La primera vez que un móvil llega a un servidor Jellyfin en casa a través de una mesh VPN, la configuración VPN clásica (reenvío de puertos, DNS dinámico, reglas de cortafuegos manuales) empieza a parecer anticuada. Las mesh VPN construyen una red privada entre todos tus dispositivos: móvil, portátil, servidor doméstico, VM en la nube y el equipo de un amigo para proyectos compartidos. Las siete apps mesh VPN para Android que siguen cubren opciones realistas, desde el líder evidente hasta alternativas totalmente autoalojadas.
Qué valorar en una mesh VPN
Cinco puntos importan:
- Plano de control autoalojado. El «servidor de coordinación» guarda la configuración de la red y autentica dispositivos. Algunos productos lo gestionan por ti; otros permiten autoalojarlo. Ambos son válidos; elige según cuánta operación quieras asumir.
- Clientes open source. Una mesh VPN vive en cada dispositivo y enruta tráfico. Los clientes abiertos pueden revisarse y compilarse desde el código.
- Límites del plan gratuito. La mayoría son gratuitas para uso personal hasta un número de dispositivos o pares. Ese tope marca la frontera para muchos usuarios domésticos.
- Enrutado de subred y nodos de salida. Enrutar toda una LAN a través de un par (subnet router) y usar un par como salida a internet sirve para llegar a equipos que no pueden ejecutar el cliente.
- Batería y protocolo. WireGuard y derivados son los más suaves con la batería en Android. Algunos productos usan STUN/TURN con protocolos propios.
Comparación rápida
| App | Ideal para | Plan gratuito | Autoalojable | Clientes open source |
|---|---|---|---|---|
| Tailscale | La mesh VPN por defecto | Sí (3 usuarios, 100 dispositivos) | Sí (Headscale) | Sí |
| ZeroTier | Veterana multiplataforma | Sí (10 dispositivos) | Sí | Sí |
| Cloudflare WARP | Proxy de privacidad gratis con rasgos tipo mesh | Sí | Solo nube Cloudflare | En su mayoría |
| NordVPN Meshnet | Función mesh dentro de una VPN de consumo | Sí (con cuenta NordVPN) | No | No |
| Twingate | Acceso zero-trust para equipos pequeños | Sí (5 usuarios, 10 recursos) | Connector autoalojado | Connector |
| NetBird | Alternativa open source a Tailscale | Sí | Sí | Sí |
| OpenZiti | Red superpuesta centrada en identidad | OSS gratuita | Sí | Sí |
Las apps
1. Tailscale, la opción por defecto
Tailscale es la mesh VPN a la que acaban llegando la mayoría. La app Android es ligera, corre sobre WireGuard, admite MagicDNS para nombres cortos de dispositivos y resuelve los casos NAT incómodos sin configuración manual. Los subnet routers y los exit nodes funcionan, las ACL se definen en un JSON claro y Taildrop envía archivos entre dos dispositivos cualesquiera de tu tailnet. Headscale, servidor de coordinación open source, permite autoalojar el plano de control manteniendo los clientes oficiales.
El nivel gratuito cubre gran parte del uso doméstico. Despliegues mayores (más de 3 usuarios o 100 dispositivos) requieren plan de pago.
Donde flojea: el servidor de coordinación es de código cerrado salvo que pases a Headscale. Algunas funciones avanzadas son de pago.
Precios:
- Gratis hasta 3 usuarios y 100 dispositivos.
- Personal Pro y Team añaden usuarios y funciones.
Plataformas: Android, iOS, Windows, macOS, Linux, FreeBSD.
Conclusión: empieza aquí. La puesta en marcha se amortiza la primera vez que llegas a casa a través de ella.
2. ZeroTier, la veterana
ZeroTier lleva años en redes mesh antes de que «mesh VPN» fuera marketing. El modelo son switches virtuales: creas una red, los dispositivos se unen con un ID de 16 caracteres y los autorizas en una consola web. El bridging y las capacidades de capa 2 hacen fuerte a ZeroTier en casos de nicho como una LAN virtual entre ciudades para un servidor de juegos antiguo.
