Cómo usar Tailscale para jugar a Minecraft sin abrir puertos

Última actualización: 26/05/2026

  • Tailscale crea una red privada tipo LAN entre dispositivos, evitando abrir puertos o contratar hosting para servidores de Minecraft.
  • Es posible alojar servidores Bedrock o Java en Linux, NixOS o Windows y exponerlos solo vía Tailscale, mejorando seguridad y control.
  • Los jugadores se conectan usando la IP 100.x.x.x asignada por Tailscale, siempre que sus dispositivos aparezcan como máquinas activas en la tailnet.
  • La misma infraestructura de Tailscale sirve también para acceso remoto a escritorio y VNC, unificando juego y administración en una sola red segura.
Cómo usar Tailscale para jugar a Minecraft

Montar un servidor de Minecraft desde casa se ha complicado bastante para mucha gente por culpa de las conexiones con CGNAT, routers capados o políticas del operador que impiden abrir puertos. Tailscale se ha convertido en una forma muy cómoda de saltarse todos esos líos de NAT y reenvío de puertos, permitiendo que tú y tus amigos juguéis como si estuvierais en la misma red local, pero estando cada uno en su casa o incluso con el móvil.

En este artículo vamos a ver, con calma y sin tecnicismos raros, cómo usar Tailscale para jugar a Minecraft en red, tanto en servidores dedicados (Linux, NixOS, VPS en la nube) como en equipos domésticos con Windows y móviles iOS/Android, además de repasar los problemas típicos que hacen que tus amigos no vean el servidor y cómo solucionarlos paso a paso.

Qué es Tailscale y por qué es tan útil para Minecraft

Diagrama de red Tailscale con Minecraft

Tailscale es una VPN de tipo mesh (malla) que crea una red privada virtual entre tus dispositivos. A diferencia de las VPN clásicas con un único servidor central, cada aparato (PC, móvil, NAS, etc.) se conecta directamente con los demás usando el protocolo WireGuard, cifrando el tráfico y haciéndolo pasar como si todos estuvieran en la misma LAN.

Esto tiene una ventaja enorme para los juegos: no necesitas abrir puertos en el router ni contratar un hosting externo para tu servidor de Minecraft. Basta con que el servidor y los jugadores estén conectados a la misma red de Tailscale (tu “tailnet”) y usen la IP interna de Tailscale (del rango 100.x.y.z) para entrar al mundo.

Además, Tailscale funciona prácticamente en cualquier plataforma actual: Windows, macOS, Linux, NixOS, iOS, Android, Raspberry Pi y muchos proveedores de nube. Eso permite montar desde un pequeño mundo Bedrock en tu PC de casa hasta un servidor dedicado Java en un VPS que solo sea accesible por tu familia o tus colegas.

Otro punto clave es la seguridad: tu servidor de Minecraft no queda expuesto a todo Internet, solo a los dispositivos que formen parte de tu tailnet. Así evitas escaneos de puertos, ataques random y visitas indeseadas de desconocidos a tu mundo.

Montar un servidor Minecraft Bedrock en Linux con Tailscale

Montar un servidor Minecraft Bedrock en Linux con Tailscale

Una opción muy común es instalar bedrock_server en un servidor Linux (por ejemplo Ubuntu o Debian), detrás de un firewall doméstico o en la nube, y luego usar Tailscale para que todos se conecten de forma segura con la IP 100.x.x.x del servidor.

Primero necesitas una máquina Linux activa y con acceso a Internet. No importa si está detrás de un router que no te deja abrir puertos, porque la comunicación entre jugadores y servidor viajará a través de Tailscale. Si utilizas un VPS en un proveedor de nube, conviene bloquear casi todo el tráfico exterior en el firewall y permitir solo lo imprescindible.

Para gestionar mejor el servidor Bedrock, muchos administradores crean un usuario específico, por ejemplo minecraft, e instalan algunos paquetes básicos del sistema (como tmux, git, etc.). De esa forma puedes mantener el servidor organizado, sin mezclarlo con tu usuario principal, y tener herramientas para gestionarlo en segundo plano.

El binario oficial de Bedrock para Linux se descarga desde la web de Minecraft. Es recomendable bajarlo directamente con el usuario creado para el servidor, descomprimirlo en un directorio como /opt/minecraft o similar, y darle permisos adecuados. El binario se actualiza a menudo, y cada vez que el juego en el cliente sube de versión, el servidor suele necesitar la misma versión para permitir la conexión.

