Esta semana a XDA publicou um artigo sobre contornar o paywall de streaming remoto do Plex com Tailscale, e a thread de comentários instantaneamente se transformou em outra coisa: uma longa lista de usuários frustrados com as mudanças silenciosas do Tailscale. O limite de dispositivos reduzido no plano gratuito, a forma como a autenticação direciona novas contas para provedores de SSO e o aumento de preço para um assento pago empurraram um fluxo constante de usuários de laboratórios domésticos e pequenos times a começar a procurar. A boa notícia é que a categoria de mesh-VPN amadureceu muito, e várias alternativas ao Tailscale estão genuinamente prontas para produção no Windows, macOS e Linux.
Testamos 7 alternativas ao Tailscale em um pequeno laboratório (desktop Windows, MacBook Apple Silicon e dois nós Linux) com os casos de uso que as pessoas realmente executam: SSH remoto, compartilhamentos de arquivo, servidores de mídia auto-hospedados e uma instância Plex atrás de CGNAT. Cada opção foi avaliada por tempo de configuração, confiabilidade de travessia NAT, opções de identidade e custo de executar um deployment real em vez de uma demo.
Comparação rápida
| Aplicativo | Melhor para | Plano gratuito | Preço inicial | Recurso em destaque |
|---|---|---|---|---|
| NetBird | Mesh open-source estilo Tailscale com opção hospedada | Sim (5 usuários auto-hospedados ilimitados) | Plano pago por usuário | Paridade de auto-hospedagem nativa com UI SaaS |
| ZeroTier | Overlay multiplataforma com rede virtual de camada 2 | Sim (até 10 nós) | Plano pago por usuário | Emulação de camada 2 para aplicativos LAN legados |
| Headscale | Plano de controle auto-hospedado para cliente Tailscale | Sim (grátis, apenas auto-hospedado) | Grátis | Substituição direta do coordenador Tailscale |
| Nebula | Mesh VPN open-source do Slack focado em escala | Sim (grátis, apenas auto-hospedado) | Grátis | Testado em combate em milhares de nós |
| Cloudflare Zero Trust | Túneis cientes de identidade para times já no Cloudflare | Sim (até 50 usuários) | Plano pago por usuário | Nenhum cliente necessário para serviços HTTP |
| Twingate | Acesso remoto de confiança zero com UX baseada em políticas | Sim (até 5 usuários) | Plano pago por usuário | Políticas em nível de recurso em vez de subredes amplas |
| WireGuard | Túnel DIY entre dois pontos finais conhecidos | Sim (grátis, auto-hospedado) | Grátis | Menor superfície de ataque e o módulo de kernel que todos são construídos |
Por que as pessoas deixam o Tailscale
O plano gratuito ainda funciona para a maioria das configurações pessoais, mas as regras em torno dele mudaram silenciosamente. Os provedores de identidade se tornaram temporariamente o único caminho para uma nova conta, o que irritou usuários que apenas queriam um login local para um servidor doméstico. O limite de dispositivos no Personal foi reduzido, depois parcialmente restaurado, depois agrupado com Personal Plus, e a mensagem foi confusa o suficiente para que vários threads do Reddit passassem o ano perseguindo o que conta como um “dispositivo”.
Há também a dependência de SaaS. O plano de dados do Tailscale funciona sobre WireGuard entre peers, mas o plano de controle é hospedado, o que significa que troca de chaves e política de acesso residem nos servidores do Tailscale. Para um laboratório doméstico está tudo bem. Para um deployment desconectado ou vinculado à conformidade, não é uma opção viável, e a única saída é o Headscale, que o Tailscale suporta mas não vende.
Preço é o terceiro ponto de pressão. O salto de grátis para o primeiro nível pago é íngreme para um escritório de consultoria com duas pessoas, e o nível Personal Plus fica desconfortavelmente entre o plano gratuito e o SKU de time. Vários pequenos times nos disseram que saíram do Tailscale não porque o produto fosse ruim, mas porque a opção não-gratuita mais barata custava mais do que auto-hospedar NetBird ou ZeroTier em um VPS de $5.
As 7 melhores alternativas ao Tailscale para desktop
NetBird — melhor clone open-source do Tailscale
NetBird é a coisa mais próxima do Tailscale que você pode auto-hospedar completamente sem sacrificar a console web polida. A arquitetura reflete a divisão do Tailscale entre um plano de controle (SignalServer e Management) e um plano de dados WireGuard, e os clientes desktop no Windows, macOS e Linux parecem e agem como os usuários do Tailscale esperam. O plano hospedado existe para times que não querem executar o plano de controle por si mesmos, e a build auto-hospedada é exatamente o mesmo código.
Onde fica aquém: SCIM e auditoria de logs ficam no plano hospedado pago, o que importa se você precisa deles para conformidade. A travessia NAT é sólida na maioria dos casos, mas NATs simétricos ainda ocasionalmente caem para relay.
