ZeroTier conecta un portátil, un servidor doméstico, un teléfono, un NAS, un PC de oficina o una máquina en la nube en una única red virtual cerrada sin un VPS separado. Los dispositivos obtienen direcciones internas y se intercamban datos como si estuvieran en la misma red local. Con este esquema es cómodo trabajar con archivos, acceder al servidor, conectarse a un banco de pruebas y mantener paneles de administración alejados del internet público.
El enfoque de ZeroTier no es «una VPN sencilla por ser VPN», sino el acceso controlado a los datos. El NAS, SSH, RDP o un panel web interno no se exponen mediante reenvío de puertos en el router. Cada nodo primero entra en la red privada y el administrador decide manualmente en quién confiar. Pero el cifrado no protege frente a una contraseña débil, firmware antiguo del NAS, un portátil infectado o cuentas olvidadas.
Cómo ZeroTier protege los datos y por qué funciona sin VPS
ZeroTier One crea en el dispositivo una interfaz de red virtual. Las aplicaciones se dirigen a los nodos remotos por direcciones IP internas y no por las direcciones externas del proveedor. En la documentación del protocolo ZeroTier describe la plataforma como un conmutador Ethernet virtual programable. En términos sencillos, ZeroTier opera en la capa L2, es decir, en la capa Ethernet.
La capa L2 aporta una ventaja práctica importante. Con ZeroTier se pueden conectar no solo servicios IP habituales como SSH, SMB o paneles web, sino también juegos antiguos, clientes corporativos obsoletos, software industrial específico y otras aplicaciones que necesitan una red «casi local». Una VPN L3 normal construye rutas entre subredes, mientras que ZeroTier se aproxima más a un conmutador virtual. A cambio de la comodidad a veces hay que pagar con menor velocidad y reglas de acceso más cuidadosas.
ZeroTier utiliza cifrado de extremo a extremo. En la sección Seguridad de ZeroTier la empresa explica que las claves privadas permanecen en los dispositivos finales y que la infraestructura del servicio no ve ni altera los paquetes de usuario. Este enfoque encaja bien con Zero Trust: no considerar la red segura por defecto, verificar los dispositivos, limitar el acceso y eliminar regularmente nodos innecesarios.
La comunicación entre dispositivos no siempre se establece de la misma manera. Primero ZeroTier intenta encontrar una ruta directa por UDP y «atravesar» el NAT. En la documentación sobre firewalls corporativos ZeroTier compara ese proceso con el enfoque STUN/TURN en VoIP. Si el proveedor, el firewall corporativo o un NAT estricto bloquean UDP, el agente ZeroTier One recurre al TCP Relay. Entonces el tráfico pasa por el servicio relay de ZeroTier y no directamente entre los dos dispositivos. Por eso el ping puede aumentar de forma inesperada hasta 150–200 ms y la velocidad de transferencia de archivos bajar.
Cómo configurar ZeroTier: preparación, cliente, autorización y verificación
Preparación en Central. Abra ZeroTier Central, cree una red y asígnele un nombre claro: home-nas, lab-secure, office-admin o similar. Copie el Network ID. En la configuración seleccione Private, de modo que los nuevos dispositivos entren solo tras la autorización manual. Para el primer arranque deje la asignación de direcciones en automático. El rango estándar de Managed IP suele ser suficiente si no está construyendo rutas complejas.
Instalar el cliente. Descargue ZeroTier One desde la página oficial Descargar ZeroTier e instale el cliente en cada dispositivo de confianza. En Windows y macOS únase a la red desde el icono de ZeroTier en el área de notificaciones o la barra de menús: Join New Network y luego introducir el Network ID. En Linux o en un servidor sin entorno gráfico ejecute:
sudo zerotier-cli join NETWORK_ID
Autorizar y comprobar. Vuelva a Central, localice el nuevo nodo y autorícelo. Asigne al dispositivo un nombre claro al instante: alex-laptop, home-nas, office-mini-pc o monitoring-node. Consulte la dirección Managed IP y compruebe el acceso por la dirección interna. Comience con ping MANAGED_IP y luego verifique SSH, RDP, SMB o el panel web interno.
Si el dispositivo entró en la red pero el servicio no responde, compruebe cuatro cosas: que el nodo esté autorizado en Central, que se haya asignado la Managed IP, que el firewall local no esté bloqueando el puerto y que el servicio esté escuchando en la interfaz correcta. Un error frecuente es: ZeroTier funciona, el ping responde, pero el panel web está ligado solo a 127.0.0.1, por lo que otros dispositivos no lo ven.
Elimine los dispositivos antiguos de inmediato. Un portátil vendido, una máquina virtual de prueba, un teléfono antiguo o un contenedor temporal no deben conservar acceso a la red privada. Active la autenticación de dos factores para la cuenta de administrador. Para nodos importantes use cuentas distintas, claves SSH, contraseñas robustas y actualizaciones regulares.
