Tailscale Peer Relays: uso de tus propios dispositivos como relés de alta velocidad

 (tailscale.com)
2 puntos por GN⁺ 2026-02-19 | 1 comentarios | Compartir por WhatsApp
  • Tailscale Peer Relays ya está disponible de forma general, lo que permite a los usuarios usar sus propios dispositivos como nodos de relé de alto rendimiento
  • Ofrece retransmisión de tráfico estable y rápida incluso en entornos donde la conexión directa es difícil por firewalls, NAT o restricciones de redes en la nube
  • Con mejoras de throughput, reducción de contención de bloqueos y distribución de carga en sockets UDP, el rendimiento mejora notablemente cuando hay muchas conexiones de clientes
  • Mediante la integración de endpoints estáticos, es posible operar relés detrás de AWS NLB y similares incluso en entornos de nube donde el descubrimiento automático no es posible
  • La integración de visibilidad y monitoreo permite identificar claramente la ruta del tráfico, la latencia y el estado de los relés, algo clave para operar redes a gran escala

Resumen de Tailscale Peer Relays

  • Peer Relays es una función que permite ejecutar capacidades de relé de alto rendimiento en tus propios dispositivos
    • Además de los relés DERP existentes, también se pueden usar como relés nodos desplegados directamente por el usuario
    • Desde la beta, ha mejorado mucho en rendimiento, estabilidad y visibilidad, evolucionando hasta un nivel listo para producción
  • Nació como una función para evitar entornos NAT complejos, y luego se amplió como una opción de conectividad para redes a gran escala
    • Proporciona una estructura con la que los equipos pueden obtener rendimiento, control y flexibilidad

Mejoras de rendimiento y confiabilidad

  • Cuando muchos clientes se conectan a través de un relé, el throughput mejora considerablemente
    • Los clientes seleccionan automáticamente la interfaz y la familia de direcciones más adecuadas dentro del relé
    • El relé mejora la eficiencia del procesamiento de paquetes mediante menor contención de bloqueos y procesamiento distribuido con múltiples sockets UDP
  • Gracias a estas mejoras, también aumentan el rendimiento y la estabilidad en tráfico cotidiano, y aun cuando no es posible una conexión directa, se ofrece un desempeño cercano al de una red mesh

Soporte para endpoints estáticos

  • En entornos de nube pública, muchas veces el descubrimiento automático de endpoints es difícil
    • Hay casos en los que no es posible abrir puertos arbitrarios debido a reglas de firewall, port forwarding o balanceadores de carga
  • Peer Relays puede anunciar pares fijos de IP:puerto mediante la bandera --relay-server-static-endpoints
    • Incluso detrás de infraestructura como AWS Network Load Balancer, los clientes externos pueden enrutar tráfico a través del relé
  • Esta función permite asegurar conexiones de alta velocidad incluso en entornos de nube restringidos y posibilita una configuración full mesh al reemplazar routers de subred

Integración de visibilidad y monitoreo

  • Peer Relays está integrado directamente con las herramientas de observabilidad de Tailscale, por lo que permite entender claramente cómo opera el relé
    • Con el comando tailscale ping se puede verificar si se está usando un relé, su alcanzabilidad y el impacto en latencia y confiabilidad
    • Cuando ocurre un problema, se puede determinar de inmediato si el tráfico está pasando por el relé y si el estado del relé es normal
  • Como métricas de monitoreo, se ofrecen tailscaled_peer_relay_forwarded_packets_total y tailscaled_peer_relay_forwarded_bytes_total
    • Se pueden integrar con Prometheus, Grafana y otros para analizar patrones de tráfico, detectar anomalías y monitorear el estado de la red

Disponibilidad general y forma de despliegue

  • Peer Relays, ya en disponibilidad general, se posiciona como un componente clave de la escalabilidad de Tailscale
    • Proporciona conexiones de alta velocidad y baja latencia cuando no es posible una ruta directa
    • Funciona incluso en entornos de nube restringidos mediante despliegue basado en endpoints estáticos
    • Admite configuración full mesh dentro de subredes privadas y definición de rutas de control de entrada y salida
  • Mantiene los principios básicos de seguridad de Tailscale, como cifrado de extremo a extremo, acceso de mínimo privilegio y comportamiento predecible
  • Se puede activar desde la CLI en todos los nodos compatibles, con soporte para control basado en ACL y despliegue gradual
  • Peer Relays está disponible en todos los planes, incluido el plan Personal gratuito

