Headscale + Headplane (GUI): Tu propio servidor Tailscale autohospedado

Introducción

Este artículo documenta el despliegue de Headscale como servidor de control autohospedado para redes tipo Tailscale, junto con Headplane como interfaz gráfica de administración.

Headscale es una implementación open‑source del backend de Tailscale que permite operar una red VPN en malla basada en WireGuard sin depender de servicios externos. Todo el control —usuarios, nodos, claves, políticas y DNS— reside en infraestructura propia.

El modelo de red es mesh: los dispositivos intentan comunicarse directamente entre sí, recurriendo a un relay (DERP) únicamente cuando no es posible establecer conexión directa. Esto reduce latencia, evita tráfico innecesario y mantiene el control del plano de datos.

Headplane complementa a Headscale aportando una GUI web moderna para la gestión diaria: visualización de nodos, usuarios, ACLs, DNS, políticas y estado general del tailnet. No sustituye al CLI de Headscale, pero reduce fricción operativa y errores humanos.

Configuración con Docker

El despliegue se realiza íntegramente mediante contenedores. El archivo docker-compose.yml, junto con el resto de configuraciones asociadas, se mantiene versionado en Gitea:

docker-compose.yml en Gitea

La separación entre servicios permite actualizar Headscale o Headplane de forma independiente y facilita la trazabilidad de cambios.

Estructura de directorios esperada

La estructura del directorio está pensada para aislar configuraciones y datos persistentes, evitando mezclas entre componentes:

.
├── data
│   └── ...
├── docker-compose.yml
├── Headplane
│   └── config.yaml
└── Headscale
    ├── acl.hujson
    └── config.yaml

Los volúmenes se montan utilizando el UID/GID del usuario normal del sistema (1000:1000), simplificando permisos y evitando dependencias de root dentro de los contenedores.

Configuración de Headplane

La configuración de Headplane se gestiona mediante su propio archivo config.yaml, disponible en el repositorio:

config.yaml de Hadplane en Gitea

Headplane actúa como capa de presentación y orquestación visual sobre la API de Headscale. Para ello requiere una API Key válida, que se genera desde el propio Headscale.

La interfaz web de Headplane puede protegerse sin problema tras un proxy con autenticación (por ejemplo, Authentik), añadiendo control de acceso sin interferir con el funcionamiento interno de Headscale.

Configuración de Headscale

El archivo principal de configuración de Headscale define el comportamiento global del servidor: URLs, DNS, política, DERP, almacenamiento y autenticación.

Config disponible en:

config.yaml de Headscale en Gitea

Las ACLs se mantienen separadas en acl.hujson, permitiendo versionarlas y modificarlas sin tocar el núcleo de configuración.

Pasos iniciales

Una vez definida la estructura y las configuraciones:

Levantar el stack de contenedores:

docker-compose up -d

Generar una API Key para consumo externo (Headplane u otros clientes):

docker exec Headscale headscale apikeys create

Añadir la API Key generada al docker-compose.yml (servicio Headplane) y reiniciar los contenedores:

docker-compose restart

Acceder a la interfaz web de Headplane:

http://<IP_DEL_SERVIDOR>:3170

Crear el primer usuario en Headscale:

docker exec Headscale headscale users create <nombre>

A partir de este punto, los nodos pueden empezar a autenticarse y unirse al tailnet.

Consideraciones importantes (Headscale 0.26+)

Desde la versión 0.26, Headscale introduce cambios relevantes que afectan a despliegues existentes y nuevos:

Los identificadores de usuario deben incluir @ (por ejemplo, usuario@dominio).
base_domain no puede coincidir con server_url.
Las ACLs clásicas quedan obsoletas: es obligatorio migrar a Policy v2.

La migración y los cambios asociados se documentan en:

Consideraciones tras la actualización a la v0.26

Ignorar estos puntos suele derivar en errores de autenticación, problemas de registro de nodos o políticas que no se aplican.

Conclusión

La combinación de Headscale y Headplane permite operar una VPN mesh moderna, controlada íntegramente en infraestructura propia y con una capa gráfica que simplifica la gestión diaria. La separación clara entre contenedores, configuraciones y políticas facilita el mantenimiento, las actualizaciones y la evolución futura del entorno sin introducir acoplamientos innecesarios.

