NetBird – redes zero trust de código abierto

 (netbird.io)
8 puntos por GN⁺ 2026-02-02 | 3 comentarios | Compartir por WhatsApp
  • Plataforma de código abierto que combina una red overlay basada en WireGuard® con acceso a la red zero trust (ZTNA) para ofrecer conexiones seguras y confiables
  • Se puede implementar rápidamente sin gateway VPN ni configuración de firewall, y refuerza el control de acceso mediante SSO, MFA y verificaciones de seguridad del dispositivo
  • Simplifica la operación de redes empresariales con gestión centralizada de la red, políticas granulares y registros de actividad en tiempo real
  • Funciona en diversos entornos como Linux, Windows, macOS, móvil, Docker y routers, y puede autohospedarse con licencia BSD-3
  • Una solución moderna de acceso a la red que elimina la complejidad de las VPN tradicionales y logra seguridad y escalabilidad al mismo tiempo

Resumen de NetBird

  • NetBird es una plataforma de código abierto que integra una red peer-to-peer basada en WireGuard® con acceso a la red zero trust
    • Ofrece conexiones remotas seguras y confiables
    • Integra en una sola plataforma las funciones de acceso a la red, autenticación y administración
  • Se puede empezar gratis y también es posible solicitar una demo empresarial

Funciones principales

Secure Remote Access

  • Permite aprovisionamiento de usuarios y grupos, segmentación de red y definición de políticas según el principio de mínimo privilegio
    • Refuerza el control de acceso mediante MFA y verificaciones del estado de seguridad del dispositivo
    • Importa y administra directamente usuarios y grupos desde el proveedor de identidad

Zero-Config Deployment

  • Ofrece una red P2P basada en WireGuard® para reemplazar la VPN tradicional
    • Funciona sin configuración de firewall ni apertura de puertos
    • Garantiza acceso remoto seguro mediante SSO y MFA
    • Permite configurar conexiones entre VPC y sitios on-premises en cuestión de minutos

Seamless SSO with MFA

  • Se integra con los principales proveedores de identidad como Okta, Microsoft y Google
    • Protege el acceso a la red con SSO y MFA basados en sesión
    • Soporta reautenticación periódica para trabajadores remotos

Dynamic Posture Checks

  • Solo permite el acceso a dispositivos que cumplen las reglas de seguridad
    • Realiza diversas verificaciones, como firewall, antivirus y políticas basadas en ubicación
    • Puede integrarse con soluciones MDM y EDR

Centralized Network Management

  • Permite agrupar recursos internos y gestionar accesos desde una sola consola
    • Soporta configuración de DNS, agregar servidores de nombres privados y automatización mediante API
    • Permite control de acceso y gestión de recursos por equipo

Detailed Activity Logging

  • Permite rastrear quién hizo qué y cuándo dentro de la red
    • Registra cambios de configuración y eventos de tráfico de conexión
    • Soporta streaming de eventos en tiempo real hacia plataformas SIEM

Casos de clientes

  • Select Tech Group opera más de 55 sucursales y, con NetBird, implementó MFA, SSO y control de acceso granular
  • Empresas como Axiros, netgo y DeltaQuad han experimentado la eliminación de la complejidad de las VPN tradicionales y una mejora en la seguridad
  • Los usuarios mencionan como principales ventajas la configuración sencilla, la alta estabilidad y el cumplimiento de principios zero trust

Tres características clave de NetBird

1. Simple y seguro

  • Crea una red en menos de 5 minutos, ofrece conexiones cifradas y no requiere configuraciones complejas de firewall
  • Solo usuarios y dispositivos autorizados pueden acceder a los recursos internos

2. Conectividad desde cualquier lugar

  • Compatible con múltiples plataformas como Linux, Windows, macOS, móvil, Docker y routers
  • Ofrece conectividad fluida entre entornos cloud y on-premises

3. Totalmente de código abierto

  • Se distribuye bajo licencia BSD-3 y puede autohospedarse
  • Puede ejecutarse en NetBird Cloud o en servidores propios
  • Los usuarios pueden revisar el código y operarlo directamente dentro de su infraestructura