Preços:
- Grátis: 5 peers no plano hospedado, ilimitado em auto-hospedado
- Pago: taxa por usuário por mês no plano Business hospedado
- vs Tailscale: mais barato em escala, e auto-hospedagem é o mesmo produto, não uma variante reduzida
Baixar: netbird.io
Conclusão: Escolha NetBird se você quer a experiência Tailscale sem abrir mão da opção de auto-hospedar o plano de controle em seu próprio VPS.
ZeroTier — melhor overlay gratuito para aplicativos LAN legados
ZeroTier precede Tailscale por anos e toma uma abordagem diferente: emula um Ethernet virtual na camada 2, o que significa que software que espera broadcast LAN (compartilhamentos de arquivo antigos, alguns servidores de jogo, certas pontes de automação residencial) funciona como funcionaria em um switch real. O plano gratuito cobre até 10 nós por rede e 1 rede por controlador, o que é suficiente para a maioria dos laboratórios domésticos e pequenos times de dev.
Onde fica aquém: A UI desktop é funcional mas envelhecida ao lado do Tailscale. Performance em links de alta latência é boa para SSH e transferência de arquivo mas fica atrás de meshes baseadas em WireGuard em throughput puro.
Preços:
- Grátis: até 10 nós por rede, redes ilimitadas para uso pessoal
- Pago: plano Business por assento
- vs Tailscale: mais barato para redes pequenas pontuais, mais flexível para casos de uso de camada 2
Baixar: zerotier.com
Conclusão: Escolha ZeroTier se você tem um aplicativo que assume uma LAN plana, ou se 10 nós em um plano gratuito é realmente tudo que você precisa.
Headscale — melhor substituição auto-hospedada para o plano de controle Tailscale
Headscale é uma reimplementação open-source do servidor de coordenação do Tailscale. Os clientes Tailscale no Windows, macOS e Linux ainda se conectam, a semântica de roteamento e ACL ainda funciona, e você mantém os aplicativos polidos sem dependência de SaaS. Para times que já confiam no cliente Tailscale mas querem controle total sobre identidade e política, esta é a saída mais limpa.
Onde fica aquém: Sem GUI para gerenciar nós por padrão. A comunidade construiu interfaces web, mas a superfície oficial é CLI. A sintaxe ACL segue o HuJSON do Tailscale, que é poderoso mas tem uma curva de aprendizado.
Preços:
- Grátis: open-source, sem taxas de licença
- Pago: nada, além do VPS em que você o executa
- vs Tailscale: grátis em qualquer contagem de nós, com a compensação de que você opera o plano de controle
Baixar: github.com/juanfont/headscale
Conclusão: Escolha Headscale se você gosta do cliente Tailscale e quer mantê-lo, mas não pode ou não dependerá dos servidores hospedados do Tailscale.
Nebula — melhor mesh VPN construída para escala
Nebula saiu do Slack e foi construída para o número de nós que o próprio Slack executava. O modelo de identidade baseado em certificados e o foco em política de host-para-host o tornam mais adequado para frotas de servidores do que para um usuário de desktop arrastando um laptop entre cafeterias. Performance é excelente em Linux, e os clientes macOS e Windows alcançaram no ano passado.
Onde fica aquém: Setup é mais envolvido que Tailscale ou NetBird. Você gera uma CA, assina certificados de host e edita YAML. Não há plano de controle hospedado para contar, e a história de UI é “use a CLI”.
Preços:
- Grátis: open-source, sem taxas de licença
- Pago: nada, além de infraestrutura que você executa
- vs Tailscale: grátis e mais rápido em Linux, mais difícil de começar
Baixar: github.com/slackhq/nebula
Conclusão: Escolha Nebula se você está conectando servidores juntos em escala e quer uma mesh que foi provada em combate em um dos maiores deployments na natureza.
Cloudflare Zero Trust — melhores túneis cientes de identidade para times
Cloudflare Zero Trust (anteriormente Cloudflare Access mais Tunnel) aborda o problema pelo lado da aplicação em vez do lado da rede. Em vez de uma mesh entre todos os peers, você publica serviços individuais através de um Tunnel Cloudflare, depois coloca identidade e política na frente de cada um. Para serviços HTTP, usuários não instalam um cliente em absoluto, que é a resposta certa para times que precisam suportar contratados e parceiros.
Onde fica aquém: Não é uma mesh peer-to-peer. O tráfego passa pela edge Cloudflare, que está bem para aplicativos de navegador mas adiciona latência para uso estilo SSH. O plano gratuito limita usuários a 50 mas começa a limitar recursos que pequenos times realmente usam.
Preços:
- Grátis: até 50 usuários
- Pago: plano Standard por usuário
- vs Tailscale: melhor para serviços HTTP e aplicativos voltados ao cliente, mais fraco para networking de desktop de propósito geral
Baixar: cloudflare.com
Conclusão: Escolha Cloudflare Zero Trust se a maioria dos seus recursos compartilhados são aplicativos web ou APIs e você quer acesso somente navegador sem cliente VPN em cada dispositivo.