Para facilitar las futuras actualizaciones, una práctica muy útil es guardar los archivos del servidor en un repositorio git. Así puedes registrar cada actualización del binario de bedrock_server y, sobre todo, controlar ficheros críticos como permissions.json y server.properties, que suelen sobrescribirse al actualizar. Con git puedes volver atrás si una actualización rompe algo o si pierdes un ajuste.

Una vez tengas el binario en su sitio y los archivos de configuración revisados (EULA, propiedades del servidor, lista de jugadores, etc.), llega el momento de automatizar el arranque. Con systemd puedes hacer que el servidor arranque solo al encender la máquina y que puedas controlarlo con systemctl.

Lo habitual es crear una unidad de servicio, por ejemplo /etc/systemd/system/minecraft.service, que apunte a un script de inicio, como /opt/minecraft/start.sh, y otro de parada, /opt/minecraft/stop.sh. Estos scripts se encargan de lanzar bedrock_server (a menudo dentro de tmux) y apagarlo con seguridad. No olvides hacerlos ejecutables con chmod +x para que systemd pueda usarlos.

Tras recargar la configuración de systemd, puedes arrancar el servicio con systemctl start minecraft. Si todo va bien, el servidor Bedrock estará corriendo como servicio. Para acceder a la consola interactiva, se suele recurrir a tmux: te conectas a la sesión del usuario minecraft, ejecutas bedrock_server ahí y luego te despegas con la combinación Ctrl+B seguido de «d», dejando el servidor en segundo plano.

Contenido exclusivo - Clic Aquí  13 juegos gratis en GOG: la campaña que desafía la censura en los videojuegos

Instalar y usar Tailscale en Linux para exponer el servidor

Con el servidor Bedrock funcionando, el siguiente paso es añadirlo a tu red privada de Tailscale. Tailscale dispone de paquetes para prácticamente cualquier distribución moderna de Linux; los pasos concretos cambian un poco entre Ubuntu, Debian, Fedora, etc., pero la idea básica es la misma: instalar el paquete, habilitar el servicio y autenticar el equipo en tu tailnet.

Tras la instalación, se inicia el servicio (normalmente con systemctl enable –now tailscaled) y se ejecuta el comando de inicio de sesión (tailscale up). En ese punto el sistema mostrará una URL o abrirá el navegador para que inicies sesión con la cuenta de Tailscale (Google, Microsoft, GitHub, etc.). Una vez aceptes, la máquina quedará registrada en tu tailnet.

Cuando el servidor ya está activo dentro de Tailscale, recibe una IP interna del rango 100.x.x.x. Esa es la dirección que usarán tus otros dispositivos Tailscale para llegar al servidor de Minecraft. Puedes ver la IP en el panel de Tailscale, con el comando tailscale ip o desde la app gráfica según la plataforma.

Desde ese momento, cualquier cliente conectado a la misma cuenta o tailnet de Tailscale puede contactar con la IP 100.x.x.x de ese servidor usando el puerto correspondiente a Minecraft. No hace falta tocar nada en el router ni hacer port forwarding, porque la conexión viaja cifrada por el túnel de Tailscale.

Si tienes dispositivos móviles, como iPhone o Android, deberás instalar también la app de Tailscale desde la App Store o Play Store, iniciar sesión con la misma cuenta que en el servidor y verificar que aparecen todos los equipos en la lista de máquinas de la app o del panel web. Solo entonces podrás usar la IP 100.x.x.x del servidor para conectarte desde el cliente de Minecraft.

Conectarse al servidor Bedrock desde móviles con Tailscale

En dispositivos iOS y Android, la mecánica es muy similar. Primero instalas Tailscale, inicias sesión y compruebas que el móvil está en tu tailnet. Una vez aparezca junto al resto de máquinas, ya puedes abrir Minecraft.

En Minecraft Bedrock para móviles, hay que entrar en Jugar (Play) y luego en la pestaña de Servidores. Normalmente verás una lista de servidores promocionados oficiales, pero lo que nos importa es la opción que aparece al final: Añadir servidor (o equivalente según el idioma).

Ahí deberás introducir un nombre cualquiera para identificar el servidor y, en la dirección, la IP interna de Tailscale del equipo que hospeda el mundo (la 100.x.x.x, no la IP pública de tu casa ni la IP local 192.168.x.x). El puerto, salvo que lo hayas cambiado en server.properties, será el que use Bedrock por defecto.

