Na primeira vez que um telefone alcança um servidor Jellyfin em casa por uma mesh VPN, a configuração VPN clássica (redirecionamento de porta, DNS dinâmico, regras de firewall manuais) começa a parecer antiquada. Mesh VPNs montam uma rede privada entre todos os seus dispositivos: telefone, notebook, servidor doméstico, VM na nuvem e o computador de um amigo para projetos em conjunto. As sete apps mesh VPN para Android abaixo cobrem opções realistas, do líder óbvio a alternativas totalmente auto-hospedadas.
O que avaliar numa mesh VPN
Cinco pontos importam:
- Plano de controle auto-hospedado. O «servidor de coordenação» guarda a configuração da rede e autentica dispositivos. Alguns produtos operam isso por você; outros permitem auto-hospedar. Os dois fazem sentido; escolha conforme o quanto quer operar você mesmo.
- Clientes open source. Uma mesh VPN roda em cada dispositivo e encaminha tráfego. Clientes abertos podem ser auditados e compilados a partir do código-fonte.
- Limites do plano gratuito. Na maioria há uso pessoal gratuito até um número de dispositivos ou pares. Esse teto define muito para uso doméstico.
- Roteamento de sub-rede e exit nodes. Passar uma LAN inteira por um par (subnet router) e usar um par como saída para a internet ajuda a alcançar equipamentos que não rodam o cliente.
- Bateria e protocolo. WireGuard e derivados são os mais leves para a bateria no Android. Alguns produtos usam STUN/TURN com protocolos próprios.
Comparação rápida
| App | Melhor para | Plano gratuito | Auto-hospedável | Clientes open source |
|---|---|---|---|---|
| Tailscale | A mesh VPN padrão | Sim (3 usuários, 100 dispositivos) | Sim (Headscale) | Sim |
| ZeroTier | Veterana multiplataforma | Sim (10 dispositivos) | Sim | Sim |
| Cloudflare WARP | Proxy de privacidade grátis com traços de mesh | Sim | Apenas nuvem Cloudflare | Na maior parte |
| NordVPN Meshnet | Função mesh dentro de uma VPN de consumo | Sim (com conta NordVPN) | Não | Não |
| Twingate | Acesso zero-trust para equipes pequenas | Sim (5 usuários, 10 recursos) | Connector auto-hospedado | Connector |
| NetBird | Alternativa open source ao Tailscale | Sim | Sim | Sim |
| OpenZiti | Rede sobreposta focada em identidade | OSS gratuito | Sim | Sim |
As apps
1. Tailscale, o padrão
Tailscale é a mesh VPN para a qual a maioria acaba migrando. O app Android é enxuto, roda sobre WireGuard, suporta MagicDNS para nomes curtos de dispositivos e lida com NAT incômodo sem configuração manual. Subnet routers e exit nodes funcionam, ACLs são definidas num JSON limpo e o Taildrop envia arquivos entre quaisquer dois dispositivos da tailnet. Headscale, servidor de coordenação open source, permite auto-hospedar o plano de controle mantendo os clientes oficiais.
O nível gratuito cobre a maior parte do uso doméstico. Implantações maiores (mais de 3 usuários ou 100 dispositivos) exigem plano pago.
Onde falha: o servidor de coordenação é fechado em código, salvo migração para Headscale. Alguns recursos avançados são pagos.
Preços:
- Grátis até 3 usuários e 100 dispositivos.
- Personal Pro e Team acrescentam usuários e recursos.
Plataformas: Android, iOS, Windows, macOS, Linux, FreeBSD.
Conclusão: comece aqui. A configuração se paga na primeira vez que você chega em casa por ela.
2. ZeroTier, a veterana
ZeroTier faz rede mesh desde antes de «mesh VPN» virar marketing. O modelo são switches virtuais: você cria uma rede, os dispositivos entram com um ID de 16 caracteres e você os autoriza num console web. Bridging e recursos de camada 2 deixam a ZeroTier forte em nichos como uma LAN virtual entre cidades para um servidor de jogo antigo.
O app Android é sólido e estável. A interface no telefone é mais minimalista que a do Tailscale.
Onde falha: o admin web é mais simples que o de concorrentes novos. Camada 2 pode confundir quem está acostumado ao modelo mais direto do Tailscale.
Preços:
- Grátis até 10 dispositivos.
- Planos pagos para redes maiores.
Plataformas: Android, iOS, Windows, macOS, Linux, FreeBSD.
Conclusão: acerto se você quer camada 2 ou já confia numa rede ZeroTier.
3. Cloudflare WARP, o proxy de privacidade grátis
Cloudflare WARP não é mesh VPN no sentido estrito. É um proxy gratuito e ilimitado da Cloudflare sobre WireGuard, com DNS 1.1.1.1 opcional e roteamento pelo edge da Cloudflare. Com um plano de equipe Cloudflare Zero Trust, o WARP vira o agente de uma rede zero-trust de verdade com políticas e túneis para origens privadas.
Para privacidade direta no telefone, o WARP é a opção gratuita mais simples. Para acesso mesh a um Pi em casa, procure outras soluções.
Onde falha: não há mesh peer-to-peer no app de consumo. Funções parecidas com mesh exigem plano Zero Trust.
Preços:
- Grátis para o app de consumo.
- WARP+ adiciona caminhos via Argo.
- Planos Zero Trust para organizações (nível gratuito até 50 usuários).
Plataformas: Android, iOS, Windows, macOS, Linux.
Conclusão: encaixa quando «privado e rápido» importa mais que «alcançar meu Pi em casa pelo nome».
