desde cualquier lugar
Copia de seguridad del VPS al almacenamiento doméstico

Configuración SSH

Añade a ~/.ssh/config para mayor comodidad:

Host vps
    HostName my-vps.yourname.ts.net
    User root

Host vps-direct
    HostName 100.64.0.2
    User root

Ahora simplemente: ssh vps

Tailscale + Docker

Para que los contenedores Docker usen Tailscale:

Opción 1: Red del Host

El contenedor usa el Tailscale del host:

services:
  app:
    network_mode: host

Opción 2: Sidecar de Tailscale

El contenedor obtiene su propia identidad de Tailscale:

services:
  tailscale:
    image: tailscale/tailscale
    hostname: my-service
    environment:
      - TS_AUTHKEY=tskey-xxxxx
      - TS_STATE_DIR=/var/lib/tailscale
    volumes:
      - tailscale-state:/var/lib/tailscale
    cap_add:
      - NET_ADMIN
      - SYS_MODULE

  app:
    network_mode: service:tailscale
    depends_on:
      - tailscale

volumes:
  tailscale-state:

Genera la clave de autenticación en la consola de administración → Configuración → Claves.

SSH de Tailscale

Tailscale puede gestionar completamente la autenticación SSH:

# En el VPS
sudo tailscale up --ssh

Ahora SSH funciona con autenticación de Tailscale — no se necesitan claves SSH:

ssh my-vps
# Se autentica vía identidad de Tailscale

Configura los permisos en la consola de administración → Controles de Acceso.

Compartir Acceso con el Equipo

Ejemplo de ACL

{
  "acls": [
    {
      "action": "accept",
      "src": ["group:devs"],
      "dst": ["tag:servers:*"]
    }
  ],
  "tagOwners": {
    "tag:servers": ["admin@company.com"]
  },
  "groups": {
    "group:devs": ["dev1@company.com", "dev2@company.com"]
  }
}

Etiqueta tu VPS:

sudo tailscale up --advertise-tags=tag:servers

Ahora solo group:devs puede acceder a los servidores etiquetados.

Funnel: Exponer Servicios Públicamente

Tailscale Funnel expone servicios a internet a través de la red de Tailscale:

# Exponer el puerto local 8080 públicamente
tailscale funnel 8080

Obtienes una URL como https://my-vps.yourname.ts.net/

Ventajas:

No se necesita reenvío de puertos
HTTPS automático
Funciona detrás de CGNAT

Desventajas:

El tráfico se enruta a través de Tailscale
Ancho de banda limitado en el nivel gratuito
Solo HTTPS (puertos 443, 8443, 10000)

Mejores VPS para Tailscale

Tailscale en sí es ligero (<50MB RAM), pero tus cargas de trabajo varían:

Proveedor	Plan	Precio	Mejor Para
Hetzner	CX11	€3.79/mes	Solo nodo de salida
Hostinger	KVM1	$4.99/mes	Uso general
Vultr	VC2	$6/mes	Multirregión

Para nodos de salida en múltiples ubicaciones, las 32 regiones de Vultr son ideales.

Monitoreo y Solución de Problemas

Verificar Estado

tailscale status
# Muestra todos los dispositivos en tu tailnet

tailscale netcheck
# Prueba conectividad, relés DERP, etc.

tailscale ping my-vps
# Prueba de conectividad directa

Problemas Comunes

No se puede conectar después de reiniciar:

sudo systemctl enable tailscaled
sudo systemctl start tailscaled
sudo tailscale up

El tráfico pasa por relé (lento):

# Verificar si es posible la conexión directa
tailscale ping -c 5 my-vps
# "via DERP" significa retransmitido, "pong from" significa directo

La conexión directa requiere:

Puerto UDP 41641 de salida (generalmente abierto)
O ambos dispositivos en la misma red

Dispositivo desconectado en la consola de administración:

# En el dispositivo
tailscale status
sudo tailscale up

Avanzado: Headscale (Autoalojado)

¿No quieres usar el servidor de coordinación de Tailscale? Ejecuta Headscale:

docker run -d \
  -p 8080:8080 \
  -v headscale-data:/var/lib/headscale \
  headscale/headscale

Luego conecta los clientes:

tailscale up --login-server=https://your-headscale-server

Consideraciones:

Control total
No se necesita cuenta de Tailscale
Pero: Sin MagicDNS, Funnel, ni consola de administración

Para la mayoría de los usuarios, el nivel gratuito de Tailscale es suficiente.

Mejores Prácticas de Seguridad

1. Usar ACLs

No uses el “permitir todo” por defecto. Define permisos explícitos:

{"acls": [{"action": "accept", "src": ["*"], "dst": ["*:22,443"]}]}

2. Activar Expiración de Claves

En la consola de administración, establece la expiración de claves de dispositivo (p. ej., 90 días). Obliga a la reautenticación.

3. Usar Etiquetas

Etiqueta los servidores y usa ACLs basadas en etiquetas. Más fácil de gestionar que dispositivos individuales.

4. MFA en SSO

Tu cuenta de Tailscale hereda la seguridad de SSO. Activa MFA en Google/GitHub.

5. Registros de Auditoría

Activa los registros de auditoría en la consola de administración. Revisa los patrones de acceso.

Preguntas Frecuentes

¿Es Tailscale gratuito?

Sí, el nivel gratuito incluye 100 dispositivos y 3 usuarios. Más que suficiente para uso personal.

¿Es Tailscale seguro?

Sí. Cifrado WireGuard, de extremo a extremo. Tailscale no puede ver tu tráfico (solo la coordinación).

¿Tailscale ralentiza las conexiones?

Generalmente no — las conexiones directas van a velocidad WireGuard. Las conexiones retransmitidas (DERP) son más lentas pero raras.

¿Puedo usar Tailscale y SSH normal?

Sí. Mantén el puerto 22 abierto como acceso de respaldo, o usa Tailscale exclusivamente.

¿Tailscale vs WireGuard?

Tailscale usa WireGuard por debajo. Tailscale añade: configuración cero, SSO, ACLs, traversal de NAT.

Resumen

Tailscale transforma el acceso al VPS:

Antes	Después
Puerto 22 abierto a internet	Sin puertos abiertos
Gestión de listas blancas de IP	Acceso desde cualquier lugar
Claves SSH en todas partes	Autenticación SSO
Configuración VPN compleja	Instalación con un comando

La configuración tarda 5 minutos. Cierra el puerto 22 para siempre.

Inicio rápido:

# En el VPS
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

# Cerrar SSH público
sudo ufw deny 22/tcp

Eso es todo. Acceso seguro al VPS desde cualquier lugar.

// last updated: February 8, 2026. Disclosure: This article may contain affiliate links.

Guía de Configuración de Tailscale VPS 2026: Acceso Seguro Sin Reenvío de Puertos