Antes de poder entrar, el cliente Bedrock suele pedir que inicies sesión con una cuenta de Xbox Live (live.com). Si tienes problemas de inicio de sesión en Minecraft, descubre como resolverlos tocando en el enlace anterior. Tailscale en ningún caso ve ni gestiona esos credenciales; solo se encarga de la red.

Una vez añadidos los datos, deberías poder ver el servidor en la lista y entrar igual que cualquier otro. Si no conecta, conviene revisar que la IP de Tailscale no ha cambiado (si has reiniciado el servidor, puede recibir otra dirección) y que tanto el móvil como el servidor están en línea dentro de la red Tailscale.

Servidor de Minecraft en NixOS y DigitalOcean totalmente aislado tras Tailscale

Servidor de Minecraft en NixOS y DigitalOcean totalmente aislado tras Tailscale

Otra forma muy potente de usar Tailscale con Minecraft es montar un servidor dedicado en NixOS sobre un VPS en la nube, por ejemplo en DigitalOcean, y configurar todo el sistema (Tailscale, firewall y Minecraft) desde un único archivo de configuración de Nix.

NixOS se basa en el principio de que la configuración completa del sistema se describe con un lenguaje declarativo. En lugar de editar varios ficheros sueltos, defines toda la máquina en un archivo (por ejemplo, host.nix) y luego el sistema se construye a partir de esa descripción.

Para este escenario, se suele crear host.nix incluyendo la activación de Tailscale. Una línea típica en la configuración sería habilitar el servicio de Tailscale y añadirlo a la lista de paquetes del sistema. Así te aseguras de que Tailscale siempre arranca al inicio del servidor y no dependes de scripts manuales.

Sin embargo, falta el paso de autenticación. Para que el VPS se conecte solo a tu tailnet al arrancar, puedes crear en el panel de administración de Tailscale una clave de autenticación de un solo uso (auth key). Esa clave se inserta en una unidad systemd de tipo oneshot dentro de la configuración de NixOS, de manera que al arrancar ejecute un tailscale up usando dicha clave.

Debes reemplazar el marcador del tipo <your-auth-key> por la clave real generada en el panel de Tailscale. Sin esa auth key el VPS no podrá unirse automáticamente a tu red, y tendrías que hacer un login manual cada vez, algo poco práctico para un servidor en la nube.

El siguiente paso importante para un servidor expuesto a Internet es el firewall. En NixOS, el cortafuegos también se define en el archivo de configuración. La idea es activar el firewall, marcar la interfaz de Tailscale (tailscale0) como confiable y limitar al máximo el resto del tráfico.

Contenido exclusivo - Clic Aquí  Silent Hill f añade Modo Casual con el parche 1.10

En la práctica, esto se suele traducir en: activar el firewall, indicar tailscale0 como interfaz de confianza, permitir desde cualquier IP el puerto UDP que usa Tailscale para construir los túneles (no te preocupes, si no forman parte de tu tailnet serán rechazados) y permitir el puerto SSH para administración (desde Internet y, por supuesto, por Tailscale). Todo lo demás puede bloquearse de cara a la red pública, de forma que solo tus dispositivos autorizados tengan realmente acceso al servidor de Minecraft.

A partir de ahí, NixOS dispone de opciones específicas para gestionar un servidor de Minecraft. Se puede elegir modo de juego, dificultad, ajustes del mundo, etc., siempre respetando que se debe aceptar el EULA de Minecraft configurando el valor correspondiente (sin ello no se permite usar el software). Al tratarse de un programa cerrado, NixOS te pide explícitamente que autorices el uso de software no libre.

Con todas estas piezas (Tailscale, firewall, servidor Minecraft) definidas en host.nix, tienes prácticamente lista la máquina. La gracia está en que al reconstruir el sistema, NixOS aplica todos los cambios de golpe, manteniendo versiones anteriores por si quieres volver atrás si algo sale mal.

Desplegar el servidor NixOS en DigitalOcean con configuración automática

En el momento en que se describió el procedimiento, DigitalOcean no ofrecía una imagen oficial de NixOS. La solución habitual es crear inicialmente una droplet con Ubuntu 20.04 y «transformarla» en NixOS mediante una herramienta como nixos-infect.

Para automatizarlo, se usa un archivo de cloud-init (user-data.yaml) que se proporciona al crear la máquina. En ese archivo se incluyen las órdenes para instalar NixOS sobre la base de Ubuntu y, además, se copia íntegro el contenido de host.nix dentro de un bloque write_files. Es muy importante respetar la indentación (normalmente cuatro espacios) para que la estructura YAML sea válida.

