Tailscale amplia il piano gratuito: ora 6 utenti e una rete privata senza configurazioni VPN

Tailscale nasce per risolvere un problema molto concreto: collegare in modo sicuro dispositivi, server e servizi sparsi su reti diverse senza costringere amministratori e utenti a inseguire regole di firewall, port forwarding, VPN tradizionali e configurazioni fragili. È una piattaforma di connettività privata basata su identità che costruisce una rete cifrata tra macchine autorizzate, usando WireGuard come base crittografica e aggiungendo funzioni che WireGuard, da solo, non offre in modo nativo.

Chi installa Tailscale su notebook, smartphone, VM, NAS o container entra a far parte di una rete privata overlay chiamata tailnet, nella quale ogni nodo può raggiungere gli altri secondo policy definite in modo centralizzato. È proprio questa combinazione tra semplicità e sicurezza a spiegare perché Tailscale abbia guadagnato attenzione tanto nei team IT quanto tra sviluppatori, homelab e piccole realtà distribuite.

Che cos’è davvero Tailscale e cosa aggiunge rispetto a WireGuard puro

Dire che Tailscale è una VPN è corretto, ma riduttivo. Il protocollo WireGuard offre tunnel cifrati molto efficienti fra endpoint; Tailscale costruisce sopra quella base affidabile ed efficiente un livello aggiuntivo di identità, coordinamento, discovery e controllo degli accessi.

Come abbiamo visto nell’articolo su come creare una VPN distribuita con Tailscale, è il client Tailscale a occuparsi dell’autenticazione, della registrazione del nodo alla tailnet,  della negoziazione del percorso migliore e di applicare le policy decise dall’amministratore.

Tailscale si è affermato come alternativa più agile alle VPN hub-and-spoke classiche, quelle in cui tutto il traffico passa da un “concentratore centrale”.

L’approccio di Tailscale predilige connessioni dirette peer-to-peer quando la rete lo consente; se configurazioni NAT aggressive (meccanismi di traduzione degli indirizzi di rete che possono ostacolare le connessioni), firewall particolarmente restrittivi o contesti CGNAT (Carrier-Grade NAT, dove più utenti condividono lo stesso indirizzo IP pubblico) impediscono una connessione diretta tra i dispositivi, viene utilizzata l’infrastruttura di relay DERP di Tailscale, che instrada il traffico passando attraverso server intermedi dedicati.

Per chi gestisce accesso remoto, laboratori distribuiti o ambienti multi-cloud, lo schema alla base del funzionamento di Tailscale cambia molto gli equilibri, sia in termini di latenza sia in termini di semplicità di gestione.

Quando Tailscale è utile sul serio

Abbiamo già detto che l’utilità di Tailscale è evidente soprattutto quando i dispositivi sono distribuiti su reti diverse: è il caso più comune di chi lavora da remoto, ha server VPS, un NAS a casa, macchine dietro router di operatori mobili o connessioni residenziali con CGNAT. Tailscale permette di raggiungere ogni risorsa privata senza esporla pubblicamente e senza aprire porte.

È utile anche quando servono accessi selettivi. Un amministratore può autorizzare SSH verso alcune macchine solo a un gruppo di utenti; un familiare può vedere un servizio Web interno ma non l’intera rete; uno smartphone può usare un exit node su una macchina fidata per instradare il traffico quando si trova su reti WiFi pubbliche.

Tailscale: il piano gratuito adesso supporta 6 utenti

Una volta chiarito che Tailscale non è semplicemente un tunnel VPN ma uno strumento di connettività privata con identità, policy e automazione, un recente annuncio fatto da Tailscale assume un significato ancora più importante.

Il piano gratuito Personal di Tailscale passa da 3 a 6 utenti, mantenendo il supporto di un numero illimitato di dispositivi per ciascun utente.

Il profilo free, inoltre, permette di utilizzare fino a 50 risorse “taggate” (cioè dispositivi o servizi organizzati tramite etichette per semplificarne la gestione) e fino a 1.000 minuti al mese per la gestione di risorse temporanee, come processi automatizzati CI/CD (Continuous Integration e Continuous Delivery, usati per test e distribuzione del software) o pod Kubernetes attivi per brevi periodi.

Per molte famiglie con competenze tecniche, piccoli team e ambienti homelab avanzati, il passaggio da 3 a 6 utenti rimuove un limite artificiale che aveva spinto alcuni a considerare alternative come NetBird o Headscale.

Tailscale è spesso provato a casa o in piccoli gruppi: proprio quell’uso personale finisce poi per influenzare l’adozione in azienda. Diversi commenti pubblici successivi all’annuncio hanno ribadito lo stesso schema: si parte dalla tailnet domestica, si verifica che il prodotto funziona bene, poi lo si propone sul lavoro. In altre parole, il piano gratuito non è solo una concessione generosa; è anche uno strumento di acquisizione fondato sull’esperienza diretta del prodotto.

Funzionalità avanzate e scenari d’uso evoluti

Al di là dell’uso classico come rete privata tra dispositivi, Tailscale ha iniziato a essere adottato come vero strumento operativo dentro workflow moderni.

Interrogare la rete tramite AI (protocollo MCP)

Un primo ambito riguarda l’integrazione con sistemi di automazione e AI: attraverso le API ufficiali e implementazioni compatibili con MCP (Model Context Protocol), è possibile interrogare programmaticamente lo stato della tailnet, elencare i nodi attivi, verificare la loro raggiungibilità, ottenendo metadati utili per debugging e orchestrazione.

Non è una funzione pensata per l’utente medio, ma apre a scenari interessanti, soprattutto quando si vuole integrare la rete privata in strumenti di osservabilità o assistenza automatizzata.

Tailscale SSH: addio alla gestione delle chiavi

Un altro elemento che cambia davvero il modo di lavorare è Tailscale SSH: qui il servizio sostituisce buona parte della gestione manuale delle chiavi SSH.

L’autenticazione si lega infatti all’identità Tailscale dell’utente e alle policy definite tramite ACL: l’amministratore può definire con precisione chi può accedere a cosa senza distribuire chiavi persistenti su ogni macchina. In più, l’accesso può avvenire anche via browser dal pannello web, utile quando si opera da ambienti non configurati o temporanei.

Navigazione sicura tramite exit node

Restando sul piano operativo, i già citati exit node offrono un meccanismo semplice per instradare tutto il traffico Internet attraverso un nodo specifico della rete, ad esempio un server cloud in una regione diversa. È una funzione spesso associata alla privacy o all’uso su reti non fidate, ma ha anche implicazioni pratiche per il testing geografico o per uniformare l’uscita del traffico aziendale.

Tailscale Serve e MagicDNS: soluzioni eccellenti per gli sviluppatori

Lato sviluppo, strumenti come Tailscale Serve e MagicDNS riducono drasticamente il tempo necessario per esporre servizi interni in modo sicuro.

Tailscale Serve consente di trasformare un server locale (ad esempio un’istanza Python su una porta specifica) in un servizio accessibile all’interno della tailnet con un nome di dominio completo e certificato TLS automatico, senza reverse proxy complessi o configurazioni manuali di Let’s Encrypt.

Un servizio in esecuzione su un laptop diventa raggiungibile da altri dispositivi – anche su rete mobile – come se fosse pubblicato su Internet, ma restando confinato nella rete privata. È qui che Tailscale smette definitivamente di sembrare una semplice VPN e inizia a comportarsi come un layer di connettività applicativa distribuita.