Twingate — melhor acesso remoto baseado em políticas
Twingate está mais perto do Tailscale em forma mas depende mais de política em nível de recurso. Em vez de conceder acesso a uma subrede /24, você concede acesso a um recurso específico por nome, com condições em atributos do provedor de identidade, postura do dispositivo e tempo. Para times de ops que precisam satisfazer auditores, isto mapeia limpo para controles SOC 2.
Onde fica aquém: Sem opção de auto-hospedagem. O plano gratuito limita usuários a 5 e limita contagem de recursos, que funciona para um projeto paralelo mas não para um time real. Conectores requerem infraestrutura em ambos os lados.
Preços:
- Grátis: até 5 usuários, 2 redes
- Pago: plano Teams por usuário
- vs Tailscale: modelo de política mais rígido, sem escape de auto-hospedagem
Baixar: twingate.com
Conclusão: Escolha Twingate se você precisa de política de recurso nomeado e acesso ciente de identidade para um pequeno time, e não se importa que o plano de controle seja hospedado.
WireGuard — melhor túnel DIY entre pontos finais conhecidos
WireGuard é o protocolo que alimenta a maioria dos aplicativos acima. Usado diretamente, é a opção mais econômica da lista: nível de kernel em Linux, rápido em Windows e macOS, com um arquivo de config por peer e nada mais para executar. Sem UI e sem serviço de coordenação. Você gerencia troca de chaves você mesmo, geralmente através de scp ou uma ferramenta de config.
Onde fica aquém: Sem travessia NAT. Sem descoberta. Sem identidade. Se você quer adicionar ou rodar um peer, você edita o config de todos os outros peers. Isto está bem para dois ou três pontos finais; desmorona em quinze.
Preços:
- Grátis: open-source, sem taxas de licença
- Pago: nada
- vs Tailscale: superfície menor e overhead menor, sem gerenciamento de mesh
Baixar: wireguard.com
Conclusão: Escolha WireGuard puro se você tem um conjunto fixo de pontos finais, gosta de editar arquivos de config, e quer a menor superfície de ataque possível.
Como escolher
Escolha NetBird se você quer a experiência diária do Tailscale e a opção de auto-hospedar sem perder a console web. É o swap mais direto.
Escolha Headscale se seu time já está confortável com o cliente Tailscale e a única coisa te empurrando é a dependência dos servidores Tailscale.
Escolha ZeroTier se você precisa de uma LAN virtual para um aplicativo que espera broadcast, ou se 10 nós em um plano gratuito é realmente tudo que você precisa.
Escolha Cloudflare Zero Trust se a maioria do que você compartilha é HTTP e você quer acesso somente navegador para contratados.
Escolha Twingate se você tem auditores perguntando sobre política de recurso nomeado e postura de dispositivo.
Fique no Tailscale se seu time é pequeno, seus nós são principalmente dispositivos pessoais, e o preço do nível Personal Plus cabe no seu orçamento. O produto ainda é o mais fácil de configurar, e o polimento importa quando você precisa onboard usuários não-técnicos.
FAQ
NetBird é realmente uma alternativa ao Tailscale ou apenas um fork?
NetBird é uma base de código separada que chega em forma similar porque ambos os produtos ficam em cima de WireGuard. Os clientes não são do Tailscale, o plano de controle não é do Headscale, e a build auto-hospedada inclui a mesma console web que o plano hospedado.
Posso executar clientes Tailscale com Headscale?
Sim. Headscale implementa a API de coordenação do Tailscale, então os clientes oficiais Tailscale no Windows, macOS, Linux, iOS e Android se conectam a um servidor Headscale da mesma forma que se conectam ao plano de controle hospedado. Você os aponta para a URL do seu servidor durante login.
ZeroTier é mais lento que Tailscale?
Throughput é amplamente comparável para transferências um-a-um. Tailscale tende a ganhar em streaming puro estilo WireGuard, ZeroTier tende a ganhar em aplicativos que precisam de broadcast de camada 2. Para SSH, transferência de arquivo e streaming de mídia em uma rede doméstica, ambos se sentem igual em uso normal.
Qual é a alternativa Tailscale mais barata para um pequeno time?
Para três a cinco usuários, o plano gratuito do Cloudflare Zero Trust cobre mais recursos de identidade que qualquer um dos outros. Para networking em mesh no mesmo orçamento, auto-hospedar NetBird em um VPS pequeno sai mais barato que qualquer nível pago do Tailscale.
Posso executar uma mesh VPN auto-hospedada atrás de CGNAT?
Sim, com um nó relay em um VPS com IP público. NetBird e Headscale incluem lógica de relay. Nebula precisa de um farol em IP público. WireGuard sozinho não vai atravessar CGNAT sem um peer acessível publicamente.