Cuando ese user-data.yaml está listo, se crea la droplet: seleccionas Ubuntu 20.04 como imagen inicial, eliges un plan con al menos 4 GB de RAM (Minecraft es bastante tragón), habilitas IPv6 y marcas la opción de usar datos de usuario (User Data), donde pegarás tu cloud-config. También escoges un centro de datos cercano a los jugadores y añades la clave SSH que usarás para administrar el servidor.

Tras pulsar el botón de creación, el proveedor tarda unos minutos en preparar la máquina, ejecutar el script de cloud-init, instalar NixOS y aplicar la configuración definida en host.nix. Este proceso puede alargarse hasta unos diez minutos. Cuando todo termina, el servidor debería aparecer automáticamente en tu red de Tailscale, porque la unidad systemd con la auth key habrá hecho el login al arrancar.

Con el VPS ya dentro de tu tailnet, puedes arrancar el cliente de Minecraft desde tu PC o móvil, seleccionar la versión adecuada (a veces es necesario usar una versión algo anterior si el servidor aún no se ha actualizado) y conectarte usando la IP de Tailscale de la droplet. El firewall hará que solo el tráfico procedente de Tailscale y los puertos permitidos sea aceptado.

Para administrar el servidor a nivel de consola (por ejemplo, enviar comandos al juego, cambiar el tiempo, teletransportar jugadores), es habitual instalar el paquete mcrcon en NixOS, añadiéndolo a la configuración del sistema junto a tailscale. Con mcrcon podrás conectar mediante la contraseña configurada para RCON y ejecutar comandos sin tener que entrar físicamente al servidor. Si cambias esa contraseña en la configuración de Minecraft, recuerda actualizar también el comando con el que llamas a mcrcon.

Si más adelante quieres modificar el mundo, añadir backups, instalar otros servicios o cambiar parámetros del sistema, bastará con editar /etc/nixos/host.nix con tu editor favorito (nano, vim, etc.) y reconstruir el sistema. NixOS dispone de mucha documentación y módulos para integrar herramientas como BorgBackup u otros servicios que puedas necesitar junto al servidor de Minecraft.

Invitar amigos con node sharing y solucionar problemas habituales

Invitar amigos con node sharing y solucionar problemas habituales al jugar minecraft

Una de las funciones más interesantes de Tailscale es el node sharing, que permite compartir una máquina de tu tailnet con otras personas sin que se unan por completo a tu red privada. Esto viene muy bien cuando quieres que amigos concretos entren a tu servidor de Minecraft sin darles acceso a todos tus dispositivos.

El flujo suele ser así: tú generas un enlace de compartición para tu servidor desde el panel de Tailscale, se lo envías a tu amigo y este crea su cuenta, acepta la invitación (consulta cómo aceptar solicitudes de amistad en Minecraft) y aparece en la sección de Usuarios. Si todo va bien, tras instalar Tailscale en su dispositivo, debería salir también en la pestaña de Máquinas y recibir una IP de Tailscale propia.

Un problema muy frecuente es que el amigo está en la lista de usuarios pero no aparece ninguna máquina suya en la lista de dispositivos. En ese caso, por mucho que intente conectarse a tu IP de Tailscale desde Minecraft, la conexión no llegará porque realmente su dispositivo no está dentro de la red.

Para solucionarlo, hay que verificar que en el equipo del amigo Tailscale se está ejecutando de verdad y ha iniciado sesión con la misma cuenta que aceptó el enlace. Desactivar el firewall del sistema sin más no servirá si Tailscale ni siquiera está levantado o no se ha autenticado correctamente.

Contenido exclusivo - Clic Aquí  Cómo activar PSSR 2 en PS5 Pro y sacar partido a sus mejoras

En equipos Windows, por ejemplo, conviene abrir el icono de Tailscale en la bandeja y comprobar que el estado es «Conectado» y que se ve una IP del tipo 100.x.x.x asociada a ese PC. Si no aparece, quizá falte pulsar el botón de login o haya que reinstalar la app. Solo cuando el dispositivo figure en la pestaña Máquinas del panel de Tailscale podrá llegar al servidor.

Otro caso típico es el de usuarios que abren el mundo de Minecraft en LAN y piden a los amigos que se conecten con la IP de Tailscale del host más el puerto 25565 por defecto, pero no les funciona. Aunque parezca contradictorio, si el juego está configurado solo para escuchar en la red local o en otra interfaz, puede que no acepte conexiones que lleguen por la interfaz de Tailscale. Revisar la configuración del servidor y asegurarse de que escucha en todas las interfaces (0.0.0.0) suele ser crucial.

