Acceso Remoto Seguro a tu Homelab: Tailscale vs WireGuard [Guía 2026]

Acceso Remoto Seguro a tu Homelab: Tailscale vs WireGuard [Guía 2026]

¿Quieres acceder a tu NAS, Plex o cámaras desde fuera de casa sin exponerte a ataques?
Descubre las dos mejores soluciones VPN de 2026: Tailscale y WireGuard.
Comparativa completa con configuración paso a paso en Docker.

1. El Problema del Acceso Remoto

Cada día, miles de usuarios descubren los peligros de exponer sus servicios a Internet.
Abrir puertos en tu router para acceder al NAS, a la interfaz de Plex o a tus cámaras IP
es como dejar la llave puesta en la cerradura: eventualmente, alguien intentará entrar.

La solución tradicional ha sido configurar una VPN como OpenVPN o IPsec.
El problema: son complejas de configurar, requieren certificados,
y mantenerlas actualizadas es un dolor de cabeza para usuarios domésticos.

2. Las Opciones Tradicionales y Sus Limitaciones

Antes de las soluciones modernas, teníamos estas alternativas:

• Port forwarding directo: Rápido pero extremadamente inseguro
• OpenVPN: Seguro pero complejo de configurar correctamente
• IPsec/L2TP: Nativo en muchos sistemas, pero difícil de debuggear
• Soluciones propietarias: Synology QuickConnect, myQNAPcloud… con limitaciones

Lo que necesitamos es algo que combine seguridad de grado empresarial
con simplicidad de uso doméstico. Ahí entran Tailscale y WireGuard.

3. Tailscale: VPN Mesh Zero-Config

Características principales

• Zero configuration: Instala, inicia sesión y funciona
• Mesh networking: Los dispositivos se conectan directamente entre sí (P2P)
• NAT traversal: Funciona detrás de CGNAT y firewalls sin abrir puertos
• MagicDNS: Accede a tus dispositivos por nombre (nas.tailnet-name.ts.net)
• ACLs granulares: Controla qué dispositivo puede ver a cuál
• Exit nodes: Usa tu casa como VPN para navegar seguro desde cualquier lugar

El plan gratuito permite hasta 20 dispositivos y funcionalidades completas
para uso personal. Para la mayoría de homelabs, es más que suficiente.

4. WireGuard: El Estándar Moderno

Ventajas de WireGuard

• Rendimiento excepcional: Menor latencia y mayor throughput que OpenVPN
• Código base mínimo: ~4,000 líneas vs 400,000+ de OpenVPN (menos bugs)
• Criptografía moderna: Curve25519, ChaCha20, Poly1305, BLAKE2s
• Roaming seamless: Cambia de WiFi a 4G sin perder la conexión
• Sin estado: No mantiene conexiones persistentes, más eficiente energéticamente

La contrapartida: requiere configuración manual de claves y direcciones IP.
Para simplificar esto, usaremos WG-Easy, una interfaz web que
gestiona WireGuard automáticamente.

5. Comparativa: Tailscale vs WireGuard

6. Instalación de Tailscale con Docker Compose

Esta configuración crea un container de Tailscale que actúa como nodo en tu red mesh.
Ideal para exponer servicios de tu NAS sin exponer el NAS completo.

version: "3"
services:
  tailscale:
    image: tailscale/tailscale:latest
    container_name: tailscale
    hostname: nas-tailscale  # Nombre visible en tu tailnet
    cap_add:
      - NET_ADMIN
      - NET_RAW
    environment:
      - TS_AUTHKEY=tskey-auth-xxxxxxxx  # Genera en dashboard.tailscale.com
      - TS_STATE_DIR=/var/lib/tailscale
      - TS_USERSPACE=false
      - TS_ACCEPT_DNS=true
    volumes:
      - ./tailscale:/var/lib/tailscale
      - /dev/net/tun:/dev/net/tun
    network_mode: host  # Acceso completo a la red del host
    restart: unless-stopped

Pasos de configuración

1. Crea una cuenta en tailscale.com
2. Genera una auth key en el panel de administración (Settings → Keys)
3. Reemplaza TS_AUTHKEY en el compose con tu clave
4. Ejecuta docker compose up -d
5. Verifica que tu NAS aparece en el dashboard de Tailscale
6. Instala la app de Tailscale en tu móvil/portátil e inicia sesión
7. ¡Listo! Accede a tu NAS usando su IP de Tailscale (100.x.x.x)