Efectos de la modernización de la red

  • La arquitectura basada en SDN elimina la complejidad de administrar gateways VPN y firewalls
  • Configura el acceso a recursos remotos desde un portal único de administración
  • La segmentación granular de la red permite que solo los usuarios autorizados accedan a recursos específicos

Conclusión

  • NetBird es una solución de networking de código abierto que supera las limitaciones de las VPN tradicionales y hace realidad el modelo zero trust
  • Ofrece seguridad, simplicidad y escalabilidad al mismo tiempo, y es una herramienta moderna de gestión de acceso adecuada tanto para equipos de desarrollo como para equipos de operaciones de TI

Lecturas relacionadas

3 comentarios

 
hiseob 2026-02-02

Me cambié de zerotier a netbird, pero después surgió un problema por el que dejó de funcionar en Windows durante como un mes (principalmente lo usaba para jugar en casa y a veces para entrar de urgencia, así que pude aguantar ese mes), luego me pasé a tailscale y vi la luz.
De todos modos, se siente como una copia degradada de tailscale... si además usas headscale, la verdad netbird ya no tiene mucho atractivo.
 
sixthtokyo 2026-02-06

Al ver el título del artículo, me pregunté en qué se diferenciaba de Tailscale, pero los comentarios fueron de gran ayuda jaja
 
