NetBird vs Tailscale: la VPN sin peaje por usuario
WireGuard de fondo, dos filosofías arriba. Por qué la cuenta cambia cuando un estudio contable suma siete socios y diez accesos a bodegas clientes.
El técnico abrió el navegador en la oficina del estudio contable de San Rafael y dejó dos pestañas a la vista. En la izquierda, el panel de Tailscale: tres clics, listo, todo el mundo conectado en quince minutos. En la derecha, NetBird: un coordinator self-hosted, OIDC obligatorio, dos horas de paciencia y la alegría de no firmar contrato anual con nadie. El contador miró el Excel de costos, el dueño miró el contrato, y el técnico se preguntó cuál de los dos tenía razón. La respuesta cambia con el número de usuarios.
Las dos filosofías arriba del mismo motor
Las dos herramientas hablan WireGuard en el cable: el mismo cifrado ChaCha20-Poly1305, el mismo handshake Curve25519, los mismos paquetes UDP. La diferencia está arriba. Tailscale corre el plano de control en su nube y vende el acceso por usuario; NetBird publica plano de control y servidor de coordinación en GitHub bajo licencia BSD-3, y los podés correr en tu propio VPS. Esa decisión arquitectónica define todo lo que viene después: el costo, la portabilidad de los datos y quién tiene la última palabra cuando la conexión se cae un domingo a las once de la noche.
Hay una cifra de fondo que importa. La encuesta anual de la Cloud Native Computing Foundation registra que más de tres cuartas partes de las organizaciones encuestadas en 2024 corren al menos una porción de su carga de red en software con licencia open source. Las pymes argentinas no son la excepción: cuando la factura llega en dólares, la columna self-hosted gana lectura.
Por qué Tailscale no es siempre la respuesta obvia
La intuición dice elegir Tailscale: mejor onboarding, integración con Google y Microsoft Entra ID, magic DNS, ACLs en JSON, app móvil sólida, todo configurado en una tarde. La tabla pública de precios confirma el plan Personal Free hasta 100 dispositivos y tres usuarios, después USD 6 por usuario activo en plan Premium y USD 18 en Business. Para un estudio contable de cuatro personas el plan Free alcanza, pero el contador de San Rafael no factura solo: tiene siete usuarios entre socios, asistentes y un perito eventual, y administra accesos remotos para tres bodegas clientes con cinco accesos cada una. Veintidós usuarios, USD 132 por mes en Premium, USD 1.584 al año, alrededor de ARS 2.225.000 al cambio oficial de hoy.
Los datos de uso real cambian la conversación. La mayor parte de esos usuarios se conecta dos veces por semana, no abre dashboards, no necesita SSO empresarial. Pagar por user-seat un acceso que se ejecuta cuatro veces al mes es la versión moderna de la licencia muerta de Office 2010 que todavía aparece en alguna factura de soporte. La factura recurrente que se renueva sin que nadie la mire es el verdadero antagonista de la cuenta.
La salida con NetBird en un VPS de ocho dólares
NetBird v0.65 sumó en febrero un reverse proxy embebido que reemplaza la torre de Nginx + Caddy + Coturn que antes hacía falta para autoalojarlo. La instalación oficial corre con Docker Compose sobre cualquier VPS Linux con dos cores y dos gigas de RAM. Un Hetzner CPX11 cuesta 4,75 euros mensuales, un DigitalOcean Basic Droplet 6 dólares, un Contabo Cloud VPS 10 entra cómodo en USD 7 al mes. Sumado al certificado Let's Encrypt y a un dominio de 15 dólares al año, el costo total ronda los USD 100 anuales, alrededor de ARS 140.000.
La pila completa para el estudio queda así: Ubuntu 24.04 LTS como host, Docker 27 con Compose, NetBird coordinator y dashboard, Authentik 2025 como proveedor OIDC para la autenticación de usuarios, y backups diarios con Borg hacia un MinIO local en la oficina. Implementación: dos a tres días con un técnico que sepa Docker. Beneficio del primer año: ahorro neto de ARS 2.080.000 frente a Tailscale Premium para 22 usuarios. El segundo año el ahorro sube, porque el VPS se actualiza con NetBird sin renegociar licencias.
En proyectos donde UMSA implementó pilas de identidad y red para clínicas y municipios, la conversación posterior nunca es sobre el software. Es sobre quién entra al panel cuando el técnico se va de vacaciones.
Tres cosas para mirar antes de copiarlo
Hay tres riesgos honestos. Primero: NetBird self-hosted exige un proveedor OIDC andando —Authentik, Keycloak o Zitadel—, y si ese se cae, nadie entra. Conviene tener una cuenta administrativa local de emergencia documentada. Segundo: el upgrade entre versiones mayores requiere leer el changelog y a veces tocar variables de entorno; no es Tailscale donde el cliente se actualiza solo. Tercero: si el equipo tiene menos de cinco usuarios y nadie sabe Docker, el costo oculto del aprendizaje supera el ahorro del primer año. En ese caso, el plan Free de Tailscale es honesto.
El contador cierra las dos pestañas. Anota en una hoja: "VPS, OIDC, backup, dominio". Calcula la diferencia. La diferencia, en pesos, alcanza para pagarle medio sueldo a un técnico junior durante tres meses. La pregunta no es cuál herramienta es mejor. La pregunta es a quién le toca recibir esa plata.