7. Instalación de WireGuard con WG-Easy

WG-Easy es una interfaz web que simplifica enormemente la gestión de WireGuard.
Genera configuraciones, QR codes y gestiona clientes desde el navegador.

version: "3"
services:
  wg-easy:
    image: ghcr.io/wg-easy/wg-easy:latest
    container_name: wg-easy
    environment:
      - WG_HOST=tu-dominio.duckdns.org  # Tu IP pública o dominio DDNS
      - PASSWORD=contraseña_segura_admin  # Para acceder al panel web
      - WG_PORT=51820
      - WG_DEFAULT_ADDRESS=10.8.0.x
      - WG_DEFAULT_DNS=1.1.1.1,8.8.8.8
      - WG_MTU=1420
    volumes:
      - ./wg-easy:/etc/wireguard
    ports:
      - "51820:51820/udp"  # Puerto WireGuard (debe abrirse en router)
      - "51821:51821/tcp"  # Puerto panel web
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.conf.all.src_valid_mark=1
      - net.ipv4.ip_forward=1
    restart: unless-stopped

Configuración paso a paso

1. Configura un DDNS (DuckDNS, No-IP) si no tienes IP estática
2. Abre el puerto 51820/UDP en tu router (redirecciona a tu NAS)
3. Reemplaza WG_HOST con tu dominio DDNS
4. Establece una contraseña segura para el panel
5. Ejecuta docker compose up -d
6. Accede al panel en http://tu-nas:51821
7. Crea un nuevo cliente → escanea el QR con la app WireGuard
8. ¡Conectado! Prueba accediendo a tu NAS por la VPN

8. Casos de Uso: ¿Cuál Elegir?

Elige Tailscale si…

• Quieres algo que funcione en 5 minutos sin tocar el router
• Estás detrás de CGNAT o no puedes abrir puertos
• Necesitas compartir acceso con familiares no técnicos
• Quieres MagicDNS para recordar IPs fácilmente
• Usas dispositivos en redes públicas frecuentemente

Elige WireGuard si…

• Quieres control total y cero dependencias de terceros
• Tienes IP pública y puedes abrir puertos
• Priorizas la privacidad sobre la conveniencia
• Quieres integrarlo con Pi-hole para DNS + VPN
• Necesitas más de 20 dispositivos sin pagar

9. Integración con Apps: Plex, Immich y Más

Una vez configurada tu VPN, acceder a tus servicios es trivial:

Plex / Jellyfin

Con Tailscale o WireGuard conectados, simplemente abre tu navegador y ve a
http://ip-del-nas:32400 (Plex) o http://ip-del-nas:8096 (Jellyfin).
No necesitas configurar «Remote Access» ni exponer Plex a Internet.

Immich

La app de Immich permite configurar múltiples servidores. Añade tu servidor local
con la IP de la VPN (ej: http://100.x.x.x:2283) y sincroniza fotos
desde cualquier lugar sin depender de la nube.

Home Assistant

Accede a tu instancia de Home Assistant usando su IP de Tailscale o WireGuard.
Con Tailscale, incluso puedes usar el addon oficial para exponerlo con HTTPS automático.

Synology / QNAP / TrueNAS

Todas las interfaces web de gestión son accesibles directamente por IP VPN.
Esto elimina la necesidad de QuickConnect, myQNAPcloud o similares,
manteniendo todo dentro de tu red privada.

10. Conclusión

Tanto Tailscale como WireGuard representan un salto cuántico respecto a las VPNs tradicionales.
Han democratizado el acceso remoto seguro, permitiendo a cualquier usuario proteger
su homelab sin ser experto en redes.

Tailscale brilla por su simplicidad extrema: instala, inicia sesión y funciona.
Es perfecto para quienes quieren «que simplemente funcione» sin complicaciones.

WireGuard con WG-Easy ofrece máximo control y cero dependencias externas.
Ideal para puristas de la privacidad y quienes disfrutan gestionando su infraestructura.

Mi setup personal? Ambos. Tailscale para acceso rápido desde cualquier lugar
(incluso desde móviles de familiares) y WireGuard como backup si Tailscale tiene problemas.
La redundancia nunca está de más cuando hablamos de acceso a datos personales.