Velocidad, rutas, firewall y elección entre ZeroTier, Tailscale y OpenVPN
No considere la red privada totalmente de confianza. Un portátil puede ver el NAS, pero no debería tener acceso automático a cámaras, impresoras y paneles de administración. Un portátil de trabajo puede comunicarse con un servidor de pruebas, pero no debe ver todos los dispositivos domésticos. El firewall debe proteger cada nodo importante: en el servidor permita SSH solo desde direcciones de la red ZeroTier, en el NAS abra solo los protocolos de archivos necesarios y en Windows limite RDP a direcciones internas concretas.
La enrutación hacia la red local física requiere precaución. Por ejemplo, en un miniservidor se ejecuta ZeroTier y a través de él debe accederse al NAS o a una impresora en la LAN doméstica. Entonces un nodo actuará como enrutador entre la red ZeroTier y la subred física. En Central se añade un Managed Route y en el nodo Linux se habilita el reenvío de IP. La guía oficial Ruta entre ZeroTier y redes físicas propone temporalmente el comando:
sudo sysctl -w net.ipv4.ip_forward=1
Tras un reinicio esa configuración desaparecerá. Para que Linux active el reenvío al arrancar, abra /etc/sysctl.conf y añada o descomente la línea:
net.ipv4.ip_forward=1A continuación aplique los ajustes con:
sudo sysctl -pUna sola orden no hace la solución segura. Diseñe la ruta, especifique qué dispositivos de la red ZeroTier deben ver la LAN y bloquee el resto con el firewall. Un error en Managed Route o en NAT puede exponer más dispositivos de los previstos.
| Tecnología | Cuándo conviene | Inconveniente |
|---|---|---|
| ZeroTier | Red L2, juegos antiguos, software específico, NAS, laboratorio doméstico, dispositivos detrás de NAT | Con TCP Relay aumenta la latencia, y las reglas de acceso deben limpiarse manualmente |
| Tailscale | Zero Trust para equipos, red mesh rápida sobre WireGuard, vinculación cómoda a usuarios y dispositivos | Por defecto funciona como red L3, por lo que no todos los escenarios L2 son adecuados sin soluciones adicionales |
| OpenVPN | Infraestructura VPN clásica, servidor propio, certificados habituales, soporte TUN y TAP | El modo L2 mediante TAP es más difícil de mantener, y el servidor se convierte en el punto central de carga |
Compruebe los límites antes de un uso permanente. En una guía antigua Crear tu primera red ZeroTier se indica trabajo gratuito hasta 25 dispositivos en todas las redes, mientras que la página pública Precios en abril de 2026 muestra para Personal Free 10 dispositivos y una red. Debido a la discrepancia entre páginas oficiales, verifique el límite real en su cuenta de ZeroTier Central.
ZeroTier ayuda a conectar de forma segura dispositivos de confianza, pero no sustituye a las actualizaciones, contraseñas robustas, la autenticación de dos factores, las copias de seguridad ni el control de permisos. Use las redes virtuales solo para acceso legítimo a sus recursos o a recursos para los que tenga permiso. Al trabajar en Rusia tenga en cuenta la legislación de la Federación Rusa, los requisitos del empleador y las normas sobre el tratamiento de datos personales.
FAQ
¿Se necesita una IP pública para ZeroTier?
Para el acceso habitual no es necesaria una IP pública. Los dispositivos pueden estar detrás de NAT. ZeroTier primero intenta una ruta UDP directa entre nodos y, si falla, puede pasar a TCP Relay. En modo Relay la latencia y la velocidad suelen ser peores.
¿Por qué el ping subió hasta 200 ms?
Normalmente porque no se logró la ruta UDP directa y ZeroTier pasó el tráfico por TCP Relay. Eso ocurre en redes con NAT estricto, firewall corporativo o bloqueo de UDP. Revise las reglas del firewall, el tráfico UDP y la ruta física entre los nodos.
¿Es seguro dar acceso al NAS a través de ZeroTier?
Sí, si la red está cerrada, los nuevos dispositivos requieren autorización manual, la cuenta de administrador tiene autenticación de dos factores, el NAS está actualizado y el firewall permite solo los servicios necesarios. No dé acceso a toda la red virtual a todos los servicios del NAS.
¿Qué elegir: ZeroTier, Tailscale o OpenVPN?
ZeroTier es más práctico cuando se necesita L2 y una red «casi local». Tailscale se elige con frecuencia para acceso Zero Trust de usuarios y dispositivos sobre WireGuard. OpenVPN conviene cuando se requiere un esquema clásico con servidor propio, certificados y control total de la infraestructura.
ZeroTier vale la pena cuando se necesita conectar de forma segura los propios dispositivos sin un servidor dedicado y sin exponer servicios abiertamente en internet. Empiece con una red privada, autorice solo nodos conocidos, active la autenticación de dos factores, cierre puertos innecesarios y elimine regularmente dispositivos antiguos. Si la red almacena datos importantes, configure el acceso según el principio Zero Trust: no confiar automáticamente en nadie, verificar cada nodo y conceder solo los permisos necesarios.
