14 aprile 2026 · 4 min lettura
Self-HostingMigrazione reale da Tailscale a NetBird su Proxmox con 14 container LXC e 3 subnet. Setup key, network routes via API, confronto prezzi.
Self-HostingAccesso remoto al tuo server di casa senza port forwarding né firewall aperto: NetBird usa WireGuard P2P e funziona gratis fino a 100 device.
Iscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
3 bridge Proxmox, un Raspberry Pi 5 come gateway con nftables e AIWALL IDS, NetBird VPN mesh per accesso remoto. Come funziona la rete del mio homelab — con i limiti che non nascondo.
Per due anni, Tailscale ha fatto il suo lavoro senza che me ne accorgessi. Setup in dieci minuti, tre dispositivi connessi, CGNAT bypassato. Fine.
Poi ho iniziato a fare cose più serie. Tre subnet separate su Proxmox, quattordici container, un gateway Raspberry Pi. E Tailscale ha iniziato a sembrarmi stretto — non perché non funzionasse, ma perché ogni decisione sulla mia rete passava da server che non controllo.
Ho migrato a NetBird in dodici minuti. Ho tenuto entrambi attivi per tre mesi. Questo post è quello che ho imparato.
Nota: NetBird è uno sponsor di homelabz.cc. Questo confronto si basa su tre mesi di uso reale di entrambi nella stessa infrastruttura.
Entrambi costruiscono reti mesh cifrate sopra WireGuard. Ogni nodo parla direttamente con gli altri dove possibile (peer-to-peer), e usa relay solo quando la connessione diretta non è praticabile — CGNAT, firewall restrittivi, NAT simmetrico.
Il risultato pratico è lo stesso: i tuoi dispositivi si vedono come se fossero sulla stessa LAN, ovunque si trovino, senza aprire porte sul router.
La differenza è tutto il resto.
Tailscale è il prodotto più rifinito di questa categoria. Installi il client, fai login con Google o GitHub, e in cinque minuti hai una rete privata funzionante. MagicDNS assegna nomi agli host automaticamente. Taildrop condivide file tra dispositivi. Tailscale Funnel espone servizi locali su internet con un URL pubblico.
La documentazione è eccellente. I client esistono per ogni piattaforma immaginabile, comprese le estensioni browser e le app mobile. Il piano gratuito copre fino a 6 utenti, dispositivi illimitati.
Per un team piccolo che vuole accesso remoto senza un sysadmin dedicato, Tailscale è probabilmente la scelta giusta ancora oggi. Per prototyping rapido, per connettere un laptop di lavoro alla rete di casa, per casi d'uso semplici — è imbattibile sulla curva di setup.
Il limite è strutturale: il control plane è proprietario e gira su server Tailscale. Non puoi self-hostarlo ufficialmente. Ogni handshake, ogni coordinamento tra nodi, ogni chiave di autenticazione passa da loro. Headscale esiste come alternativa community, ma non è supportata ufficialmente e porta con sé complessità propria.
Per la mia infra con 14 container e 3 subnet su Proxmox, questo era il nodo del problema.
NetBird è open source (BSD-3-Clause per il client, AGPLv3 per i componenti server) e self-hostabile completamente — management server, signal server, relay TURN inclusi. Nessun componente obbligatorio su infrastruttura terza.
Su Linux usa il modulo kernel WireGuard invece dell'implementazione userspace di Tailscale. La differenza in termini di throughput è marginale nella maggior parte degli scenari homelab, ma è indicativa dell'approccio: dove possibile, NetBird usa il layer più efficiente disponibile.
Il modello di accesso è più vicino a una segmentazione di rete reale. Definisci gruppi (es. proxmox-nodes, laptop, raspberry-pi), assegni peer ai gruppi, e scrivi policy che stabiliscono quali gruppi comunicano tra loro. È più lavoro rispetto al default permissivo di Tailscale, ma insegna a ragionare in termini di ruoli e superfici di attacco — che è esattamente quello che vuoi se stai costruendo un homelab serio.
Da febbraio 2026, NetBird v0.65 include un reverse proxy integrato. Questo cambia sostanzialmente il confronto con Tailscale Funnel: puoi esporre servizi con domini custom, autenticazione configurabile e controllo completo del traffico — tutto su infrastruttura tua.
Il setup si fa una volta sola — gestione del management server e configurazione OIDC (io uso Authentik, già presente nel homelab). Dopo non tocchi più nulla, e la tua rete non dipende da nessuno.
Quando ho migrato da Tailscale a NetBird, ci ho messo dodici minuti per la migrazione vera e propria — esclusa la configurazione iniziale del management server, che avevo già fatto.
Scegli Tailscale se:
Scegli NetBird se:
Dopo tre mesi con entrambi attivi: uso NetBird per tutto ciò che riguarda la mia infra produttiva. I 14 container su Proxmox, le tre subnet, il gateway Pi — tutto su NetBird, su management server mio.
Tengo Tailscale installato su un laptop per casi specifici: accesso rapido da una macchina su cui non ho configurato il client NetBird, o condivisione veloce con qualcuno che non gestisce infrastruttura.
Non è una gara. Sono due strumenti con priorità diverse. Tailscale ottimizza per la semplicità. NetBird ottimizza per il controllo. Se stai costruendo un homelab serio — se hai Proxmox, container, VLAN, e ti importa dove vivono le tue chiavi — NetBird è la risposta più coerente.
Se stai iniziando oggi e vuoi connettere il laptop di casa al NAS, Tailscale ti risolve il problema prima che tu finisca di leggere questo articolo.
Entrambe le cose sono vere allo stesso tempo.
| Criterio | Tailscale | NetBird |
|---|---|---|
| Setup iniziale | 5 minuti, zero configurazione | Una tantum (OIDC + management server) |
| Self-hosting | Non ufficiale (solo Headscale) | Completo — ogni componente |
| Performance su Linux | Userspace WireGuard | Kernel WireGuard |
| Costo self-hosted | N/A | Gratuito |
| Costo managed | $8/utente/mese (gratis fino a 6 utenti) | Gratis fino a 5 utenti, 100 macchine |
| Expose servizi | Tailscale Funnel | Reverse proxy integrato (v0.65+) |
| Access policies | ACL JSON | Gruppi + policy granulari |
| CGNAT | Relay automatico | Relay TURN self-hosted |