La app Android es sólida y estable. La interfaz en el móvil es más minimalista que la de Tailscale.
Donde flojea: la administración web es más sobria que la de rivales nuevos. La capa 2 puede confundir a quien está acostumbrado al modelo más simple de Tailscale.
Precios:
- Gratis hasta 10 dispositivos.
- Planes de pago para redes mayores.
Plataformas: Android, iOS, Windows, macOS, Linux, FreeBSD.
Conclusión: la opción acertada si quieres capa 2 o ya confías en una red ZeroTier.
3. Cloudflare WARP, el proxy de privacidad gratis
Cloudflare WARP no es una mesh VPN en sentido estricto. Es un proxy gratis e ilimitado de Cloudflare sobre WireGuard, con DNS 1.1.1.1 opcional y enrutado por el edge de Cloudflare. Con un plan de equipo Cloudflare Zero Trust, WARP se convierte en el agente de una red zero-trust real con políticas y túneles hacia orígenes privados.
Para privacidad pura en el móvil, WARP es la opción gratuita más simple. Para acceso mesh a un Pi en casa, hay que mirar otras soluciones.
Donde flojea: no hay mesh peer-to-peer en la app de consumo. Las funciones tipo mesh exigen un plan Zero Trust.
Precios:
- Gratis para la app de consumo.
- WARP+ añade rutas vía Argo.
- Planes Zero Trust para organizaciones (nivel gratis hasta 50 usuarios).
Plataformas: Android, iOS, Windows, macOS, Linux.
Conclusión: encaja cuando «privado y rápido» importa más que «llegar a mi Pi en casa por nombre».
4. NordVPN Meshnet, mesh dentro de una VPN de consumo
NordVPN Meshnet es una función mesh ligada a NordVPN. Inicias sesión con una cuenta NordVPN, activas Meshnet y tus dispositivos forman una red privada a la que accedes por nombre. La transferencia de archivos entre pares meshnet funciona, y el servicio VPN más amplio de NordVPN está ahí si quieres cifrar otro tráfico.
Es un producto de código cerrado atado al sistema de cuentas de NordVPN. Si ya pagas NordVPN, es un extra útil. Si solo buscas mesh, es demasiado.
Donde flojea: ligado a la cuenta NordVPN. Código cerrado.
Precios:
- Gratis con cuenta NordVPN; el resto de NordVPN requiere plan de pago.
Plataformas: Android, iOS, Windows, macOS, Linux.
Conclusión: la opción acertada si ya pagas NordVPN y quieres mesh encima.
5. Twingate, zero-trust para equipos pequeños
Twingate está pensada para organizaciones, no para laboratorios caseros. El modelo: un administrador lista «recursos» (servidores, bases de datos, apps web), asigna grupos y los Twingate Connectors enlazan esos recursos con usuarios autenticados. La app Android es el lado usuario. No hay peer-to-peer entre dispositivos personales, pero para meter a un equipo pequeño en una red privada con políticas, Twingate es de las configuraciones más limpias.
El plan Starter gratis cubre 5 usuarios y 10 recursos, suficiente para evaluar.
Donde flojea: sin P2P entre dispositivos de usuario. El modelo basado en Connector exige una instalación pequeña pero real en cada red a la que quieras llegar.
Precios:
- Gratis hasta 5 usuarios y 10 recursos.
- Planes de pago para organizaciones mayores.
Plataformas: Android, iOS, Windows, macOS, Linux, ChromeOS.
Conclusión: la opción acertada cuando un equipo pequeño necesita acceso zero-trust a unos pocos servicios internos.