4. NordVPN Meshnet, mesh dentro de uma VPN de consumo
NordVPN Meshnet é uma função mesh ligada à NordVPN. Entre com conta NordVPN, ative o Meshnet e os dispositivos formam uma rede privática acessível por nome. Transferência de arquivos entre pares do meshnet funciona, e o serviço VPN mais amplo da NordVPN está à mão se você quiser criptografar outro tráfego.
Produto de código fechado preso ao sistema de contas da NordVPN. Para quem já paga NordVPN, é um bônus útil. Para uso só mesh, é excessivo.
Onde falha: depende da conta NordVPN. Código fechado.
Preços:
- Grátis com conta NordVPN; demais funções da NordVPN exigem plano pago.
Plataformas: Android, iOS, Windows, macOS, Linux.
Conclusão: certo se você já paga NordVPN e quer mesh por cima.
5. Twingate, zero-trust para equipes pequenas
Twingate é feita para organizações, não para labs domésticos. Modelo: um administrador lista «recursos» (servidores, bancos, apps web), define grupos e os Connectors da Twingate ligam esses recursos a usuários autenticados. O app Android é o lado do usuário. Não há peer-to-peer entre dispositivos pessoais; para colocar uma equipe pequena numa rede privada com políticas, a Twingate está entre as configurações mais limpas.
O Starter gratuito cobre 5 usuários e 10 recursos, suficiente para avaliar.
Onde falha: sem P2P entre dispositivos de usuários. O modelo com Connector exige uma instalação pequena, mas real, em cada rede que você quer alcançar.
Preços:
- Grátis até 5 usuários e 10 recursos.
- Planos pagos para organizações maiores.
Plataformas: Android, iOS, Windows, macOS, Linux, ChromeOS.
Conclusão: certo quando uma equipe pequena precisa de acesso zero-trust a poucos serviços internos.
6. NetBird, alternativa open source ao Tailscale
NetBird é uma mesh VPN open source muito alinhada ao modelo mental do Tailscale. Plano de dados WireGuard, servidor de coordenação auto-hospedável ou versão hospedada da NetBird, políticas ACL e integração SSO. O cliente Android é open source e está no F-Droid. Para a experiência Tailscale sem Tailscale, a NetBird é o mais próximo.
O nível gratuito hospedado é generoso para uso pessoal. Auto-hospedar exige mais trabalho que rodar Headscale.
Onde falha: comunidade menor que a do Tailscale. Alguns recursos avançados são mais novos e menos battle-tested.
Preços:
- Grátis para uso pessoal no plano hospedado.
- Planos pagos para equipes grandes; auto-hospedar tudo em OSS é grátis.
Plataformas: Android, iOS, Windows, macOS, Linux.
Conclusão: certo se você quer open source de ponta a ponta, do cliente ao plano de controle.
7. OpenZiti, rede sobreposta focada em identidade
OpenZiti encara o problema por outro ângulo. Cada dispositivo, app e usuário tem identidade; políticas são escritas sobre identidades, não IPs. O app Android Ziti autentica o dispositivo; apps que embutem o SDK Ziti roteiam tráfego pela mesh sem VPN de sistema. Para desenvolvedores que embutem zero-trust num produto, o Ziti é a opção mais flexível da lista.
É o modelo mais complexo aqui. Para um Pi em casa, Tailscale ou NetBird são mais rápidos.
Onde falha: curva de aprendizado íngreme. Melhor quando você controla os apps que conecta.
Preços:
- Grátis, open source.
- Oferta comercial NetFoundry para implantações gerenciadas.
Plataformas: Android, iOS, Windows, macOS, Linux.
Conclusão: certo quando acesso consciente da identidade a apps específicos importa mais que uma LAN virtual plana.
Como escolher
Se você está montando acesso mesh pela primeira vez, instale Tailscale. É o padrão por um motivo.
Se o problema é «privacidade grátis em Wi‑Fi hostil» e não «chegar no meu Pi», instale Cloudflare WARP.
Se você quer tudo open source do cliente ao servidor de coordenação, instale NetBird ou rode Headscale com clientes Tailscale.
Se a equipe precisa de acesso zero-trust a serviços internos, instale Twingate.
Se você precisa de rede camada 2 ou já confia na ZeroTier, fique na ZeroTier.
Se você já paga NordVPN, NordVPN Meshnet liga sem custo extra.
Se você está construindo um produto e quer acesso consciente da identidade no nível do aplicativo, veja OpenZiti.
FAQ
Tailscale é a melhor mesh VPN?
Para a maioria dos usuários, sim. A configuração leva poucos minutos, o nível gratuito é generoso e o cliente Android é leve e bom para bateria. NetBird é a alternativa open source completa mais próxima.
Posso auto-hospedar uma mesh VPN?
Sim. Headscale roda o plano de controle Tailscale no seu servidor. NetBird e OpenZiti trazem componentes de servidor para auto-hospedagem. ZeroTier também tem controladores auto-hospedados.
Uma mesh VPN substitui uma VPN comum?
Objetivos diferentes. Uma VPN de consumo tradicional encaminha seu tráfego por um provedor para privacidade e mudança de região. Uma mesh VPN conecta seus dispositivos entre si e aos seus servidores. Muitos setups usam os dois.
Uma mesh VPN esgota a bateria do Android?
Mesh em WireGuard (Tailscale, NetBird, NordVPN Meshnet) foi leve com a bateria nos nossos testes. Mesh sempre ativa soma alguns pontos percentuais ao dia. ZeroTier usa protocolo próprio e fica comparável.
Posso usar mesh VPN para acessar meu servidor de mídia em casa?
Sim. Tailscale, NetBird e ZeroTier permitem alcançar Jellyfin, Plex ou NAS auto-hospedado pelo nome a partir de qualquer telefone ou notebook na mesh, sem abrir portas no roteador.