GN⁺ 2026-02-02
Comentarios en Hacker News
  • El equipo de NetBird es transparente y accesible
    Hace 2 años cambié por completo de Tailscale a NetBird y lo opero en un entorno self-hosted
    Las actualizaciones de versión también han sido fluidas, así que se nota que el equipo valora no solo la nube, sino también a los usuarios self-hosted
    • Nuestro equipo probó NetBird, pero el cliente no se registró en el servidor self-hosted
      Probablemente fue un error en la configuración del usuario
      En la documentación, la distinción entre funciones en la nube y funciones self-hosted no es clara, así que hay que tener cuidado
      A la versión comunitaria le faltan algunas funciones, así que conviene planear bien su adopción
      Aun así, parece más pulido que Headscale y, como no requiere modificar el registro como Tailscale, me parece una solución más prometedora para self-hosting
  • Vi las funciones de control de acceso de NetBird, pero parece que no incluyen lo que yo quiero
    Quiero una estructura donde, cuando el usuario se conecte a un endpoint de WireGuard, solo pueda acceder a la subred base, y tras autenticarse con MFA pueda acceder a subredes adicionales
    Por ejemplo, permitir primero acceso solo a la wiki o al chat interno, y luego ampliar el acceso a recursos sensibles como GitLab mediante MFA
  • Estoy desarrollando Connet
    En lugar de un overlay L4 como WireGuard o de endpoints públicos L7 como ngrok, proyecta servicios remotos en local
    Si pones Caddy en un VPS, también se puede usar como ngrok
    NetBird, Tailscale, frp, rathole y otros no habían ofrecido un acceso P2P self-hosted intuitivo y basado en FOSS
    Connet resuelve eso, y la versión en la nube de connet.dev también es simplemente una presentación del proyecto FOSS
    • Esto parece ser solo para computadoras
      Viendo el README, hay que ejecutar comandos, así que en smartphones sería difícil
      En un entorno móvil, una configuración estilo ngrok probablemente sea más realista
    • La idea es interesante, pero proyectar todos los servicios a localhost implica un riesgo de seguridad
      Si se aprovecha un espacio IP CGNAT, como hace Twingate, se puede asignar una IP única a cada servicio para aislarlos
  • Fui usuario de ZeroTier durante mucho tiempo, pero hace poco cambié a NetBird (self-hosted en un VPS de Hetzner)
    La función de DNS es excelente y el modelo de control de acceso es intuitivo
    También es fácil otorgar acceso temporal cuando hace falta
    Eso sí, la app de Android no está en F-Droid y a veces se corta durante el roaming
    Aun así, en general es un software excelente y ojalá siga mejorando
    • Me pregunto si ZeroTier o NetBird ofrecen algo más que un simple wrapper GUI sobre WireGuard
      También me gustaría saber si es fácil integrarlos en una malla de WireGuard ya configurada
    • En nuestra empresa también usamos ZeroTier, pero últimamente hemos tenido cortes intermitentes de conexión y problemas de DNS
      Me da curiosidad saber qué tal va la app de iOS de NetBird
    • Yo uso la app JetBird de F-Droid; no he probado la app oficial, pero mi experiencia con JetBird ha sido buena
  • Interesante. Me pregunto en qué se diferencia de Tailscale (o Headscale)
    Estaba considerando Tailscale para reemplazar mi configuración actual de WireGuard
  • Recomiendo Headscale
    Es gratis, compatible con el cliente oficial de Tailscale y muy fácil de configurar
    https://headscale.net/stable/
    • ¿Podrías explicar brevemente para qué lo usas?
      En el sitio de Tailscale hay muchos términos y no me queda claro cómo se aprovecharía en un entorno doméstico
    • Nosotros administramos en China dos redes de unas 400 máquinas cada una con Headscale
      El DERP oficial de Tailscale no funciona, pero con el DERP integrado activado lo operamos sin problemas
    • Si miras el documento de requisitos de Headscale,
      en vez de abrir un solo puerto para WireGuard, hay que exponer varios puertos
      como tcp/80, tcp/443, udp/3478 y tcp/50443, lo cual es una carga de seguridad importante
      Aunque uses un reverse proxy, sigue siendo una lástima tener que exponer más puertos
    • Hace poco se descontinuó el soporte para Postgres y ahora solo se recomienda sqlite
      Eso parece una señal de que Tailscale quiere limitar implícitamente el alcance de uso de Headscale
    • Me pregunto si es posible usar también una VPN como Mullvad como exit node
  • Estoy desarrollando Octelium
    Es una plataforma FOSS de acceso seguro zero-trust, utilizable como alternativa a VPN, ZTNA, API gateway, PaaS o ngrok
    Ofrece acceso con y sin cliente, SSH sin contraseña, OIDC/SAML, MFA con WebAuthn, visibilidad basada en OpenTelemetry y muchas otras funciones
    Todo está explicado en detalle en el README
    • En resumen, Octelium opera en la capa 7 del modelo OSI, mientras que Tailscale funciona en las capas 3~4
    • El proyecto es interesante
      Me pregunto si a largo plazo planean ofrecer un plan enterprise, y si exigen CLA para contribuciones externas
  • El ritmo de lanzamientos es demasiado rápido
    Lo mantengo en un overlay de Gentoo, pero cuando intento actualizar la versión ya salió otra nueva
    Hace falta ajustar la frecuencia de lanzamientos a no más de una vez por semana
  • En mi configuración, Tailscale es lo único que sigue siendo no self-hosted, y siempre me ha incomodado eso
    Tengo un contenedor de Caddy dentro del Tailnet, y enruto todos los subdominios hacia ahí
    Caddy también maneja el SSL
    No uso Funnel; dejo los servicios solo detrás de la VPN
    Pero la limitación de expiración de Auth Key a 90 días es incómoda para administrar equipos embebidos remotos
    Estoy buscando una forma de autenticación más persistente y automatizada
    • En Tailscale se puede desactivar la expiración de claves. Yo lo tengo así configurado en la gateway
      Todos los equipos internos están agrupados bajo el dominio .home y se enrutan a través del Tailnet
    • Según la documentación oficial,
      se puede desactivar manualmente la expiración de claves. También se puede hacer por tags
    • Si usas autenticación de nodos basada en tags, puedes mantener el vencimiento en 6 meses o desactivarlo por completo
    • Nosotros usamos Headscale como control plane self-hosted y ha funcionado de forma estable
    • Coincido con la configuración de Caddy dentro del Tailnet. A nosotros también nos funciona bien
  • El progreso del proyecto es impresionante
    Algunas alternativas similares son OpenZiti, Headscale y Nebula
    Como referencia útil, recomiendo awesome-tunneling