Когда телефон впервые достучится до домашнего Jellyfin через mesh VPN, классическая схема VPN (проброс портов, динамический DNS, ручные правила фаервола) начинает казаться архаичной. Mesh VPN собирают частную сеть между всеми вашими устройствами: телефон, ноутбук, домашний сервер, облачная VM и машина друга для общих проектов. Семь приложений mesh VPN для Android ниже — реалистичный набор: от очевидного лидера до полностью self-hosted вариантов.
На что смотреть в mesh VPN
Пять пунктов решают:
- Self-hosted control plane. «Координационный сервер» хранит конфигурацию сети и аутентифицирует устройства. У части продуктов его ведут за вас, у других можно развернуть у себя. Оба подхода нормальны — выбирайте по тому, сколько операционки хотите на себя.
- Открытые клиенты. Mesh VPN стоит на каждом устройстве и гоняет трафик. Открытые клиенты можно ревьюить и собирать из исходников.
- Лимиты бесплатного тарифа. У большинства для личного использования есть бесплатная ступень до определённого числа устройств или пиров. Потолок часто решает для домашних сценариев.
- Маршрутизация подсети и exit nodes. Прогнать всю LAN через один пир (subnet router) и использовать один пир как выход в интернет удобно для устройств, куда клиент поставить нельзя.
- Батарея и протокол. WireGuard и производные от него бережнее к батарее Android. У некоторых продуктов — STUN/TURN и свои протоколы.
Краткое сравнение
| Приложение | Лучше всего для | Бесплатный план | Self-host | Открытые клиенты |
|---|---|---|---|---|
| Tailscale | Mesh VPN по умолчанию | Да (3 пользователя, 100 устройств) | Да (Headscale) | Да |
| ZeroTier | Кроссплатформенный ветеран | Да (10 устройств) | Да | Да |
| Cloudflare WARP | Бесплатный privacy-proxy с чертами mesh | Да | Только облако Cloudflare | В основном |
| NordVPN Meshnet | Mesh внутри consumer VPN | Да (с аккаунтом NordVPN) | Нет | Нет |
| Twingate | Zero-trust для небольших команд | Да (5 пользователей, 10 ресурсов) | Connector у себя | Connector |
| NetBird | Открытая альтернатива Tailscale | Да | Да | Да |
| OpenZiti | Overlay с упором на идентичности | Бесплатный OSS | Да | Да |
Приложения
1. Tailscale — по умолчанию
Tailscale — mesh VPN, к которому в итоге приходят большинство. Android-приложение компактное, работает поверх WireGuard, поддерживает MagicDNS для коротких имён устройств и справляется с неприятными NAT без ручной настройки. Subnet routers и exit nodes работают, ACL задаются в аккуратном JSON, Taildrop перекидывает файлы между любыми двумя устройствами в tailnet. Headscale — открытый координационный сервер — позволяет держать control plane у себя, сохраняя официальные клиенты.
Бесплатного тарифа хватает для большинства домашних сценариев. Крупнее (больше 3 пользователей или 100 устройств) — нужен платный план.
Где слабее: координационный сервер закрыт по исходникам, пока не перейдёте на Headscale. Часть продвинутых функций — платная.
Цены:
- Бесплатно до 3 пользователей и 100 устройств.
- Personal Pro и Team добавляют пользователей и возможности.
Платформы: Android, iOS, Windows, macOS, Linux, FreeBSD.
Итог: начинайте отсюда. Окупается с первого раза, когда через него попадаете домой.
2. ZeroTier — ветеран
ZeroTier занимается mesh ещё до того, как mesh VPN стал маркетинговым термином. Модель — виртуальные коммутаторы: создаёте сеть, устройства входят по 16-символьному ID, вы разрешаете их в веб-консоли. Bridging и возможности Layer-2 делают ZeroTier сильным в нишах вроде виртуальной LAN между городами для старого игрового сервера.
Android-приложение надёжное и стабильное. Интерфейс на телефоне скромнее, чем у Tailscale.
Где слабее: веб-админка проще, чем у новых конкурентов. Layer-2 может путать тех, кто привык к более простой модели Tailscale.
Цены:
- Бесплатно до 10 устройств.
- Платные планы для больших сетей.
Платформы: Android, iOS, Windows, macOS, Linux, FreeBSD.
Итог: разумный выбор, если нужны возможности Layer-2 или вы уже доверяете своей сети ZeroTier.
3. Cloudflare WARP — бесплатный privacy-proxy
Cloudflare WARP в строгом смысле mesh VPN не является. Это бесплатный безлимитный прокси Cloudflare поверх WireGuard с опциональным DNS 1.1.1.1 и маршрутизацией через edge Cloudflare. С командным планом Cloudflare Zero Trust WARP становится агентом настоящей zero-trust сети с политиками и туннелями к частным origin.
Для приватности только на телефоне WARP — самый простой бесплатный вариант. Для mesh-доступа к домашнему Pi смотрите другие решения.
Где слабее: в consumer-приложении нет peer-to-peer mesh. Похожие на mesh функции — через Zero Trust.
Цены:
- Consumer-приложение бесплатно.
- WARP+ добавляет маршруты через Argo.
- Zero Trust для организаций (бесплатный уровень до 50 пользователей).
Платформы: Android, iOS, Windows, macOS, Linux.
Итог: подходит, когда важнее «приватно и быстро», чем «достучаться до домашнего Pi по имени».