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-19
Comentarios de Hacker News

  • Si se confía en Tailscale porque está “abierto (open)”, también hay que saber que algunos clientes son cerrados
    Solo se distribuyen por canales oficiales (por ejemplo, Apple App Store) y están completamente bajo su control
    La lógica con la que intentan justificar esta postura es absurda: algo como “si está bien que el usuario use un SO privativo, entonces está bien que Tailscale también sea privativo”
    Esta estructura es difícil de confiar en entornos con conectividad restringida
    Aunque técnicamente sea mejor que la competencia, al final sigue siendo un negocio. Si es posible, hay que apoyar alternativas de software libre
    Issue relacionado en GitHub

    • Quiero dejar claro que en algunas plataformas solo la GUI es cerrada (Tailscalar)
    • Para mí, el control importa más que el rendimiento
      Si los usuarios pueden compilar desde el código fuente, también se puede mejorar el rendimiento, pero sin control no hay forma de corregir lo que no te satisface
      El software comercial muchas veces tiene baja calidad, depende de actualizaciones y prioriza salir rápido antes que estar bien terminado
    • El cliente CLI para macOS se puede compilar directamente desde el código fuente
      Se puede instalar con go install tailscale.com/cmd/tailscale{,d}@latest, y está explicado en la wiki oficial
      La GUI es cerrada, pero la CLI es totalmente abierta, así que se puede usar incluso en entornos de red restringidos
    • La mayoría de las apps de Mac son cerradas, así que no me preocupa demasiado un solo icono de barra de menú de Tailscale
      Si de verdad te molesta, puedes controlarlo con brew o con la CLI
    • Creo que un modelo híbrido entre open source y comercial es un compromiso realista
      Yo también estoy desarrollando una app con una estructura parecida: voy a ofrecer la CLI completamente open source y vender la GUI por separado
      Así puedo seguir desarrollando y ganarme la vida
      Estoy desarrollando GUI y CLI sobre la base de la librería validate

  • Configuré Tailscale hace poco y el ping bajó de 16 ms a 10 ms y el ancho de banda se triplicó
    Usándolo con Moonlight/Sunshine, puedo hacer streaming de juegos de Windows desde un escritorio Linux a una MacBook a 50 Mbps/10 ms
    Sin port forwarding, solo configuré el router como nodo par

    • Sobre Sunshine, vale la pena probar Apollo
    • Es un caso de uso interesante, pero en la práctica solo estás delegando el NAT traversal y el port forwarding a un protocolo automatizado
    • Me pregunto si, para publicar streaming de juegos para usuarios generales, la otra persona también tiene que instalar Tailscale
      Quisiera saber si Tailscale está enfocado básicamente en compartir entre usuarios de confianza
    • Intenté una configuración parecida con un router OpenWRT, pero pensaba que igual había que abrir puertos
      Entonces me confunde si eso no sigue exponiéndolo a internet

  • Me da curiosidad el modelo de ingresos de Tailscale. Me gusta el servicio, pero me preocupa su sostenibilidad a largo plazo
    A veces también siento que hay algún rate limit

    • Nuestra empresa usa el plan business de 18 dólares al mes por usuario
      Cuando el equipo crece, un plan pagado se vuelve indispensable, y funciones como serve/funnel y SSH son útiles
      Antes usábamos Zerotier y, después de usarlo gratis durante años, terminamos pagando solo unos 5 dólares al mes cuando aumentó la cantidad de usuarios
    • En principio, Tailscale establece una conexión P2P con WireGuard después de la conexión inicial, así que no debería haber limitación de velocidad
      Pero dependiendo del entorno de red, puede hacer falta un relay
      Como alternativas open source están Headscale y Netbird
    • Vale la pena revisar la explicación del plan gratuito en el blog oficial
    • Es un caso típico de modelo freemium: se vuelve popular con el plan gratis para desarrolladores y después las empresas migran al plan pago
    • Como las conexiones P2P casi no generan costo, la estrategia de fortalecer la lealtad de los desarrolladores con un nivel gratuito funciona bien