En Windows, además, el firewall puede bloquear por defecto las conexiones procedentes de Tailscale hacia Minecraft. Aunque abras el puerto manualmente, a veces las reglas se aplican solo a la interfaz local o a redes clasificadas como públicas/privadas. Usar la opción de permitir la aplicación Minecraft en el firewall para todos los perfiles de red (incluida la virtual de Tailscale) suele ser más eficaz que abrir puertos a mano.

Conectarse desde iPhone a un servidor Bedrock en Windows con Tailscale

Otra situación recurrente es tener un servidor Bedrock corriendo en Windows 10 y querer unirse desde un iPhone cuando estás fuera de casa. El usuario normalmente ve ambos dispositivos en Tailscale, visualiza sus IPs internas, pero al introducir la IP del host en Minecraft para iOS no se consigue conectar.

En estos casos, hay que comprobar varios puntos. Primero, asegurarse de que el servidor de Bedrock en Windows está realmente escuchando conexiones y no limitado a LAN local. Después, comprobar que Tailscale está activo en ambos dispositivos y que usas la IP 100.x.x.x del PC de Windows, no la IP local de la WiFi ni la IP pública de la casa.

También es fundamental revisar el firewall de Windows. La primera vez que ejecutas Minecraft servidor, suele salir un cuadro pidiendo permiso para acceder a redes privadas y públicas. Si en su momento uno de esos permisos se denegó, la conexión desde la interfaz virtual de Tailscale podría bloquearse. Permitir el tráfico para Java/Minecraft en todos los perfiles o crear una regla que autorice las conexiones entrantes desde la interfaz Tailscale ayuda a desbloquear la situación.

Otra cosa que puede dar guerra es la resolución de nombres. Si intentas usar un nombre de host en lugar de la IP de Tailscale, puede que el cliente no lo resuelva correctamente, sobre todo en móviles. Para descartar problemas, es más fiable usar directamente la IP 100.x.x.x y el puerto adecuado.

Si aun así no funciona, es recomendable hacer una prueba básica: desde otro dispositivo Tailscale (por ejemplo, un portátil), intenta abrir un puerto conocido del servidor, o incluso hacer ping a la IP 100.x.x.x del PC Windows. Si no hay respuesta ni siquiera a nivel de red, el problema está en Tailscale o en el firewall del sistema, no en Minecraft. Resolver primero la conectividad básica simplifica mucho el diagnóstico.

Otros usos de Tailscale: acceso remoto a escritorio y VNC

Aunque en este artículo nos centramos en Minecraft, Tailscale también es muy útil para acceso remoto a escritorios cuando otras soluciones no funcionan bien. Algunos programas como Screens Connect ofrecen una forma sencilla de exponer un Mac o PC al exterior, pero en entornos donde no es viable o hay limitaciones de red, Tailscale puede sustituirlos con bastante solvencia.

La idea es similar: en el ordenador al que quieres acceder (Mac, PC, Linux, incluso Raspberry Pi) activas la administración remota o el servidor VNC correspondiente, y luego instalas Tailscale. Una vez que el equipo obtiene su IP 100.x.x.x y aparece en tu tailnet, puedes iniciar sesión desde otro dispositivo con Screens u otro cliente VNC usando esa IP.

En macOS, tras instalar Tailscale siguiendo las instrucciones oficiales, puedes ver la dirección IP de Tailscale en el icono del menú del sistema. En Windows, la IP se muestra en el área de notificación. En Linux y Raspberry Pi, se obtiene con el comando de terminal tailscale ip -4. Esa es la IP que tendrás que introducir en la app de escritorio remoto.

Eso sí, es imprescindible que Tailscale esté activo en ambos extremos de la conexión: el Mac o PC que comparte su escritorio y el dispositivo desde el que te conectas (por ejemplo, un iPhone con Screens). Mientras ambos estén conectados a tu tailnet, podrás acceder como si estuvieras en la misma red local, sin exponer el escritorio a todo Internet.

Al final, tanto para Minecraft como para acceso remoto, Tailscale aporta una red privada segura y muy sencilla de usar incluso si no tienes ni idea de redes o routers. Con un poco de configuración inicial en el servidor y revisando que todos los dispositivos estén correctamente autenticados en la tailnet, puedes olvidarte de CGNAT, port forwarding y demás dolores de cabeza, disfrutando de tus mundos de Minecraft y de tus máquinas remotas como si todo estuviera en tu salón.

Related article:
Cómo se hace un servidor en Minecraft