6. NetBird, alternativa open source a Tailscale
NetBird es una mesh VPN open source que calca la forma de pensar de Tailscale. Plano de datos WireGuard, servidor de coordinación autoalojable o la versión alojada de NetBird, políticas ACL e integración SSO. El cliente Android es open source y está en F-Droid. Si quieres la experiencia Tailscale sin Tailscale, NetBird es lo más cercano.
El nivel gratuito alojado es generoso para uso personal. El despliegue autoalojado es más laborioso que ejecutar Headscale.
Donde flojea: comunidad más pequeña que Tailscale. Algunas funciones avanzadas son más nuevas y menos rodadas.
Precios:
- Gratis para uso personal en el plan alojado.
- Planes de pago para equipos grandes; el autoalojado open source completo es gratis.
Plataformas: Android, iOS, Windows, macOS, Linux.
Conclusión: la opción acertada si quieres open source de cliente a plano de control.
7. OpenZiti, red superpuesta centrada en identidad
OpenZiti aborda el problema desde otro ángulo. Cada dispositivo, app y usuario tiene una identidad, y las políticas se escriben sobre identidades, no sobre IPs. La app Android Ziti autentica el dispositivo, y las apps que integran el SDK Ziti enrutan tráfico por la mesh sin VPN a nivel de sistema. Para desarrolladores que incorporan zero-trust en un producto, Ziti es la opción más flexible de esta lista.
Es el modelo más complejo aquí. Para un Pi en casa, Tailscale o NetBird son más rápidos.
Donde flojea: curva de aprendizaje pronunciada. Funciona mejor cuando controlas las apps que conectas.
Precios:
- Gratis, open source.
- Oferta comercial NetFoundry para despliegues gestionados.
Plataformas: Android, iOS, Windows, macOS, Linux.
Conclusión: la opción acertada cuando el acceso consciente de la identidad a apps concretas importa más que una LAN virtual plana.
Cómo elegir
Si montas acceso mesh por primera vez, instala Tailscale. Es la opción por defecto por algo.
Si tu problema es «privacidad gratis en Wi‑Fi hostil» y no «llegar a mi Pi», instala Cloudflare WARP.
Si quieres todo open source desde el cliente hasta el servidor de coordinación, instala NetBird o ejecuta Headscale con clientes Tailscale.
Si tu equipo necesita acceso zero-trust a servicios internos, instala Twingate.
Si necesitas redes de capa 2 o ya confías en ZeroTier, quédate con ZeroTier.
Si ya pagas NordVPN, NordVPN Meshnet se activa sin coste extra.
Si construyes un producto y quieres acceso consciente de la identidad a nivel de aplicación, mira OpenZiti.
FAQ
¿Tailscale es la mejor mesh VPN?
Para la mayoría de usuarios, sí. La configuración lleva unos minutos, el nivel gratis es generoso y el cliente Android es ligero y suave con la batería. NetBird es la alternativa open source completa más cercana.
¿Puedo autoalojar una mesh VPN?
Sí. Headscale ejecuta el plano de control de Tailscale en tu propio servidor. NetBird y OpenZiti incluyen componentes de servidor para autoalojamiento. ZeroTier también tiene controladores autoalojados.
¿Una mesh VPN sustituye a una VPN normal?
Objetivos distintos. Una VPN de consumo clásica enruta tu tráfico por un proveedor para privacidad y cambio de región. Una mesh VPN conecta tus dispositivos entre sí y con tus servidores. Muchos entornos usan ambas.
¿Una mesh VPN agota la batería en Android?
Las mesh basadas en WireGuard (Tailscale, NetBird, NordVPN Meshnet) son suaves con la batería en nuestras pruebas. Una mesh siempre activa añade unos pocos puntos porcentuales al día. ZeroTier usa un protocolo propio y el comportamiento es comparable.
¿Puedo usar una mesh VPN para acceder a mi servidor multimedia en casa?
Sí. Tailscale, NetBird y ZeroTier permiten llegar a un Jellyfin, Plex o NAS autoalojado por nombre desde cualquier móvil u ordenador en tu mesh, sin abrir puertos en el router.