  • El cambio a Peer Relay es una gran victoria para quienes hacen self-hosting en entornos NAT
    Mejora la UX porque ya no hace falta montar un servidor DERP por cuenta propia

    • (Alex, empleado de Tailscale) Nosotros también teníamos ese mismo problema
      Peer Relay se implementó reutilizando la infraestructura existente de subnet router y exit node, así que la carga de implementación no fue tan grande
      También es esencial para conexiones estables en entornos NAT restrictivos como AWS
      Al final, mejoran tanto la latencia como la experiencia de usuario
    • Antes había problemas donde el DERP central absorbía el tráfico como un agujero negro, pero últimamente ha estado estable
      Con la introducción de Peer Relay, parece probable que esos problemas se reduzcan todavía más

  • La clave es que Peer Relay soporta UDP
    DERP se basa en TCP, así que había problemas de latencia en streaming de juegos o comunicación por voz
    Como Peer Relay usa UDP, es mucho más adecuado para tráfico en tiempo real
    Además, se puede activar directamente desde un subnet router existente sin tener que configurar una instancia DERP aparte

    • Pero viendo que varias cuentas nuevas están dejando comentarios positivos seguidos, y que en algunos respondió personal de Tailscale, da la impresión de ser PR basada en IA
      Ese tipo de comentarios generados por IA perjudica la confianza de la comunidad, así que deberían evitarlo

  • Cuando hay varios relay, me pregunto si Tailscale elige automáticamente el nodo con menor latencia

  • En un entorno real de CGNAT, Tailscale me ayudó muchísimo
    Estoy ejecutando un sistema de visión por IA en Google Cloud Run, y mi ISP bloqueaba el port forwarding
    Con Tailscale, el contenedor de Cloud Run y la cámara pueden comunicarse como si estuvieran en la misma LAN
    Gracias a Peer Relay, espero que también se reduzcan los problemas de latencia que aparecían cuando el contenedor se reiniciaba con frecuencia
    Eso sí, me da curiosidad cómo funciona la selección de relay en un entorno de nodos efímeros (temporales)

  • Yo ya uso una red WireGuard configurada manualmente, así que me da curiosidad qué hace Tailscale internamente
    Tiene muchas funciones “mágicas” que ajustan automáticamente DNS, routing, firewall y demás, y eso me inquieta
    Vi la documentación oficial, pero siento que faltan detalles
    Quisiera saber si realmente funciona bien incluso en configuraciones de red complejas

    • (Empleado de Tailscale) Es difícil mantener una documentación perfecta, pero intentamos documentar lo más posible las heurísticas adaptativas al entorno
      En Linux hay muchos patrones de configuración distintos, y por eso es complejo
      También se explica en esta entrada relacionada del blog
      El comportamiento principal es el siguiente
      • Routing basado en reglas para evitar conflictos
      • Integración prioritaria con systemd-resolved; si no está, modifica /etc/resolv.conf
      • Soporte tanto para iptables como para nftables, y configuración compatible con ufw/firewalld
      • El inicio de sesión por SSH está implementado con la mayor compatibilidad posible, considerando diferencias entre distribuciones
      • Se necesita una ruta MTU de 1360 bytes para una comunicación estable
        En entornos muy personalizados puede haber problemas, pero se pueden resolver con soporte
    • El cliente es open source, y algunos empleados incluso contribuyen a servidores hechos por ingeniería inversa como Headscale
    • Headscale puede servir como alternativa open source de referencia

  • Abrí la página en móvil y no veía el botón de cerrar, así que no podía cerrar el modal
    Ver captura de pantalla
    Después lo encontré, pero estaba en una posición rara

    • El botón de cerrar es la X blanca dentro del cuadro azul en la esquina inferior derecha del modal