FileBrowser Quantum: Evolución de FileBrowser con más funciones

FileBrowser: Explorador de archivos accesible desde el navegador

Nextcloud (LinuxServer): Plataforma de almacenamiento y colaboración en la nube autohospedada

Nextcloud: Nube privada autohospedada con imagen oficial, MariaDB y Redis

Syncthing: Sincronización avanzada de archivos

TelDrive: Almacenamiento sobre Telegram

Gitea: Plataforma de gestión de repositorios Git autohospedada

Jenkins: Automatización de procesos de desarrollo y despliegue continuo

JupyterLab: Análisis y experimentación con Python

n8n: Automatización de flujos de trabajo

SonarQube: Análisis de la calidad del código

xyOps: Plataforma de automatización distribuida

Chibisafe: Compartir imágenes de forma rápida y privada

Palmr: Compartición de archivos simple y segura

ProjectSend: Compartir archivos de forma simple y controlada

Headscale + Headplane (GUI): Tu propio servidor Tailscale autohospedado

NetBird: Implementación de una VPN de malla basada en WireGuard y confianza cero (Parte I)

NetBird: Implementación de una VPN de malla basada en WireGuard y confianza cero (Parte II)

WGPortal: Panel moderno para gestionar WireGuard

Amule: Cliente P2P para intercambio de archivos en la red eDonkey y Kad

aMuTorrent: Gestor unificado de clientes P2P

JDownloader2: Gestor de descargas avanzado con soporte para múltiples plataformas

MeTube: Descarga de vídeos desde múltiples plataformas en línea

Nicotine: Acceso gráfico a la red Soulseek desde Linux

qBittorrent: Cliente de torrents eficiente y personalizable

Soulseek: Intercambio de música y archivos P2P

Doku: Monitorización de espacio en Docker

Dozzle: Visualización de logs en Docker

WUD (What's Up Docker): Monitorizar y recibir notificaciones sobre actualizaciones de contenedores

BentoPDF: Toolkit PDF autohospedado y orientado a privacidad

Bookstack: Wiki sencilla y flexible para gestionar documentación

PaperlessNGX: Gestión y digitalización de documentos o recibos

StirlingPDF: Manipulación avanzada de archivos PDF

Code Server: Editor de código basado en Visual Studio Code accesible desde cualquier navegador

CyberChef: Herramienta versátil para procesamiento de datos y criptografía

Draw.io: Editor de diagramas

Homepage: Dashboard personalizable para centralizar accesos rápidos a servicios

IT Tools: Colección de herramientas prácticas para redes e informática

LibreTranslate: API de traducción de texto autohospedada y sin dependencia de terceros

Linkwarden: Gestor de marcadores autohospedado para almacenar y organizar enlaces

Pingvin Share: comparte archivos de forma sencilla y autohospedada

SearxNG: privacidad, control y velocidad

WebCheck: Análisis OSINT de sitios web

OpenWebUI: Interfaz web para IA, similar a ChatGPT

BookLore: Gestión self-hosted de bibliotecas digitales similar a Calibre

Calibre: Gestión, conversión y lectura de libros electrónicos

Dispatcharr: Gestión y proxy de IPTV self-hosted

Immich: Almacenamiento y organización de fotos y vídeos con sincronización automática

Jellyfin: Servidor multimedia para películas, series y música

Komga: Servidor para lectura de cómics y mangas

Navidrome: Servidor de música autohospedado

Shoko Server: Organización avanzada de bibliotecas de anime

FreshRSS: Lector de feeds RSS para consolidar y leer noticias fácilmente

Jellystat: Estadísticas avanzadas para Jellyfin

Joplin: Sincronización autohospedada de notas

Radicale: Servidor de calendario, notas y contactos autohospedado

Adguard Home: Bloqueo de anuncios y rastreadores a nivel de red

Authentik: Plataforma de autenticación y autorización centralizada

Bitwarden (Vaultwarden): Despliegue y configuración del panel de administración

CrowdSec Web UI: Gestión gráfica de CrowdSec

NetAlertX: Monitorización y detección de dispositivos en red

nTopNG: Monitorización avanzada de tráfico de red

PassBolt: Gestor de contraseñas seguro y autoalojado

SocketProxy: Acceso controlado al daemon de Docker

Wazuh: Sistema de detección de intrusos (HIDS)

Beszel: Monitorización ligera centralizada

Grafana: Visualización y monitoreo de datos para métricas en tiempo real

Netdata: Monitorización de rendimiento en tiempo real

Checkmate: Plataforma local para vigilar infraestructura y servicios

CrocRelay: Infraestructura mínima para transferencias seguras

Gatus: Monitorización avanzada y flexible de servicios

PeaNUT: Interfaz web para Network UPS Tools (NUT)

phpMyAdmin: Administración web de MySQL y MariaDB

RustDesk: Escritorio remoto autohospedado

Scrutiny: Monitorización S.M.A.R.T. de discos

Speedtest Tracker: Monitoriza el rendimiento de tu conexión

Uptime Kuma: Monitorización en tiempo real del estado de tus servicios

Watchtower: Actualización automática de contenedores

Headscale + Headplane (GUI): Tu propio servidor Tailscale autohospedado

Introducción