4. NordVPN Meshnet — mesh внутри consumer VPN
NordVPN Meshnet — функция mesh в экосистеме NordVPN. Входите под аккаунтом NordVPN, включаете Meshnet — устройства образуют частную сеть с доступом по имени. Передача файлов между пирами meshnet работает, а основной VPN-сервис NordVPN под рукой, если нужно шифровать остальной трафик.
Закрытый продукт, привязанный к аккаунтам NordVPN. Тем, кто уже платит за NordVPN, это полезный бонус. Только для mesh — избыточно.
Где слабее: только с аккаунтом NordVPN. Закрытый исходный код.
Цены:
- Бесплатно при наличии аккаунта NordVPN; остальные функции NordVPN — по платным планам.
Платформы: Android, iOS, Windows, macOS, Linux.
Итог: логично, если вы уже платите за NordVPN и хотите mesh сверху.
5. Twingate — zero-trust для небольших команд
Twingate заточен под организации, а не домашние лаборатории. Модель: админ перечисляет «ресурсы» (серверы, БД, веб-приложения), назначает группы, а Twingate Connectors связывают эти ресурсы с аутентифицированными пользователями. Android-приложение — пользовательская сторона. Peer-to-peer между личными устройствами нет, но для доступа небольшой команды к внутренней сети с политиками Twingate — один из самых аккуратных сценариев.
Бесплатный Starter — 5 пользователей и 10 ресурсов, этого достаточно для оценки.
Где слабее: нет P2P между пользовательскими устройствами. Модель на Connector требует небольшой, но реальной установки в каждой сети, куда нужно заходить.
Цены:
- Бесплатно до 5 пользователей и 10 ресурсов.
- Платные планы для крупных организаций.
Платформы: Android, iOS, Windows, macOS, Linux, ChromeOS.
Итог: когда небольшой команде нужен zero-trust доступ к нескольким внутренним сервисам.
6. NetBird — открытая альтернатива Tailscale
NetBird — открытый mesh VPN, очень близкий по логике к Tailscale. Плоскость данных на WireGuard, координационный сервер у себя или в хостинге NetBird, политики ACL и SSO. Android-клиент открыт и есть в F-Droid. Если нужен опыт как у Tailscale, но без Tailscale, NetBird ближе всего.
Бесплатный hosted tier щедрый для личного использования. Self-hosted сложнее, чем поднять Headscale.
Где слабее: сообщество меньше, чем у Tailscale. Часть продвинутых функций новее и менее обкатана.
Цены:
- Бесплатно для личного использования на hosted-плане.
- Платные планы для команд; полностью открытый self-host бесплатен.
Платформы: Android, iOS, Windows, macOS, Linux.
Итог: если нужен полностью открытый стек от клиентов до control plane.
7. OpenZiti — overlay с упором на идентичности
OpenZiti подходит с другой стороны. Устройство, приложение и пользователь получают идентичность, политики пишутся к идентичностям, а не к IP. Android-приложение Ziti аутентифицирует устройство; приложения со встроенным Ziti SDK гонят трафик по mesh без системного VPN. Для разработчиков, встраивающих zero-trust в продукт, Ziti здесь самый гибкий.
Модель самая сложная в списке. Для сценария «Pi дома» Tailscale или NetBird быстрее.
Где слабее: крутая кривая обучения. Лучше всего, когда вы контролируете приложения, которые подключаете.
Цены:
- Бесплатно, открытый исходный код.
- Коммерческое предложение NetFoundry для управляемых развёртываний.
Платформы: Android, iOS, Windows, macOS, Linux.
Итог: когда важнее идентичностно-осознанный доступ к конкретным приложениям, чем плоская виртуальная LAN.
Как выбрать
Если выстраиваете mesh впервые — ставьте Tailscale. Это default не просто так.
Если задача «бесплатная приватность на враждебном Wi‑Fi», а не «достучаться до Pi» — ставьте Cloudflare WARP.
Если нужен открытый код от клиента до координационного сервера — NetBird или Headscale с клиентами Tailscale.
Команде нужен zero-trust к внутренним сервисам — Twingate.
Нужен Layer-2 или уже доверяете ZeroTier — оставайтесь на ZeroTier.
Уже платите за NordVPN — NordVPN Meshnet включается без доплаты.
Строите продукт и хотите идентичностный доступ на уровне приложений — смотрите OpenZiti.
FAQ
Tailscale — лучший mesh VPN?
Для большинства пользователей — да. Настройка занимает несколько минут, бесплатный tier щедрый, Android-клиент компактный и бережный к батарее. NetBird — ближайшая полностью открытая альтернатива.
Можно ли хостить mesh VPN у себя?
Да. Headscale поднимает control plane Tailscale на вашем сервере. У NetBird и OpenZiti есть серверные компоненты для self-host. У ZeroTier тоже есть self-hosted контроллеры.
Mesh VPN заменяет обычный VPN?
Разные цели. Классический consumer VPN гонит трафик через провайдера для приватности и смены региона. Mesh VPN соединяет ваши устройства друг с другом и с серверами. Многие схемы совмещают оба.
Mesh VPN сильно разряжает батарею Android?
Mesh на WireGuard (Tailscale, NetBird, NordVPN Meshnet) в наших тестах ведёт себя бережно. Постоянный mesh добавляет несколько процентов за день. ZeroTier на своём протоколе — сопоставимо.
Можно ли через mesh VPN зайти на домашний медиасервер?
Да. Tailscale, NetBird и ZeroTier позволяют по имени достучаться до self-hosted Jellyfin, Plex или NAS с телефона или ноутбука в mesh, без открытия портов на роутере.
